Server 2008 R2 - Сеть с максимальными ограничениями
 

Добрый день, уважаемые форумчане.
Я только начинаю осваивать системное администрирование, поэтому большая просьба сильно не пинать и объяснить на пальцах.
Задача такая: есть компьютерный класс из 21 компа: 18 компов студенческих, 2 компа преподавательских, 1 сервер.
Нужно организовать сеть со следующими условиями:
1) Преподавательские компы должны иметь выход в интернет. Студенческие компы не должны выходить в инет.
2) Преподаватели со своих компов, должны НЕЗАМЕТНО для студентов подключаться к их компам и наблюдать, что они делают, а в случае ошибки студента, поправлять их.
3) На студенческих компах, должны быть максимально ограничены права, а именно: запретить запуск и скрыть от студента командную строку, "Выполнить", Панель управления, Локальные диски, игры и т.д. Запретить менять время и фон рабочего стола. Вообщем сделать так, чтобы они могли только запускать 3 программы и ничего больше своими шаловливыми ручками сделать не смогли.
4) Необходимо продумать, как будет организован процесс сохранения файлов и документов, которые создают студенты.

Прикрепляю схемку сети.

Вообщем, как вижу решение этой задачи я: накатить на сервер Windows Server 2008R2 Standart. Как я понимаю, необходимо дальше установить и настроить роль DHCP.
По поводу авторизации пользователей - хотел сначала делать домен, но потом решил отказаться от него. Будет рабочая группа. Как я понимаю, на сервере необходимо установить прокси сервер, что бы через него запрещать и разрешать доступ компьютеров к интернету.
Для слежения за студентами - я думаю использовать VNC сервер.
А вот по поводу сохранения файлов - пока точно не решил. Не знаю, что лучше, если студенты будут сохранять документы на общий сетевой диск, или на каждом локальном компе.

Вообщем, хочется услышать мнения и советы людей, которым было не лень всё это читать :)
Заранее спасибо.

Как у вас всё сложно и не обычно.
Если вы не планируете ад тогда зачем виндовс серв?
По нормальному вам надо поставить шлюз, на шлюз поставить к примеру kerio
и в керио расписать права для каждого айпи адреса.
DHCP это автаматическая раздача айпи адресов зачем она вам?

Если хотите поставить ограничения на учетке с доступами к определённым ресурсам то вам тогда нужно поднимать АД который вы так не хотите., но для АД вам уже нужен вин сервер и не забывайте что для поднятие ад сначала надо поднять дНС так как АД является его компонентом.
Удачи в начинаиях



Увидел схему
на месте сервера у вас должен быть шлюз а на шлюзе у вас будет kerio (тоесть прокся) значит интернет у вас будет идти через апределенный айпи адрес а этот адрес будет контролировать прокся

1) на сервере настроить контроллер домена.
2) на сервере настроить DHCP.
3) файлы пользователей можно перенаправлять на сервер.
4) с помощью групповых политик запрещаете пользователям горячие клавиши и runas\выполнить, запрещаете другие настройки. Все настройки запретов прекрасно гуглятся. Если не найдёте - в отдельную тему.
5) с помощью DHCP позже я расскажу как запретить доступ к интернету. Предварительно с помощью доменный политик запретите пользователям менять сетевые настройки.
6)
так не бывает. если будут помогать - то не заметно уже не получится.
По подключится к рабочему столу можно с помощью терминального доступа с сервера. Где-то была тема... позже дам ссылку.

во время поднятия АД ДНС сам настроится, и ДНС не является компонентом АД. Это отдельная служба работающая совместно с АД.

Это всё понятно, но хочется научиться работать с WinServer 2008. Для личного опыта, так сказать.

Такой вопрос - как будет происходить авторизация пользователей? Считаем, что у меня 20 пользователей, соответственно я завожу 20 учётных записей. Ничего страшного не будет, если под одной и той же учётной записью будут ходить несколько студентов? Просто всего студентов человек 200-250, и на каждого заводить учётку - это долго и сложно.А компов студенческих всего 18.......

А, да, ещё один вопрос - чисто практический. Как вообще принято делать, когда настраиваешь сеть - сначала на физическом уровне подключаешь все компы, свитчи, сервер и потом настраиваешь программную часть или наоборот?

можно автоматизировать процесс. или создайте 18 учёток, по одной на компьютер.
представим вы хотите наоборот. т.е. вам нужно обновить программу или Windows, но сеть то у вас не работает - откуда качать обновления?

и да, на месте сервера я рекомендую использовать маршрутизатор. для 18 компов хватит и домашнего (тем более, что выход в инет будет только у сервера и учителей). Посмотрите модели Dlink и Asus.

Итак. Начал настраивать контроллер домена вот по этой инструкции. Сначала "собрал" всю сеть - соединил все компы через через свитч. Потом, делал всё по инструкции и застопорился на моменте, когда нужно "Единственные необходимые настройки ДНС сервера - добавление "внешнего" ДНС сервера (куда будут перенаправляться интернет-запросы) и создание обратной зоны для вашей сети (выделено красным). Спискок ДНС для перенаправления уже может содержать предыдущий ДНС сервер или список будет пустой в случае, если никаких ДНС не было указано перед установкой."

Я не очень понял, что делать если список пустой? Нужно создавать обратную зону и что там указывать или же не нужно ничего создавтаь?

Ещё такой вопрос: у меня в сервере две сетевые карты, назовём их условно "Карта 1" и "Карта 2".
Как я понимаю, необходимо сделать так, чтобы одна карта "смотрела" в интернет, а другая карта "смотрела" в мою локальную сеть. "Карта1" смотрит в интернет. Конфигурация "Карты 1" такова: Ip-адрес - 10.0.68.13. Маска - 255.255.255.0. Шлюз - 10.0.68.1. DNS1 - 193.ХХХ.ХХХ.ХХХ - это все данные, которые предоставил админ сети. DNS2, как я понял из инструкции выше, должен быть 127.0.0.1. С этой картой проблем нет.

"Карта 2" смотрит в локальную сеть. Как её правильно настроить? Что то до меня не доходит...

добавить внешние ДНС.
нужно, указывать ID вашей сети.
на контроллере домена ??? в самом начале статьи написано, что делать с интерфейсами. Там есть ссылки.
Но я не рекомендую настраивать контроллер домена на шлюзе для интернета. Не безопасно, и не практично.

нет, это не так. Почитайте про назначение, функции и настройку DNS сервиса прежде, чем поднимать домен.

astomper7, он про ДНС 2 написал.

exo, просто стараюсь, вопреки мелкософту, не использовать петлевой адрес - было несколько прецедентов. Считаю, что корректнее на DC указывать в качестве первичного dns самого себя, а вторичного - адрес другого DC

astomper7, а если нет вторичного (имеется ввиду второй по следовательности установки)?
а я стараюсь следовать многим их рекомендациям. им виднее, они же делают винду...

DNS1 - 193.ХХХ.ХХХ.ХХХ - его быть не должно (пустое место)
его тоже быть не должно (пустое место)
Например:
ip 192.168.0.1
маска 255.255.255.0
dns 127.0.0.1

Горе тому, кто останавливается на таком выборе... Да и неразумно - не воспользуешься многими полезностями - полноценным dfs, например.

На том же технете, помню, по поводу dns мнения расходились даже у завзятых MS евангелистов)))

ну если вы сможете руководство уговорить на покупку второго сервера. не все себе могут это позволить.
их там нет, там простые люди отвечают. такие же как и мы с вами, у которых своя работа. ну, может они умнее )))О_О вот только это с astomper7 обсуждаем сейчас, я и ссылку дал на первоисточник...

Либо-либо...

Может, это и есть он (Умный)? :yes:

можно и указать, тогда придется и на первой сетевой ("Карты 1") указать его тоже (без 127.0.0.1 вообще), для win 2003 нужны имено такие настройки, а на win 2008 r2 это не очень корректно работает.

всё там прекрасно работает, если делать правильно, а если что-то уже случилось - то чиним. на практике оказалось справедливо и для 2008 R2.

Работать все будет в любом случае. Обьясни мне зачем нужно указывать dns КД на интерфейсе который выходит в интернет?

перечитал сообщение:
если интернет карту исключить "Нажмите кнопку Дополнительнои снимите флажок Зарегистрировать DNS для данного подключения", то в 90% (у меня раз за всю практику ДНС на внешке влиял) не важно что будет там в ДНС, а так петля 127 там действительно не к месту, но там и не ДК в ДНС указан:
193.ХХХ.ХХХ.ХХХ - это реальный адрес, скорее всего от провайдера.

поэтому я и написал:

Да вообще, что спорить-то, в любом случае dc поднимать на шлюзе - не самая лучшая затея... Ему ничто не мешает поднять hyper-v и VM - GATE и PDC соответственно

zai, я имел ввиду не важно для работы домена, а вот для работы интернета с внешнего интерфейса? Т.е. допустим не доступен ДНС на КД... а в интернет с сервера выйти надо... вообщем, я настраиваю сервер как и любой обычный аппаратный маршрутизатор.

и в качестве шлюза можно использовать бесплатные ОС, если бюджет ограничен.

Вот тут то и необходим BDC. Продумать структуру общих папок, продумать политику доступа к расшаренным ресурсам, а также необходимость организации квот, ну и, конечно, настроить DFS.

exo,

1 - отказоустойчивость
2 - доменный режим
3 - репликация sysvol

astomper7, так называемый доменный режим есть и с PDC. а как связаны BDC и
для этого достаточно поднять File Server, но BDC. ;)

со студенческими документами - никакой корреляции))) Но согласись, опрометчиво планировать доменную инфраструктуру ИС и не озаботиться наличием второго (хотя бы) контроллера?))

я уже писал об этом. зависит от бюждета. BDC не обязательное условие. Обязательное условие - резервные копии AD.
когда я начальнику сказал - нам нужны UPC в серверную, ибо вдруг что может случится, он ответил: а с чего бы должно случится? это как пример. С чего бы с AD должно что-то случится (если конечно там нет совмещение ролей)?

Ну, нормальный начальник поймет, если, конечно, он не из бывших библиотекарей...)))

Долго не мог ездить на работу. Возвращаюсь к своим баранам. И так:
1) В настройках сетевой карты 2 взял и прописал статический адрес 192.168.1.1, маску 255.255.255.0 и всё - больше ничего не прописывал.
2) Поднял DHCP сервер. Создал зону 192.168.1.2 - 192.168.1.50
3) Далее, по этой инструкции, хотел сделать так, что бы инет был на компах.

Итог: сервер успешно раздаёт адреса компьютерам, из чего делаю вывод, что локальная сеть работает. НО! Ни на одном компе нет интернета На сервере инет есть. Куда копать дальше - не знаю...

Да, ещё хотел добавить: встроенный брандмауэр на сервере отключил. Накатил на сервер ESET NOD32 Business Edition Smart Security 5. Пробовал отключать его - думал может файрволл сеть блокирует - не помогло.

ссылка не работает. Чтобы раздавать интернет, нужно настроить RRAS в режиме NAT.

Ну или "натить" программным обеспечением сторонних разработчиков.

Ссылку поправил. По поводу RRAS - как я понял, именно по этой инструкции я и сделал это.

Про сторонних разработчиков тоже читал - типа Kerio или Traffic Inspector? Если да - то пока хочу стандартными средствами обойтись.

Пробовал с компа пинговать IP 8.8.8.8 - пишет заданный узел не доступен.

IPCONFIG /ALL c сервера. и скрин настроек NAT где указаны интерфейсы.

Я так и думал, что нужно выставить... смогу завтра кинуть.
Тут ещё одна проблема нарисовалась - немного изменилась сеть. Скрин сети в первом сообщении поправил.

ravage, поставьте между хабом и сервером роутер.

я бы поставил, но не могу. Денег в бюджетном образовательном учреждении нема....
Я так понимаю, роутер нужен для того, чтобы сеть быстрее работала? Если так, то скорость мне не критична.

большинство роутеров имею файрволы с функционалом большим чем встроенный в Windows.
Роутер нужен для защиты локальной сети и решает задачи вроде настройки интернета через RRAS.
Роутер - это специализированная железка для подключения и раздачи интернета.

Спасибо за подробный ответ, но я не настолько нуб в сетях - я знаю, что такое роутер :)
1) Вопрос защиты (файрвола) на мой взгляд лучше решит NOD 32.
2) Хочется прежде всего разобраться, где я накосячил. Хочется научиться настраивать всё это дело, и стать таким спецом, как вы!

лично я доверяю только встроенному файерволу или в железке, но не третьим программам. НОД у меня вирусы ищет )

Я конечно не спорю, вам виднее. Но вопрос безопасности сети меня сейчас волнует в последнюю очередь... Сначала нужно настроить эту самую сеть...
А по поводу встроенного файервола (я так понимаю вы имеете ввиду брандмауэр) или железного решения - не могли бы вы обосновать своё мнение. Мне это интересно для саморазвития...

железные решения гибче в настройке, т.к. имеют много дополнительных функций. проще в обслуживании и не требовательны к ресурсам.
встроенный Firewall (или на немецком Brandmauer) использую с момента его появления в Windows XP SP2. Не жалуюсь ) тьфу-тьфу.

но я хочу вас обратить внимание, что маршрутизировать должны маршрутизаторы, а поддерживать AD должны контроллеры домена.
Это простое разделение ролей, вот почему я рекомендую установить маршрутизатор. Пусть хотя бы домашний за 1500 рублей.

Использую RRAS только когда клиент не в какую не хочет дополнительного оборудования. Хотя финансы позволяют.
Сейчас вот увидел, что в RRAS 2012 поддерживает VPN site-to-site. Может он и в 2008 R2 был, но в описании по установке вроде не упоминался.
Полезная штука для филиалов. Есть в не домашних маршрутизаторах, а может и в домашних.
вам потом будет сложнее переделывать на роутер, т.к. потребуется отключение пользователей от сервера во время перенастройки (перезагрузки, к примеру)

Ну мне VPN для этой конкретной задачи не нужен.

Так сейчас никаких пользователей нет - у студентов каникулы :) Как мне кажется, сейчас и нужно настраивать сеть, а потом до 1 сентября, разбираться с файрволами. Руководство вообще не хочет тратить деньги - ответ всегда один: "Денег нет". Поэтому приходиться собирать на том, что есть. как говорится "чем богаты, тем и рады" :)

а чего там разбираться? по умолчанию в нормальных фаерволах входящее всё закрыто, исходящее всё открыто.
Создаём правила для разрешения входящего или запрещения исходящего трафика.

вообщем, как и обещал - ipconfig /all:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : win2008DC
Основной DNS-суффикс . . . . . . : b313.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : b313.local

Ethernet adapter Lan:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TP-LINK 10/100Mbps PCI Network Adapter
Физический адрес. . . . . . . . . : 64-70-02-04-AF-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Inet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1000Ba
se-T Controller
Физический адрес. . . . . . . . . : 00-1A-92-B6-EF-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.68.13(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.0.68.1
DNS-серверы. . . . . . . . . . . : 193.41.140.XX
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{4ECF036E-6FF7-4384-A7A2-59D8592A65B8}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{B58D1ADA-212D-4AAD-9F6D-7F7AD8288909}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-XX
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

мде... я давал статью по настройке контроллера домена?
Обратите внимание на ДНС.
там же есть ссылки, как настроить контроллер домена с двумя сетевыми картами.

Из этой статьи понял и сделал следующее:
1) Удалил DNS сервер
2) Установил DNS сервер заново
3) В свойствах DNS сервера в меню Действие выберал команду Свойства.
На вкладке Интерфейсы выберал переключатель только по указанным IP-адресам.
В поле IP-адрес ввёл IP-адрес сетевой карты "LAN" и нажал кнопку Добавить.

Так нужно было?

мде.... я не знаю, что будет с доменом если удалить ДНС и установить заново, не было практики.

вообще-то требовалось на первой карте только вместо 127.0.0.1 выставить адрес 192.168.1.1, а вторую сетевую карту исключить из регистрации ДНС.

Ну у меня теперь практика такая уже есть :)

Сделал, но если честно - не понял, откуда это нужно было вычитать.

Вторую в смысле Lan? Если да - тоже сделал, но не помогло....

Я определённо где то косячу с настройками DNS... Никак до меня не доходит, что и куда нужно вписывать...

и комментарий выше к картинке.
в смысле WAN. А и не должно помочь. мы пока контроллер домена настраиваем )

Наблюдать за студентами можно с помощью проги NetOp School Teacher. На тот ПК, с которого планируешь наблюдать ставишь серверную часть, на студенческие компы клиентскую. Там много разных фишек, в том числе блокирование инета :)

Понял, спасибо за совет, попробую. :)

Хотел бы выразить огромную благодарность exo, который помог поднять сервер с нуля. Так же, хотел бы поблагодарить Leaves, который посоветовал использовать программу NetOp School - как оказалось, действительно классная вещь.
Ну и конечно. спасибо всем остальным участникам, которые оказались не равнодушны и так же помогали советами.

Сеть настроена, всё работает именно так. как задумывалось...
Задача решена!