Приложения
Категории

2011 — Yuriy Ostyuchenko

  • Часть 3. m.opu.ua | Система заказа ЛПО

    [youtube=http://www.youtube.com/watch?v=6jDTVIo9sfk&feature=player_detailpage]

  • Заметка 2. m.opu.ua

    [youtube=http://www.youtube.com/watch?v=IyAiP51IGPM&feature=player_detailpage]

  • Заметка 1. m.opu.ua

    [youtube=http://www.youtube.com/watch?v=w2XWsjTGGVM&feature=player_detailpage]

  • Windows Intune

    В данной статье приведены пошаговые инструкции, которые помогут начать работу с Windows Intune™ , и объясняется, как можно поделиться своими впечатлениями, опубликовать комментарии и отзывы для рабочей группы Windows Intune.

    Первый вход в систему

    Чтобы войти в Windows Intune, перейдите на веб-страницу входа в службу Windows Intune (http://go.microsoft.com/fwlink/?LinkID=195424).

    Если платформа Microsoft Silverlight не установлена, при первом открытии веб-сайта службы будет предложено загрузить и установить Silverlight.

    Выполните вход с использованием идентификатора администратора-владельца, созданного при регистрации в Windows Intune, а затем добавьте идентификатор Live ID в качестве администратора. После входа в систему следующее показанное окно определяется количеством подписок.

    • Одна подписка. При наличии одной подписки открывается Консоль администрирования Windows Intune, в которой показан обзор состояния управляемых компьютеров. В области «Доска объявлений» приведены различные ссылки для начала работы, а в других областях содержатся сведения о состоянии программного обеспечения, обновлениях для системы безопасности и отслеживаемых системных оповещениях.
    • Несколько подписок. При наличии нескольких подписок открывается диалоговое окно выбора учетной записи Windows Intune, в котором отображается список учетных записей и их сводные индикаторы работоспособности. Можно использовать поле «Поиск», чтобы найти компанию по названию, или отсортировать список в алфавитном порядке по названию компании. Когда будет найдена требуемая учетная запись, можно щелкнуть имя, чтобы открыть Консоль администрирования Windows Intune. В области «Доска объявлений» приведены различные ссылки для начала работы, а в других областях содержатся сведения о состоянии программного обеспечения, обновлениях для системы безопасности и отслеживаемых системных оповещениях.

    Добавление управляемых компьютеров

    После этого установите клиентское программное обеспечение Windows Intune на компьютерах, чтобы управлять ими. Для установки клиентского программного обеспечения можно использовать один из следующих способов.

    • Непосредственная загрузка Войдите в службу Windows Intune с компьютера, которым требуется управлять, загрузите пакет установщика Windows для установки клиентского программного обеспечения в соответствии с архитектурой компьютера, а затем запустите пакет установщика Windows на компьютере.
    • Общая сетевая папка. Загрузите пакет установщика Windows с клиентским программным обеспечением и сохраните его в сетевую общую папку, а затем запустите этот пакет на компьютере.
    • USB-устройство флэш-памяти. Скопируйте пакет установщика Windows для установки клиентского программного обеспечения на USB-устройство флэш-памяти и установите клиентское программное обеспечение Windows Intune с USB-устройства на каждом клиентском компьютере.

      Обеспечьте безопасность файлов установки и загруженного пакета при любом способе развертывания. Пакет установки клиентского программного обеспечения Windows Intune уникален для учетной записи и подписан для его связывания с подпиской Windows Intune. Убедитесь в том, что только администраторы Windows Intune в организации имеют доступ к этим файлам.

    После установки клиентского программного обеспечения Windows Intune клиентский компьютер связывается с Центром обновления Майкрософт и загружает дополнительные агенты. Компьютер автоматически регистрируется в учетной записи Windows Intune и через некоторое время должен отобразиться в рабочей области Компьютеры в консоли Консоль администрирования Windows Intune. После этого клиентское программное обеспечение планирует загрузку остальных агентов клиента, включая агенты для защиты от вредоносных программ и наблюдения. Весь процесс загрузки агентов может занять до 8 часов. После загрузки и установки всех агентов клиентский компьютер полностью зарегистрирован в службе. В Консоль администрирования Windows Intune можно просматривать сведения, которые передает клиентский компьютер, такие как состояние защиты от вредоносных программ, данные инвентаризации оборудования и программного обеспечения и состояние обновления. Дополнительные сведения об установке клиентского ПО Windows Intune см. в статье Deploying the Windows Intune Client Software (Развертывание клиентского ПО Windows Intune) (http://go.microsoft.com/fwlink/?LinkID=151517).

    Группировка компьютеров

    После добавления клиентских компьютеров в службу рекомендуется распределить их по группам, чтобы облегчить управление ими. Возможности группирования компьютеров в Windows Intune обладают достаточной гибкостью, чтобы настроить схему распределения компьютеров по группам в соответствии с требованиями.

    В списке ниже приведены три примера объединения компьютеров в группы.

    • Группы на основе географического местоположения. Если компьютеры находятся в географически различных точках, можно создать группы, представляющие различные географические регионы, например «Новосибирск», и добавить компьютеры в эти группы.
    • Группы на основе отделов. Распределение компьютеров по группам в зависимости от отделов, в которых они установлены, или функций, которые они выполняют (например, «Бухгалтерия»), может облегчить управление.
    • Группы на основе оборудования. Группирование компьютеров на основе физических характеристик, например «Настольные», «Портативные» и «Планшетные», может помочь при планировании развертывания обновлений, определении времени установки обновлений, применении политики и принятии других управленческих решений.

    Можно добавить компьютер в несколько групп, что позволит использовать элементы всех описанных выше способов при планировании распределения по группам и просматривать компьютеры в любом упорядочивании, которое подходит для организации. Однако рекомендуется использовать простую структуру групп и добавлять новые группы только по мере необходимости.

    Обзор консоли

    После настройки службы Windows Intune можно ознакомиться с функциями в Консоль администрирования Windows Intune. Служба Windows Intune позволяет легко находить нужные функции и содержит ссылки на разделы справки по областям, которые нуждаются в пояснениях. Рекомендуется сначала ознакомиться со следующими возможностями.

    • Определение политики. Используйте рабочую область Политика для настройки применения обновлений, поведения клиента защиты от вредоносных программ, отображения контактной информации поддержки в интерфейсе клиента и других параметров.
    • Распространение обновлений. Используйте рабочую область Обновления для выбора и утверждения обновлений для распространения, а также для передачи обновлений на компьютеры или в группы компьютеров.
    • Создание отчета. Откройте рабочую область Отчеты и просмотрите доступные отчеты Windows Intune. Обратите внимание, что каждый отчет содержит фильтры, которые позволяют включать в отчеты только необходимые результаты.
    • Удаленная помощь. Чтобы предоставить пользователю удаленную поддержку, попросите его отправить запрос на удаленную помощь с консоли Windows Intune Center на своем компьютере. Чтобы настроить получателей уведомлений по электронной почте при запросе помощи пользователями, откройте рабочую область Администрирование. В качестве получателя уведомлений можно указать адрес электронной почты любого пользователя; получатели уведомлений могут не быть администраторами службы.
    • Уведомления об оповещениях. Настройте уведомления об оповещениях в Консоль администрирования Windows Intune для приема уведомлений по электронной почте, чтобы видеть, как Windows Intune ведет информирование о состоянии управляемых клиентских компьютеров.
    • Экспорт данных. Определите представление, которое требуется экспортировать из Консоль администрирования Windows Intune для дальнейшего анализа, и создайте с помощью команды Экспорт файл данных с разделителями-запятыми, который можно открыть в таком приложении, как Microsoft Excel.

    Получение справки и поддержки

    В процессе знакомства с Windows Intune корпорация Майкрософт предлагает поделиться впечатлениями, отправить комментарии и оставить отзывы. Для взаимодействия с группой разработчиков Windows Intune и другими участниками создано несколько каналов. Сообщите нам ваше мнение.

    • Справка. Откройте справку Windows Intune (http://go.microsoft.com/fwlink/?LinkID=151519), чтобы получить подробные сведения о настройке клиентского ПО на компьютерах, которыми следует управлять, и работе с такими компьютерами в рабочих областях Windows Intune.
    • Форумы. Перейдите на сайт Windows Intune Forums (Форумы Windows Intune) по адресу http://go.microsoft.com/fwlink/?LinkId=183570, чтобы принять участие в обсуждении и поделиться комментариями с другими пользователями Windows Intune, а также найти ответы на часто задаваемые вопросы.
    • Видеоматериалы. В качестве справочных материалов, которые помогут начать работу, мы предлагаем серию коротких обучающих видеороликов. Они расположены на сайте Windows Intune Client TechCenter (Технический центр Windows Intune Client) (http://go.microsoft.com/fwlink/?LinkId=186377).
    • Блог группы Windows Intune. Посетите Windows Intune team blog (Блог группы Windows Intune) (http://go.microsoft.com/fwlink/?LinkId=183569). Узнайте, что говорят создатели Windows Intune. Здесь вы найдете интересные сведения, которые публикуются регулярно.
  • Заявление о конфиденциальности Microsoft Application Virtualization 4.6 с пакетом обновления 1 (SP1)

    Корпорация Майкрософт берет на себя обязательства по защите конфиденциальности, поставляя программное обеспечение, которое обеспечивает необходимую производительность, мощность и удобство работы на персональном компьютере. Настоящее заявление о конфиденциальности содержит описание способов сбора и использования данных в Microsoft Application Virtualization 4.6 с пакетом обновления 1 (SP1) (App-V). В частности, в заявлении о конфиденциальности описаны функции пакета обновления 1 (SP1), используемые для отправки сведений другим сторонам, включая корпорацию Майкрософт. Это заявление не относится к другим сайтам, продуктам или службам корпорации Майкрософт в Интернете или доступным автономно.

    Решение App-V позволяет преобразовывать приложения в виртуализированные службы, доступные в сети, что позволяет динамически предоставлять программное обеспечение без необходимости его установки и без конфликтов, сводя к минимуму затраты на тестирование совместимости приложений. Пользователи и среды приложений больше не связаны с тем или иным компьютером, а сами компьютеры больше не связаны с конкретными пользователями; это обеспечивает гибкость ИТ и скорость реагирования на требования бизнеса, также существенно снижая стоимость управления ПК, включая затраты на перенос приложений и операционных систем.

    Сбор и использование сведений

    Собираемые сведения будут использоваться корпорацией Майкрософт, управляемыми ей дочерними компаниями и представительствами для обеспечения работы используемых функций и предоставления услуг или проведения транзакций по запросу или авторизации пользователя. Эти сведения также могут быть использованы для повышения качества продуктов и услуг корпорации Майкрософт.

    Корпорация Майкрософт может направлять определенную необходимую служебную корреспонденцию, например приглашения, напоминания об оплате, сведения о технических проблемах и оповещения о проблемах безопасности. Некоторые службы корпорации Майкрософт могут периодически направлять подписчикам письма, которые считаются частью предоставляемых услуг. Время от времени корпорация Майкрософт может запрашивать отзывы пользователей, приглашать к участию в опросах или направлять рекламные сообщения для информирования о других продуктах и услугах, предоставляемых корпорацией Майкрософт и ее дочерними компаниями.

    В целях повышения удобства и степени персонализации взаимодействия с корпорацией Майкрософт сведения, собранные в рамках одной из служб корпорации Майкрософт, могут объединяться со сведениями, собранными в рамках других ее служб. Собранные сведения также могут дополняться сведениями, полученными от других компаний. Например, возможно использование сведений от других компаний, которые позволяют корпорации Майкрософт определить общую географическую область на основе IP-адреса компьютера для настройки определенных служб в соответствии с географическим расположением.

    Переданные пользователем личные сведения не будут передаваться третьим сторонам, за исключением случаев, описанных в настоящем заявлении. Корпорация Microsoft иногда привлекает другие компании для предоставления ограниченного набора услуг от ее имени, таких как упаковка, отправка и доставка покупок и прочих почтовых отправлений, ответы на вопросы клиентов о продуктах и услугах, обработка регистрации на мероприятиях и статистический анализ работы служб. Этим компаниям будут переданы только те личные сведения, которые необходимы для оказания услуг; при этом им запрещается использовать эти сведения в каких-либо других целях.

    Корпорация Майкрософт может получать доступ к информации о пользователе или раскрывать такую информацию, включая содержимое корреспонденции, в следующих случаях: (а) в случаях, предусмотренных законодательством, либо по запросу правоохранительных органов, либо в рамках судебного процесса; (б) в целях защиты прав или собственности корпорации Майкрософт или ее клиентов, включая принудительное исполнение соглашений или политики, регулирующей использование служб; (в) в рамках добросовестного предположения, что доступ к личным сведениям или их раскрытие необходимы для защиты личной безопасности сотрудников корпорации Майкрософт, ее клиентов или общества в целом. Кроме того, корпорация Microsoft вправе разглашать личные сведения при проведении корпоративных операций, таких как слияние или продажа активов.

    Сведения, которые собираются и передаются в службу Microsoft App-V, могут храниться и обрабатываться в США или любой другой стране, где осуществляется деятельность корпорации Майкрософт и ее дочерних компаний, филиалов или поставщиков услуг. При сборе, использовании и хранении информации из стран Европейского Союза, Европейской экономической зоны и Швейцарии корпорация Майкрософт придерживается политики безопасности, сформулированной Министерством торговли США.

    Сбор и использование сведений о компьютере

    При использовании программного обеспечения с функциями работы в Интернете просматриваемые веб-сайты и используемые интернет-службы получают сведения о компьютере («стандартные сведения о компьютере»). Корпорация Майкрософт использует стандартные сведения о компьютере для предоставления интернет-служб, повышения качества продуктов и услуг, а также для статистического анализа. Стандартные сведения о компьютере обычно включают IP-адрес, версию операционной системы, версию браузера, а также параметры языка и региональных стандартов. В некоторых случаях стандартные сведения о компьютере могут также включать ИД оборудования с указанием изготовителя устройства, наименования устройства и его версии. Если определенная функция или служба отправляет сведения в корпорацию Майкрософт, также отправляются и стандартные сведения о компьютере.

    Подробные сведения о конфиденциальности для каждой функции, программного обеспечения или службы App-V, указанной в настоящем заявлении о конфиденциальности, содержат описание характера собираемой дополнительной информации и ее использования.

    Безопасность сведений

    Корпорация Майкрософт прилагает все усилия для обеспечения защиты сведений пользователей. Для защиты сведений от несанкционированного доступа, использования и раскрытия применяется ряд технологий и процедур обеспечения безопасности. Например, предоставленные сведения хранятся на компьютерах с ограниченным доступом, расположенных в охраняемых помещениях.

    Изменения данного заявления о конфиденциальности

    Время от времени корпорация Майкрософт будет обновлять данное заявление о конфиденциальности, чтобы отразить изменения в продуктах и услугах, а также учесть отзывы клиентов. При внесении изменений будет изменена дата последнего изменения в верхней части этого заявления. Если в настоящее заявление будут внесены существенные изменения или же будут изменены принципы использования личных сведений, будет размещено уведомление о таких изменениях до начала их действия, или же будет направлено непосредственное уведомление по электронной почте. Рекомендуется регулярно просматривать данное заявление, чтобы хорошо представлять себе, каким образом корпорация Майкрософт обеспечивает защиту сведений.

    Дополнительные сведения

    Корпорация Майкрософт приветствует отзывы об этом заявлении о конфиденциальности. В случае возникновения вопросов или сомнений в том, что корпорация Майкрософт придерживается изложенных правил, обратитесь по следующему адресу.

    Microsoft Privacy

    Microsoft Corporation

    One Microsoft Way

    Redmond, Washington 98052 USA

    Специальные функции

    Далее в этом документе рассмотрены следующие специальные функции.

    Программа улучшения качества программного обеспечения

    Как работает эта функция.

    В рамках программы улучшения качества программного обеспечения (CEIP) выполняется сбор базовых сведений о конфигурации оборудования и использовании программного обеспечения и служб корпорации Майкрософт для выявления тенденций и типичных способов использования. В рамках программы улучшения качества программного обеспечения также выполняется сбор сведений о типе и количестве возникших ошибок, производительности программного обеспечения и оборудования и скорости работы служб. Корпорация Майкрософт не собирает имена, адреса и другие контактные данные пользователей.

    Собираемые, обрабатываемые и передаваемые сведения.

    Дополнительные сведения о сведениях, собираемых, обрабатываемых и передаваемых в рамках программы улучшения качества программного обеспечения, см. в заявлении о конфиденциальности программы улучшения качества программного обеспечения по адресу http://go.microsoft.com/fwlink/?LinkID=52097.

    Использование сведений.

    Эти сведения используются корпорацией Майкрософт для повышения качества, надежности и производительности программного обеспечения и служб Майкрософт.

    Выбор и управление.

    Принять участие в программе улучшения качества программного обеспечения предлагается в ходе установки. После согласия участвовать в программе можно в любой момент отказаться от участия, выполнив следующие действия.

    1. На главной панели инструментов выберите пункт "Справка".
    2. Выберите команду "Параметры отзыва заказчика".

    Служба отчетов об ошибках корпорации Майкрософт

    Как работает эта функция.

    Служба отчетов об ошибках корпорации Майкрософт представляет собой службу, которая позволяет сообщать корпорации Майкрософт о неполадках при работе с решением App-V и получать сведения, которые помогают избежать этих неполадок или решить возникающие проблемы.

    Собираемые, обрабатываемые и передаваемые сведения.

    Дополнительные сведения о сведениях, собираемых, обрабатываемых и передаваемых службой отчетов об ошибках корпорации Майкрософт, см. в заявлении о конфиденциальности службы отчетов об ошибках корпорации Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkID=184782.

    Использование сведений.

    Сведения отчетов об ошибках используются для решения проблем, возникающих у пользователей, и для повышения качества программного обеспечения и услуг корпорации Майкрософт.

    Важная информация.

    App-V не изменяет параметры службы отчетов об ошибках корпорации Майкрософт. Если отправка отчетов об ошибках была включена ранее, описанные выше сведения будут передаваться. Корпоративные клиента могут использовать групповую политику, чтобы настроить работу со службой отчетов об ошибках корпорации Майкрософт на компьютерах. Параметры конфигурации позволяют отключать службу отчетов об ошибках корпорации Майкрософт. Техническая информация для администраторов о настройке групповой политики для службы отчетов об ошибках корпорации Майкрософт доступна по адресу http://go.microsoft.com/fwlink/?LinkId=35776.

    Ускорители пакетов приложений

    Как работает эта функция.

    Пользователи могут использовать ускорители пакетов приложений для автоматического создания пакетов сложных приложений без установки соответствующих приложений. Программа App-V Sequencer позволяет создавать ускорители для каждого виртуального пакета. Эти ускорители пакетов в дальнейшем можно использовать для автоматического повторного создания тех же пакетов. Для упрощения и автоматизации создания пакетов сложных приложений также можно использовать ускорители пакетов, созданные корпорацией Майкрософт или сторонними разработчиками.

    Собираемые, обрабатываемые и передаваемые сведения.

    Ускорители пакетов приложений могут содержать такие сведения, как имена компьютеров, сведения учетных записей пользователей и сведения о приложениях в составе файла ускорителя пакета.

    Если планируется передача ускорителей пакетов приложений пользователям за пределами организации, следует проверить все параметры и удостовериться в том, что ускорители пакетов не содержат личных сведений или сведений компании. Для просмотра содержимого можно открывать файлы ускорителей пакетов в любом средстве просмотра XML-файлов. Ниже описаны способы просмотра и удаления сведений о компьютерах и пользователях из файлов ускорителей пакетов перед тем, как передать эти файлы пользователям за пределами организации.

    • Имя пользователя. При входе на компьютер, на котором выполняется программа App-V Sequencer, следует использовать универсальную учетную запись пользователя, например администратор. Не следует использовать учетную запись, основанную на имени существующего пользователя.
    • Имя компьютера. Для компьютера, на котором выполняется программа App-V Sequencer, следует указать общее имя, не позволяющее идентифицировать компьютер.
    • URL-адрес сервера. Используйте параметры по умолчанию для сведений о конфигурации URL-адреса сервера на вкладке Развертывание в консоли программы App-V Sequencer.
    • Приложения. Если не нужно передавать другим пользователям список приложений, установленных на компьютере, на котором выполнялась программа Sequencer при создании ускорителя пакетов, необходимо удалить файл appv_manifest.xml. Этот файл находится в корневом каталоге пакета виртуальных приложений.

    При использовании функции работы с ускорителями пакетов приложений никакие сведения не передаются в корпорацию Майкрософт.

  • DirectAccess(С исправлением и нормальным переводом)

    Введение

    Количество мобильных пользователей в последнее время все больше растет, они ведут активную работу за пределами своего офиса, но им все равно необходимо получать доступ к сетевым ресурсам организации. Несмотря на то, что они имеют возможность подключаться к Интернет, получить доступ к ресурсам интрасети у них не получается, так как у удаленных клиентов не будет доступа к ресурсам офиса из-за работы корпоративных брандмауэров. Пользователи обычно подключались к своим ресурсам при помощи виртуальных частных сетей (VPN). Но у них есть несколько недостатков, таких как: выполнение подключения в несколько этапов (нужно ожидать завершения проверки подлинности, которое может затянуться на несколько минут), вероятны проблемы c фильтрацией VPN-трафика, после разрыва соединения приходится заново устанавливать VPN-подключение.

    По этим причинам вместо виртуальных частных сетей пользователи обычно выбирают только шлюзы приложений,такие как Microsoft Outlook Web Access (OWA) , для доступа к внутренней электронной почте Microsoft Exchange и прочее. Но для открытия своих документов, которые расположены в интрасети , все равно приходится использовать VPN-подключение. В связи с появлением нового компонента – DirectAccess в операционных системах Windows 7 и Windows Server 2008 R2 отпадает необходимость использования виртуальных частных сетей.

    DirectAccess – это новый компонент операционных систем Windows 7 и Windows Server 2008 R2, который обеспечивает для сотрудников равные возможности доступа к корпоративной сети вне зависимости от того, работают они удаленно или на рабочем месте в офисе.При помощи DirectAccess пользователи, которые работают удаленно от интрасети,могут получать доступ к общим папкам, приложениям и веб-сайтам корпоративной сети, без подключения к виртуальной частной сети (VPN).

    DirectAccess позволяет устанавливать двухстороннюю связь с корпоративной сетью всякий раз, когда переносной компьютер пользователя с включенной функцией DirectAccessподключается к Интернету, – даже до того, как пользователь войдет в систему.Благодаря DirectAccess пользователям никогда не придется думать о том,подключены ли они к корпоративной сети. DirectAccess имеет свои преимущества и для ИТ-специалистов: сетевые администраторы могут управлять удаленными компьютерами за пределами офиса, даже когда эти компьютеры не подключены к виртуальной частной сети (VPN). С помощью функции DirectAccess организации,уделяющие большое внимание нормативным требованиям, могут обеспечить их соблюдение и для переносных компьютеров.


    Общие термины

    Интранет (Intranet, интрасеть) – в отличие от сети Интернет, это внутренняя частная сеть организации. Как правило , Интранет – это Интернет в миниатюре, который построен на использовании протокола IP для обмена и совместного использования некоторой части информации внутри организации. Чаще всего под этим термином имеют в виду только видимую часть Интранет – внутренний веб-сайт организации. Интранет – это как бы «частный» Интернет, ограниченный виртуальным пространством отдельно взятой организации. Интранет допускает использование публичных каналов связи, входящих в Интернет (VPN), но при этом обеспечивается защита передаваемых данных и меры по пресечению проникновения извне на корпоративные узлы.

    Брандмауэр или межсетевой экран – это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.Основной задачей межсетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны также часто называют фильтрами, так как их основная задача – не пропускать пакеты, не подходящие под критерии, определённые в конфигурации.

    VPN(Virtual Private Network – виртуальная частная сеть) – RFC4026 – название семейства технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии.

    IPsec (IP Security) – RFC4301 – набор протоколов для обеспечения защиты данных,передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

    IPv6 (Internet Protocol version 6) – это новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования адреса длиной128 разрядов вместо 32.

    Teredo – RFC4380 – представляет собой технологию транзита IPv6, которая обеспечивает подключение по протоколу IPv6 через IPv4 для узлов, расположенных в IPv4 за счет преобразования сетевых адресов (NAT), в связи с чем протоколу IPv6 временно назначается частный адрес IPv4.

    IP-HTTPS – это новый протокол для Windows 7 и Windows Server 2008 R2, который разрешает хостам, расположенным за веб-прокси или брандмауэром устанавливать связь путем туннелирования пакетов IPv6 в IPv4 в сессии HTTPS. HTTPSиспользуется вместо HTTP, при этом сервером веб-прокси не будет предпринята попытка анализировать этот поток данных и завершить соединение.

    В настоящее время эффективность IP-HTTPS не настолько хорошо продумана, как другие протоколы связи DirectAccess. Существуют несколько шагов, которые могут быть приняты для улучшения производительности. Возможность IPsec-шифрования между серверомDirectAccess и клиентом DirectAccess может быть отключена для дальнейшего повышения эффективности работы этого протокола. В настоящее время, компанияMicrosoft изучает дополнительные пути повышения эффективности этого протокола для будущих версий Windows.

    Triple DES (3DES) – RFC1851 – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора. 3DESиспользуется чаще, чем DES, который легко ломается при помощи современных технологий.

    NAP (Network Access Protection) – технология компании Microsoft, предназначена контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера. Впервые была использована в Windows XP Service Pack 3, Windows Vista и Windows Server 2008.

    ISATAP – представляет собой технологию, которая используется для обеспечения связи IPv6 между хостами IPv6/IPv4 через интернет-протокол IPv4-only. ISATAPможет быть использован для обеспечения подключения DirectAccess по протоколуIPv6 для функционирования хостов ISATAP в интрасети.

    NAT-PT устройства могут быть развернуты для доступа клиентам DirectAccess толькоIPv4-ресурсов интрасети. NAT-PT обычно настраивается для обеспечения охвата конкретныхDNS имен. После развертывания NAT-PT вносит необходимые преобразованияIPv6-в-IPv4, позволяющие клиентам DirectAccess иметь доступ к любым ресурсомIPv4, расположенным в указанном пространстве имен.

    Несмотря на то, что вWindows Server 2003 включена поддержка протокола IPv6, многие интегрированные приложения не поддерживают протокол IPv6. Таким образом, устройству NAT-PTтребуется доступ к ресурсам, которые запущены на серверах под управлениемWindows Server 2003. Кроме того, ресурсам, расположенным на серверах под управлением не-Windows операционных систем необходим NAT-PT в том случае, если сервер и его приложения поддерживают подключение по протоколу IPv6.

    Поскольку операционные системы WIndows 7 и Windows Server 2008 R2 не обеспечивают функциональностьNAT-PT, конфигурация NAT-PT выходит за рамки этого документа.

    DSCP (Differentiated Services Code Point, Точка кода дифференцированных услуг) –это поле в заголовке IP-пакета, которое используется в целях классификации передаваемой информации.

    HTTPS (Hypertext Transfer Protocol Secure) – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.

    PKI (Public Key Infrastructure, Инфраструктура открытых ключей)– технология аутентификации с помощью открытых ключей. Основные механизмы PKI – установление доверия, система именования субъектов, обеспечивающая уникальность имени в рамках системы, связь имени субъекта и пары ключей (открытый и закрытый) с подтверждением этой связи средствами удостоверяющего центра, которому доверяет субъект, проверяющий правильность связи.

    6to4 – это переходный механизм, позволяющий передавать IPv6 пакеты черезIPv4-сети и не требующий создания двусторонних туннелей. Он, как правило,используется, когда конечный пользователь или сайт хотят получить соединение сIPv6-Интернетом, но не могут получить его от провайдера.

    Исключения NRPT. Всегда существуют некоторые имена, которые необходимо рассматривать отдельно от всех других имен. Эти имена не должны преобразовываться с помощью серверов DNS интрасети. Для того чтобы эти имена были разрешены DNS-серверами,необходимо добавить их в качестве исключения NRPT в настройках TCP/IPуказанного клиента.

    Если ни один DNS-сервер не указан в записях NRPT, то эта запись является исключением. Если имя DNSсоответствует записи в NRPT, которая не содержит адресов серверов DNS или вообще не соответствует записи в NRPT, то клиент DirectAccess посылает запросы имен с указанными настройками TCP/IP клиентов на DNS-сервер.

    Если на следующих серверах нет совпадений суффиксов имен записи NRPT для имен интрасети, то сервер создает NRPT-исключения:

    • WPAD сервера;
    • Сетевые сервера;
    • Сервера карантина

    Требования и соображения инфраструктуры

    Далее предоставлены следующие требования в инфраструктуре для развертывания DirectAccess:

    • Active Directory. Должен быть развернут хотя бы один сервер глобального каталога.Рабочие группы не поддерживаются.
    • Групповые политики. Групповые политики рекомендуются для обеспечения централизованного администрирования и развертывания настроек клиентов DirectAccess. При установке, мастер установки DirectAccess создает объекты и настройки групповых политик для клиентов DirectAccess и серверов DirectAccess.
    • Контроллер домена/DNS. Хотя бы один контроллер домена должен работать под операционной системой Windows Server 2008 SP2 или Windows Server 2008 R2.
    • Public key infrastructure (PKI) необходима для выдачи сертификатов компьютеров для проверки их подлинности при использовании Network Access Protection (NAP).Внешних сертификатов не требуется.
    • SSL-сертификаты для IP-HTTPS, установленные на DirectAccess должны иметь точку распространенияCLR, доступную из Интернета и в поле Subject должны содержать либо публичныйIPv4-адрес, присвоенный сервером DirectAccess, либо полное доменное имяDirectAccess сервера с IPv4 корпоративной сети, которое должно быть разрешено на Интранет DNS-сервере.
    • ПолитикиIPsec. DirectAccess использует политики IPsec, которые настраиваются и управляются при помощи брандмауэра Windows в режиме повышенной безопасности.
    • Разрешенные эхо-запросы трафика ICMPv6. Необходимо создать отдельные входящие и исходящие правила, которые разрешают эхо-запросы ICMPv6. Входящие правила необходимы для разрешения сообщений эхо-запросов ICMPv6 и применены для всех профилей.Исходящие правила разрешают сообщения эхо-запросов ICMPv6 и применяются для всех профилей, также рекомендуется для включения исходящих блоков. КлиентыDirectAccess, которые используют Teredo IPv6 для подключения к интрасети,используют ICMPv6 сообщения при создании схем связи.
    • ТехнологииIPv6. IPv6 и технологии преобразования ISATAP, Teredo и 6to4 должны быть доступны для использования сервера DirectAccess. Необходимо удалить именаISATAP на каждом из DNS-серверов, работающих под управлением Windows Server 2008 и более поздних версий.

    Подключение к интрасети с помощьюDirectAccess

    Благодаря компонентуDirectAccess можно забыть обо всех ограничениях использования виртуальных частных сетей при помощи автоматической установки двухстороннего соединения между клиентскими машинами и корпоративной сетью. Эта функция основана на таких стандартизированных технологиях, как протоколы IPSec и IPv6. Для проверки подлинности компьютера и пользователя DirectAccess использует протокол IPSec,что позволяет ИТ-администраторам управлять компьютером даже до того, как пользователь войдет в систему. Для шифрования обмена данными через Интернет вDirectAccess также используются такие методы, как Triple DES (3DES) и AES.

    Технология IPSec

    Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (уровни OSI 4 – 7). Это делает IPsec более гибким,поскольку он может использоваться для защиты любых протоколов, базирующихся наTCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (уровень OSI 4) для обеспечения надёжной передачи данных.

    IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе,защищающем локальную сеть. Заголовок любого пакета, проходящего через границу,анализируется на соответствие политикам безопасности, то есть критериям,заданным администратором. Пакет может быть либо передан дальше без изменений,либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) – безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.

    Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD – Security Policy Database) и базе данных безопасных соединений (SAD – Security Association Database). Записи в SPD определяют, в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализацияIPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры.

    Политики IPSec позволяют выбрать надежный алгоритм шифрования 3DES, обеспечивающий большую безопасность,чем алгоритм DES. Если компьютеры предприятия являются частью домена Active Directory, для проверки подлинности основного режима IPSec можно использовать стандартный метод (Kerberos V5). Внедрять сертификаты открытого ключа для связей в интрасети не обязательно. Для компьютеров, подключенных к Интернету,не рекомендуется использовать протокол Kerberos V5 для проверки подлинности. В противном случае при согласовании основного режима каждый участник политикиIPSec посылает учетную запись компьютера в незашифрованном формате другим участникам. Учетная запись компьютера остается незашифрованной до тех пор, пока не будут зашифрованы все учетные данные на этапе проверки подлинности во время согласования основного режима. Злоумышленник может отправлять пакеты протоколаIKE, что повлечет раскрытие отвечающей стороной IPSec учетной записи компьютера и членства в домене. Поэтому для защиты компьютеров, подключенных к Интернету,рекомендуется использовать проверку подлинности с помощью сертификата.

    Фильтры IPSec находятся на уровне IP-стека сетевого протокола TCP/IP и, следовательно, могут анализировать все входящие и исходящие пакеты IP. За исключением небольшой задержки, необходимой для согласования доверительных отношений между двумя компьютерами, безопасность IPSec является прозрачной для приложений конечного пользователя и служб операционной системы.

    Технология IPv6

    Еще в Windows Server 2008был полностью реализован протокол IPv6, хотя по-прежнему поддерживается и протокол IPv4. Протокол IPv6 устанавливается и включается по умолчанию, его можно настроить посредством панели управления (в Центре управления сетями и общим доступом щелкните компонент Управление сетевыми подключениями).Если программное обеспечение на компьютере при обмене данными использует иIPv6-, и IPv4-адреса, сетевые функции в Windows Server 2008 сначала пытаются установить соединение по протоколу IPv6 (хотя это зависит от применяющихся правил выбора адресов, определенных в RFC 3484). В результате обеспечивается лучшая подключаемость приложений с поддержкой IPv6. Windows Server 2008 также обеспечивает полную поддержку политик безопасности протокола IP (IPsec) для трафика IPv6.

    Введение в протоколе IPv6поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток – это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками. Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-разрядного числа. Все пакеты одного потока должны иметь одинаковые заголовки, обрабатываемые маршрутизатором.

    При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки,выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Ключом для такой записи является комбинация адреса источника и метки потока. Последующие пакеты с той же комбинацией адреса источника и метки потока обрабатываются с учётом информации кэша без детального анализа всех полей заголовка.

    Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока,пакет обрабатывается в обычном режиме и для него происходит новое формирование записи в кэше. Следует отметить, что указанное время жизни потока может быть явно определено узлом отправителем с помощью протокола управления или опций заголовка переходов, и может превышать 6 секунд.

    Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные(Multicast).

    Адреса типа Unicastхорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.

    Адреса типа Anycastсинтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.

    Адреса типа Multicastидентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.

    Triple DES (3DES)

    Triple DES (3DES) –симметричный блочный шифр, созданный Уитфилдом Диффи, Мартином Хеллманом и Уолтом Тачманном в 1978 году на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора. Скорость работы 3DES в 3 раза ниже, чем уDES, но криптостойкость намного выше – время, требуемое для криптоанализа 3DES,может быть в миллиард раз больше, чем время, нужное для вскрытия DES. 3DESиспользуется чаще, чем DES, который легко ломается при помощи современных технологий (в 1998 году организация Electronic Frontier Foundation, используя специальный компьютер DES Cracker, разбила DES за 3 дня). 3DES является простым способом устранения недостатков DES. Алгоритм 3DES построен на основе DES,поэтому для его реализации можно использовать программы, созданные для DES.

    Для обеспечения максимальной защиты от криптографических атак объем данных, зашифрованных одним ключом сеанса с помощью стандарта DES (Data Encryption Standard, стандарт шифрования данных) или Triple DES (3DES, тройной DES), не должен превышать 100МБ. В среде с высоким уровнем безопасности присутствует возможность использования времени жизни ключей сеанса MD5 или алгоритма SHA-1 (Secure Hash Algorithm) для получения более короткого времени, чем значения по умолчанию,чтобы обеспечить усиленную защиту против криптографических атак в будущем.

    В некоторых сценариях могут существовать действующие ограничения на время жизни ключей. Чем короче время жизни ключа, тем больше ресурсов процессора используется для его обновления. Это может ограничить число активных сопоставлений безопасностиIPSec, используемых компьютером, или пропускную способность для трафика,защищенного IPSec.

    Неоднократная смена ключа сеанса может привести к раскрытию общего секрета Диффи-Хелмана. Поэтому требуется установление предельного числа ключей сеанса быстрого режима, которые могут быть получены на основе согласования основного режима.

    При включенном параметре«Основной ключ безопасной пересылки (PFS)» предел для ключей сеанса не используется. Задание в качестве предела ключа сеанса значения 1 идентично включению PFS основного ключа. Если заданы и срок жизни основного ключа, и предел ключа сеанса, то новое согласование основного режима выполняется по достижении любого из этих пределов. По умолчанию политика IPSec не ограничивает количество ключей сеанса.

    Группы Диффи-Хелмана используются для определения длины основных простых чисел (материала для ключа), используемых при обмене ключами. Криптографическая надежность любого полученного ключа частично зависит от силы группы Диффи-Хелмана, на которой основаны простые числа.

    Группа 2048 (высокая)надежнее, чем группа 2 (средняя), которая в свою очередь надежнее, чем группа 1 (низкая). При использовании более надежной группы ключ, получаемый при обмене Диффи-Хелмана, является более надежным, и злоумышленнику сложнее получить его.

    IKE согласовывает использование группы, гарантируя невозможность сбоя согласования по причине несовпадения групп Диффи-Хелмана на сторонах соединения.

    Если включен параметр PFSосновного ключа, новый ключ Диффи-Хелмана согласовывается при первом согласовании сопоставления безопасности быстрого режима. Этот новый ключ устраняет зависимость ключа сеанса от обмена данными Диффи-Хелмана,выполняемого для основного ключа.

    У инициирующей и отвечающей сторон должен быть включен режим PFS для ключей сеанса, иначе происходит сбой согласования.

    Для согласования сопоставлений безопасности основного и быстрого режимов используется одна и та же группа Диффи-Хелмана. При включении PFS-ключей сеансов группа Диффи-Хелмана(несмотря на то, что она задается как часть согласования сопоставления безопасности основного режима) влияет на все смены ключа во время установки ключа сеанса.

    Туннельный режим IPSec

    Клиенты устанавливают туннель IPSec для передачи трафика IPv6 на сервер DirectAccess, который выступает в роли шлюза для доступа к интрасети. При использовании туннельного режима IPSec зашифровывает заголовок IP и полезные данные, тогда как в режиме транспорта зашифровываются только полезные данные IP. Туннельный режим обеспечивает защиту всего пакета IP, рассматривая его как полезные данные AH или ESP. При использовании туннельного режима весь пакет IP инкапсулируется в заголовок AHили ESP и в дополнительный заголовок IP. IP-адреса внешнего заголовка IPуказывают конечные точки туннеля, а IP-адреса инкапсулированного заголовка IPуказывают исходную точку и точку назначения пакета.

    Туннельный режим IPSecполезен для защиты трафика между различными сетями в том случае, когда трафик проходит через промежуточную сеть, не имеющую доверительных отношений. Однако туннельный режим используется главным образом для обеспечения взаимодействия со шлюзами или конечными системами, которые не поддерживают туннелированиеL2TP/IPSec или PPTP.

    Форсированное туннелирование

    По умолчанию удаленные клиенты DirectAccess имеют доступ к сети Интернет, Интранет, и их локальной подсети одновременно. Клиенты DirectAccess настроены для отправки всех имен запросов интрасети на DNS-сервера интрасети и неизвестные запросы или исключения для DNS-серверов провайдера. Это стандартный режим работыDirectAccess.

    Для того, чтобы форсировать весь интранет- или интернет-трафик, исходящий от клиентаDirectAccess, можно использовать форсированное туннелирование. Можно включить форсированное туннелирование при помощи следующего параметра групповой политики:

    Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\ Маршрутизировать весь трафик через внутреннюю сеть.

    Когда форсированное туннелирование включено, весь трафик клиента DirectAccess становится трафикомIPv6 и будет перенаправлен в интрасеть над туннелем IP-HTTPS. Клиенты с включенным форсированным туннелированием по-прежнему будут иметь доступ ко всем ресурсам в их локальной сети, такие как сетевые принтеры, но любой сетевой трафик за пределами локальной подсети будет трафиком IPv6.

    Туннели IPSecобеспечивают безопасность только для трафика IP. Туннель предназначен для защиты трафика между двумя IP-адресами либо между двумя подсетями IP. Если туннель используется между двумя компьютерами, а не между двумя шлюзами, адресIP за пределами полезных данных AH или ESP совпадает с IP-адресом внутри полезных данных AH или ESP. На следующем рисунке отображен клиент DirectAccess,устанавливающий соединение с сервером DirectAccess.

    Клиент DirectAccess устанавливает следующие туннели IPSec:

    1. Туннель IPSec ESP с использованием сертификата компьютера. Первый туннель от клиента DirectAcecss к серверуDirectAccess обеспечивает доступ к IPv6-адресам DNS-серверов и контроллеров домена AD DS. Это туннель IPsec ESP с использованием сертификата компьютера для первой аутентификации и пользователя (NTLMv2) для второй аутентификации. Учетные данные пользователя (NTLMv2) используются для того,чтобы заставить использовать AuthIP и обеспечивают клиента DirectAccess доступом к DNS и контроллеру домена, прежде чем они могут быть использованы Kerberos на втором туннеле.
    2. Туннель IPSec ESP с использованием сертификата компьютера и учетных данных пользователя. Этот туннель позволяет выбрать метод проверки подлинности по умолчанию для подключений IPSec на локальном компьютере. Изначально используется способ проверки подлинностиKerberosV5. Среди других ограничений, которые можно выбирать, есть ограничение подключений к компьютерам или пользователям, присоединенным к домену, а также ограничение подключений к компьютерам, у которых есть сертификат от указанного центра сертификации. К примеру, текущий туннель создается для того, чтобы клиент Microsoft Outlook мог загрузить электронную почту с сервера Microsoft Exchange в интрасети.

    После создания туннелей к серверу DirectAccess клиент может отправлять по ним трафик в интрасеть. СерверDirectAccess можно настроить таким образом, чтобы он контролировал, какие приложения могут запускать удаленные пользователи и к каким ресурсам в интрасети им предоставлен доступ.

    Клиенты DirectAccessмогут подключаться к ресурсам в интрасети с использованием двух типов защитыIPsec: end-to-end и end-to-edge.

    End-to-End – сквозная защита

    Защита end-to-endзначительно повышает безопасность и понижает административные расходы в том случае, если развернуто IPsec-шифрование в вашей корпоративной сети. Эта защита также может предусматривать дополнительные расходы для приобретения аппаратного обеспечения IPsec, сетевых адаптеров и пр. Поэтому, прежде чем разворачиватьIPsec для любого частного случая, следует тщательно проанализировать потенциальные угрозы, от которых может избавить политика IPsec.

    Защита безопасностиend-to-end устанавливает доверие и безопасность от одноадресного источникаIP-адреса на адрес назначения IP-адреса (peer-to-peer). Можно использовать эту возможность IPSec при обеспечении серверных сценариев, для которых разрешается доступ к серверу только для доверенных компьютеров. В сценариях, защищающих сервер, можно использовать IPSec для контроля доступа ко всем приложениям и службам, работающим на сервере, а затем или шифровать данные, или давать аутентификацию для всего трафика для приложений, используемых по сети.Компьютеры (IPSec peers) проходят проверку подлинности, используя KerberosV5 на основе сертификатов открытых ключей, или, в случае необходимости,предварительных ключей аутентификации.

    При защите end-to-end,клиенты DirectAccess устанавливают сеанс IPSec (показан зелеными стрелками)через сервер DirectAccess с каждым сервером приложений, к которому они подключаются. Это обеспечивает высочайший уровень безопасности, поскольку на сервере DirectAccess можно настроить управление доступом. Однако для такой архитектуры необходимо, чтобы серверы приложений работали под управлением ОСWindows Server 2008 или Windows Server 2008 R2 и использовали оба протокола –IPv6 и IPSec.


    End-to-Edge – полная защита

    Модель полного доступа интрасети позволяет клиентам DirectAccess подключаться ко всем ресурсам внутренней сети Интранет. Это можно реализовать при помощи основных политик IPsec-туннеля,которые требуют аутентификации и шифрования, превращая IPsec-сессию вIPsec-шлюз. IPsec-шлюз является функцией, которая размещается на сервереDirectAccess по умолчанию, но может быть перенесен на отдельный компьютер.

    Эта модель доступа работает с серверами приложений под управлением Windows Server 2003 и защищенного трафика IPsec, расположенного в интранете. Из-за сходства с VPN эта модель может быть развернута в быстрые сроки. Для обеспечения высочайшего уровня безопасности следует использовать протоколы IPv6 и IPsec во всей организации, а также желательно обновить серверы приложений до ОС Windows Server 2008 или Windows Server 2008 R2.

    Сервер шлюза IPsecперенаправляет незащищенный трафик на серверы приложений в интрасети. Такая архитектура не требует поддержки протокола IPsec в интрасети и пригодна для любых серверов приложений, использующих протокол IPv6.

  • AD RMS: Часть 2 – защита документов(Исправлено)

    Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы.

    Клиент управления правами Microsoft Windows (SP2) x86

    Клиент управления правами Microsoft Windows (SP2) x64

    Клиент управления правами Microsoft Windows (SP2) IA64

    Поскольку я использую Windows 7, то хлопоты с установкойRMS-клиента меня обошли стороной. Свой клиентский компьютер я включил в домен,предварительно настроив сеть следующим образом: IP- 192.168.0.3; Маска –255.255.255.0; DNS – 192.168.0.1

    Для экспериментов мне понадобится несколько учетных записей,каждая из которых обязана иметь заполненный атрибут «электронный ящик».

    ад4

    Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange-сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей.

    Перед тем как перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms-кластера) в список узлов Местной Интрасети клиентских браузеров IE 8. Зачем это делается? Когда клиент пытается защитить документ,он обращается по протоколу https к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивается имя и пароль. Нам это естественно не нужно.

    Чтобы максимально автоматизировать процесс добавления,создаем групповую политику «IE Security Zone» и прицепляем ее к организационному подразделению Accounts.

    ад8

    В этой политике разворачиваем: Конфигурацию Пользователя–> Административные Шаблоны –> Компоненты Windows –> Internet Explorer–> Панель Управления браузером –> Вкладка Безопасности –> Список назначений зоны безопасности для веб-сайтов.

    ад9

    Включим данный параметр и прописываем для узла adrms.itband.ru значение равное единице. (1) – это код зоны Местной Интрасети, о других кодах можно прочитать в справке, идущей вместе с параметром политики.

    ад10

    Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force и проверяем результат. В настройках IE8 на клиенте имя нашего кластера должно быть в Местной Интрасети.

    ад11

    Теперь все готово для проверки RMS. Выполняем вход наWindows 7 от имени учетной записи Bgatesи создаем тестовый документ Word 2007.Как только он будет готов, выбираем в меню опцию «Подготовить»–> «Ограниченный доступ».Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть,с помощью каких выпусков можно защищать документы.

    ад1

    При первой попытке защитить документ ваш компьютер запустит процедуру настройки, и, если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав.

    ад12

    Начнем с простого, разрешим только «Чтение» и только одной учетной записи Sbalmer, прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетной записи Sbalmer место и выполняем под ней вход.

    ад13

    Открыв тот же самый документ под пользователем Sbalmer, видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить,сохранить, скопировать и видим, что сделать этого не удается. Тем кто думает,что клавиша Print Screen спасет отцов «русской демократии»сразу отвечу: не спасет! Print Screenне работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте.

    ад3

    Может возникнуть вопрос: что же увидит человек, у которого вообще нет прав на данный документ?А увидит он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что в NTFS разрешения на данный документ могут быть хоть Full, но это никак не поможет получить доступ к его содержимому.

    ад18

    Снова заходим под учетной записью Bgates и открываем «Ограничение разрешений»,только теперь с дополнительными параметрами. Из появившихся любопытных прав:разрешить Печать содержимого и ограничить срок жизни документа. Если по печати все понятно, то срок действия документа рассмотрим подробней.

    Срок действия документа указывает, как долго будут действовать установленные ограничения.По окончанию срока жизни доступ к документу сможет получить только пользователь, имеющий «Полный Доступ».

    ад2

    Все остальные получают сообщение об истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями.

    Трудность первая: запоздалая реакция. Мною был создан документ и установлены разрешения со сроком до 12октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что он по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение об истекшем сроке разрешений, т.е. права сработали.

    ад

    Трудность вторая: странное поле. Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит «Срок действия разрешений 60 дней», указанный выше. Логически я понимаю,что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней?

    Вывод. Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуацию, я буду очень благодарен.

    И еще одна капля дегтя. Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю защищенный документ, либо защищаю новый, время на открытие или защиту документа иногда превышает 45–50 секунд. И это при условии,что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза «by design». Пока вывода сделать не могу,но если это норма, сотрудники будут «не рады» однозначно.

    Важно понять следующее:

    1. Разрешения можно давать как пользователям, так и любым группам Безопасности. Главное, чтобы эти группы имели заполненный атрибут «эл.ящик». Соответственно, разрешения будут действовать на членов этой группы.

    2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель – свести их клики к минимуму.

    Давайте сформируем примитивную задачу: Bgates является начальником ИТ-отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ-сотрудники имели одно право – на чтение этих документов. Все остальные не могли бы даже открыть его приказы.

    В тоже время в отделе есть ИТ-менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

    Для решения этой задачи создаем две группы безопасности: IT full и IT Read.

    ад5

  • AD RMS: Часть 1 – развертывание(Отредактировано)

    Несмотря на то, что служба AD RMS в Windows 2008 R2 является уже четвертым выпуском службы управления правами, она по-прежнему остается «редким зверем» в зоопарке ИТ-решений российских системных администраторов. Ответить на вопрос, почему так сложилось, довольно сложно, возможно, отчасти из-за недопонимания сути технологии и некоторых требований к уже имеющейся инфраструктуре, отчасти из-за ее несколько показушной защиты. Я не буду пытаться хвалить или наоборот выливать ушат грязи на AD RMS, а попытаюсь провести некий экскурс по ее настройке и администрированию, дабы читатель сам смог решить вопрос о необходимости подобного решения.

    Отличие AD RMS от других средств защиты данных

    Согласно модели защиты «Defense-in-Depth»на каждом из 7 уровней действуют свои средства обеспечения безопасности и если начать их перечислять, то станет понятно, подавляющее их большинство препятствует получению злоумышленником доступа к данным компании. И только лишь шифрование остается последнее преградой, когда информация находится в руках у злоумышленника. Задача AD RMS –сохранить конфиденциальность данных, при этом добавив гибкости и свободы в их распространении.

    Пример из жизни.Вы хотите опубликовать в рамках своего департамента эл. документ,распространение будет осуществляться самыми различными способами (эл. почта,копирование по сети, CD, Flash-носители). При всем этом у вас есть строгое требование: ограничить круг читателей документа сотрудниками вашего департамента, а также быть уверенным в том, что документ не будет модифицирован или распечатан. Это задача вполне под силу AD RMS.

    Вывод. AD RMSсоздан для обеспечения конфиденциальности документов независимо от способа хранения и распространения. Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения для тех, кто получит доступ к данным.

    Список возможных ограничений прав:

    • Чтение, Изменение, Печать
    • Срок действия документа
    • Запрет пересылки электронного письма
    • Запрет печати электронного письма

    Клиентскими операционными системами могут выступать:

    • Windows 2000
    • Windows XP
    • Windows 2003 /2003 R2
    • Windows Vista
    • Windows 7
    • Windows Server 2008 /2008 R2
    • Windows Mobile 6

    При наличии продуктов Exchange Server 2007 SP1 и SharePoint Server 2007 после установки AD RMS появляются дополнительные средства обеспечения безопасности. В частности в SharePoint Server 2007 появится возможность защищать библиотеки документов.

    Необходимые условия для внедрения.

    Как я уже сказал, AD RMS выдвигает определенные требования к существующей ИТ-инфраструктуре. Для того, что бы понять, как будет выглядеть наше решение, предлагаю рассмотреть Рис.1

    image

    Рис. 1. Компоненты решения AD RMS

    Стартовой площадкой и обязательным условием является наличие работоспособной службы Active Directory Domain Services (AD DS). При этом контроллер домена обязан быть на базеWindows Server 2000 SP3 или более поздних версий ОС. AD RMS перекладывает на службу AD DS задачу аутентификации и хранит в каталоге необходимый клиентам URLгруппы AD RMS серверов. Все пользователи и группы пользователей, которые будут работать с AD RMS должны иметь адрес электронной почты, настроенный в Active Directory DS. Это необходимо для получения доступа к защищенному содержимому и самостоятельной публикации защищенных документов.

    Как и большинство продуктов Microsoft AD RMS требует наличия сервера баз данных, а именно SQL-сервера. Поскольку мы говорим об AD RMS на платформе Windows Server 2008 R2, то следует учесть отсутствие поддержкиMicrosoft SQL Server 2000. Поэтому в качестве SQL-сервера следует использовать версии Microsoft SQL 2005/2008. При отсутствии SQL допускается использование внутренней базы Windows (Windows Internal Database), что сразу накладывает ограничение в использовании только одного сервера AD RMS.

    Клиентами могут выступать операционные системы Windows 2000, Windows XP и Windows 2003; при этом для работы с AD RMS на них будет необходимо установить клиентскую часть (AD RMS Client), скачиваемую с сайта Microsoft. С выходом Windows Vista SP1 и Windows 7 ситуация несколько упростилась, теперь клиент RMS интегрирован и дополнительной установки не требует. С версиямиMicrosoft Office также есть определенный нюанс, так Office 2007 Ultimate, Professional Plus, Enterprise дают возможность как защищать документы, так и пользоваться защищенными. В то время как более дешевые выпуски допускают только работу с уже защищенными файлами.

    Ну и наконец, сам AD RMS сервер. С появлением Windows Server 2008/2008 R2 служба управления правами изменила имя и стала компонентом операционной системы, устанавливаемым как роль сервера. Эта роль отвечает за предоставление лицензий контроля доступа к содержимому. При установке первогоAD RMS сервера, создается корневой кластер AD RMS. Для повышения отказоустойчивости и доступности впоследствии возможно добавить к корневому кластеру дополнительные AD RMS сервера. Важно понимать, что в лесу Active Directory может существовать только один корневой кластер AD RMS и несколько дополнительных AD RMS серверов лицензирования. Фактически AD RMS licensing-onlyсервер представляет собой филиальное решение, которое может быть развернуто для увеличения производительности и понижения использования WAN-канала в случае нахождения клиентов и AD RMS кластера в разных сайтах.

    Развертывание

    Самый просто способ понять AD RMS и разобраться в его работе– это настроить самостоятельно тестовый стенд. Развертывание я буду производить в виртуальной среде, состоящей из двух серверов: Server1 и Server2.

    Server1.

    ОС: Windows 2008 R2

    Является контроллером домена (itband.ru) в лесу Active Directory уровня Windows 2008 R2. Сетевой интерфейс сконфигурирован следующим образом: IP – 192.168.0.1; Маска подсети: 255.255.255.0; DNS – 192.168.0.1. Для тех, кто испытывает трудности с настройкой службы AD DS, я записал видео-демонстрацию. Скачать Видео «Поднятие первого контроллера домена в лесу (Server1)» можно по этой ссылке.

    Поскольку AD RMS требует для работы SQL-сервер и при настройке создает две базы данных (Configuration Databaseи Logging Database) мы установим его (SQL) на Server1. При настройке я использовал SQL Server 2008 Standart x64; сразу замечу, что из всего многообразия компонент SQL для AD RMSнужны компоненты Database Engine и полный набор Средств Управления.После инсталляции SQL Server 2008 в обязательном порядке требуется установка пакета обновления SP1, который добавляет совместимости с Windows 2008 R2.Читателям, не имеющим опыта инсталляций SQL Server 2008, будет интересно видео«Установка SQL Server 2008 на Server1», которое скачивается по ссылке.

    Server2.

    ОС: Windows 2008 R2

    Данный сервер нам и предстоит настроить, установив на нем службу управления правами Active Directory. Сервер является членом доменаitband.ru, со следующей конфигурацией сети: IP – 192.168.0.2; Маска подсети:255.255.255.0; DNS – 192.168.0.1.

    Запускаем «Диспетчер сервера» и открываем добавление новых ролей.

    ad2

    Прошу заметить, что AD RMS создает веб-сервис, и поэтому на нашем сервере должен быть установлен веб-сервер IIS с включенным ASP.NET;впрочем, добавление IIS производится автоматически при запуске установки AD RMS.

    ad3

    Служба AD RMS состоит из двух компонентов «Сервер управления правами Active Directory» и «Поддержка удостоверений в службе федераций».Нас интересует первый компонент. «Поддержка удостоверений в службе федераций»требуется в случае развертывания AD RMS в среде, состоящей из нескольких независимых компаний. Мы же создаем решение, которое будет использоваться только нашими сотрудниками, поэтому данную опцию опускаем.

    ad4

    Дальше все просто, мастер спрашивает, желаем ли мы создать новый кластер AD RMS или хотим добавить сервер AD RMS в уже существующий.Поскольку это первый сервер управления правами в нашей сети, оставляем вариант «Создать новый кластер». (Другой вариант, собственно, нам выбрать и не позволено).

    ad5

    На следующем окне, мы обязаны указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: «Использовать внутреннюю базу данных Windows», – с одной стороны плюс в том, чтоSQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера. Поэтому, выбираем другой сервер баз данных и прописываем Server1 (а именно на нем у нас стоит SQL).

    На данном этапе можно столкнуться с трудностью. При попытке получить экземпляры SQL-сервера и проверить их, сервер задумывается и сообщает о невозможности завершения операции. Все довольно просто, проблема в брандмауэре на Server1, который блокирует нужные для SQL порты. Поэтому знакомимся со статьей «Как настроить брандмауэр Windows для доступа к компоненту Database Engine»либо качаем короткое видео, где эта процедура демонстрируется.

    image

    Я поступил просто и разрешил работу Sqlservr.exe через брандмауэр, фактически же нас интересует открытие портов 1433 и 1434.

    ad6

    После выбора сервера баз данных, необходимо указать учетную запись, от имени которой будет работать служба управления правами.Обыкновенного доменного пользователя будет достаточно. Не забываем отключить устаревание пароля для нее и запрет смены.

    Важно. Если рольAD RMS устанавливается на контроллере домена, у учетной записи должны быть полномочия доменного администратора, что с точки зрения безопасности совсем не здорово. Поэтому такая инсталляция очень сильно расходится с «Best Practice».

    ad7

    При настройке кластера создается ключ, которым будут подписываться лицензии, выдаваемые клиентам. Также ключ понадобится при добавлении нового AD RMS сервера или при восстановлении после сбоя. Возникает вопрос «Где он будет храниться?» AD RMS имеет собственное защищенное хранилище, выбор которого является предпочтительным вариантом, поскольку позволяет сделать ключ доступным всем AD RMS серверам и требует минимум участия администратора. Поэтому я остановился на варианте «Использовать централизованное хранилище ключей». В противном случае ключ сохранится в локальном защищенном хранилище и распространять его придется вручную.

    ad8

    Далее задаем пароль, которым будет зашифрован ключ кластера.Пароль должен быть сложным и поступать с ним по принципу «ввел и забыл»ни в коем случае нельзя. При добавлении второго AD RMS сервера или восстановлении первого, вам придется его вспоминать.

    ad9

    Указываем на каком веб-сайте будет запущен веб-сервис AD RMS. Я не стал изобретать велосипед и оставил веб-сайт по умолчанию.

    ad10

    Теперь надо указать имя и порт, по которому пользователи будут подключаться к AD RMS кластеру. Поскольку безопасность превыше всего, я выбрал SSL. Имя, по которому пользователи будут обращаться к кластеру, я задалadrms.itband.ru, не забыв при этом создать на DNS-сервере CNAME-запись ссылающуюся на Server2.

    ad11

    Выбор имени и порта особенно важен, если учесть, что впоследствии эти данные будет невозможно поменять.

    ad12

    Так как на предыдущем экране мы сказали, что подключения к кластеру AD RMS будет осуществляться по протоколу https, у мастера возникает резонный вопрос «Где сертификат веб-сервера для установки безопасного канала?»

    Варианты действий:

    1. Создать самоподписанный сертификат. Самый простой путь, но к сожалению абсолютно непригодный для реальных сценариев развертывания. Ибо кроме IIS-сервера, этот сертификат придется запихивать на каждого клиента.

    2. Выбрать существующий сертификат SSL. Т.е. каким то центром этот сертификат уже должен быть выдан. Вариантов два: купить сертификат у коммерческого CA либо настроить свой СА на базе Active Directory Certificate Services. У каждого пути свои плюсы и минусы. Моя точка зрения следующая: если вы планируете получать доступ к документам, защищенным AD RMS с компьютеров расположенных за пределамивашей корпоративной сети, то лучше купить сертификат у коммерческого центра. В противном случае, свой центр сертификации – более дешевый, более быстрый и более логичный пусть. Именно эти путем и будем следовать мы, но, как вы могли заметить, Active Directory Certificate Services я не настраивал, поэтому пока выбираю третий вариант.

    3. Выбрать сертификат для шифрования SSL позднее. Установку мы сможем продолжить, но для работыAD RMS сертификатом придется разжиться позднее.

    ad13

    Вводим имя AD RMS кластера, оно должно быть простым и понятным, по умолчанию именем кластера является имя первого сервера.

    ad14

    Далее мастер спрашивает, регистрировать ли сейчас точку подключения службы AD RMS. Service connection point (SCP или точка подключения) не что иное, как запись URL-а (ссылки) на ваш кластер, которая хранится в базе AD DS и естественно будет доступна членам вашего домена, которые могут захотеть к этому кластеру подключиться. И вот когда они захотят, то возьмут URL кластера прописанный в SCP. Если процедура установки запущена от учетной записи, входящей в группу Enterprise Administrators (Администраторы предприятия), то регистрацию можно выполнить сразу.

    ad15

    Настройки AD RMSзакончены, и мастер переходит к веб-серверу IIS. IIS 7 в Windows 2008 стал до неприличия модульным и предлагает указать, какие компоненты необходимо установить. В оригинальной инструкции по установке AD RMS предлагается оставить компоненты, заданные мастером установки и перейти далее. Я же в своей инсталляции выбрал все компоненты, кроме FTP-сервера.

    ad16

    Все параметры введены, и стартует мастер установки, чьего окончания работы необходимо дождаться.

    ad17

    Если вы все делали правильно, и луна находилась в нужной фазе, по окончанию работы мастера установки должно появиться окно, говорящее об успешности добавления ролей и необходимости завершения сеанса с повторным входом перед дальнейшей работой с AD RMS.

    Теперь главной задачей является получение сертификата для веб-сервера IIS, используемого нашей службой AD RMS. Поскольку я не собираюсь покупать сертификат, то на Server1 добавляю роль Active Directory Certificate Services. Никакого дополнительного конфигурирования она не потребует, но если у вас возникнут с ней трудности, то скачиваем видео“Установка AD CS”.

    ad18

    Установив Службу Сертификации на Server1, возвращаемся на AD RMS (Server2) и открываем оснастку Диспетчер служб IIS. В ней на уровне веб-сервера ищем значок Сертификаты сервера и запускаем его.

    ad25

    В действиях выбираем «Создать сертификат домена» и заполняем необходимую для сертификата информацию. Полное имя должно нести FQDNвашего кластера AD RMS. В противном случае, при подключении к кластеру вы получите ошибку, говорящую о том, что сертификат был выдан совершенно для другого узла. Делаем все правильно и следуем далее.

    ad26

    В следующем окне надо задать два блока, первый определяет центр сертификации; если все работает нормально, то задать его можно по кнопке «Выбрать».Второй блок – «Понятное имя»– имя данного сертификата, по которому его сможет легко отличить администратор.

    ad27 - копия

    Если предыдущий шаг завершился успешно, на вашем сервере появился выданный сертификат, но пока он не используется. Это положение легко исправить, открыв Default Web Site и выбрав действие «Привязки». В открывшемся окне изменяем подключение по https, указав прослушиваемый IP-адрес и используемый сертификат.Если возникли трудности с оснасткой IIS – качаем видео «Запрос и установка сертификата для IIS».

    Вот и все, развертывание службы AD RMS завершено. Что дальше? Дальше будет установка через Групповые политики на старые ОС клиента RMS, прописывание адресов для пользователей,настройка шаблонов и многое-многое другое. Все это будет описано в следующих частях серии, посвященной Active Directory Rights Management Services.

  • Установка Search Server 2010 Express(Исправлено)

     

    В данной статье даются инструкции по чистой установке Microsoft Search Server 2010 или Microsoft Search Server 2010 Express на один компьютер. Существует два основных варианта установки любого из этих продуктов.

    • Вариант изолированной установки. При выборе этого варианта процесс установки автоматически установит Microsoft SQL Server 2008, экспресс-выпуск и все остальные необходимые программные компоненты на один и тот же компьютер. Это дает возможность развернуть полностью функциональное решение поиска на одном сервере. После выбора варианта изолированной установки остальная часть процесса установки выполняется полностью автоматически.
    • Вариант расширенной установки. При выборе этого варианта указывается база данных SQL Server, которая должна использоваться с продуктом. Эта база данных может быть как на том же компьютере, что и Microsoft Search Server 2010, так и на другом. Для Search Server 2010 Express выбор расширенной установки позволяет позднее добавлять в развертывание только веб-серверы. Для Microsoft Search Server 2010 выбор расширенной установки позволяет позднее добавлять в развертывание серверы приложений и веб-серверы. Во время расширенной установки необходимо использовать один из двух выпусков Microsoft SQL Server, приведенных в статье "Определение требований к оборудованию и программному обеспечению (SQL Server)".

    Во время расширенной установки необходимо использовать один из двух выпусков Microsoft SQL Server, приведенных в статье Требования к оборудованию и программному обеспечению (Search Server 2010).

    Установка Search Server 2010 Express

    Чтобы установить Search Server 2010 Express и приступить к его настройке, необходимо выполнить следующие действия.

    1. Проверка выполнения требований к оборудованию и программному обеспечению.
    2. Загрузка Search Server Express.
    3. Запуск средства подготовки продуктов и технологий Microsoft SharePoint 2010.
    4. Установка продукта.

    Эти процедуры рассматриваются в последующих разделах данной статьи. Учетная запись пользователя, в которой выполняются эти процедуры, должна быть членом группы администраторов на локальном компьютере.


    Проверка выполнения требований к оборудованию и программному обеспечению

    Прежде чем начать установку, необходимо выполнить следующее.

    • Убедиться, что удовлетворяются все требования к оборудованию и программному обеспечению, как описано в статье Требования к оборудованию и программному обеспечению (Search Server 2010).

      Рекомендуется устанавливать Search Server 2010 Express на новую установку операционной системы.

    • Загрузить следующее исправление, которое предоставляет метод для поддержки проверки подлинности маркеров без защиты транспорта или шифрования сообщений в Windows Communication Foundation (WCF) с пакетом обновления 1 (SP1) платформы .NET Framework 3.5. Загрузить версию исправления, соответствующую используемой версии Windows Server 2008.
    • Удалить роль Windows PowerShell при работе с Windows Server 2008 с пакетом обновления 1 (SP1) или с пакетом обновления 2 (SP2). Средство подготовки продуктов Microsoft SharePoint устанавливает Windows PowerShell 2.0 CTP3 как необходимый компонент, но может сделать это только после удаления роли Windows PowerShell. Чтобы удалить Windows PowerShell 1.0, выполните следующие действия.
      1. В меню "Пуск" Windows выберите Диспетчер серверов.
      2. В диалоговом окне Диспетчер серверов в узле Диспетчер серверов выберите Компоненты.
      3. Если в разделе Сводка компонентов в списке Компоненты имеется Windows PowerShell, выберите Удалить компоненты. Появится экран Мастер удаления компонентов.
      4. В диалоговом окне Выбор компонентов убедитесь, что выбран пункт Компоненты.
      5. Если в списке Компоненты установлен флажок Windows PowerShell, снимите его.
      6. Нажмите кнопку Далее.
      7. В диалоговом окне Подтверждение выборов для удаления нажмите Удалить. После окончания процесса удаления может потребоваться перезагрузить компьютер, чтобы изменения вступили в силу.


    Загрузка Search Server Express

    1. Загрузите этот продукт со страницы загрузки Search Server 2010 Express (http://go.microsoft.com/fwlink/?linkid=171064&clcid=0x419).
    2. В файловой системе перейдите к файлу SearchServerExpress.exe. Запустите этот файл, который является самораспаковывающимся архивом. Файл автоматически распаковывается, и появляется экран-заставка Search Server 2010 Express.


    Запуск средства подготовки продуктов и технологий Microsoft SharePoint 2010

    Средство подготовки продуктов Microsoft SharePoint можно использовать для установки необходимых компонентов для Search Server 2010 Express. Поскольку это средство загружает компоненты из центра загрузки Майкрософт, при работе этого средства необходимо иметь доступ к Интернету.

    Также можно установить необходимые программные компоненты вручную. Эти необходимые компоненты приведены в разделе Требования к оборудованию и программному обеспечению (Search Server 2010).

    Для запуска этого средства выполните следующие действия.

    1. В экране-заставке выберите Установить необходимое ПО.
    2. В экране приветствия средства подготовки продуктов и технологий Microsoft SharePoint 2010 нажмите кнопкуДалее.
    3. В экране условий лицензионного соглашения на использование программных продуктов примите эти условия и нажмите кнопку Далее.
    4. Появится экран средства подготовки продуктов Microsoft SharePoint, и средство установит необходимые компоненты. Процесс длится несколько минут.

      Может появиться следующее сообщение: Для продолжения необходима перезагрузка системы. Для перезагрузки системы нажмите кнопку "Готово". Если такое сообщение появляется, нажмите кнопку Готово для перезапуска.

    5. Убедитесь, что в экране завершения установки имеется сообщение об успешном завершении установки, и нажмите кнопку Готово.
    • Если средству подготовки не удалось успешно установить все необходимые компоненты, то отображается экран с сообщением Возникла ошибка во время установки. В этом экране нажмите Дополнительные сведения об этих необходимых компонентах для получения сведений о программных компонентах, необходимых для установки продукта. Все необходимые требования должны быть удовлетворены, прежде чем можно будет перейти к следующему разделу данной статьи, Установка продукта. Дополнительные сведения см. в разделе Проверка выполнения требований к оборудованию и программному обеспечению ранее в этой статье.
    • При запуске рабочего процесса служб IIS (w3wp.exe) или другой службы, а также при запуске управляемого приложения на сервере, на котором работает Search Server 2010 Express, может появиться следующее сообщение об ошибке: Загрузка данной сборки приведет к назначению другого набора прав от других экземпляров. (Исключение из HRESULT: 0x80131401). Если такое сообщение об ошибке отображается, то необходимо установить KB963676 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=151358&clcid=0x419) (Возможно, на английском языке), а затем перезапустить компьютер.


    Установка продукта

    1. В экране-заставке Search Server 2010 Express нажмите Установить Search Server Express.
    2. В экране условий лицензионного соглашения на использование программного обеспечения корпорации Майкрософт примите эти условия и нажмите кнопку Далее.
    3. В экране "Выберите нужный тип установки" выберите Базовая или Расширенная.
    4. В зависимости от выбранного варианта базовой или расширенной установки перейдите в один из следующих разделов данной статьи, чтобы завершить установку:


    Выполнение базовой установки

    Для завершения базовой установки следуйте данной процедуре. Она позволяет развернуть полностью функциональную конфигурацию поиска на одном единственном сервере. Мастер настройки продуктов SharePoint автоматически устанавливает Microsoft SQL Server 2008, экспресс-выпуск на компьютер с Search Server 2010 Express.

    Завершение базовой установки
    1. В экране Выбор нужного типа установки выберите Базовая. Появляется экран хода выполнения установки. Эта часть процесса установки длится несколько минут.

      Если происходит сбой этой части процесса установки, войдите с учетной записью пользователя, запустившего установку, а затем проверьте папку TEMP этого пользователя. Чтобы проверить папку TEMP, введите %temp% в строке размещения проводника. Если %temp% разрешается в папку, имя которой заканчивается цифрой 1 или 2, для просмотра журналов может потребоваться перейти на один уровень вверх. Имя файла журнала — Search Server Express Setupотметка_времени.

    2. В экране запуска мастера настройки выполните следующие действия.

      1. Убедитесь, что установлен флажок Запустить мастер настройки продуктов и технологий SharePoint.

        Если флажок Запустить мастер настройки продуктов и технологий SharePoint не установлен перед нажатием кнопки Закрыть, то можно будет запустить этот мастер настройки позднее. Для этого нажмите кнопку Пуск в Windows, последовательно выберите пункты Программы и Продукты Microsoft SharePoint 2010, а затем нажмите Мастер настройки продуктов SharePoint 2010.

      2. Чтобы запустить мастер настройки, нажмите кнопку Закрыть. Подождите появления экрана приветствия продуктов SharePoint.
    3. В экране приветствия продуктов SharePoint нажмите кнопку Далее.

    4. В диалоговом окне, сообщающем о том, что некоторые службы можно перезапустить или сбросить при настройке, нажмите кнопку Да.

      Мастер настройки работает несколько минут. Он автоматизирует такие задачи, как установка служб Search Server 2010 Express, создание базы данных конфигурации и базы данных контента для сайтов SharePoint и создание веб-приложений и сайтов Search Server 2010 Express для центра администрирования, администрирования поиска и центра поиска.

      Если происходит сбой этого мастера, проверьте файлы журналов в папке %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS.

    5. В экране Настройка успешно завершена нажмите кнопку Готово. Появится центр поиска.

      Если последует запрос имени пользователя и пароля, введите учетные данные, которые использовались при входе в компьютер. При появлении соответствующего запроса добавьте этот сайт в список доверенных сайтов в Windows Internet Explorer.

    6. Запишите URL-адрес центра поиска или создайте закладку для будущего использования.

    7. Чтобы перейти на веб-сайт центра администрирования Search Server 2010 Express и приступить к настройке административных параметров для поиска, выполните следующие действия.

      1. Нажмите кнопку Пуск в Windows.

      2. Выберите пункт Все программы.

      3. Выберите пункт Продукты Microsoft SharePoint 2010.

      4. Нажмите пункт Центр администрирования Sharepoint 2010.Появляется веб-сайт центра администрирования.

    На этом процесс базовой установки завершается. Остальные процедуры в этой статье относятся только к расширенной установке. Для продолжения администрирования нового базового развертывания Search Server 2010 Express см. статью Действия после установки (Search Server 2010).


    Выполнение расширенной установки

    Для выполнения расширенной установки следуйте приведенной здесь процедуре. Во время установки необходимо указать сервер базы данных и базу данных для хранилища данных конфигурации фермы серверов. Необходимо также указать имя пользователя и пароль для учетной записи доступа к базе данных, которая будет выполнять администрирование этой фермы серверов.

    Выполнение расширенной установки
    1. На экране Выбор нужного типа установки щелкните Расширенная. Появляется экран Тип сервера.

    2. В экране Тип сервера выполните следующие действия.

      • На вкладке Тип сервера выберите Полная. Это позволяет использовать с развертыванием базу данных SQL Server и добавлять веб-серверы в развертывание позднее.
      • Необязательно: на вкладке Расположение файла можно изменить путь установки или расположение файлов индекса контента. Индекс контента может быть очень большим, поэтому следует убедиться, что на выбранном диске достаточно свободного пространства.
    3. Нажмите кнопку Установить. Появится экран хода выполнения установки. Эта часть процесса установки длится несколько минут.

      Если происходит сбой этой части процесса установки, проверьте папку TEMP. Чтобы проверить папку TEMP, введите %temp% в строке размещения проводника. Если %temp% разрешается в папку, имя которой заканчивается цифрой 1 или 2, для просмотра журналов может потребоваться перейти на один уровень вверх. Имя файла журнала — Search Server Express Setupотметка_времени.

    4. В экране запуска мастера настройки выполните следующие действия.

      1. Убедитесь, что установлен флажок Запустить мастер настройки продуктов и технологий SharePoint, и таким образом настройка сервера может быть завершена.

        Если флажок Запустить мастер настройки продуктов и технологий SharePoint не установлен перед нажатием кнопки Закрыть, то можно будет запустить этот мастер настройки позднее. Для этого нажмите кнопку Пуск в Windows, последовательно выберите пункты Программы и Продукты Microsoft SharePoint 2010, а затем нажмите Мастер настройки продуктов SharePoint 2010.

      2. Чтобы запустить мастер настройки, нажмите кнопку Закрыть. Подождите, пока появится экран приветствия продуктов SharePoint.
    5. В экране приветствия продуктов SharePoint нажмите кнопку Далее.

    6. В диалоговом окне, сообщающем о том, что некоторые службы можно перезапустить или сбросить при настройке, нажмите кнопку Да.

      Мастер настройки работает несколько минут. Он автоматизирует такие задачи, как установка служб Search Server 2010 Express, создание базы данных конфигурации и базы данных контента для сайтов SharePoint и создание веб-приложений и сайтов Search Server 2010 Express для центра администрирования, администрирования поиска и центра поиска.

      Если происходит сбой мастера настройки продуктов и технологий SharePoint, проверьте файлы журналов в папке %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS.

    7. В экране подключения к ферме серверов выберите Создать новую ферму серверов, а затем нажмите кнопку Далее.

    8. В экране Задание параметров базы данных конфигурации заполните следующие поля, введя соответствующие данные для организации:

      • Сервер базы данных — имя существующего узла SQL Server, в котором установлена одна из следующих версий продукта:
      • Имя базы данных — примите имя базы данных по умолчанию (SharePoint_Config) или введите другое имя. Если указанная база данных уже существует, она должна быть пустой. Если база данных не существует, она создается.
        Запишите имя названной здесь базы данных на случай, если позднее будут добавляться серверы в это развертывание Search Server. Целесообразно использовать удобное имя, которое будет легко запомнить. Имя базы данных придется указывать снова, когда будет производиться установка Search Server на другие серверы фермы.
      • Учетная запись доступа к базе данных — следуйте инструкциям на экране.
      • В поле Имя пользователя укажите имя существующей учетной записи Windows, которую данный компьютер всегда может использовать для подключения к базе данных конфигурации. Если база данных конфигурации находится на другом сервере, необходимо указать имя пользователя в формате "домен\имя_пользователя".

        Учетная запись для доступа к базе данных также является учетной записью удостоверения пула приложений для пула приложений центра администрирования, и это та учетная запись, в которой выполняется служба таймера Windows SharePoint Services. Мастер настройки продуктов SharePoint добавляет эту учетную запись к именам для входа в SQL Server, к фиксированной роли сервера dbcreator SQL Server и к фиксированной роли сервера securityadmin SQL Server. Эта учетная запись для доступа к базе данных должна быть учетной записью пользователя домена. Однако она не обязательно должна быть членом какой-либо группы безопасности на веб-серверах или на серверах баз данных в ферме серверов. Рекомендуется следовать принципу предоставления минимальных прав и указывать учетную запись пользователя, не являющегося членом группы администраторов на веб-серверах и серверах баз данных фермы.

    9. Нажмите кнопку Далее.

    10. На странице задания параметров безопасности фермы введите парольную фразу в полях Парольная фраза и Подтверждение парольной фразы, а затем нажмите кнопку Далее. Эта парольная фраза помогает обезопасить данные конфигурации фермы. Она необходима для каждого сервера, включенного в ферму.

      Парольная фраза используется для шифрования учетных данных учетных записей, зарегистрированных в Search Server, например системной учетной записи Search Server, которая предоставляется при запуске мастера настройки продуктов SharePoint. Следует записать эту парольную фразу в безопасном месте, поскольку ее придется использовать каждый раз при добавлении сервера в ферму. Убедитесь, что парольная фраза удовлетворяет следующим критериям:

      • содержит по крайней мере восемь символов;
      • содержит хотя бы три следующих вида символов:
        • английские заглавные буквы (от A до Z);
        • английские строчные буквы (от a до z);
        • цифры (от 0 до 9);
        • знаки, не относящиеся к буквам и цифрам (например !, $, #, %).
    11. В экране настройки веб-приложения центра администрирования SharePoint выполните следующие действия.

      1. При необходимости прочитайте текст вверху экрана, чтобы получить представление о функции веб-приложения центра администрирования SharePoint.
      2. Если планируется указать номер порта, который должно использовать веб-приложение центра администрирования SharePoint, то установите флажок Указать номер порта, а затем введите номер порта. Если планируется использовать номер порта по умолчанию, снимите флажок Указать номер порта.

        Запишите выбранный номер порта (указанный или установленный по умолчанию). Этот номер порта можно использовать для перехода на веб-сайт центра администрирования после завершения данной части процесса установки.

        Если планируется получать доступ к веб-сайту центра администрирования SharePoint с удаленного компьютера, следует добавить этот номер порта в список исключений брандмауэра Windows на сервере приложений.

      3. Выберите проверку подлинности NTLM или проверку подлинности Согласование (Kerberos).
    12. Нажмите кнопку Далее.

    13. В экране завершения мастера настройки продуктов и технологий SharePoint просмотрите параметры конфигурации, чтобы убедиться в их правильности, и нажмите кнопку Далее.

      Пункт Дополнительные параметры доступен только в Microsoft SharePoint Foundation 2010.

    14. Во время выполнения мастером настройки установки с помощью указанных параметров отображается страница экрана хода выполнения настройки продуктов SharePoint.

    15. На странице "Настройка успешно завершена" нажмите кнопку Готово. Теперь можно запустить мастер настройки фермы, чтобы выбрать службы для фермы и создать центр поиска.

      Появляется веб-сайт мастера первоначальной настройки фермы. С помощью этого мастера можно выполнить следующие этапы настройки установки Search Server 2010 Express.

      • Если происходит сбой этого мастера, проверьте журналы в папке %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS.
      • Если последует запрос имени пользователя и пароля, введите учетные данные, использованные при входе в компьютер. При появлении запроса можно добавить этот сайт в список доверенных сайтов в Internet Explorer. Кроме того, можно отключить параметры усиленной безопасности Internet Explorer.
      • Если появится сообщение об ошибке прокси-сервера, может понадобиться настройка параметров прокси-севера, чтобы разрешить обход прокси-сервера локальными сайтами. Дополнительные сведения см. в статье Configure farm-level proxy server settings (Search Server 2010) (на английском языке).
    Запустите мастер первоначальной настройки фермы.
    1. На странице настройки фермы SharePoint в ответ на запрос Как следует выполнить настройку фермы SharePoint? выполните одно из следующих действий.

      1. Нажмите Запустить мастер, чтобы вместе с мастером пройти по всем выбранным для использования службам ферм и создать первый сайт. Выбранные службы будут выполняться с параметрами по умолчанию на всех серверах фермы.
      2. Нажмите Отмена, чтобы перейти на веб-сайт центра администрирования и начать настройку фермы без использования мастера. При нажатии кнопки Отмена данная процедура установки завершается. Мастер первоначальной настройки фермы можно запустить позднее на странице "Мастеры настройки" веб-сайта центра администрирования.
    2. На странице настройки фермы SharePoint в разделе Учетная запись службы выберите учетную запись службы, которая будет использоваться для настройки служб.

      В целях безопасности для настройки служб в ферме рекомендуется указывать учетную запись пользователя, не являющегося администратором фермы. Если для настройки служб будет указана учетная запись администратора фермы, то учетная запись по умолчанию для доступа к контенту также будет настроена как учетная запись администратора фермы. В таком случае учетная запись по умолчанию для доступа к контенту может иметь разрешения для обхода определенных документов, обход которых не планировалось разрешать.

    3. На странице настройки фермы SharePoint в разделе Службы по умолчанию выбраны все службы в списке, кроме соединителя Lotus Notes. Рекомендуется принять эти параметры по умолчанию для служб, которые будут работать в ферме, и нажать кнопку Далее.

      Службы, перечисленные в разделе Службы и выбранные по умолчанию, приводятся в следующей таблице.

      Служба
      Описание

      Служба подключения к бизнес-данным

      При включении этой службы ферма SharePoint получает возможность отправлять модели подключения к бизнес-данным, которые описывают интерфейс бизнес-систем предприятия, и таким образом получать доступ к данным в этих системах.

      Соединитель Lotus Notes

      Соединитель поиска для обхода данных на сервере Lotus Notes.

      Приложение службы поиска

      Выполняет обход и индексирование контента и обслуживает поисковые запросы.

      Служба Secure Store

      Обеспечивает возможность безопасного хранения данных (т. е. набор учетных данных) и сопоставление их с определенным удостоверением или группой удостоверений.

      Служба состояний

      Предоставляет временное хранилище данных сеанса пользователя для компонентов SharePoint Server.

      Сбор данных об использовании и исправности

      Собирает сведения об использовании и исправности по всей ферме, позволяя администраторам просматривать отчеты об использовании и исправности.

      Приложение службы Web Analytics

      Приложение службы Web Analytics.

    4. На странице создания семейства сайтов создайте центр поиска, выполнив следующие действия.

      1. При необходимости в разделе Название и описание выполните следующее:
        1. В поле Название укажите имя нового семейства сайтов. Можно указать имя, показывающее, что создается именно центр поиска.
        2. В поле Описание введите описание семейства сайтов.
      2. В разделе Адрес веб-сайта укажите URL-адрес для семейства сайтов.
      3. В разделе Выбор шаблона выберите вкладку Организация.
      4. Убедитесь, что в списке Выбор шаблона выбран шаблон Основной центр поиска. Сайт центра поиска включает страницы для отображения результатов поиска.
      5. Запишите URL-адрес этого центра поиска или создайте закладку для будущего использования.
      6. Нажмите кнопку ОК.
      7. На странице настройки фермы SharePoint просмотрите сводку по конфигурации фермы, а затем нажмите кнопку Готово.
  • Развертывание Forefront Security для Exchange Server 2007 в кластерной среде

    Введение в установку в кластерной среде

    В последние годы установки в кластерной среде становятся все более популярными. Программу Microsoft® Exchange Server 2007 можно установить в кластерных системах, используя конфигурацию непрерывной репликации кластера (CCR) или кластера с единым хранилищем (SCC). Затем можно установить Microsoft® Forefront Security™ для Exchange Server (FSE) на серверы почтовых ящиков Exchange в кластерных системах. FSE поддерживает точки подключения томов.

     

    В кластерной среде не поддерживается консоль управления Forefront Server Security.

    Дополнительные сведения о настройке и выполнении FSE см. в руководстве пользователя Microsoft Forefront Security для Exchange Server.

     

    Локальная непрерывная репликация (LCR)

    LCR предусматривает репликацию данных на альтернативный диск, присоединенный к той же системе. Данная функция не является конфигурацией кластера, так как не обеспечивает истинное безотказное решение в случае отказа системы. Она предназначена для обеспечения защиты в случае сбоев в локальном хранилище, но не обеспечивает защиту в случае сбоя в работе самого сервера. LCR является односерверным решением, которое использует встроенную технологию доставки и преобразования журналов для создания и поддержания копии группы хранилищ на втором наборе дисков, который подключен к тому же серверу, что и производственная группа хранилищ. LCR позволяет вручную быстро переключиться на запасную копию данных. Процедура установки Forefront Security для Exchange Server на систему LCR аналогична обычной изолированной установке.

    Непрерывная репликация кластера (CCR)

    Кластерный сервер почтовых ящиков этого типа сочетает возможности репликации и преобразования в Exchange 2007 с возможностями перехода на другой ресурс при сбое в службах кластеров Microsoft. CCR является решением, которое развертывается без единой точки сбоя в одном центре обработки данных или между двумя центрами обработки данных. Узел, на котором в данный момент выполняется кластерный сервер почтовых ящиков (ранее назывался виртуальный сервер Exchange) является активным узлом; узел в кластере, на котором в данный момент не выполняется кластерный сервер почтовых ящиков, является пассивным узлом.

    CCR использует функциональность восстановления при сбое в базе данных в Exchange 2007 для обеспечения непрерывного и асинхронного обновления запасной копии базы данных изменениями, внесенными в активную копию базы данных. Журналы не копируются до тех пор, пока не будут закрыты и не будут больше использоваться сервером почтовых ящиков. В процессе установки пассивного узла в среде CCR, каждая группа хранилищ и ее база данных копируются с активного узла на пассивный узел. Эта операция называется «инициализация» и служит основанием для репликации базы данных. После выполнения начальной инициализации, непрерывно осуществляется преобразование и копирование журналов. CCR использует пассивный узел для копирования и преобразования журналов. Доступ к журналам осуществляется пассивным узлом посредством общего файлового ресурса.

    В среде CCR возможности репликации интегрированы в службу кластеров для обеспечения безотказного решения. Помимо обеспечения доступности данных и служб, CCR также предоставляет дополнительные возможности для плановых остановок. Когда необходимо установить обновления или выполнить обслуживание, кластерный сервер почтовых ящиков можно вручную переместить на пассивный узел. После завершения операции переноса, можно выполнить необходимое обслуживание.

    Кластер с единым хранилищем (SCC)

    Кластерный сервер почтовых ящиков данного типа использует общее хранилище в конфигурации отказоустойчивого кластера, чтобы разрешить нескольким серверам управлять одной копией групп хранилищ. В этой архитектуре, несмотря на то, что все узлы в кластере могут получить доступ к общим данным, они не могут сделать это одновременно.

    В кластере с единым хранилищем, сервер почтовых ящиков Exchange 2007 использует свой собственный сетевой идентификатор, а не идентификатор какого-либо узла в кластере. Этот сетевой идентификатор называется кластерным сервером почтовых ящиков. Если на узле, на котором выполняется кластерный сервер почтовых ящиков, возникают проблемы, кластерный сервер почтовых ящиков переходит в автономный режим на короткое время, пока другой узел не примет на себя управление и не вернет кластерный сервер почтовых ящиков в оперативный режим (этот процесс называется «переход на другой ресурс при сбое»). Общее хранилище доступно каждому из возможных узлов кластерного сервера почтовых ящиков. В случае перехода на другой ресурс из-за сбоя, хранилище, связанное с кластерным сервером почтовых ящиков, логически отключается от отказавшего узла и передается под управление нового узла.

    Резервная непрерывная репликация (SCR)

    SCR — это технология репликации, а не конфигурация кластера. В отличие от технологии CCR, при использовании которой необходимо, чтобы оба сервера принадлежали к кластеру Windows (который, как правило, находится в том же центре обработки данных), SCR может реплицировать данные на некластерный сервер, расположенный в другом центре обработки данных. Эта конфигурация создает избыточность в хранилище центра обработки данных путем разрешения существования дополнительной копии данных внутри или вне центра обработки данных. SCR использует технологию непрерывной репликации для переноса данных с одного сервера почтовых ящиков на другой. Технология SCR позволяет серверу почтовых ящиков быть назначением непрерывной репликации в изолированном сервере почтовых ящиков, который не поддерживает LCR. Сервер почтовых ящиков также может быть пассивным узлом в отказоустойчивом кластере, в котором установлена роль почтового ящика, но не установлен кластерный сервер почтовых ящиков.

    Переход на другой ресурс при сбое

    Процесс, в ходе которого один сервер в кластере принимает на себя функции другого сервера в этом кластере в случае сбоя в работе первого сервера. Этот термин также используется для обозначения намеренной передачи служб другому серверу в кластере.

    Кворум

    Запоминающее устройство, которое отслеживает, какой узел владеет кластерным приложением. В случае сбоя именно это устройство определяет сервер, который станет активным.

     

    Установка FSE в кластерной среде

    Программа Forefront Security для Exchange Server поддерживает локальные установки во всех типах конфигураций кластера Exchange Server 2007 и конфигурациях, подобных кластерной:

    • Локальная непрерывная репликация (LCR);
    • Резервная непрерывная репликация (SCR);
    • Непрерывная репликация кластера (CCR);
    • Кластер с единым хранилищем (SCC).

    Программа Forefront Security для Exchange Server распознает наличие активных/пассивных кластеров Microsoft Windows Server 2003 и Microsoft Windows Server "Longhorn". Чтобы установить программу Forefront Security для Exchange Server в кластерной среде, необходимо войти на локальный компьютер в качестве пользователя домена, используя учетную запись, обладающую правами администратора локального компьютера. Программу Forefront Security для Exchange Server необходимо установить на каждом узле. Все программные файлы следует устанавливать на локальный диск.

    Возможности установки включают следующее.

    • Данные конфигурации (например, файлы ScanJobs.fdb и Notifications.fdb) связаны с кластерным сервером почтовых ящиков (CMS), а не с физическими узлами. Поэтому, данные необходимо настраивать только для каждого сервера CMS, независимо от числа узлов.
    • Аналогично файлы сигнатур связаны с сервером CMS таким образом, что и активные и пассивные узлы используют последние версии файлов.
    • Данные конфигурации, которые хранятся в реестре, реплицируются с помощью сервера CMS при перемещении сервера CMS с одного компьютера на другой в случае сбоя.

    Программа Forefront Server Security Administrator должна быть подключена к виртуальной машине при подключении к программе Forefront Security для Exchange в кластерном сервере. При попытке подключения к физическому серверу, появится окно с приглашением выбрать виртуальную машину, к которой требуется подключиться.

     

    Обновление FSE

    Для обновления FSE в кластерной среде необходимо выполнить «последовательное обновление» с помощью программы Setup.exe.

    Для выполнения последовательного обновления

    1. Обновите все пассивные узлы. Если появится приглашение перезапустить сервер - сделайте это.

    2. Для каждого активного узла переместите сервер на уже обновленный пассивный узел,

    3. Обновите новый пассивный узел (узел, который только что был перемещен). Если появится приглашение перезапустить сервер - сделайте это.

     

    Удаление FSE

    Для каждого типа кластера используется особый способ удаления FSE.


    Удаление FSE из системы локальной непрерывной репликации (LCR)

    Для удаления FSE из системы LCR выполните следующие действия.

    Удаление FSE из системы LCR

    1. Убедитесь, что не выполняется расширенный «клиент Antigen» Forefront Server Security Administrator.

    2. На панели управления откройте компонент Службы.

    3. Остановите службу FSCController. Это также приведет к остановке службы транспорта Microsoft Exchange и банка сообщений Microsoft Exchange.

    4. Когда все эти службы будут остановлены, закройте диалоговое окно «Службы».

    5. На панели управления откройте компонент Установка и удаление программ.

    6. Удалите Microsoft Forefront Security для Exchange Server. Чтобы подтвердить удаление, нажмите кнопку Да.

    7. На экране Удаление завершено нажмите кнопку Готово.

    8. Все сделанные настройки сохраняются в FDB-файлах в папке Microsoft Forefront Security, находящейся в папке Program Files или другой папке, куда была установлена программа. Кроме того, сохраняются файлы базы данных происшествий и карантина, а также файл Statistics.xml. Не требуется предпринимать никаких действий, если необходимо переустановить программу FSE и использовать эти параметры. Если программа FSE не будет переустановлена или если необходимо использовать новые значения параметров, следует удалить эту папку.

    9. Если не планируется переустанавливать программу Forefront Security для Exchange Server, следует перезапустить остановленные службы Exchange.

    Удаление FSE из системы резервной непрерывной репликации (LCR)

    Удаление FSE из системы SCR сервера Exchange зависит от конфигурации исходной установки (центра обработки данных). Дополнительные сведения см. в Советы по системе резервной непрерывной репликации (SCR).


    Удаление FSE из кластера CCR

    Для удаления FSE из кластера CCR выполните следующие действия. При удалении кластерных серверов средство «Удаление программ» отключает Internet Information Services (IIS). Кроме того, оно переводит сервер CMS на активном узле в автономный режим. При удалении из кластера CCR не требуется останавливать службы.

    Удаление FSE из кластера CCR

    1. Начните с активного узла.

    2. Используйте средство Установка и удаление программ на панели управления, чтобы удалить программу Forefront Security для Exchange Server. При удалении из кластерных серверов, средство «Удаление программ» переводит сервер CMS на активном узле в автономный режим.

    3. После удаления FSE с активного узла, удалите эту программу с пассивного узла.

    Пока программа Forefront не будет удалена со всех узлов, перезагружать компьютеры нельзя, даже если программа удаления предлагает это сделать. В противном случае, при перезапуске активного узла, сервер CMS, запущенный на нем, может перейти на пассивный узел прежде, чем тот будет успешно удален. Сервер CMS не следует переносить вручную до удаления программы Forefront со всех узлов.


    Удаление FSE из кластера SCC

    Для удаления FSE из кластера SCC выполните следующие действия. При удалении кластерных серверов средство «Удаление программ» отключает Internet Information Services (IIS). Кроме того, оно переводит сервер CMS на активном узле в автономный режим. При удалении из кластера SCC не требуется останавливать службы.

    Удаление FSE из кластера SCC

    1. Сначала нужно удалить программу Forefront с активных узлов, затем с пассивных.

    2. Используйте средство Установка и удаление программ на панели управления, чтобы удалить программу Forefront Security для Exchange Server. При удалении из кластерных серверов, средство «Удаление программ» переводит сервер CMS на активном узле в автономный режим.

    3. Перезапустите все компьютеры.

Подписаться на новости