Dintr-o data! Dar criza a fost de peste sau omise (de fapt, nu), sau omis în totalitate angajatorilor de teama de a pierde (de fapt, da), pâsle de produse Microsoft a scăzut (de fapt, un pic), dar problemodateli doresc să fi stat Windows Server!
Dacă obțineți o altă versiune a acesteia, puteți să vă întindeți (complet oficial) timp de 30 de zile, ceea ce este suficient pentru familiarizare, extindând până la 3x, la sfârșitul perioadei de activare a comenzii:
slmgr -rearm
Ce va costa biroul
Prețul de fier, nu iau în considerare, este că pentru Windows că pentru Windows ar trebui să fie un server special (nu ieftin). Singurul lucru pe care pentru Windows, aveți nevoie de un al doilea disc fizic - nu face o copie a partiției de sistem pe același disc fizic.
Deja este obținută o figură urâtă. Apoi, dintr-o dată decideți să instalați Microsoft SQL Server. Nu pot explica de ce!
- Microsoft SQL Server Standard Edition
29 118
- licență pentru conectarea a 50 de computere
378600
Și așa mai departe, fiecare strănut este plătit separat, plus o licență pentru toată lumea care va auzi acest strănut! Însă Windows Server Standart, același lucru este atrăgător pentru gestionarea parcului de calculatoare Windows!
instalare
Voi instala pe VirtualBOX un procesor mediu Intel i5-3470 și doar 16 gigabytes de memorie, este deja posibil să nu ne întrebăm câte mașini virtuale rulează. În proprietățile VM oferim 2 kernel-uri, 2 și 2 carduri de rețea (modul Bridge Bridge), conectăm imaginea ISO descărcată.
Parola trebuie să îndeplinească cerințele de complexitate, așa că o voi avea
123ytsuYTsU
După descărcare, modificați numele computerului și configurați interfețele de rețea. Înainte ca setările să fie ușor de obținut de la tastatură
[cheia victorie] + [i]
și selectați Panou de control
E totul ca de obicei. Numele computerului dorit. O interfață de rețea - dezactiva ipv6 configure ipv4:
Localul se uită la utilizatori:
Alegerea unei rețele de benzi alocate pentru rețele locale 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 (această carte a vorbit) cu scopul de a 100 de ani, atunci când dintr-o dată trebuie să fie dirijate în o altă rețea locală, astfel încât să nu se potrivească.
Faptul că ceva este gol este gol, a fost conceput!
Al doilea adaptor aici este datele furnizorului IP, Gateway, DNS în cazul conexiunii directe sau a datelor rețelei locale în care aceasta se află.
Instalarea controlerului de domeniu AD DS
În locul obișnuit, adăugarea rolurilor nu este vizibilă, dar dacă te uiți la ele și este cauzată de aceeași insignă "valiză cu tub"
Continuați să instalați pretutindeni Următoarele în secțiunea Adăugați roluri și verificați Active Directory Domain Services. pe ultima Instalare.
Instalarea a fost finalizată, dar nu se întâmplă nimic, dar a apărut un mesaj. Faceți clic pe acesta Promovați acest server la un controler domaine
Aici selectăm Adăugați o pădure nouă și scrieți numele domeniului, de exemplu itcooky.www
În pagina următoare o lăsăm așa cum este, cereți-i să atribuiți o parolă pentru recuperarea DSRM ceva nou!
DNS nu atingeți Netbios nu atingeți, ceva pe care serverul a început să se gândească, nu modificați nimic NEXT la sfârșitul faceți clic pe Instalați, serverul DNS este, de asemenea, instalat.
Configurați DNS
În Managerul de Server, în fila Server local, nu este ceva deloc, atunci ceea ce trebuie să ascundeți este în partea dreaptă în partea de sus. Instrumente> DNS
Toate zonele necesare au fost create în timpul instalării. Apăsăm pe ITCOOKYSERVER> Proprietăți în interfețe pe care le eliminăm extern, nu ceea ce pentru a asculta.
Să ne uităm la fila Forwarders aici DNS este înregistrată din interfața externă așa cum ar trebui să fie.
În timp ce suntem în DNS, puteți strica zona blocând adresele URL interzise. Adăugați pe serverul DNS zona de căutare avansată> Adăugați o nouă zonă în mod implicit la numele Zone aici scriem domeniul celui de-al doilea nivel al site-ului blocat (nume.com). Adăugați în această zonă nouă un nou înregistrator nou ca acesta
Doar zero afară cache-ul serverului DNS Clear Cache și o face Update File Data Server nu știe ce este conexiunea, dar dacă reporniți Winodws 8 este încărcat cu un nelucratoare DNS (dacă este oprit pe un PC care nu se întâmplă) și este unul dintre pașii pe care să-l ajute pentru a ajunge la locul de muncă, dar mai întâi după repornire, este necesar să dezactivați cardul de rețea dacă nu vă ajută atunci cu DNS.
Pe scurt, funcția de blocare funcționează, dar este o modalitate atât de slabă și incorectă față de un server proxy transparent pe SQUID + SAM
Există multe lucruri de adăugat, dar deja doriți să încercați - care deja funcționează!
Instalarea Windows 8.1 Corporative
Nu se va instala fără Windows ID și aceasta este versiunea Corporativă. Aaaa, e incredibil de dificil să apelezi un meniu într-o mașină virtuală - LOOSE NET. Nu înțeleg exact cum, dar dacă conduc marginea dreaptă sau stau acolo cu cursorul sau apare, uneori apare!
Acum intrăm computerul în domeniu:
[winkey] + [R]
PC info> Modificați setările (în cazul în care numele computerului)> Modificați (unde redenumiți numele computerului sau domeniul)> bifați pe Domeniu> scrieți-lcooky.www> OK> introduceți Administrotor și parola lui>
Reporniți și introduceți! Windows oferă din nou un ID, dar faceți clic pe săgeată și mergeți ca utilizator de domeniu ca și numele pe care îl scriem ITCOOKY \ Administrator
Administratorul domeniului nu oferă acestui utilizator Windows posibilitatea de a deschide Explorer, cu toate acestea, nimic nu este permis să se deschidă din aplicații, este foarte interesant să știți de ce, atunci aflu!
La el este similar numai în dale, în rab.stole IE sunt lansate ...
Există noi file în IPv4> Static Routes registru ca în imaginea în care trebuie să mergeți dincolo de intervalul 192.168.1.0
Pe routerul 192.168.1.1, specificați unde trebuie să mergeți pentru intervalul 10.38.109.0 și cum să vă înregistrați depinde de router. M-am lăsat să pătrundă afară pe 10.38.109.1
A 10.38.109.20 Windows 8 nu ping-ul a dezactivat fișierele generale și imprimantele, care, de asemenea, furnizează pachete ICMP. Am pornit-o în Centrul de Rețea și Partajare.
Computerele din două rețele ping reciproc, dar rețeaua 10.38.109.0 nu are Internetul, ei se plimbă sub IP-ul lor și gateway-ul 192.168.1.1 nu permite IP-urilor Internet decât din propria lor subrețea. Aveți nevoie de NAT.
Du-te la Tools> Rutare și acces la distanță și apăsați pe ITCOOKYSERVER și dezactivați Dezactivați Rutare și la distanță ... va stabili un nou traseu, selectați Configurare y Enable ... Pe pagina, alege a doua NAT în continuare Ethernet 2 (se uită la Rouge). Există înregistrări despre NAT. Totul a lucrat pentru clienți!
Bill, cu el! Cred că totul este pregătit pentru muncă! Acum, hai să mergem la interesul criptării pachetelor!
Configurarea IPSec
Există o părere că, dacă computerele sunt ședinței pe unul dintre switch-uri este posibil de a intercepta traficul lor pentru a afla unde se duc on-line și chiar să colecteze fișierele transmise. Pentru a evita acest lucru, Microsoft oferă pentru a include IPsec pakata de criptare, dar odată ce a negociat „hackeri cu experiență nu va fi dificil,“ încă intercepta, dar această frază unih înainte de fiecare setare de securitate. Eu, din păcate, nu a fost experimentat și nu un hacker nu am putut gestiona fără IPsec intercepta URL-ul sau fișierul toate programele de sniffer-uri sau prinde conversație neinteresantă cu serverul gazdă, sau nu prind nimic - mai ales să plătească nimic!
Cu toate acestea, activați IPsec cu reguli de conectare sigure. Du-te la GPO faceți clic pe domeniul nostru alegeți Creați GPO ... da un fel de nume prietenos ca poliția IPSec și editați-l. în Configurație computer \ Politici \ Setări Windows \ Setări de securitate \ Brandmauer în modul de securitate avansată ... această locație se numește WFAS.
Adăugăm o nouă regulă. Toate cu excepția numelui implicit. Pe toate computerele activate (începând cu server) actualizăm GPO cu comanda:
gpupdate
Pe Windows 8 arătăm:
Vedeți regula IPsec toate IPsec-ul este activat și oferă un fel de securitate!
Dar am fost încă în speranța că această metodă împiedică accesul Calculatoare bezdomennym, nu, dacă știi parola și ieși din bezdamennogo iad ... apoi face ...
Nu se configurează NAP
În Windwos Server, există un alt instrument de dezactivare a discriminării pentru Networ Policy and Access Services (NAP). El poate accepta sau respinge conexiunea dacă calculatoarele utilizator, oprit firewall-ul, nici un antivirus, nu există actualizări recente ... Vreau să spun scenariu călătorie de afaceri - ca răspunsul este anektode - soția, ce te aduc înapoi din vacanță? - Aduceți ceea ce doriți acum toate sunt tratate ... de ce acest PNA, cine are nevoie de el, cine îl pune ...
Imediat cu durere, aflați că Microsoft Internet Explorer nu are încredere în site-ul Microsoft și nu este un instrument pentru descărcarea fișierelor - în mod implicit. Cum nu pot lupta împotriva acestui debilicism, trebuie să treceți prin ea însăși pentru a vă aminti întreaga viață a cine este Microsoft cu privire la afacerea în sine!
În fila Opțiuni> Computere, selectați Utilizare politică de grup sau setare de registry pe computere pentru a controla GPO.
Reportim calculatorul utilizatorului sau îl actualizăm cu administratorul GPO
gpupdate / force
Se pare că este un flop, dar din anumite motive pe serverul din WSUS nu văd în tab-ul Computers cel puțin o stare cu zero. Am încercat:
wuauclt / detectnow
Nu schimbă nimic, deși îl pot vedea pe PC-ul utilizatorului în jurnalul C: \ Windows \ WindowsUpdate.log merge la server, dar se pare că nu există actualizări noi.
Și imprimanta apare, în mod implicit și de lucru (a existat un moment în care părea că nu funcționează)!
Aici nu am înțeles pentru că aici este nevoie de această conexiune imprimantă licență per dispozitiv (CAL) sau nu - pentru că rolul special al serviciilor de imprimare nu am stabilit pentru server, și partaja imprimanta pot și nu serverul, cât și în registrul GPO - probabil aici fecalele nu sunt necesare!
Instalarea rolului serverului Active Directory Certificate Services este implicit. Din nou, acest mesaj apare înainte să îl configurați și aici, în mod implicit, verificarea certificatului de certificare
Acum, sub contul administratorului de pe server, facem DRA pentru Admin (sau pentru orice alt cont, doar pentru administratorul domeniului). Du-te la GPO în politica noastră implicită Kotra a devenit IPsec politie> Configurare computer>> Setări pentru Windows Politici> Setări de securitate și deschide politicile cheie publică și apoi porniți Client Services Certificate - Auto Enrollemnt
În același loc, dați clic dreapta pe dosarul Sistem de fișiere de criptare și selectați Creare agent de recuperare de date
Microsoft se teme de DRA și recomandă ca parolele au fost introduse două persoane după sex și nimeni nu știa parola completă - astfel încât nimeni nu poate citi fișiere polzovatley ... cum ar fi cele mai multe junior admin poate reseta parola de utilizator și introduceți-l mai jos și să citească toate secretele HA!
Actualizați GPO și adăugați un utilizator de test!
Mergem sub noul utilizator de domeniu. Toate fișierele create în dosarul Documente au un nume verde. Nu există alte foldere, dar fișierele pot fi criptate prin Propertis> Advenced
Plecăm pe PC-ul utilizatorului sub Domeniul Administrator - Nimic nu este citit și nu permite copierea pe server.
Începeți să încărcați cu Ubuntu și încercați să deschideți ceva în dosarul criptat
Nu se deschide și este deja bun! Numai atenția nu este criptată de dosarul și de fiecare fișier din kernel, înainte de a fi trimis la cineva din proprietăți, este necesar să eliminați fișierul pentru a cripta, așa cum mi se pare.
Deci, la fel, cum să citiți fișierele criptate dacă utilizatorul a uitat parola?
Este necesar să se facă utilizatorul uchetki Resetați parola așteptați cinci minute, și conectați ca utilizatorul să citească fișierele sau să le copiați pe server - această metodă funcționează în cazul în care PC-ul este viu și conectat la server.
De asemenea, puteți să eliminați discul Zhetsky de pe PC-ul local și să îl conectați la server, la mașina virtuală a făcut tot ce a citit. DE CE NU VA FI DESPRE ADMINARE PE PC-ULUI.
Tot felul de lucruri ...