Записки IT специалиста

С выходом Windows Server 2012 Microsoft серьезно пересмотрела правила лицензирования, с учетом последних тенденций в отрасли. В частности, уделено самое пристальное внимание виртуальным средам, а также существенно изменена продуктовая линейка. Надо сказать, что это пошло только на пользу, схема стала намного проще и понятнее, сохранив при этом общие принципы лицензирования. Самое время познакомиться с предметом более подробно.

Изменения встречаю нас уже в прайс листе, по сравнению с Windows Server 2008, который имел целых шесть редакций (не считая версии для Itanium) и два специальных выпуска для малого бизнеса, Windows Server имеет всего две основных редакции и два выпуска для малого бизнеса.

Начнем с последних. Редакции Foundation и Essentials предназначены для самого малого бизнеса и лицензируются на сервер с числом пользователей 15 и 25 соответственно, кроме того Foundation доступен только в OEM канале. Обе редакции не имеют прав на виртуализацию и не предполагают никакого расширения, при выходе за лимиты вам придется заново лицензировать как сервера, так и пользователей.

Основными редакциями являются Standard и Datacenter. Еще одна хорошая новость — функционально обе редакции полностью одинаковы и отличаются только лицензионными условиями. Также изменился объект лицензирования, если предыдущие выпуски лицензировались на сервер, то Windows Server 2012 лицензируется по количеству процессоров. Одна лицензия покрывает два процессорных сокета в пределах одного физического сервера, одиночный сокет также рассматривается за два.

В чем же разница? Разница в правах на виртуализацию. Одна лицензия Standard дает право запуска двух виртуализированных экземпляров на хосте, Datacenter позволяет запускать неограниченное количество виртуальных машин. При этом Standard, как и редакции Server 2008, позволяет, в случае запуска двух виртуализированных экземпляров, использовать физический экземпляр ОС только для обслуживания виртуальных машин, Datacenter таких ограничений не имеет.

С точки зрения лицензирования пользователей ничего не изменилось, каждый пользователь или устройство, явно или опосредованно использующий службы и приложения размещенные на сервере должен иметь лицензию клиентского доступа на пользователя или на устройство (CAL).

Остановимся более подробно на лицензировании серверов и правах на виртуализацию. Рассмотрим следующую схему:

В левой части у нас имеется четырехпроцессорный хост под управлением Windows Server, по общему правилу сначала следует лицензировать все процессорные сокеты, поэтому нам потребуется две серверных лицензии, вне зависимости от редакции. В нашем случае это будет Standard, что дает нам право на запуск четырех виртуализированных экземпляров Server 2012. Понятно, что запускать четыре виртуальных машины на четырехпроцессорном сервере никто не будет, поэтому следует докупать серверные лицензии Standard на каждые две виртуальные машины. Также вы можете использовать без каких-либо ограничений виртуальные машины с Linux и *nix системами или предыдущие версии Windows Server, при наличии соответствующих лицензий на них.

Теперь посмотрим на правую часть схемы. Там у нас также четырехпроцессорный сервер, но под управлением VMWare ESXi. В этом случае нам также следует сначала лицензировать процессорные сокеты, а потом уже докупать лицензии для виртуализированных экземпляров. Проще говоря, не важно под управлением какой ОС работает хост, правила лицензирования от это не меняются.

Также существенно изменились правила использования предыдущих версий (downgrade). Если раньше OEM версии позволяли понижать выпуск только для предыдущего, то теперь это ограничение снято, вы можете использовать любую предыдущую версию. Редакция Datacenter позволяет использовать любые редакции предыдущих выпусков, Standard только Standard и Enterprise.

Единственной проблемой будет достать легальные дистрибутивы. Право использования предыдущих версий не разрешает использовать первый попавшийся дистрибутив, например, скачанный с торрента, вы должны получить его законным путем: с оборудованием по каналу OEM, медианосители для корпоративного лицензирования, подписки MSDN и ТechNet и т.д.

Кроме того, следует помнить, что понижение версии — это только понижение дистрибутива, но не понижение лицензионных прав. Простой пример: лицензия Windows Server 2008 Enterprise позволяет использовать в виртуальной среде до 4 экземпляров ОС, в случае понижения версии для лицензии Windows Server 2012 Standard мы можем запустить только две виртуальных машины с Windows Server 2008 Enterprise. Также не забываем, что несмотря на то, что предыдущие версии лицензировались «на сервер», понижая лицензии Server 2012 вы также обязаны лицензировать процессорные сокеты.

Напоследок рассмотрим некоторые моменты лицензирования клиентов, несмотря на то, что данные правила не изменились, обновить знания применительно к современным технологиям лишним не будет.

Начнем с мобильных устройств. Существует ошибочное мнение, что они не требуют лицензирования, но это не так. Ниже представлена типичная схема: в сети развернуты различные службы и вместе с ними Exchange-сервер, к которому кроме рабочих станций имеют доступ мобильные устройства сотрудников.

Так как Exchange работает не в вакууме, а на платформе Windows Server, то каждое подключение к нему должно быть покрыто не только клиентской лицензией Exchange, но и Windows Server CAL. Это правило распространяется и на мобильные устройства, вне зависимости от их платформы.

Еще один момент связан с опосредованными подключениями. Рассмотрим следующую схему: в локальной сети на платформе Windows Server развернут сервер СУБД и работающий с ним сервер с корпоративным ПО, в нашем случае это 1С, также для доступа удаленных клиентов организован доступ к 1С через веб-клиент, для этого установлен веб-сервер на платформе Linux.

Начнем с локальных клиентов, очевидно, что для них потребуются лицензии 1C и Windows Server CAL, а также SQL CAL. Постойте, скажет читатель, как же так, ведь клиент не работает с сервером СУБД, все обращения к базе данных производит только сервер 1С. Здесь самое время вспомнить, что межсерверные соединения не лицензируются, в то время как любое клиентское обращение к ресурсам сервера, даже опосредованное, подлежит лицензированию.

Исходя из этих же принципов мы обязаны снабдить удаленных клиентов тем же самым набором лицензий, несмотря на то, что непосредственно с серверами на Windows они не взаимодействуют, а обращаются только к Linux машине.

Настройка отказоустойчивого файлового сервера на Windows Server 2012 R2

Дата: 06.02.2015 Автор Admin

В данной статье я расскажу как настроить отказоустойчивый файловый сервер на Windows Server 2012 R2 в домене Active Directory Первым делом убедитесь что сервер введен в домен Active Directory, далее установите роли DFS и файлового сервера

Выберите следующие роли и установите их.

Далее создайте структуру папок на отдельном диске.

Теперь включим общий доступ.

Выберите «расширенная настройка»

Далее выберите «Разрешения» и установите права как на скриншоте.

Теперь нам нужно создать структуру прав для наших каталогов в Active Directory.

Для начала рассмотрим из чего состоит наша файловая структура.

Теперь на ее основе создадим в Active Directory OU — File Sharing

Переходим в консоль пользователи и компьютеры, и создаем OU

Аналогичным путем создадим структуру наших папок

Теперь создадим комплекты прав.

Начнем мы с верхних папок.

Создадим 2-е локальные группы с правами RW и RO , и 2-е глобальные группы с правами RW и RO, и одну локальную L группу для листинга.

Разберем почему именно так.

В глобальных группах хранятся пользователи, для правильной работы глобальные группы входят в локальные.

Локальные группы назначаются на папки. Их членами являются глобальные группы.

Локальные группы лучше использовать если у вас 1 домен, если доменов несколько и между ними настроено доверие нужно использовать универсальные группы.

Рассмотрим на практике, создадим комплект прав для папки Office_Files.

Создадим 2-е глобальные группы :

Создадим локальные группы:

Глобальные группы входят в локальные

Теперь настроим права на папке.

Откройте свойство папки и выберите вкладку безопасность

Добавьте созданные локальные группы

Расставьте права на чтение и запись

Теперь нажмите кнопку «Дополнительно»

Теперь нужно установить права на листинг

Выберите L группу и нажмите изменить

Теперь установите параметры как на скриншоте ниже

Обратите внимание что мы даем доступ только на листинг и только для данной папки.

Это нужно для того чтобы пользователь получивший права на папку не смог попасть в каталоги ниже если у него нет соответствующих прав.

Для корректной работы добавим в эту группу пользователей домена, чтобы они могли видеть корень каталога.

Также отключите наследование прав от корневого каталога диска.

По аналогии настроим права на каталог Moscow.

Создадим группы:

В Active Directory это должно выглядеть так:

Теперь настроим права на папку:

Настроим листинг.

Теперь настроим нижний каталог — HR.

Создаем группы по аналогии.

Должно получится так

Теперь добавим группы GD-MoscowHR-RO и GD-MoscowHR-RW в группу LD-Moscow-L

Это нужно для того чтобы пользователи у которых нет прав на папку Moscow могли попасть во вложенную папку HR.

При этом открывать файлы в папке Moscow они не смогут.

Настроим права на папку.

По аналогии создадим права на остальные папки.

Теперь добавим пространство имен.

Откроем консоль DFS и создадим пространство имен.

Указываем наш сервер.

Указываем название пути DFS.

Включаем режим 2008.

Создаем пространство.

Теперь создадим папку.

Далее указываем путь к папке. Путь можно посмотреть тут, выбрав «open share».

Создаем папку.

Теперь по данному пути — \\test.com\office\Office Мы видим нашу общую папку.

Теперь если добавить пользователя в группу GD-MoscowHR-RW, он сможет попасть в папку HR, но не сможет открывать или редактировать файлы в папке Moscow.

В другие папки пользователь тоже попасть не сможет.

Если мы добавим пользователя в группу GD-Moscow-RW, он будет иметь доступ на всю папку Moscow, на чтение и запись.

Если мы добавим пользователя в группу GD-Office_Files-RW, он получит доступ ко всем каталогам.

Теперь рассмотрим настройку ABE.

Создайте следующую структуру в Active Directory.

Откройте общий доступ к папке.

Настройте права на папках.

И так далее.

Теперь создайте папку в DFS.

Должно получится так.

Теперь включим ABE.

В диспетчере сервера откройте «Файловые службы» — «Общие ресурсы».

Выберите каталог IT, и нажмите свойства.

Далее выбираем параметры, и включаем функцию — «Перечисление на основе доступа».

Особенность функции ABE в том что она проверяет права пользователя до того как нужно показать папки в проводнике.

Другими словами, пользователь видит только те папки на которые у него есть права.

Для примера дадим пользователю support права на папку Support (добавим его в группу — GD-IT-Support-RW)

Теперь перейдем по пути — \\test.com\office\IT

Как видите пользователь видит только папку Support.

Если мы добавим его в группу GD-IT-NetAdm-RO , то у него появится папка Network administrators с правами на чтение.

На этом настройка ABE закончена.

Учтите, что если в вашей файловой структуре нужно давать права пользователям на под каталоги, минуя корневые папки, то ABE вам не подойдет, т.к. ABE просто скроет от пользователя корневую папку, через которую пользователь попадает в подкаталог.

Перейдем в оснастку — Диспетчер ресурсов файлового сервера.

Настроим квоты.

Настроим мягкую квоту для папки Office_Files.

Настроим жесткую квоту для папки Support.

Теперь настроим блокировку файлов для папки Office_Files.

Выберем типы файлов, которые мы будем блокировать.

Настроим отправку сообщений по электронной почте.

Включим журнал.

Включим отчеты.

Учтите, без SMTP сервера отправка отчетов работать не будет.

Если вы хотите изменить группы файлов, то это можно сделать тут:

Создадим задачу управления файлами.

Представим что у нас есть папка Exchange. в которой пользователи обмениваются файлами.

Нам нужно сделать так, чтобы раз в период данная папка очищалась, а удаленные данные перемещались в папку Temp

Создаем задачу.

Задаем имя задачи.

Задаем путь и область.

Задаем свойства управления папками.

Задаем срок действия папки.

Настраиваем уведомление.

Задаем условие.

Настраиваем расписание.

Готово!

Теперь перейдем к настройке репликации.

Настройте сервер реплику (роли и доступы), введите его в домен.

Создаем на сервере реплике общую папку и отключаем наследование.

Назовем ее Office_Files, она будет репликой папки — Office_Files с основного файлового сервера.

Переходим на основной файловый сервер, и открываем консоль DFS.

Выбираем пространство имен, которое хотим реплицировать, и выбираем пункт «Добавить конечный объект папки».

Указываем общую папку со 2-го сервера.

На вопрос о создании группы репликации отвечаем — да.

Оставляем заполненное по-умолчанию.

Проверяем что указаны 2-а наших сервера, основной и резервный.

Указываем основной сервер.

Выбираем топологию — полная сетка.

Выбираем пропускную способность канала между серверами.

Проверяем все, и выбираем — создать.

Если все прошло успешно, то вы увидите это:

Для отказоустойчивости добавим пространство имен для отображения, на 2-м нашем сервере.

И выберем наше пространство имен.

Должно получится так.

Теперь добавьте 2-й в «серверы пространства имен» на основном сервере.

Теперь пространство имен будет доступно на 2-х серверах.

Также обратите внимание, что настройки диспетчера ресурсов файлового сервера, настройки ABE, не реплицируются на 2-й сервер.

Настройку данного сервера нужно будет производить заново.

Также помните, что DFS репликация файлов работает по принципу — кто последний тот и прав.

Например, если 2 пользователя одновременно отредактируют или создадут один и тот же файл, то DFS реплицирует тот файл, который был создан последним.

А предыдущий файл будет сохранен в папке DfsrPrivate\ConflictandDeleted на сервере разрешившем проблему.

На этом все! Удачной настройки!

Рубрики: IT

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *