Знакомство с Windows Server 2016. Установка сервера. Поднимаем DHCP.
22.05.2017
Это статья прежде всего шпаргалка, как и все остальные мои статьи, по мере узнавания новых нюансов я буду вносить изменения и вносить их в статью.
Отметим основные вещи, которые нужно знать при организации информационной структуры:
Основные задачи для наших серверов:
* Gateway (Шлюз) - в нашей сети должен быть шлюз, обеспечивающий NAT/PAT. Это машина скорей всего реальная, так как она должна иметь 2 сетевых интерфейса - один "Public" интерфейс смотрящий в глобальный интернет, и другой "Private" для общения с внутренней сетью, т.е. одна сетка слушает глобальную сеть через белый адрес, а другая слушает внутреннюю сеть организации и имеет приватный адрес. Задача этого сервиса - обеспечить наличие интернета в нашей локальной сети.
* DHCP сервер можно поднять на той же машине, которая является шлюзом. Задача этого сервиса - раздать правильные настройки для сетевых интерфейсов машин, подключенных к нашей локальной сети.
* DNS-сервер поднимаем на отдельной виртуальной машине. Задача этого сервиса - Преобразование буквенных адресов в IP адреса, как глобальные, так и локальные.
* DC - AD DS - Задача этого сервиса - Централизованное управление всеми участниками локальной сети.
Сразу обозначим где и какую роль мы поднимем: На первой машине "Gateway" (шлюз) поднимем службу DHCP, NAT/PAT и самостоятельный DNS-сервер (stand alone). На другой машине настроим Domain Controller и доменный DNS-сервер.
И так начнём с того, что скачаем ознакомительный образ сервера Win2016 (Нужна учётка Microsoft и регистрация на Technet):
Windows Server Ознакомительные версии:
https://www.microsoft.com/ru-ru/evalcenter/evaluate-windows-server-2016/
после заполнения формы начнётся загрузка:
Тестовый стенд: гипервизор Hyper-V:
В качестве внутренней сети будем использовать частный виртуальный коммутатор. То есть в диспетчере виртуальных коммутаторов Hyper-V создадим частный виртуальный коммутатор и назовём его "Int"
Создаём первую виртуальную машину "Gateway":
имя: Gateway
оперативная память: 2048 мб
сеть: Int, внешний hub.
размер диска: 50 Гб
Далее запускаем машину и производим установку:
Установка проходит также как Windows 10, в этой процедуре нет ничего сложного. Не забываем только выбрать вариант с графическим окружением.
Свежеустановленный сервер при первом запуске сразу запускает нам "Диспетчер серверов", чтобы мы могли настроить этот локальный сервер, но мы самым первым делом сделаем очень важную вещь - это установим часовой пояс и правильное время, это очень важно.
Роли: основная цель серверной версии windows это конечно же Роли и компоненты, для сравнения в Linux это демоны. Идём в "Управление" - "Добавить роли и компоненты"
Пункты "Добавление серверов" и "Создание группы серверов" служат, как можно догадаться, для управления другими серверами через диспетчера серверов нашего локального сервера, но для этого все эти "другие" сервера, в том числе и наш, должны быть в одном домене.
СЕРВЕР GATEWAY
Настроим наш основной "железный сервер" (но в нашем тестовом стенде это виртуальная машина).
В разделе "Локальный сервер" сменим имя компьютера на "Gateway":
Далее включаем возможность удалённого подключения "Удалённый рабочий стол" ("RDP" port 3389)
Выбирать конкретных пользователей, которым доступен доступ не обязательно, по умолчанию пользователи входящие в группу "администраторы" смогут подключаться удалённо.
Далее настроим сеть:
Мы настраиваем сервер, который будет раздавать интернет поэтому, как я писал ранее, у него должно быть 2 сетевых интерфейса. Я в нашу виртуальную машину добавлю ещё один виртуальный сетевой интерфейс, который умеет общаться с реальной сетевой картой хоста. Для этого сначала выключим наш сервер, и в менеджере Hyper-V добавим нужный сетевой интерфейс. Затем переименуем сетевые подключения, чтобы было легко их различить. Локальный интерфейс переименуем в "LAN" а интерфейс который видит интернет в "WAN":
В свойствах "LAN" меняем IP адрес на приватный, который будет прописываться на клиентских машинах в качестве шлюза. В моём случае меняю на "192.168.1.1", маска 255.255.255.0, шлюз вводить не надо, так как мы и есть шлюз. На сетке WAN всё остаётся автоматом. Но в реальных условиях, на реальном железе в этом интерфейсе нужно прописать метрики белого адреса, который нам должен выдать провайдер. Но также можно оставить и динамические метрики в случае, если "до" нашего роутера есть ещё роутер, в который и заведён канал от провайдера, или применяется термин "находится за NATом".
После проделанных действий имеем такой вид:
РОЛЬ: DHCP
DHCP сервер должен быть обеспечен отказоустойчивостью, и должен постоянно резервироваться так как без него все машины в сети не смогут получить свой сетевой адрес и как следствие доступ в сеть.
Так же DHCP сервер обязательно должен иметь статический IP адрес. Мы уже назначили нашей машине Gateway адрес "192.168.1.1" в интерфейсе "LAN".
Итак, установим роль "DHCP сервер". Открываем "Диспетчер серверов" или "Server Manager" идём в управление - "Добавить роли и компоненты" - оставляем чек на "Установка ролей и компонентов"
Оставляем чек на "Выберите сервер из пула серверов". Выбираем наш сервер "Gateway" с локальным адресом "192.168.1.1".
Ставим галочку напротив роли "DHCP-сервер" и устанавливаем вместе c предложенными компонентами. Т.е. просто жмём далее - далее, и готово, дополнительно галочки больше ставить не нужно. Если вы закрыли задачу во время установки роли, то кликнув по флажку в верхней правой области диспетчера сервера, можно вернуть отображение задачи. На данном этапе кликнув по флажку, мы видим, что установка роли DHCP-сервер закончена и нам нужно нажать на пункте "Завершение настройки DHCP"
И далее жмём "фиксировать" соглашаясь с тем, что будут созданы группы "DHCP Администраторы" и "DHCP пользователи" и жмём готово. В панели мониторинга и во вкладке "Средства" появился пункт "DHCP".
Перейти в настройки DHCP роли/сервера можно кликнув либо во вкладке "Средства", либо в разделе панели мониторинга кликнув правой кнопкой мыши по-нашему "Gateway" и выбрав пункт "Диспетчер DHCP". Также видим на скриншоте что интерфейс "WAN" получил адрес "192.168.3.42" - здесь по идеи должен быть глобальный адрес, но так как мы в тестовом стенде, то карточка "WAN" получила приватный адрес из реальной локальной сети, для того чтобы в нашем виртуальном шлюзе был интернет.
Создадим новую область (Scope): DHCP - Gateway - IPv4 - правой кнопкой и создать область.
Откроется мастер -где нам нужно ввести название новой области, диапазон розданных в ней адресов и другие настройки раздачи метрик на клиентов. Назовём область "range1" и дадим диапазон от "192.168.1.100" до "192.168.1.200".
После этого по кнопке "Далее" мы можем настроить адреса, исключенные из раздачи и далее можем настроить время аренды адресов. Затем система нас спросит хотим ли мы настроить параметры DHCP сейчас или позже. Ставим чек на "Нет, настроить эти параметры позже" и жмём далее и готово. Наша область готова:
Активируем нашу область - просто жмём правой кнопкой по названию области и выбираем "Активировать":
Кстати в этом меню также есть такие пункты как "Настройка отработки отказа...", в этом пункте можно настроить репликацию с другим синхронным DHCP-сервером для отказоустойчивости. Также пункт "Согласование" помогает обнаружить конфликт адресов.
Давайте пропишем рекомендованные настройки на уровне нашего DHCP-сервера, кликнув правой кнопкой по пункту "параметры сервера" и затем выбрав пункт "Настроить параметры"
Тут нам нужно настроить 3 пункта: "Серверы имён" и "DNS-серверы" - прописываем "192.168.1.2". Это адрес машины, которую мы настроим позже и в которой у нас будут крутиться роль DNS-сервера и роль контроллера домена "DC".
"DNS-имя домена" прописываем: "mrstudio.local", это наш будущий домен.
В итоге параметры DHCP-сервера у нас выглядят вот так:
Теперь нужно настроить нашу область. Нужно сразу заметить, что после настройки параметров сервера, настройки "005 Серверы имён", "006 DNS-серверы" и "015 DNS-имя домена" перенеслись в параметры нашей области автоматически:
Настройки области имеют приоритет над настройками сервера!
И нам остаётся только в параметрах области указать на шлюз, который будет прописываться у клиентов. Ставим чек на записи "003 Маршрутизатор" указываем наш адрес "192.168.1.1" так как этот сервер и будет роутером.
В итоге параметры области будут такими:
Теперь у нас в сети есть настроенный DHCP-сервер. Запускаем клиентскую машину (виртуальная Windows 7, находящаяся в той же локальной сети) и проверяем метрики. На клиенте запускаем командную строку и выполняем команду "ipconfig /all" и наблюдаем что машина получила первый адрес из раздачи - "192.168.1.101", основной шлюз - "192.168.1.1" и ДНС - "192.168.1.2" - всё как мы прописали в настройках области:
Возвращаясь на наш DHCP-сервер в разделе "Арендованные адреса" нашей области мы наблюдаем данные о нашем клиенте:
Тут же в арендах мы по нажатию правой кнопки и выбрав пункт "Добавить к резервированию", можем зарезервировать IP-адрес за данным клиентом. Таким образом данный IP-адрес будет привязан к данному MAC-адресу и не будет раздаваться другим. Т.е. временную аренду мы превращаем в постоянное резервирование.
UPD от 07.07.2017
Оказалось, что DHCP-сервер перестаёт работать после ввода машины в домен. Данная проблема
обнаружилась при написании статьи про групповые политики. Пришлось вывести машину «Gateway» из домена,
тогда DHCP нормально заработал.
UPD от 09.08.2017
В ходе написания статьи о VPN, опытным путем выяснилось, что всё-таки сначала нужно машину «Gateway»
ввести в домен, а уже потом поднимать службу DHCP, тогда в ходе завершения процесса установки вводим
данные доменного администратора и DHCP-сервер авторизуется в домене и может связываться с контроллером
для сравнения информации о пользователях при подключении извне по VPN тоннелю.
UPD от 31.05.2018
DHCP конечно нужно поднимать после домена, но нужно чтобы доменному админу была присвоена группа Enterprise admin.
Тогда DHCP авторизуется в домене без проблем.