Настройка samba для работы с active directory

Локальный Web-сервер

Для создания Web у сервера должен быть свой выделенный IP. Тогда после установки LAMP по этому IP-адресу будет доступна тестовая страница Apache. Это и есть будущий Веб. В дальнейшем на него можно будет поставить FTP, базы данных, почтовый протокол. Для настройки Web-сервера:

Установите phpMyAdmin. Для этого в терминале или в консоли введите друг за другом введите «sudo apt-get install phpmyadmin»

• И потом «sudo service apache2 restart».
• Компонент загрузится. Apache будет перезагружен. Дальнейшие действия зависят от версии операционной системы.

Если у вас Ubuntu 13.1 и выше, используйте команды:

1. sudo ln -s /etc/phpmyadmin/apache.conf /etc/apache2/conf-available/phpmyadmin.conf
2. sudo a2enconf phpmyadmin
3. sudo /etc/init.d/apache2 reload

Вбивайте их последовательно друг за другом, после каждой нажимайте Enter.

В Ubuntu 16.04, нужны другие указания:

1. sudo apt-get install php-mbstring php-gettext
2. sudo phpenmod mcrypt
3. sudo phpenmod mbstring
4. sudo systemctl restart apache2

После их ввода и автоматического перезапуска службы по адресу http:///phpmyadmin будет доступен веб-интерфейс.

• Конфигурация и данные о ней находятся в папке сервера Apache «etc/apache2/». Apache2.conf — конфигурационный файл для дистрибутива
• В директориях «mods-available»/«sites-available» и «mods-enabled»/«sites-enabled» находятся моды и сайты.
• В Ports.conf расписаны прослушиваемые порты.
• Если вы добавите после команды «sudo /etc/init.d/apache2» слово «Stop», Apache приостановит работу. Если «Start» — снова запустится. Если «Restart» — перезагрузится.
• Чтобы самостоятельно выбирать путь для сохранения сайтов, последовательно введите в терминал «sudo a2enmod rewrite» и «sudo a2enmod userdir».

Каждый раз после внесения каких-либо изменений надо перезапускать службу командой «Restart».

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS . На это есть две основные причины:

1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5»

Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5 , как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Что такое файловая система

Обычно вся информация записывается, хранится и обрабатывается на различных цифровых носителях в виде файлов. Далее, в зависимости от типа файла, кодируется в виде знакомых расширений – *exe, *doc, *pdf и т.д., происходит их открытие и обработка в соответствующем программном обеспечении. Мало кто задумывается, каким образом происходит хранение и обработка цифрового массива в целом на соответствующем носителе. 

Операционная система воспринимает физический диск хранения информации как набор кластеров размером 512 байт и больше. Драйверы файловой системы организуют кластеры в файлы и каталоги, которые также являются файлами, содержащими список других файлов в этом каталоге. Эти же драйверы отслеживают, какие из кластеров в настоящее время используются, какие свободны, какие помечены как неисправные.

Запись файлов большого объема приводит к необходимости фрагментации, когда файлы не сохраняются как целые единицы, а делятся на фрагменты. Каждый фрагмент записывается в отдельные кластеры, состоящие из ячеек (размер ячейки составляет один байт). Информация о всех фрагментах, как части одного файла, хранится в файловой системе.

Файловая система связывает носитель информации (хранилище) с прикладным программным обеспечением, организуя доступ к конкретным файлам при помощи функционала взаимодействия программ API. Программа, при обращении к файлу, располагает данными только о его имени, размере и атрибутах. Всю остальную информацию, касающуюся типа носителя, на котором записан файл, и структуры хранения данных, она получает от драйвера файловой системы.

На физическом уровне драйверы ФС оптимизируют запись и считывание отдельных частей файлов для ускоренной обработки запросов, фрагментации и «склеивания» хранящейся в ячейках информации. Данный алгоритм получил распространение в большинстве популярных файловых систем на концептуальном уровне в виде иерархической структуры представления метаданных (B-trees). Технология снижает количество самых длительных дисковых операций – позиционирования головок при чтении произвольных блоков. Это позволяет не только ускорить обработку запросов, но и продлить срок службы HDD. В случае с твердотельными накопителями, где принцип записи, хранения и считывания информации отличается от применяемого в жестких дисках, ситуация с выбором оптимальной файловой системы имеет свои нюансы.

Установка DFS-namespace

Зачем нужен DFS?

DFS имеет ряд преимуществ как для пользователей сети, так и для предприятий.

Для пользователей сети:

Namespace DFS — это упрощенный доступ к файлам, распределенным по сети. Исчезает необходимость в подключении множества сетевых дисков. Пользователям предоставляется одна общая сетевая папка, в которой отображаются только те папки, к которым им предоставлен доступ, если конечно включен ABE.

Для организации:

Namespace DFS — гибкое использование свободных ресурсов. Создание и подключение к DFS сетевых папок с серверов и компьютеров со свободным местом на жестком диске

Replication DFS (Репликация DFS) — автоматическое резервирование важной информации повышает отказоустойчивость всей системы (выход одного сервера или дискового устройства не повлияет на работу пользователей)

В моем случае DFS мне поможет создать более удобную структуру файлового сервера для пользователей, получить одну точку входа.

Установка DFS

Если вы не установили DFS при инсталляции роли файлового сервера, то можно ее просто добавить. Для этого:

Откройте панель управления сервером Windows и найдите Add roles and features (Добавить роли и компоненты).

В качестве типа установки укажите Role-based or feature-based installation (Установка ролей и компонен Выбираем нужный сервер из пула серверов. тов).

Выбираем нужный сервер из пула серверов.

Установка DFS шаг 1

В следующем окне отмечаем DFS Namespaces и DFS Replication, если нужно.

Установка DFS шаг 2Установка DFS шаг 3

После удачной инсталляции переходим к настройке DFS 

Установка DFS шаг 4

Настройка DFS

В Server Manager\Dashboard выберете > Tools > DFS Managment.

Или в поиске введите команду dfsmgmt.msc.

Для создания нового пространства имен выберете в правой части экрана New Namespace.

Введите название сервера и выберите его местоположение.

Создание Namespace шаг 1

На следующем этапе задаем имя пространства имен DFS

Хочу обратить внимание, что заданное здесь имя будет использоваться при подключении общей сетевой папки. Например:

Создание Namespace шаг 2

На следующем шаге выбираем Domain-based namespace, так как используются доменные службы Active Directory.

Создание Namespace шаг 3

В результате видим сообщение об успешном создании пространства имен.

Создание Namespace шаг 4

Теперь подключаем к нашему созданному Namespace сетевые папки.

Для создания новой папки выберете в правой части экрана New Folder. Задайте имя папки и путь к ней.

Создание папки в Namespace

В моем случае у меня 2 разных сетевых папки на разных дисках. Но для пользователей отдела один сетевой ресурс:

Если в будущем мне понадобится добавить какие-либо сетевые папки для отделов, но при этом не подключать несколько сетевых ресурсов, то достаточно будет создать новый Namespace и подключить к нему нужные папки.

Replication DFS (Репликация DFS) мною не настраивалась. Наличие свободных ресурсов всегда болезненный вопрос.

Для второго отдела был создана обычная сетевая папка с правами доступа.

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

• Процессор может быть самый простой;
• Оперативная память также не сильно используется;
• Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
2. Сервер должен быть подключен к источнику бесперебойного питания;
3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Настраиваем IIS с репликацией

Кластер кластером, но без службы он смысла не имеет. Поэтому добавим IIS (Internet
Information Services). Сервер IIS входит в состав Win2k3, но, чтобы свести к
минимуму возможность атак на сервер, он по умолчанию не устанавливается.

Инсталлировать IIS можно двумя способами: посредством «Панели управления» или
мастером управления ролями данного сервера. Рассмотрим первый. Переходим в
«Панель управления – Установка и удаление программ» (Control Panel — Add or
Remove Programs), выбираем «Установку компонентов Windows» (Add/Remove Windows
Components). Теперь переходим в пункт «Сервер приложений» и отмечаем в «Службах
IIS» все, что необходимо. По умолчанию рабочим каталогом сервера является \Inetpub\wwwroot.
После установки IIS может выводить статические документы.

Вот, собственно, и все. Если в файл hosts, который находится в C:\Windows\System32\Drivers\Etc,
добавить запись для разрешения имени веб-сервера и IP-адрес кластера, то,
обратившись с локального узла, можно получить документ с веб-сервера. Для
репликации данных между узлами кластера используй службу DFS, о которой подробно
говорилось в последнем
номере за прошлый год.

Настройка Work Folder на Windows Server 2012 R2

Функционал Work Folders в Windows Server 2012 R2 входит в состав роли File and Storage Services
и включить его можно с помощью консоли Server Manager или PowerShell.

При установке функционала Work Folders также будет установлен сервер IIS Web Core, являющийся обязательным компонентом технологии и необходимый для обслуживания клиентов.

После установки функции, нужно открыть консоль Server Manager ->File Server -> Work Folders
и указать каталог, в котором будут храниться «Рабочие папки» пользователей.

Затем нужно указать список пользователей и групп, имеющих доступ к данной папке. Если нужно, чтобы у администратора сервера не было доступа к данным пользователей, отметьте флажок «Disable inherited permissions and grant users exclusive access to their files
».

«Рабочие папки» синхронизируется посредством веб сервера IIS по протоколу HTTPS, поэтому для работы придется настроить на IIS шифрование SSL/TLS. После окончания работы мастера, нужно создать новый сертификат типа Web Server Template, содержащийFQDN имя сервера.

Совет
.

1. Если для подключения предполагается использовать внешний домен, необходимо в соответствующей DNS зоне создать CNAME/ A запись.
2. Для предоставления удаленного доступа к Work Folders возможно воспользоваться DirectAccess или новой функцией Windows Server 2012 R2 — Web Application Proxy

Данный сертификат необходимо выбрать в качестве SSLсертификата на сайте IIS.

Установка сервера печати Windows Server 2003

Установка сервера печати в Windows Server 2003 с помощью мастера настройки сервера

1. Нажмите кнопку «Пуск» , наведите указатель мыши на пункт «Администрирование» и выберите мастер настройки сервера.

2. Нажмите кнопку Далее.

3. Нажмите кнопку Далее.

4. Щелкните «Печать сервера» в поле «Роль сервера» и нажмите кнопку «Далее».

5. На странице «Принтеры и драйверы принтеров » щелкните типы клиентов Windows, которые будет поддерживать ваш сервер печати, и нажмите кнопку «Далее».

6. Нажмите кнопку Далее.

7. На странице приветствия мастера добавления принтера нажмите кнопку «Далее».

8. Щелкните «Локальный принтер», подключенный к этому компьютеру, снимите флажок «Автоматически обнаруживать и устанавливать Plug and Play принтера» и нажмите кнопку «Далее».

9. Щелкните порт принтера и нажмите кнопку » Далее».

10. Щелкните принтер для создания и моделирования или предоставьте драйверы с носителя изготовителя принтера, а затем нажмите кнопку » Далее».

    Примечание.

    Если вам будет предложено сохранить или не сохранить существующий драйвер принтера, сохраните существующий драйвер или замените существующий драйвер. При замене драйвера необходимо указать драйвер производителя для этого принтера. Для продолжения нажмите кнопку Далее.

    

    

    

    

    

    

    

    

    

    

11. Примите имя принтера по умолчанию или укажите другое имя, а затем нажмите кнопку » Далее».

12. Щелкните параметр «Общий доступ как «, введите имя общей папки и нажмите кнопку » Далее».

    Примечание.

    Этот шаг является необязательным, так как вы можете поделиться принтером позже.

13. Вы можете указать расположение принтера и комментарий, чтобы упростить его поиск. Для продолжения нажмите кнопку Далее.

14. Щелкните параметр «Печать тестовой страницы «, нажмите кнопку «Далее «, а затем нажмите кнопку » Готово», чтобы выйти из мастера добавления принтера. Принтер появится в папке «Принтеры и факсы «.

Предоставление общего доступа к принтеру

1. Нажмите Пуск и выберите пункт Принтеры и факсы.
2. Щелкните правой кнопкой мыши только что установленный принтер и выберите пункт » Общий доступ».
3. Щелкните «Поделиться принтером» и введите имя общего ресурса для принтера.
4. При необходимости щелкните «Дополнительные драйверы», выберите операционные системы клиентских компьютеров, которые могут подключиться к этому принтеру, и нажмите кнопку «ОК». Добавляя драйверы для этих операционных систем, пользователи клиентских компьютеров могут подключаться к серверу печати и автоматически скачивать соответствующие драйверы для этой модели принтера, не настраивая ничего.
5. При появлении запроса вставьте компакт-диск Windows Server 2003.
6. Нажмите кнопку » ОК», чтобы закрыть свойства принтера.
7. Закройте папку принтеров и факсов.

Установка сервера печати вручную в Windows Server 2003

1. Нажмите кнопку Пуск, выберите пункт Параметры, затем Принтеры.
2. Дважды щелкните «Добавить принтер «, чтобы запустить мастер добавления принтера.
3. Чтобы завершить работу мастера добавления принтера, повторите шаги с 7 по 14 в разделе «Установка сервера печати Windows Server 2003» этой статьи.

Общие сведения о роли файлового сервера

Файловый сервер предоставляет доступ к файлам и управляет им. Если планируется использовать дисковое пространство данного компьютера для хранения, управления и общего доступа к данным в виде файлов и доступных в сети приложений, то данный компьютер следует настроить как файловый сервер.

После того как задана роль файлового сервера, появляется возможность выполнять следующие действия:

• Отслеживать и ограничивать дисковое пространство, доступное отдельным пользователям, используя дисковые квоты на томах, отформатированных в файловой системе NTFS. Также можно задать, что необходимо регистрировать в журнале — превышение пользователем заданного дискового пространства или превышение пользователем указанного порога предупреждения (то есть отметки, при прохождении которой пользователь приближается к заданному для него или нее пределу использования дискового пространства).
• Использовать Службу индексирования для быстрого и безопасного поиска информации, как локального, так и в сети.
• Производить поиск в файлах различных форматов и на разных языках либо при помощи команды Найти в меню Пуск, либо при помощи страниц HTML, отображаемых обозревателем.

Общие сведения о роли сервера печати

Сервер печати предоставляет доступ к принтерам и управляет им. Если планируется удаленное управление принтерами, управление принтерами при помощи Инструментария управления Windows (WMI) или печать с сервера или компьютера клиента на сервер печати, используя URL-адрес, то данный компьютер следует настроить как сервер печати.

После того как задана роль сервера печати, появляется возможность выполнять следующие действия:

• Использовать обозреватель для управления принтерами. Можно приостанавливать, возобновлять и удалять задания на печать, а также просматривать состояние принтера и заданий на печать.
• Использовать новый монитор стандартного порта, что позволяет упростить установку в сети большинства принтеров, поддерживающих TCP/IP.
• Использовать созданный корпорацией Майкрософт инструментарий управления Windows (WMI), являющийся интерфейсом управления API, что позволяет отслеживать и контролировать все компоненты системы, как локальные, так и удаленные. Служба доступа к принтерам WMI позволяет управлять серверами печати, устройствами печати и прочими связанными с печатью объектами из командной строки. Служба доступа к принтерам WMI допускает использование сценариев Visual Basic (VB) для администрирования принтеров.
• Осуществлять печать с клиентов Windows XP на сервере печати под управлением Windows Server 2003, используя URL-адрес.
• Подключаться к общим принтерам сети путем установки их одним щелчком через Интернет. Имеется возможность установки драйверов с веб-узла.

Общие сведения о роли WINS-сервера

Серверы Windows Internet Name Service (WINS) отображают IP-адреса в NetBIOS имена компьютеров и NetBIOS-имена компьютеров обратно в IP-адреса. Используя серверы WINS в организации, можно осуществлять поиск ресурсов по имени компьютера, которое проще запомнить, вместо его IP-адреса. Если планируется отображать NetBIOS-имена в IP-адреса или централизованно управлять базой данных, сопоставляющей имена и адреса, следует настроить сервер как WINS-сервер.

После того как задана роль сервера WINS, появляется возможность выполнять следующие действия:

• Уменьшить широковещательный трафик в подсетях, связанный с NetBIOS, разрешением клиентам, запрашивающим WINS-серверы, непосредственно искать удаленные системы.
• Поддерживать клиентов, использующих ранние версии Windows и NetBIOS, в сети. Этим типам клиентов разрешается просматривать списки удаленных доменов Windows без необходимости наличия локальных контроллеров доменов в каждой подсети.
• Поддерживать DNS-клиентов. Этим клиентам позволено искать ресурсы NetBIOS, если внедрено объединение просмотра WINS. Дополнительные сведения см. в разделе Интеграция просмотра WINS.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

1. Проверяем правильность настройки времени и часового пояса;
2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен ;
3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр ;
4. Для удаленного администрирования, включаем удаленный рабочий стол ;
5. Устанавливаем все обновления системы.

Удаление роли файлового сервера

Если требуется перенастроить сервер для другой роли, можно
удалить существующую роль. При удалении роли файлового сервера,
файлы и папки этого сервера больше не будут общими и пользователи
сети, программы или узлы, работа которых зависит от общих ресурсов,
не смогут соединиться с ними.

Чтобы удалить роль файлового сервера

1. Запустите мастер настройки сервера, выполнив следующие
   действия.

   • В программе «Управление данным сервером» выберите ссылку
     Добавить или удалить роль. По умолчанию программа
     «Управление сервером» автоматически загружается при входе в
     систему. XOX
   • XOX
2. На странице Роль сервера выберите Файл-сервер и
   нажмите кнопку Далее.
3. На странице Подтверждение удаления роли просмотрите
   список, отображенный под заголовком Сводка, установите
   флажок Удалить роль сервера файлов и нажмите кнопку
   Далее.
4. На странице Роль файлового сервера удалена нажмите
   кнопку Готово.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление — Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

• Службы хранения;
• Файловый сервер;

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Нажимаем OK и Изменить. 

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.