Сначала лирическое отступление.

Рассмотрим круглую корову в вакууме… черт, это не та статья… среднестатистическую фирму из 5-10-20 сотрудников. Сначала все было просто – были калькуляторы. Потом тоже – был компьютер. Один на всех. Потом компьютеров стало два. Появились первая и вторая грандиозные проблемы: 1. Как этим двум компьютерам использовать один принтер и 2. Мой файл на той машине, а она занята!

Проблемы решались дискетами. Но дискеты… Они, мягко говоря, ненадежны.

Дальше больше – компьютеров стало больше, файлы тоже стали… В конечном итоге появилась СЕТЬ (фанфары :).

Сеть решила проблему печати (при наличии принтера с портом Ethernet – надолго). Частично решилась проблема файлов – если все машины всегда включены. Зато появилась проблема вирусов (про безопасность никто и не задумался). Потом появился Интернет а особо продвинутые сотрудники заимели себе ноутбуки с WiFi. И проблемы №1 и №2 вылезли опять… Да и Интернета всем хочется, а не только тому счастливчику, на чью машину его протянули.

И тут один умный сотрудник сказал: «Нам нужен СЕРВЕР!» (фанфары, восторженные вопли зала, аплодисменты :D).

Конец лирического отступления.

Практическое отступление.

Что такое сервер и зачем он нужен.

Начну я с самого простого – принт-сервер. Функция не очень востребованная – обычно сервер стоит далеко от принтера или серьезные принтеры имеют собственное подключение к сети, минуя компьютеры. Настройка сервера (если уж вам это нужно) элементарна. И, скорее всего, принтеры у вас будут расставлены по всему офису (а то и по разным) и подключены к ближайшей (по местности) машине. Единственное замечание – создайте в сети отдельного пользователя для печати (например printuser) и дайте ему право управлять документами.

Второе и наиболее распространенное применение сервера – бааальшая дискетка. Причем одна на всех. То есть файл-сервер. Здесь тоже ничего сложного, мастер 2003 Server поможет вам «расшарить» нужные папки. Моя рекомендация – вынесите на каждом компьютере папку «Мои документы» на сервер (желательно туда же еще и почту отправить). Сервер все-таки имеет больше шансов выжить от воздействия разрушительной силы в виде юЗверей и сохранность документов находится в руках админа (ну или самого ответственного человека в офисе, кто сможет бакупы делать). Конфиденциальную информацию храните на флешках.

Третье – Интернет. Причем для всех. Но не для сервера! Если хотите спокойно спать, не запускайте на сервере Internet Explorer, не подняв предварительно безопасность до предела (к счастью, в 2003 Server это учли). И вообще с сервера можно и нужно ходить только на Windows Update. Сервер пропускает через себя пакеты Интернет-траффика но при этом вирусы на нем не задерживаются (если только в кеше прокси-сервера, но они оттуда не запускаются и антивирус должен быть чтобы их там и убивать).

Четвертое. Упрощение настройки сети. На самом деле это звучит странно, но DHCP сервер призван именно облегчить и упростить работу админов. Вам охота на каждую машину ручками вбивать IP адреса (а если используется NAT то и адреса DNS провайдера)?. А есть еще и ноутбуки…

Пятое. И опять ноутбуки. Точнее их владельцы со своим WiFi. Видите ли, им провода мешают… Свободы захотелось… Работать не в душном офисе а на лавочке в сквере напротив… Для этого нам понадобится сетевой мост (или роутинг, но мост в данном случае проще) – на логическом уровне связать физически несовместимые LAN и WiFi (ну и BlueTooth до кучи если нужно).

Вы еще не поставили себе сервер? Тогда мы идем к вам :).

Теперь собственно практическая часть. Как сделать все это силами творения Микрософта по имени 2003 Server.

Сразу оговорюсь – Active Directory я не рассматриваю, моей корове в вакууме и без этого тошно… oops… Короче кому оно надо настроят, кому не надо – обойдутся.

Ну приступим…

Рассмотрим настройку сервера на базе небольшой смешанной сети – сегмент на витой паре и WiFi сегмент.

Сначала настройте отдельно оба сегмента (IP адреса пока автоматом). Для локальной сети все просто, с WiFi – зависит от адаптера. Обязательно включите шифрование (при этом правда немного упадет скорость – 800 Кбайт/сек без шифрования, 600 Кбайт/сек при 64битном шифровании и 500 Кбайт/сек при 128битном). Если WiFi карта управляется собственной утилитой не забудьте выключить встроенные в Windows средства WiFi – а то подерутся и ничего работать не будет. Далее связываем LAN и WiFi в мост и задаем базовый IP адрес 192.168.0.1.

Дальше нам понадобится мастер Manage Your Server (Start | Programs | Administrative tools, он же запускается при первой загрузке и будет и дальше загружаться сам, если не снять галочку внизу). Про настройку файл- и принт-серверов я рассказывать не буду (все что мог, сказал выше). Не забывайте только разграничивать права пользователей. Моя рекомендация использовать для хранения документов отдельный диск (не используйте системный раздел!), на котором созданы папки для каждого пользователя (на них же ссылается папка «Мои документы»). Соответственно для своих папок пользователям доступ RW, для чужих – ReadOnly. Еще одна папка для общей свалки (музыка, фильмы и т.п.).

Еще одно замечание по безопасности. Особенно касаемо машин с 98 и МЕ. Не открывайте доступ к системному диску. А еще лучше вообще уберите «Доступ к файлам и принтерам» в свойствах сети (для 98/МЕ). Системы на базе NT, 2000, XP и 2003 лучше защищены, но взаимный доступ все-таки нежелателен. Достаточно открыть в сети один общий файловый ресурс на сервере. Для принтеров выделите отдельного пользователя.

Настройка роутинга и доступа в Интернет.

Немного теории. Network Address Translation – технология, обеспечивающая использование несколькими компьютерами одного IP адреса для доступа в Интернет.

Работает это так.

Без NAT: Компьютер обращается к некому узлу к порту 80 открывая при этом свой порт 1234 (все совпадения случайны, имена портов вымышлены :). В случае удачи на этот порт 1234 от удаленного узла начинают поступать пакеты с информацией.

С NAT. Компьютер клиента обращается к шлюзу (сервер с NAT, имеющий доступ в Интернет) и требует соединение и неким IP адресом и портом 80. При этом внутренний порт клиента 1234. Сервер создает собственное соединение с запрошенным адресом (открывая у себя внешний порт 3456). Далее сервер открывает внутренний порт 2345 и делает запись в таблице соответствия – все, что пришло ко мне на порт 3456 выпихнуть во внутреннюю сеть в порт 2345 (а значит и клиенту в порт 1234). Кстати, это основа работы встроенного firewall – если изнутри никто не стукнулся, то внешние запросы сервер не примет.

Запускаем управление сервером (Start | Programs | Administrative Tools | Manage You Server). Выбираем добавление функции серверу (add or remove role) - Remote access/VPN server. Запускается мастер установки RAS. Я рассмотрю ручную настройку всех компонентов (последний пункт). Выбираем, что нам нужно (можно выбрать все сразу, потом проще будет жить). Мастер запускает сервер RAS.

Далее запускаем управление сервером RAS (или через управление компьютером). Теперь по пунктам. По умолчанию мастер поставил по 128 портов для VPN. Это можно скорректировать – Ports | properties. Там же можно отключить Direct Parallel (прямое соединение по параллельному порту). Далее NAT/Basic Firewall. Добавляем новый интерфейс – сетевой мост и указываем, что это внутренний интерфейс. На него же можно повесить IGMP Proxy – IGMP | New interface | brige | IGMP Proxy. Остальные интерфейсы потом нужно будет добавить в режиме роутера.

Теперь создадим подключение к Интернету. Возможны три варианта – модем, сеть+VPN, просто сеть. Второй вариант содержит в себе первый и третий, так что рассмотрю его. Не забудьте поставить ручками ip-адрес сетевой карты, связывающей сервер и ADSL-модем (его надо перевести в режим brige).

Создаем подключение к Интернету в разделе Network Interfaces. Соответственно выбираем тип подключения, устройство, телефон или адрес для VPN, логин и пароль. Далее включите перенаправление пакетов (или потом в static routes) и задайте пул адресов в виде 0.0.0.0/0.0.0.0/1 (кнопка add, по умолчанию ничего менять не нужно). В свойствах интерфейса можно настроить для модема количество повторов звонка и время простоя до отключения. Для VPN можно поставить подключено всегда. Можно так же настроить разные тарифные планы разными интерфейсами и задать для них время активности – в свойствах интерфейса Demain-dial hours. То, что синее – активно, белое – нет.

Для сетевой карты тоже нужно добавить пул адресов для редиректа (0.0.0.0/0.0.0.0/1, в static routes – new static route). В NAT/Basic Firewall добавляем оба интерфейса в режиме NAT. Можно (и нужно) включить firewall – только не забудьте включить доступ к нужным сервисам. На последней вкладке поставьте нужные галочки. Обязательно нужно заполнить адрес для редиректа (127.0.0.1 если сервис работает на этой машине). Firewall здесь не такой, как мы привыкли видеть его на обычном компьютере. Он всего лишь маскирует компьютер, устанавливая связь с узлами Интернета только по требованию из локальной сети. Так что не надейтесь на него – сервер он закроет (попробуйте атаковать то, чего нет :) но от разгула троянов и шпионов внутри сети не защитит.

DHCP сервер. Тут ничего сложного нет. Активируем, создаем область (scope, с именем, например, local). В этой области выделяем диапазон адресов. Обычно это выглядит так – адреса 192.168.0.2 – 192.168.0.254 маска 255.255.255.0, исключения 192.168.0.2 – 192.168.0.20 (19 адресов фиксированы) или 192.168.0.21 – 192.168.0.254 маска 255.255.255.0 (то же самое). Теперь самое главное – параметры сервера. Обязательно указать шлюз (default route, 192.168.0.1) и DNS серверы провайдера (start | run | cmd | ipconfig /all, или то, что провайдер выдал).

Внутренняя почта и веб-сервер. Это уже из разряда приятных бонусов. Внутреннюю веб-страничку можно использовать вместо доски объявлений, а про почту итак все ясно.

За веб отвечает IIS – Internet Information Server. Запускаем, копируем нужные файлы в папку C:\Inetpub\wwwroot. Из необходимых настроек не забудьте про страничку по умолчанию (в свойствах всех WWW серверов или для каждого отдельно). Если используется SSI то необходимо активировать Web service extensions – расширения веб-сервера.

Для настройки почты активируйте сначала SMTP, а потом и POP3 Service при помощи мастера управления. SMTP в настройке не нуждается, можно только перенести папку для сбора почты. Далее в консоли управления POP3 сервером создайте новый домен (например local, Microsoft рекомендует создавать домены вида office.local), а в нем почтовые ящики. Мастер предлагает до кучи создать одноименного пользователя, так что почту можно настроить до файл-сервера – меньше мышкой двигать придется. Соответственно настраиваем почтовый клиент. Адрес POP3 и SMTP сервера – 192.168.0.1, порты 110 и 25, имя пользователя user@local, пароль – тот же, что и для входа на сервер. Рекомендую использовать TheBAT – там можно отправлять письма из нужного ящика – через нужный SMTP сервер. Глупо пытаться отправить внутреннюю почту через mail.ru, не так ли?

Для базовой функциональности этого достаточно. Админ может спать спокойно… Если не забыл включить автоматическое обновление и сделать бакуп…

Теперь пара моментов, которые отличают 2003 Server от XP и 2000.

По умолчанию выключена служба Windows Audio. Включить обратно можно через панель управления | звуки и аудиоустройства. Потребуется перезагрузка :(.

Так же выключены функции Direct3D ускорения. Ибо на сервере играть не положено. Ладно, верю, не будете (как же :), так что включаем обратно. Надеюсь, драйвера AGP, видео и DirectX уже поставлены? Тогда start | run | dxdiag и включаем ускорения видео и звука.

И Event tracker. Ну неинтересно мне знать, почему сервак выключили. Так что start | run | gpedit.msc | Administrative Templates | System | Display Shutdown Event Tracker | disabled.

Чтобы юзеры могли выключать сервер без входа там же в gpedit.msc найдите параметр Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options | Shutdown: Allow system to be shut down without having to log on и поставьте его в Enabled.

К сожалению не хватает кое чего, например Message Server'a и Proxy с антивирусом, но это можно решить сторонними продуктами.

Эта статья прочитана 32818 раз.