Модуль В
Базовая настройка
- Проверьте и по необходимости настройте базовые параметры на всех виртуальных машинах согласно таблице 1. При первом доступе к операционным системам либо следуйте указаниям мастера, либо, при необходимости, используйте следующие реквизиты: Administrator/Pa$$w0rd для серверных систем; User/Pa$$w0rd для клиентских систем. Используемые логины и пароли сейчас и в дальнейшем документируйте. Обеспечьте наличие соответствующего документа на рабочем месте.
- Настройте разрешения файловой системы
- В домене kazan.wsr.ru на компьютере CLI1 предполагается использование файлов справки в формате .hlp. Для корректной работы справки найдите и удалите файл WinHlpexe. В дальнейшем вместо него будет использована нужная утилита.
- Настройте на CLI1 общую папку Distr. Обеспечьте полный доступ к ней и к ее содержимому для доменных администраторов; члены группы IT должны иметь возможность добавлять, изменять и удалять содержимое папки, но не должны иметь возможность удалить саму папку Distr; члены группы Sales должны иметь возможность просматривать содержимое папки и открывать файлы, но им должно быть запрещено удалять что-либо из содержимого папки. Все настройки должны быть выполнены с учетом правила предоставления наименьших необходимых привилегий.
- Настройте отказоустойчивость дисковой подсистемы
- В домене sochi.wsr.ru на сервере FS1 настройте программное зеркалирование системного диска. Используйте для этого один из имеющихся в составе сервера дополнительных дисков. Вносить изменения в настройки виртуальной машины при этом запрещается! Будьте внимательны, переразметить системный раздел после зеркалирования не удастся, поэтому можете использовать второй из имеющихся дополнительных на сервере дисков для создания резервных копий.
- В домене sochi.wsr.ru на сервере FS2 настройте RAID5-массив с участием диска D:\ и дополнительно имеющихся на сервере дисков. Помните, что на сервере должна функционировать система DFS, которая после настройки RAID должна сохранить работоспособность и функциональность.
Настройка сетевых служб
- На серверах RRAS1, RRAS3 разверните соответствующие роли для обеспечения возможностей маршрутизации и удаленного доступа.
- Настройте протокол динамической маршрутизации RIP между офисами kazan.wsr.ru и sochi.wsr.ru.
- На серверах RRAS1, RRAS3 разверните роль для динамической выдачи IP-адресов и других сетевых настроек клиентам соответствующих сетей, и настройте пулы адресов в соответствии с таблицей 2. Учтите, что при получении IP-адреса компьютеры должны автоматически регистрироваться в базе DNS соответствующего домена.
- Переведите клиентские компьютеры в обоих офисах в режим автоматического получения сетевых настроек. Убедитесь в правильности полученных настроек.
Настройка служб каталогов
- На сервере DC1 установите роль контроллера домена kazan.wsr.ru. В процессе установки так же установите роль DNS-сервера и настройте соответствующие зоны.
- На сервере DC2 установите роль контроллера домена sochi.wsr.ru. В процессе установки так же установите роль DNS-сервера и настройте соответствующие зоны.
- Создайте пользователей, группы и организационные подразделения в доменах согласно таблице 3. Учтите, что создавать каждого пользователя вручную накладно, используйте соответствующий скрипт. Все созданные учетные записи пользователей должны быть включены и иметь пароль P@ssw0rd1.
- Между доменами kazan.wsr.ru и sochi.wsr.ru установите односторонние доверительные отношения: пользователи домена kazan.wsr.ru должны иметь доступ к ресурсам домена sochi.wsr.ru (без дополнительных настроек в AD и DNS), но не наоборот.
- На серверах DC1 и DC2 настройте пересылку DNS-запросов между доменами kazan.wsr.ru и sochi.wsr.ru. При появлении новых DNS-серверов они должны получать соответствующие настройки автоматически.
- Введите компьютеры RDS, CLI1, RRAS1 в домен kazan.wsr.ru.
- Введите компьютеры FS1, FS2, CLI2 и RRAS3 в домен sochi.wsr.ru.
- В домене kazan.wsr.ru настройте групповые политики, обеспечивающие выполнение следующих условий:
- пользователи группы IT должны быть членами локальных групп администраторов на всех компьютерах данного домена;
- для всех пользователей домена при открытии браузера IE должна открываться стартовая страница терминального сервера;
- В домене sochi.wsr.ru настройте групповые политики, обеспечивающие выполнение следующих условий:
- удаленный рабочий стол включен на всех компьютерах домена и доступен для администраторов домена;
- для всех пользователей домена включено перенаправление папок Desktop и My Documents на файловый сервер FS1 в специально созданные для этого папки;
- сетевые папки Man_share и Work_share с файлового сервера FS2 подключены как сетевые диски (Z:\) для пользователей групп Managers и Workers соответственно;
- В домене sochi.wsr.ru для членов группы Managers настройте перемещаемые профили. Для хранения профилей создайте папку D:\Profiles на сервере FS
- Проследите за тем, чтобы пользователь имел полный доступ к файлам своего профиля на сервере и не имел никакого доступа к файлам профилей других пользователей.
Настройка общих служб
- На сервере RDS установите и настройте роль терминального сервера.
- На сервере DC1 установите и настройте роль удостоверяющего центра с названием MainCA.
- Разверните терминальный сервер с лицензированием по компьютерам (используйте временную лицензию).
- Сконфигурируйте web-доступ RemoteApp к службам терминалов сервера.
- Опубликуйте программу Wordpad на web-портале RemoteApp для членов группы IT.
- Опубликуйте программу Notepad на web-портале RemoteApp для членов группы Sales.
- Web-интерфейс сервера должен быть настроен таким образом, чтобы пользователи могли автоматически получать доступ к форме входа на web-интерфейс удаленных рабочих столов при указании адресов http://rds.kazan.wsr.ru и https://rds.kazan.wsr.ru.
- С помощью доменного центра сертификации на сервере CA сгенерируйте и используйте для терминальных служб соответствующий SSL-сертификат. Сертификат должен быть использован для всех установленных компонентов терминальных служб. При обращении с любого компьютера в домене kazan.wsr.ru к сайту по имени https://rds.kazan.wsr.ru сертификат должен распознаваться как доверенный и действительный.
Настройка служб управления файловыми хранилищами
- В домене sochi.wsr.ru на серверах FS1 и FS2 установите соответствующие роли для организации распределенной файловой системы.
- Создайте папку C:\Share на сервере FS1 и папку D:\Share на сервере FS Внутри созданных папок создайте папки Man_share и Work_share.
- Создайте корень DFS с именем FS. Данный корень должен поддерживаться обоими серверами. Создайте под этим корнем папку с именем Share, ссылающуюся на сетевые директории с тем же именем (Share) созданные вами ранее на каждом сервере. Обеспечьте всем пользователям домена доступ к этой папке на запись. Настройте репликацию между папками средствами DFS. Установите жесткое ограничение 1 Гб на размер папки FS\Share.
- Запретите хранение аудио- и видео-файлов на серверах FS1 и FS
- Установите на серверах FS1 и FS2 файловые квоты согласно таблице 4.
Таблица 1. Базовая настройка.
№ п/п | Имя компьютера | Основной DNS-суффикс | IP-адрес | Имя локального администратора/пароль |
1 | DC1 | kazan.wsr.ru | 10.10.10.10/24 | admin/P@ssw0rd |
2 | RDS | kazan.wsr.ru | 10.10.10.50/24 | |
3 | CLI1 | kazan.wsr.ru | 10.10.10.62/24 | |
4 | RRAS1 | kazan.wsr.ru |
nic1: 10.10.10.1/24 nic2: 20.17.255.1/29 |
|
5 | DC2 | sochi.wsr.ru | 10.20.20.10/24 | |
6 | FS1 | sochi.wsr.ru | 10.20.20.20/24 | |
7 | FS2 | sochi.wsr.ru | 10.20.20.30/24 | |
8 | CLI2 | sochi.wsr.ru | 10.20.20.63/24 | |
9 | RRAS3 | sochi.wsr.ru |
nic1: 10.20.20.1/24 nic2: 20.17.255.3/29 |
Таблица 2. Диапазоны адресов.
№ п/п | Офис | Начальный адрес | Конечный адрес | Исключения |
1 | kazan.wsr.ru | 10.10.10.100/24 | 10.10.10.180/24 | 10.10.10.150 |
2 | sochi.wsr.ru | 10.20.20.70/24 | 10.20.20.90/24 | — |
Таблица 3. Доменная иерархия.
№ п/п | Домен | Подразделение | Группа | Члены группы |
1 | kazan.wsr.ru | Employees | Sales | User1, …, User20 |
2 | kazan.wsr.ru | Employees | IT | User30, …, User40 |
3 | kazan.wsr.ru | VPN_Users | IT | |
4 | sochi.wsr.ru | Office | Workers | User1, …, User15 |
5 | sochi.wsr.ru | Office | Managers | User16, …, User30 |
6 | sochi.wsr.ru | Admins | Admin1 |
Таблица 4. Файловые квоты.
№ п/п | Путь | Тип квоты/размер | Уведомление | Отчет пользователю |
1 | D:\Share\Man_share | Жесткая/300Mb | по e-mail при 85% и 100% | о дублирующих файлах |
2 | D:\Share\Work_share | С расширением/ 200Mb+50Mb |
по e-mail при 100% | о больших файлах |