Konfiguracja domeny
głównej
h
Przygotowanie i instalacja kontrolerów
domeny
Analiza niezbędnych przygotowań, poprzedza-
jących praktyczne podłączenie serwerów.
Instalacja głównych i zapasowych kontro-
lerów domeny w sieci ORBITY.
O
mówimy zagadnienia implementacji insta-
lacji sieciowej, której założenia zostały opra-
cowane w poprzednim rozdziale. Nauczymy
się, jakie najważniejsze przygotowania muszą
poprzedzić instalację pierwszego serwera.
Naszkicujemy przebieg instalacji głównego
oraz zapasowego kontrolera domeny, konfigu-
rację odporności na błędy oraz odpowiedniego
powielania bazy chronionych kont między
serwerami.
h
Zabezpieczenie parametrów zasilania
Program narzędziowy Windows NT, wspoma-
gający obsługę UPS. Informacje o stanie
zasilania, które mogą być przekazywane od
UPS do serwera.
h
Wdrożenie systemu odpornego na błędy
Instalacja systemu dysków lustrzanych - rela-
tywnie niedrogiej metody pełnego zabez-
pieczenia integralności i dostępności da-
nych w czasie rzeczywistym.
h
Kontroler domeny - jedno z narzędzi
pakietu Resource Kit
Wykorzystanie programu narzędziowego do
synchronizacji kontrolerów domeny. Moż-
liwość nadzorowania domeny lokalnej
i domen upoważnionych.
h
Tworzenie kont użytkowników i grup
Ustanawianie relacji upoważnienia powinno
być poprzedzone przemyśleniem konfigu-
racji kont użytkowników i grup.
Część III Konfiguracja przykładowego modelu z domeną główną
272
Przygotowania do instalacji kontrolerów domeny
Zainstalowanie pierwszego kontrolera domeny oznacza prawdziwy po-
czątek sieci. Budowę systemu ochrony zaczyna się wcześniej, bo już
w fazie planowania logicznej organizacji struktury domen. Po drodze
należy określić zasady regulujące prawa użytkowników oraz reguły ad-
ministracyjne. Etap planowania powinien uwzględnić rozwiązania, za-
pewniające odporność na błędy oraz system archiwizacji.
Fazę planowania zakończyliśmy spisaniem listy zadań do wykonania
w etapie implementacji. Tworzenie sieci dla ORBITY zaczniemy od insta-
lacji głównego kontrolera domeny ADMIN.
Przygotowanie stanowiska dla serwerów
Lokalizacja serwera powinna zapewniać ochronę urządzeń przed zagro-
żeniami fizycznymi i nieuprawnionym dostępem. Ważne jest zastosowa-
nie zabezpieczeń przed wahaniami napięcia, przepięciami oraz prze-
rwami w zasilaniu.
Umieszczenie serwerów w zamkniętych pomieszczeniach, zapobiega
nieuprawnionemu dostępowi do komputera i składowanych w nim da-
nych. Kradzież komputera lub jego napędów, to również kradzież infor-
macji znajdujących się na jego dyskach. Koszt fizycznej ochrony kompu-
tera nie ma zazwyczaj żadnego znaczenia, w porównaniu z kosztami
związanymi z utratą danych.
Kolejnym etapem jest sprawdzenie, czy pomieszczenia przeznaczone na
serwery zapewniają odpowiednią wentylację i temperaturę. Parametry
środowiska, w jakich powinny pracować różne składniki systemu, okre-
ślają ich instrukcje, ale prosta reguła mówi, że jeśli w pomieszczeniu do-
brze czuje się administrator, to i sprzętowi nic nie grozi. Większość kom-
puterów osobistych nie wymaga dużych systemów klimatyzacyjnych
i działa prawidłowo w szerokich przedziałach temperatury. Nie znaczy
to, że powinniśmy ignorować problem odpowiedniego chłodzenia sys-
temu. Silne procesory działające w serwerach wymagają odprowadzenia
dużej ilości ciepła, w przeciwnym razie mogą ulec uszkodzeniu. Odpo-
wiednie radiatory w połączeniu z niezawodnymi wentylatorami powin-
ny zapobiec ewentualnym awariom, spowodowanym przegrzaniem pro-
cesora.
Kolejnym czynnikiem zewnętrznym, mającym wpływ na bezpieczną
pracę systemu, jest zapewnienie odpowiednich parametrów energii elek-
trycznej zasilającej system. Poziom jakości prądu, dostarczanego przez
Konfiguracja domeny głównej
273
większość kompanii energetycznych, można określić raczej jako „prze-
mysłowy”, aniżeli „komputerowy”. Parametry prądu wahają się
w zakresie przekraczającym tolerancję delikatnych urządzeń elektronicz-
nych. Większość komputerów osobistych zawiera zasilacze siecioweprze-
twarzające prąd zmienny o napięciu 220V (120V w USA) na prąd stały
o napięciu 5V lub 12 V, wymagany przez komponenty systemu. Zasilacz
toleruje jedynie umiarkowane przepięcia i zaniki prądu zmiennego na
swoim wejściu. Jeśli są za duże, to parametry prądu stałego na wyjściu
zasilacza również odbiegają od normy, co z kolei może skutkować prze-
kłamaniem danych lub uszkodzeniem elementów komputera.
Najprostszym sposobem zapobiegania przed problemami z prądem elek-
trycznym jest zastosowanie bezpieczników przepięciowych, stabilizato-
rów oraz bezprzerwowych zasilaczy awaryjnych (UPS). Skala zabezpie-
czeń zależy od wagi informacji składowanych na serwerze. Jeśli kompu-
ter jest przeznaczony jedynie do przechowywania danych „tylko do od-
czytu”, pełniąc rolę na przykład serwera aplikacji, do jego ochrony wy-
starczy zabezpieczenie przepięciowe lub odpowiedni stabilizator. Jeśli
natomiast komputer jest kluczowym serwerem przetwarzającym infor-
macje, które muszą być dostępne non-stop i w czasie rzeczywistym, to
jedynym rozwiązaniem jest zasilacz awaryjny.
Instalacja głównego kontrolera domeny
Instalacja głównego kontrolera domeny może być realizowana na kilka
sposobów. Ponieważ tematem podręcznika jest jedynie ochrona systemu,
nie będziemy szczegółowo opisywać procedur instalacyjnych. Skoncen-
trujemy się na tych aspektach, które mają wpływ na bezpieczeństwo sieci.
Dostępnych jest wiele książek poświęconych instalacji systemu Windows
NT. Dobrą decyzją będzie przeczytanie podręcznika Windows NT 4.0
Installation and Configuration Handbook (Jim Boyce, Que Publisching, ISBN
0-7897-0813-3).
Pierwszym serwerem zainstalowanym w
fabryce rakiet będzie
ORBIT_PDC, przeznaczony do roli głównego kontrolera domeny
ADMIN. Zamontowanie systemu operacyjnego Windows NT 4.0 Server
stworzy jądro domeny, przechowujące bazę chronionych kont całego
przedsiębiorstwa. Po zainstalowaniu serwerów zapasowych, kopie bazy
mogą być przenoszone na pozostałe kontrolery. Na działających już ser-
werach, należy natychmiast skonfigurować dwa elementy, mające wpływ
na fizyczne bezpieczeństwo komputera: system zasilania awaryjnego
(UPS) oraz odporny na błędy układ dysków.
Część III Konfiguracja przykładowego modelu z domeną główną
274
Ochrona systemu bezprzerwowym zasilaczem sieciowym (UPS)
Najlepszą metodą ochrony przed zakłóceniami elektrycznymi delikat-
nych podzespołów komputera jest zastosowanie zasilacza awaryjnego
(UPS). Rynek oferuje wiele systemów zasilaczy bezprzerwowych, zapro-
jektowanych specjalnie do ochrony serwerów sieciowych. Takie urządze-
nia nie tylko dostarczają energię podczas przerw w dopływie prądu, ale
zapewniają zasilanie komputera prądem o optymalnych parametrach -
wolnym od przepięć i przerw. Systemy dostosowane do współpracy
z Windows NT są wyposażone w specjalne rozwiązania, umożliwiające
bezpieczne wygaszenie systemu w
przypadku braku zasilania
i całkowitego wyczerpania się baterii. Połączenie kablowe między UPS-
em a portem szeregowym serwera przenosi odpowiednie sygnały
o stanie urządzenia, które umożliwiają Windows NT właściwą reakcję.
Dzięki temu, przed całkowitym wyczerpaniem się baterii UPS, system
ma dostateczną ilość czasu na ostrzeżenie administratora i użytkow-
ników, zamknięcie wszystkich transakcji, zapis danych znajdujących się
w buforach oraz planowe wyłączenie instalacji. Konfigurację bezpieczne-
go wygaszania systemu realizuje się zazwyczaj poprzez specjalne opro-
gramowanie, rozprowadzane razem z zasilaczami, ale w przypadku gdy
go nie ma, można zastosować oprogramowanie systemowe Windows NT.
Jeśli UPS jest wyposażony w gniazdo portu szeregowego, to jest nadzieja,
że można zaprogramować bezpieczne wyłączenie systemu bez dodatko-
wego oprogramowania. Oczywiście nie będzie można skorzystać
z oryginalnych komunikatów i ostrzeżeń, zaprojektowanych w sterowni-
ku UPS, ale odpowiednie sygnały o stanie zasilacza będą wysyłane do
serwera. Przewaga oryginalnego oprogramowania producentów sprzętu
wynika z dodatkowych usług, jak na przykład monitorowanie parame-
trów dopływającej do zasilacza energii lub temperatury urządzenia. Za
dodatkowe oprogramowanie warto czasem dopłacić kilka złotych.
Dodatkowo, oprogramowanie dostarczane przez wytwórców sprzętu jest
zazwyczaj zdolne do rejestrowania informacji o zdarzeniach, związanych
z zakłóceniami w dopływie prądu i aktywności UPS. Zasilacze dostar-
czane są na ogół razem z niezbędnymi kablami potrzebnymi do podłą-
czenia urządzenia z portem serwera. Jeśli zasilacz nie jest wyposażony
w dodatkowe oprogramowanie, natomiast posiada wyjście szeregowe,
oznacza to, że może sygnalizować informacje niezbędne Windows NT do
bezpiecznego wygaszania systemu. Odpowiedni program narzędziowy
jest elementem pakietu systemowego.
Dokumentacja zasilacza awaryjnego powinna zawierać informację, że
komunikacja między urządzeniem a komputerem wymaga standardo-
wego okablowania lub zawierać schemat umożliwiający samodzielne
zmontowanie odpowiedniego kabla.
Konfiguracja domeny głównej
275
Konfiguracja współpracy UPS z Windows NT
Decydując się na wykorzystanie programu obsługi UPS z pakietu syste-
mowego, należy się upewnić jak prawidłowo połączyć zasilacz
z komputerem oraz jak skonfigurować Windows NT, aby umiał rozpo-
znawać sygnały z UPS. Sygnały przesyłane są do komputera dodatnimi
lub ujemnymi stanami napięcia. Odpowiednie informacje powinny znaj-
dować się w dokumentacji zasilacza awaryjnego wraz z opisem kabla
łączącego. Po uważnym przeczytaniu instrukcji UPS można otworzyć
panel kontrolny Windows NT i przystąpić do konfiguracji:
1. Sprawdzić w dokumentacji UPS, czy przed pierwszym podłączeniem
urządzenia, należy naładować jego akumulatory. Jeśli tak, naładować
akumulatory zgodnie z instrukcją.
2. Sprawdzić w dokumentacji UPS, jaki kabel powinien łączyć urządze-
nie z komputerem. Zaopatrzyć się w odpowiedni kabel i podłączyć
UPS do jednego z portów szeregowych.
3. Zarejestrować się na serwerze z
uprawnieniami administratora
i otworzyć panel kontrolny. Dwukrotnie kliknąć na ikonie UPS, aby
otworzyć okno przedstawione na rysunku 11.1.
Rysunek 11.1
Konfiguracja parametrów
UPS w odpowiednim oknie
grupy Control Panel.
4. Zaznaczyć pole wyboru Uninterruptible Power Supply i wskazać odpo-
wiedni port łączący zasilacz z komputerem.
5. Jeśli UPS jest zdolny sygnalizować przerwanie zasilania, to zaznaczyć
pole wyboru Power failure signal. System rozpozna sygnał CTS (clear-
to-send) jako informacje o wyłączeniu zasilania i odpowiednio zarea-
guje.
Część III Konfiguracja przykładowego modelu z domeną główną
276
6. Jeśli UPS jest zdolny sygnalizować, że baterie są bliskie wyczerpania,
to zaznaczyć pole wyboru Low battery signal at least 2 minutes before
shutdown
. System rozpozna sygnał DCD (data-carier-detect) jako infor-
macje o niskim stanie naładowania baterii i odpowiednio zareaguje.
7. Zaznaczyć pole wyboru Remote UPS Shutdown, jeśli chcemy zachować
energię baterii, pozostałą po wyłączeniu się serwera Windows NT.
Zaznaczenie tego pola spowoduje, że UPS przerwie zasilanie serwera
po zakończeniu procesu wygaszania systemu. Układ zasilacza rozpo-
zna sygnał DTR (data-terminal-ready) jako polecenie wyłączenia zasi-
lania komputera.
8. Zaznaczyć odpowiednie opcje, informujące o polaryzacji sygnału,
które dotyczą ustawionych wcześniej pozycji. Informacje o polary-
zacji sygnałów znajdziemy w dokumentacji zasilacza.
9. Zaznaczyć pole wyboru Execute Command File, jeśli chcemy, aby pro-
gram obsługi UPS uruchomił przed wygaszeniem systemu jakąś apli-
kację lub skrypt. Odpowiedni plik musi mieć rozszerzenie .exe, .com,
.bat lub .cmd. Plik powinien być umieszczony w
folderze
%SYSTEMROOT%SYSTEM32, w przeciwnym razie nie zostanie uru-
chomiony. Aplikacja może być wykorzystana do przerwania połą-
czeń sieciowych, zatrzymania usług oraz wszelkiego rodzaju czynno-
ści, służących złagodzeniu skutków wyłączenia systemu. Odnotujmy,
że czas działania tego programu nie może przekraczać 30 sekund.
10. Jeśli UPS przesyła sygnał o wyładowaniu baterii (low-battery) przejść
do punktu 13.
11. W grupie dotyczącej charakterystyki UPS, skonfigurować ustawienie
opisujące, jak długo UPS potrafi zasilać komputer w przypadku cał-
kowitego wyłączenia energii. Odpowiednią liczbę minut, należy
skalkulować na podstawie dokumentacji zasilacza, biorąc pod uwagę
obciążenie wywoływane przez podłączone do niego urządzenia. Wy-
nik obliczeń wstawić w okienku Expected Battery Life.
12. Wpisać liczbę minut potrzebną do pełnego załadowania baterii
w okienku Battery recharge time per minute of run time. Wartość parame-
tru należy odczytać w dokumentacji zasilacza.
13. Ustawić parametry Time between power failure and initial warning
message
(czas między przerwą zasilania, a rozpoczęciem alarmowa-
nia) oraz Delay between warning messages (przerwa między alarmami).
14. Wcisnąć przycisk OK, kończąc konfigurację obsługi UPS.
15. Kliknąć dwukrotnie na ikonie Services w panelu kontrolnym, celem
otwarcia okna Services.
Konfiguracja domeny głównej
277
16. Odnaleџć i zaznaczyć pozycję UPS na liście usług. Metoda urucho-
mienia usługi musi być ustawiona ręcznie podczas nowej instalacji.
Wcisnąć przycisk Startup, aby otworzyć okno dialogowe Service, doty-
czący usługi UPS.
17. Zmienić opcję uruchamiania z Manual na Automatic i wcisnąć przycisk
OK
, wracając do okna Services.
18. Aby natychmiast uruchomić obsługę UPS, należy wcisnąć przycisk
Start
. Jeśli nie uruchomimy usługi w tym momencie, to rozpocznie się
automatycznie po najbliższym restarcie systemu. Wcisnąć przycisk
Close
, aby zamknąć okno Service.
Dzięki zaimplementowaniu zabezpieczeń UPS, usługi Messenger oraz
Alerter
mogą powiadamiać użytkowników Windows NT o zainicjowaniu
procedury wygaszania systemu. Dziennik zdarzeń może zapisywać in-
formacje o przerwach w zasilaniu, zakłóceniach parametrów prądu, awa-
riach usługi UPS oraz o wyłączeniu obsługi UPS.
Po zabezpieczeniu serwera przed zagrożeniami związanymi z zasilaniem
energią elektryczną, należy wdrożyć ochronę przed utratą danych
w formie pamięci masowych odpornych na błędy.
Instalacja systemów dyskowych odpornych na błędy
Planując sieć dla fabryki rakiet, podjęliśmy decyzję, że serwery przedsię-
biorstwa będą posiadały odporną na błędy konfigurację twardych dys-
ków. Wybór mirroringu podyktowany został oszczędnością. Zarząd fir-
my nie zdecydował się na zakup kosztownego rozwiązania w postaci
sprzętowo realizowanej macierzy RAID 5, a macierz tego typu imple-
mentowana logicznie przez Windows NT nie zezwala na odtwarzanie
partycji startowej.
Nie ma róży bez kolców. Mirroring realizowany przez Windows NT
umożliwia objęcie ochroną partycji startowej. Jeśli jednak uszkodzeniu
ulegnie część macierzy, zawierająca główną partycję startową, to do uru-
chomienia systemu będzie konieczne posłużenie się specjalną dyskietką.
Dyskietka startowa układu odpornego na błędy informuje system, że ma
on wystartować z partycji na nieuszkodzonym dysku. Po podjęciu pracy
system pracuje z pełną wydajnością. Naprawa macierzy wymaga wyłą-
czenia systemu, wymiany zepsutego dysku i odtworzenia układu lu-
strzanego. Czas przerwy na naprawę zależy od objętości danych na dys-
kach oraz od jakości urządzeń.
Część III Konfiguracja przykładowego modelu z domeną główną
278
Niektóre rozwiązania sprzętowe oferują wymianę uszkodzonego dysku
bez przerywania pracy systemu, co jest ich zaletą - wadą jest wysoka
cena.
Uwaga
Niektóre urządzenia dyskowe odporne na błędy są zdolne do konfigurowania
priorytetu przebudowy uszkodzonej macierzy (układu lustrzanego). Konstrukcja
takich urządzeń pozwala na stosowanie dysku zapasowego, który cały czas jest
podłączony i gotowy przejąć funkcję zepsutego fragmentu macierzy (układu
lustrzanego).
Priorytet określa, jaka część czasu pracy układu dysków będzie przeznaczona na
przebudowę uszkodzonego układu. Dopóki macierz (lub układ lustrzany) nie
zostanie odtworzona, układ nie jest odporny na błędy. Ustawienie niskiego
priorytetu powoduje, że więcej czasu system poświęca na normalną obsługę
sieci, dłużej zaś pozostaje w stanie bez zabezpieczenia informacją nadmiarową.
Wyższy priorytet, to szybkie odtworzenie układu, ale obniżenie wydajności
systemu dla użytkowników potrzebujących danych z uszkodzonej macierzy
(układu lustrzanego).
Dodatkową zaletą układu z zapasowym dyskiem jest podjęcie przebudowy
systemu, zanim uszkodzony dysk zostanie wymieniony, co skraca czas pracy
serwera bez redundancji danych.
Aby zaimplementować mirroring na kontrolerach ORBITY, zainstalujemy
po dwa dyski na każdym serwerze. Następnie, za pomocą programu
narzędziowego Disk Administrator, skonfigurujemy jeden dysk jako
główny, a drugi jako lustrzany. Kolejnym krokiem będzie stworzenie
dyskietki startowej.
Tworzenie układu dysków lustrzanych (Mirrored Drive Set)
Zakładamy, że na serwerze zainstalowane są dwa dyski IDE
o pojemności po 500 MB każdy. Na jednym dysku został osadzony sys-
tem operacyjny Windows NT. Drugi dysk nie jest podzielony na partycje
i program Disk Administrator będzie sygnalizował go jako wolną prze-
strzeń.
Aby utworzyć układ dysków lustrzanych, zawierający partycję startową,
należy:
1. Zarejestrować się jako administrator i uruchomić program narzędzio-
wy Disk Administrator z menu Programs\AdministrativeTools.
2. Program ten wyświetli aktualną informację o podłączonych dyskach
(por. rysunek 11.2).
Konfiguracja domeny głównej
279
Rysunek 11.2
Disk Administrator sygnali-
zuje obszar nowego dysku
jako Free Space.
3. Kliknąć na obszarze oryginalnej partycji C: (na dysku 0). Okienko,
symbolizujące partycję, zostanie obwiedzione pogrubioną linią.
4. Wcisnąć klawisz CTRL i kliknąć na obszarze nie podzielonej na party-
cję przestrzeni dysku 1. Okienko, symbolizujące wolny obszar nowego
dysku, zostanie również obwiedzione pogrubioną linią (por. rysunek
11.3).
Rysunek 11.3
Obszary obu dysków prze-
znaczone do układu lustrza-
nego są obwiedzione grubą
linią.
5. Wybrać opcję Establish Mirror (ustanawianie układu lustrzanego)
z rozwijalnego menu Fault Tolerance (odporność na błędy). Ukaże się
okno dialogowe informujące, że w skład układu wchodzą partycje
startowe. Wcisnąć przycisk OK.
6. Disk Administrator zasygnalizuje, że dysk 0 i dysk 1 tworzą układ
lustrzany (por. rysunek 11.4.
Część III Konfiguracja przykładowego modelu z domeną główną
280
Rysunek 11.4
Okno programu Disk Admi-
nistrator wyświetla informa-
cje, że układ lustrzany został
skonfigurowany.
7. Wybrać opcję Commit Change (zapisać zmiany) z menu Partition. Wci-
snąć przycisk Yes w oknie żądającym potwierdzenia.
8. Wcisnąć przycisk Yes w kolejnym oknie, żądającym tym razem po-
twierdzenia natychmiastowego restartu komputera. Kolejne okienko
informacyjne zarekomenduje aktualizację awaryjnego dysku na-
prawczego do nowej konfiguracji napędów. Wcisnąć przycisk OK, co
spowoduje wyświetlenie kolejnej informacji o restarcie systemu. Wci-
snąć OK, aby zrestartować system operacyjny.
Komputer przeładuje system operacyjny i rozpocznie tworzenie układu
lustrzanego. Odporność na błędy rozpocznie się z chwilą skompletowa-
nia macierzy. Jeśli przed zakończeniem scalania otworzymy program
Disk Administrator, zobaczymy że informacje o nowym napędzie wy-
świetlane są w kolorze czerwonym zamiast czarnym (por. rysunek 11.5).
Rozpoczęcie scalania układu lustrzanego (oraz zakończenie procesu)
będzie również odnotowane dzienniku zdarzeń.
Konfiguracja domeny głównej
281
Rysunek 11.5
Program Disk Administrator
sygnalizuje trwanie procesu
tworzenia układu lustrzane-
go.
Disk Administrator sygnalizuje stan układu lustrzanego. Po zakończeniu
procesu synchronizacji w okienku stanu będzie widnieć napis HEALTHY
(zdrowy).
Rysunek 11.6
Disk Administrator sygnali-
zuje zakończenie scalania
i synchronizacji układu
lustrzanego zmieniając kolor
opisu dysku z czerwonego na
czarny.
Z chwilą gdy układ lustrzany rozpocznie pracę, musimy zrobić dwie
rzeczy: zaktualizować awaryjną dyskietkę naprawczą oraz utworzyć
dyskietkę startową układu odpornego na błędy.
Aktualizacja dysku naprawczego
Każda zmiana konfiguracji dysków systemowych wymaga aktualizacji
awaryjnego dysku naprawczego.
Proces aktualizacji dyskietki naprawczej jest łatwy, ale może być nieco
mylący. Poniższe czynności opisują proces aktualizacji:
1. Zarejestrować się w systemie i wybrać opcję Run z menu Start.
Część III Konfiguracja przykładowego modelu z domeną główną
282
2. Wpisać rdisk w okienku tekstowym Open i wcisnąć przycisk OK. Wy-
świetli się okno Repair Disk Utility pokazane na rysunku 11.7.
Rysunek 11.7
Wykorzystanie programu
„rdisk” do aktualizacji
awaryjnej dyskietki napraw-
czej.
3. Kliknąć na przycisku Update Repair Info. Ukaże się okno dialogowe
z informacją, że poprzednie informacje na dyskietce naprawczej
zostaną skasowane. Wcisnąć przycisk Yes, aby kontynuować operację.
System zapisze informacje konfiguracyjne w katalogu
SYSTEMROOT
\
REPAIR DIRECTORY
.
4. Kolejne okno będzie zachęcało do utworzenia nowej dyskietki
naprawczej. Wcisnąć przycisk Yes. Na żądanie programu włożyć do
napędu dyskietkę, pełniącą funkcję dysku naprawczego i wcisnąć
przycisk OK.
5. Informacje o konfiguracji systemu zostaną skopiowane na dyskietkę,
która wcześniej ulegnie sformatowaniu.
6. Zamknąć program rdisk (Repair Disk Utility), wciskając przycisk Exit.
Ostrzeżenie
Jeśli przed aktualizacją dyskietki, administrator nie odnowi informacji
przechowywanych w katalogu SYSTEMROOT\REPAIR DIRECTORY, to infor-
macje na nowej dyskietce nie będą odpowiadały aktualnej, lecz poprzedniej
konfiguracji systemu. W razie potrzeby, pracowicie odtwarzana dyskietka, okaże
się bezużyteczna!
Tworzenie dyskietki startowej układu odpornego na błędy
W układzie lustrzanym dysk z oryginalną partycją startową nazwiemy
głównym, a jego kopię drugim dyskiem. System cały czas będzie się
uruchamiał z
głównego dysku. Jeśli drugi dysk ulegnie awarii
uruchamianie systemu będzie przebiegało bezproblemowo. System
będzie pracował normalnie, a uszkodzenie zostanie zasygnalizowane
właściwym komunikatem. W odpowiednim momencie administrator
wymieni zepsuty dysk i odtworzy układ lustrzany według znanej
procedury.
Konfiguracja domeny głównej
283
Inaczej wygląda usunięcie awarii głównego dysku. System nie będzie się
mógł uruchomić z głównego rekordu startowego pierwszego dysku
(MBR- Master Boot Record). Właśnie aby obejść tę przeszkodę, potrzebna
jest dyskietka startowa. Na dyskietce będą dwa pliki NTDETECT.COM
oraz NTLDR - niezbędne do uruchomienia systemu oraz plik BOOT.INI,
który wskaże systemowi drugi dysk, jako miejsce gdzie znajduje się
reszta potrzebnych mu zbiorów.
Dyskietkę startową utworzymy w następujący sposób:
1. Sformatować dyskietkę na serwerze Windows NT, używając
odpowiedniego polecenia w
linii komend, właściwej opcji
eksploratora lub folderu My Computer. (Dyskietka musi być
sformatowana na komputerze z Windows NT!).
2. Z głównego katalogu serwera skopiować na dyskietkę następujące
zbiory: ntldr, ntdetect.com oraz boot.ini.
3. Jeżeli system jest uruchamiany z dysków SCSI oraz nie korzysta
z
BIOS-owego adaptera SCSI, na dyskietkę należy skopiować
sterowniki urządzeń SCSI. Każdy adapter ma swój własny plik (*.sys)
ze sterownikiem, który musi być skopiowany do pliku o nazwie
NTBOOTDD.SYS w głównym katalogu dyskietki.
Kolejnym krokiem jest modyfikacja pliku boot.ini, aby wskazywał drugi dysk.
Oryginalny plik boot.ini typowego napędu IDE wygląda jak następuje:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINT=”Widows NT Server Version 4.00”
multi(0)disk(0)rdisk(0)partition(1)\WINT=”Widows NT Server Version 4.00
[VGA mode]” /basevideo /sos
Aby wymusić na komputerze załadowanie systemu operacyjnego
z drugiego dysku, należy odpowiednio zmodyfikować nazwę ścieżki
zapisanej w konwencji ARC (Advanced RISC Computing). Konwencja
służy do wskazywania plików systemowych Windows NT na
komputerach zbudowanych w oparciu o procesory x86 lub RISC. Zmiana
ścieżki zależy od typu napędów, zainstalowanych w systemie. Nazwy
ścieżek dla napędów SCSI, które nie korzystają z BIOS-u, różnią się od
nazw dla napędów IDE.
Popatrzmy na składnię dwóch różnych etykiet dla ścieżek ARC na
serwerze x86:
multi (X) disk (Y) rdisk (Z) partition (W) \<ścieżka_winnt>
Część III Konfiguracja przykładowego modelu z domeną główną
284
lub
scsi (X) disk (Y) rdisk (Z) partition (W) \<ścieżka_winnt>
Jeśli nazwa ścieżki ARC w pliku BOOT.INI zaczyna się od ”multi(X)”,
oznacza to, że Windows NT powinien załadować pliki systemowe za
pośrednictwem BIOS-u. Fraza ”scsi(X)” oznacza dla odmiany, że do
udostępnienia partycji systemowej i
załadowania plików systemu
powinien zostać wykorzystany sterownik urządzenia SCSI. Odpowiedni
sterownik to plik NTBOOTDD.SYS, o którym wspominaliśmy w punkcie
3 ostatniego przykładu. Aktualnie sterowniki SCSI dla Windows NT
dostarczane są przez wytwórców sprzętu. Nazwę pliku ze sterownikiem,
należy zmienić na NTBOOTDD.SYS i umieścić go na partycji startowej.
Ponieważ w naszym przykładzie wykorzystujemy napędy IDE, które
zawsze korzystają z BIOS-u, to nazwy wszystkich ścieżek zawierają
element ”multi(X)”.
Aby wskazać właściwą partycję startową, w nazwie zaczynającej się od
”multi (X)”, wystarczy zmienić parametr ”rdisk”. Odpowiednio
zmodyfikowany plik BOOT.INI dyskietki startowej powinien mieć
postać:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(1)partition(1)\WINT=”Widows NT Server Version 4
.00”
multi(0)disk(0)rdisk(1)partition(1)\WINT=”Widows NT Server Version 4
.00
[VGA mode]” /basevideo /sos
Składnia poleceń wskazujących lustrzaną partycję startową jest
unikatowa dla każdego komputera. Więcej informacji o technikach
odtwarzania układów odpornych na błędy można znaleџć w poniższych
publikacjach QUE Corporation:
Special Edition Using Windows NT Server 4, Roger Jennings, ISBN 0-
7897-0251-7
Windows NT Server 4 Advanced Technical Reference, John Enck,
ISBN 0-7897-1167-2
Konfiguracja domeny głównej
285
Konfiguracja zapasowego kontrolera domeny
Jak już mówiliśmy, głównym zadaniem zapasowych kontrolerów
domeny (BDC) jest zapewnienie odporności na błędy bazie danych
chronionych kont. Dzięki systematycznemu kopiowaniu bazy na
kontrolery zapasowe jest ona dostępna, nawet w razie odłączenia jednego
z kontrolerów.
W czasie instalowania serwera Windows NT, jako zapasowego
kontrolera domeny, odbiera on kopię bazy kont od kontrolera głównego.
W ostatniej fazie instalacji, Windows NT powiadamia o kopiowaniu
bazy. Jest to okazja do anulowania procesu przesyłania kopii.
Zarówno baza umieszczona na PDC, jak i jej kopia na BDC, może służyć
do weryfikacji uprawnień użytkownika. W przeciwieństwie do oryginału
bazy, kopia przechowywana na kontrolerze zapasowym nie może być
modyfikowana. Jeśli główny kontroler domeny nie jest dostępny, to
w bazie danych kont nie można zrobić żadnej zmiany. Aby dodać,
usunąć lub zmodyfikować konto trzeba albo udostępnić PDC, albo
podnieść rangę jednego z kontrolerów zapasowych.
Po każdej zmianie bazy na kontrolerze głównym, proces synchronizacji
uaktualnia wszystkie kopie na kontrolerach zapasowych. Procedura
przebiega automatycznie, ale jeśli wystąpią kłopoty z dostępem lub
weryfikacją można wymusić synchronizację katalogów programem
narzędziowym Server Manager.
Nadzór nad synchronizacją katalogów
Najlepszym narzędziem do monitorowania synchronizacji katalogów jest
kontroler domen (Domain Monitor), który jest elementem pakietu narzę-
dziowego Windows NT Server Resource Kit. Program umożliwia nadzo-
rowanie macierzystej domeny oraz wszystkich domen upoważnionych.
Mając jakiekolwiek kłopoty z BDC, warto uruchomić kontroler domen, by
sprawdzić status serwera.
Uwaga
Niestety, ze względu na rozmiary, Windows NT Server Resource Kit nie jest
dostępny poprzez Internet. Wystarczy jednak zadzwonić do Microsoftu,
a otrzymamy CD-ROM, ponosząc jedynie koszty wysyłki. Zazwyczaj zostaniemy
zapytani, czy życzymy sobie również pakietu narzędziowego do BackOffice. Jeśli
tak, otrzymamy drugi krążek bez dodatkowych opłat.
Kontroler domen pozwala sprawdzić, czy wszystkie serwery BDC są
zsynchronizowane z PDC. Rysunek 11.8 przedstawia wykorzystanie kon-
trolera do sprawdzenia statusu trzech oddzielnych domen. Program
Część III Konfiguracja przykładowego modelu z domeną główną
286
przejrzyście sygnalizuje stan synchronizacji domen. Ikona w kolorze zie-
lonym oznacza, że wszystkie serwery są zsynchronizowane, a w kolorze
żółtym, że nie są zsynchronizowane lub pozostają odłączone. Czerwony
kolor ikony oznacza, że program nie może znaleџć PDC lub synchroniza-
cja z resztą domeny nie jest możliwa.
Rysunek 11.8
Kontroler domen przejrzy-
ście sygnalizuje status syn-
chronizacji serwerów.
Z rysunku można odczytać, że kontrolery domen ADMIN i TUSCON są
z sobą całkowicie zsynchronizowane. Ikona domeny ADOMAIN ma
kolor żółty, co oznacza, że przynajmniej jeden kontroler tej domeny nie
jest zsynchronizowany z
PDC. Dwukrotne kliknięcie na ikonie
ADOMAIN umożliwia otwarcie okna Domain Status on Domain
ADOMAIN, pokazanego na rysunku 11.9.
Rysunek 11.9
Kontroler domen dostarcza
szczegółowych informacji
o statusie wybranej domeny.
Kontroler umożliwia nawet podgląd statusu chronionego kanału
łączności między domeną upoważniającą, a domeną upoważnioną.
Konta użytkowników i grup
Tworzenie kont dla grup jest prostą metodą ograniczania do minimum
pracy administratora, związanej ze sterowaniem dostępem do zasobów.
Zamiast uprawiać mikrozarządzanie na poziomie indywidualnych kont
użytkowników, lepiej utworzyć zbiór standardowych grup dla pracow-
ników organizacji. Każda z grup umożliwi jej członkom dostęp do odpo-
Konfiguracja domeny głównej
287
wiednich zasobów domeny, dzięki mechanizmowi dziedziczenia pozwo-
leń.
Windows NT generuje podczas rejestracji pewną liczbę grup
predefiniowanych, które można wykorzystać do swoich potrzeb. Własne
grupy ogólne i lokalne można tworzyć przy pomocy programu User
Manager for Domains. Grupa ogólna może uzyskać pozwolenie dostępu
w domenie upoważniającej. Grupa lokalna ograniczona jest do zasobów
domeny macierzystej. Obowiązuje standardowa reguła: „użytkownicy są
członkami grup ogólnych, które są elementami grup lokalnych”.
W małych instalacjach, dołączanie użytkowników do grup ogólnych,
zamiast bezpośrednio do lokalnych zajmuje więcej czasu niż to warte.
W dużych sieciach, z
licznymi domenami połączonymi relacjami
upoważnienia, stosowanie się do standardowej reguły przynosi dużą
oszczędność czasu. Najlepiej jeśli użytkowników można grupować
w zespoły, wymagające podobnych uprawnień. Gdy każdy użytkownik
ma inne wymagania dostępu, konfiguracja odpowiednich pozwoleń
może być bardzo uciążliwa.
W innych rozdziałach...
Rozdział 12 - Konfiguracja relacji zaufania- pokazuje wykorzystanie
struktury domen do podziału odpowiedzialności za zasoby, między
różne wydziały przedsiębiorstwa.
Rozdział 13 - Przegląd problematyki ochrony sieci połączonej z Internetem-
analizuje zagrożenia związane z podłączeniem sieci do Internetu.
Rozdział 14 - BackOffice a ochrona sieci podłączonej do Internetu -
dostarcza informacji, jak produkty MS BackOffice współpracują
z systemem ochrony Windows NT.