Stfw.RuWin2k3: армированная установка на стероидах
Поднимаем капитальный сервер на базе Windows Server 2003 за 7 шагов Крис Касперски
🕛 28.08.2008, 14:17
Windows Server 2003 - абсолютный лидер на рынке SOHO-серверов, используемых в качестве файлового сервера и/или сервера печати. Конкуренция со стороны Linux- и BSD-систем в этом сегменте крайне слаба, поскольку мелкие организации просто не в состоянии (со)держать квалифицированного администратора, а кажущаяся легкость установки Win2k3 создает впечатление, что с ним справится даже секретарша. Отчасти это действительно так, но воздвигнуть быстрый, надежный и защищенный сервер не так-то просто! В попытке уберечь начинающих администраторов от типичных ошибок и было написано это пошаговое руководство.Проблемам установки и эксплуатации Win2k3 посвящены сотни книг и тысячи статей, причем каждый автор гнет свою линию, зачастую противоречащую всем остальным. В одной статье советуется одно, в другой - другое. Действительно, универсальных решений нет, и поставленную задачу можно решить множеством способов.
Мыщъх исповедует принцип минимализма, заключающийся в отказе от всех дополнительных функций. Если мы можем обойтись без DHCP-сервера, прописав IP-адреса руками, значит именно так и нужно поступить. Если мы можем обойтись без домена и службы Active Directory, просто забудем о них! Конечно, кому-то такая концепция может показаться изначально порочной (а как же технический прогресс?), но, как показывает практика, чем сложнее система, тем больше шансов у нее развалиться.
Советы по установке, настройке и эксплуатации Win2k3 разбиты на 7 шагов и покрывают практически все вопросы, с которыми сталкиваются начинающие администраторы. Приступим.
Шаг первый: выбираем железо
Собрать сервер можно и на базе обычного PC. Ничего зазорного в этом нет. И работать он будет ничуть не хуже, чем железо от ведущих производителей, собирающих его из тех же самых комплектующих, что продаются на рынке. Но здесь стоит привести несколько важных рекомендаций.
От использования активных охлаждающих элементов на чипсете и видеокарте желательно отказаться. Блок питания следует брать с большим запасом по мощности так, чтобы он сохранял свою работоспособность даже после выхода вентилятора из строя. Ничего не поделаешь - сервер такая вещь, в которую заглядывают не часто.
Что касается жестких дисков, то свой выбор лучше остановить на Seagate. Они шустры и надежны, а в случае аппаратного отказа легко восстановимы. Интерфейс, естественно, IDE/SATA, а SCSI оставим тем, кому действительно нужна высокая производительность и обработка большого количества запросов на ввод/вывод. Использовать SCSI-диски в SOHO-серверах - все равно что летать за сигаретами на вертолете. То же самое относится и к RAID-массивам. Как показывает мой личный опыт, отказы жестких дисков - далеко не самая частая причина разрушения данных. К тому же за использование дешевых интегрированных RAID-контроллеров администраторов нужно расстреливать на месте, поскольку, если материнская плата выйдет из строя, а другой такой не окажется, диски придется сдавать на восстановление спецам. Гораздо надежнее настроить MS BackUp на ежедневное резервирование всех данных на второй винчестер, подключенный к обычному IDE-контроллеру (смотри шаг седьмой).
Монитор. Зачем он нужен серверу? Правильно, абсолютно не нужен (в повседневной работе). А для установки и наладки можно на время позаимствовать монитор от ближайшей рабочей станции. Большинство современных LCD-мониторов имеют два входа: цифровой и аналоговый. Отсюда идея: подключаем рабочую станцию к цифровому входу, сервер - к аналоговому и переключаемся между ними по необходимости. Как вариант - можно использовать KVM-переключатель.
Все существующие в настоящее время блоки бесперебойного питания - это тихий ужас. Мыщъх перепробовал много моделей, пока не остановился на APC Smart 1000VA и 2200VA как на наименее проблемных.
Шаг второй: интеграция пакетов обновлений
Берем диск с Win2k3, садимся за ближайшую рабочую станцию, скачиваем все заплатки и пакеты обновлений, после чего интегрируем их в дистрибутив, следуя инструкциям, размещенным в файле winhelpline.info. А почему бы нам не скачать заплатки после установки сервера через Windows Update? Ведь большинство начинающих администраторов именно так и поступают (и только потом соображают, что они сотворили и как теперь это расхлебывать).
Выходить в Сеть на незалатанном сервере крайне опасно, поскольку там шастает куча червей, ломящихся во все дыры. Мыщъх неоднократно фиксировал попытки атак, совершаемых уже через несколько минут после выхода в интернет. Естественно, за такое короткое время скачать обновления невозможно, и сервер изначально оказывается прокаженным.
Желательно вообще лишить SOHO-сервер доступа в Сеть, используя в качестве шлюза DSL-модем со встроенным брандмауэром, оснащенный Ethernet-портом. Соединяем модем со свитчем, закрываем доступ к серверу на брандмауэре и отправляем хакеров отдыхать, а все обновления качаем с рабочих станций, причем вместо дырявого IE лучше использовать Горящего Лиса или Оперу.
Шаг третий: автоматический запуск сервера
В мелких организациях за серверами обычно никто не следит. Вводить ставку дежурного оператора - слишком дорогое удовольствие, а приходящий администратор зачастую находится вне досягаемости. А теперь вопрос: что произойдет, если, например, отрубят питание и UPS отправит сервер в шатдаун? Или система выбросит голубой экран? Или кто-то случайно выдернет силовой кабель, либо прижмется мягким местом к кнопке Reset? Правильно, после включения система потребует нажать <Ctrl-Alt-Del>, а затем появится диалоговое окно Event Tracker'а, требующего объяснить, почему сервер не был потушен должным образом. После описания проблемы система перейдет к процессу авторизации, ожидая пароля администратора.
Учитывая, что у большинства пользователей физический доступ к серверу отсутствует, им придется очень несладко, не говоря уже о самом администраторе, вынужденном из-за каждой мелочи мотаться по всему городу. Чтобы не трепать себе нервы, лучше пренебречь безопасностью и настроить сервер так, чтобы при подаче питания он стартовал автоматически, не требуя нажатия кнопки Power. Такое поведение настраивается через BIOS Setup (кстати говоря, не все модели материнских плат позволяют это сделать).
Теперь перейдем к отключению запроса на нажатие <Ctrl-Alt-Del>. Заходим в Administrative Tools\Local Security Police, в дереве Security Settings раскрываем ветвь Local Polices\Security Options и в правой половине окна находим пункт «Interactive logon: Do not require CTRL+ALT+DEL», по умолчанию находящийся в состоянии Disabled. Дважды щелкаем по нему мышью и меняем Disabled на Enabled.
Остается только прищемить Event Tracker, чтобы сидел себе тихо и не возникал. В командной строке вводим «mmc» для запуска Microsoft Management Console, затем в меню File выбираем пункт «Add/Remove Snap-in...» (или нажимаем <Ctrl-M>), далее в появившемся диалоговом окне находим кнопку Add и добавляем Group Policy Object Editor. Закрываем ненужные диалоговые окна кнопками Finish и Close, переходим ко вкладке Extensions и выбираем Administrative Templates (Computer Configuration), жмем OK и в Console root\Local Computer Policy\Administrative Templates\System находим пункт Display Shutdown Event Tracker, который двойным мышиным щелчком переводим в состояние Disabled. Все. Теперь с этими надоедливыми вопрошалками покончено раз и навсегда.
И хотя запрос на ввод пароля администратора по-прежнему будет маячить при старте системы, разделяемые файлы, папки и принтеры уже будут нормально работать, так что вводить пароль необязательно. Автоматическая регистрация в системе негативно сказывается на безопасности, поскольку любой пользователь, имеющий физический доступ к серверу, сможет сделать с ним такое, что администратор будет разгребать не одну неделю.
Шаг четвертый: настройка пользовательских аккаунтов
По умолчанию ко всем разделяемым ресурсам (файлам, папкам, принтерам) имеют доступ только пользователи, зарегистрированные на сервере. Если имя и пароль удаленного пользователя совпадают с именем/паролем пользователя, зарегистрированного на сервере, то запрос на ввод пароля не выдается, что очень удобно. Пользователи вообще не любят вводить пароли, поэтому, чтобы облегчить их участь, мыщъх рекомендует поступать так: рабочие станции на базе Win2k/XP настраиваются на автоматический вход в систему, а на сервере создаются «зеркальные» учетные записи всех пользователей, что обеспечивает «прозрачную» работу с разделяемыми ресурсами. Зачастую пользователи вообще не догадываются о том, что они защищены какими-то там паролями. Между тем администратор может свободно назначать права доступа на разделяемые ресурсы. Для одних пользователей они открыты на запись/чтение, другие поставлены в read only, а третьи не видят их вообще.
Однако на этом пути есть несколько подводных камней. Так, если пользователь решит сменить свой пароль, то зайти на сервер он уже не сможет. Вернее, сможет, но при попытке доступа к разделяемому ресурсу система потребует ввести старый пароль (ведь на сервере он остался неизменным), что окажется для пользователя большой неожиданностью. Следовательно, в дополнение к автоматической регистрации на рабочих станциях, необходимо также запретить смену паролей пользователям и установить срок действия пароля в never expires. То же самое следует сделать и на сервере. Для этого заходим в Administrative Tools\Computer Management, находим пункт Local Users and Groups, переходим к юзерам и в свойствах каждого из них взводим галочку Password never expires.
Шаг пятый: отключение ненужных служб
По умолчанию Microsoft задействует множество служб, большая часть которых совершенно бесполезная, а местами даже откровенно вредная. Поэтому, чтобы обеспечить бесперебойную работу сервера (особенно в условиях скромных аппаратных ресурсов), мы должны зайти в Administrative Tools\Services и навести здесь свой порядок. Естественно, порядок - весьма условное понятие, относительность которого мы уже обсуждали. Кому-то нравится максимализм, кому-то - минимализм. В общем, каждый может действовать по своему усмотрению.
* Automatic Updates («Автоматические обновления») отключаем сразу и навсегда, потому что сервер не должен проявлять излишнюю самостоятельность. К тому же, как уже говорилось выше, лучше всего отрубить сервер от Сети, а обновления скачивать вручную с рабочих станций, тут же пересобирая интегрированный дистрибутив, чтобы в любой момент времени систему можно было переустановить поверх старой. * Computer Browser («Обозреватель компьютеров») так же можно отключить, поскольку рабочие станции сами ломятся на сервер и ничего обозревать тут не нужно - это только занимает время, отъедает память и приводит к различным конфликтам. * Cryptographic Services («Крипографические сервисы») абсолютно не нужны. Отключаем эту службу без всяких колебаний. * DCHP Client («Клиент DCHP») отправляется в топку, потому что DCHP-сервер в небольшой локальной сети - все равно что трактор на дачном участке. Нормальные администраторы прописывают IP-адреса вручную. * Distributed Link Tracking Client («Клиент слежения за распределенными ссылками») отслеживает перемещение файлов как внутри одного NTFS-тома, так и между томами. Довольно громоздкая, уродливо реализованная и совершенно бесполезная вещь, поскольку реальные программы опираются на абсолютные пути, и если файл перемещен, то никакой клиент слежения тут не поможет. Короче, выключаем эту штуку. * Distributed Transaction Coordinator («Координатор распределенных транзакций») - крутая служба, вот только... это уже не трактор, а самый настоящий реактивный истребитель на дачном участке, причем без возможности вертикального взлета и посадки. Ну и зачем он нам там нужен?! * DNS Client («DNS-клиент») - Microsoft пугает нас, что если отключить эту службу, то компьютер не сможет распознавать доменные имена. Чепуха! Практически все сетевые приложения занимаются распознанием доменных имен самостоятельно, и мне не известна ни одна программа, которая бы напрямую взаимодействовала с DNS-клиентом. А вот служба Active Directory без него работать не будет, это точно. * Error Reporting Service («Сервис составления отчетов об ошибках») стоит прищемить на корню как злостного стукача, собирающего информацию об ошибках и отправляющего ее в Microsoft. * Help and Support («Помощь и поддержка») - еще одна абсолютно ненужная служба, отключение которой никому не повредит. * IPSEC Services («Сервисы IPSEC») идут в мусорку, потому что им совершенно нечего делать в рамках локальной сети, когда злоумышленнику проще сесть за компьютер, чем врезаться в кабель. * Logical Disk Manager («Менеджер логических дисков») реально нужен только тем, кто, следуя заветам Microsoft, обновил обычные диски до динамических и обзавелся проблемами по полной. Всем остальным эта служба до лампочки. * Network Location Awareness (NLA) - еще один бесполезный стукач, следящий за состоянием сети и посылающий уведомления службам Windows Firewall и Internet Connection Sharing, которые на файловом сервере также стоит отключить. * Remote Registry («Удаленный доступ к реестру») - зачем нам удаленный доступ к реестру? Выключаем немедленно. А реестром будем рулить через физический доступ или утилиты типа RAdmin. * Wireless Configuration («Беспроводная конфигурация») - отключаем, если локальная сеть построена на витой паре, а не на новомодных Wi-Fi адаптерах.
Примечание: отключение некоторых служб может привести к тому, что сервер вообще откажется загружаться. Не паникуй! Просто зайди в Recovery Console («Консоль восстановления») и воспользуйся командой enable, принимающей два аргумента: имя запускаемой службы и тип запуска, например: enable eventlog service_auto_start.
Если ты не уверен в своих действиях, то вместо отключения (disabled) службы выбирай ручной тип запуска (manual), который на самом деле не совсем ручной, а просто подразумевает возможность запуска службы из других служб, которые в ней нуждаются и которые без нее могут работать неправильно или не работать совсем. Если после перевода службы в manual при следующей загрузке сервера она все-таки стартовала (статус Started), значит имеются неустраненные зависимости и переводить ее в disabled следует с очень большой осторожностью.
Также можно попробовать остановить службу прямо на рабочем сервере и посмотреть, что из этого получится. Кстати говоря, в отличие от предыдущих версий, Win2k3 препятствует отключению жизненно важных служб (например, службы удаленного вызова процедур - RPC, на которой держится вся подсистема win32), так что можно смело экспериментировать.
Шаг шестой: отказ от антивирусов
Антивирусы, автоматически проверяющие все открываемые файлы на лету, брандмауэры и прочие защитные механизмы на сервере лучше всего не устанавливать. Поверь моему печальному опыту. Сам по себе Win2k3 - довольно надежная штука, и на исправном железе она работает без перезагрузок годами, а вот защитные системы внедряются в ядро настолько неумело, что голубые экраны появляются с завидной регулярностью, особенно на двуядерных процессорах и SMP-системах.
Можно, конечно, отключить все проактивные компоненты, оставив один лишь антивирусный сканер, вызываемый по расписанию (некоторые администраторы именно так и поступают), но все дело в том, что сканер (даже запущенный с минимальным приоритетом) серьезно тормозит работу сервера, вызывая недовольство пользователей. Теоретически можно спланировать расписание так, чтобы сканер запускался только в ночное время или по выходным, но иногда фирмам приходится работать в авральном режиме и ночью (не говоря уже о выходных), и сервер тут тормозить будет совсем некстати.
Антивирусов, установленных на рабочих станциях, вполне достаточно для обеспечения надлежащего уровня безопасности, тем более когда файловому серверу закрыт доступ в интернет.
Шаг седьмой: создание резервных копий
Сразу же после установки Win2k3 настоятельно рекомендуется создать резервную копию системы с помощью утилиты MS BackUp (смотри статью «Реставрируем окна»), позволяющей восстановить упавший сервер за несколько минут без необходимости его переустановки.
Также полезно подключить к серверу еще один жесткий диск, установить на него Win2k3 (или сделать копию системного диска с помощью Norton Ghost) и... физически отключить его до лучших времен. Тогда при крахе системы мы сможем немедленно переключиться на резервный диск, просто переткнув шлейфы.
Заключение
Разумеется, тонкости установки и работы с Win2k3 этим не исчерпываются, и впереди нас ждет много «интересных» дней, нештатных ситуаций и головоломных проблем. Но безвыходных ситуаций не бывает, так что не стоит опускать свой хвост и пасовать перед сложностями. Это даже хорошо, что жизнь такая сложная. Иначе бы нам, администраторам, пришлось бы разделить участь мамонтов.