Настройка Windows Server для служб каталогов

Эта статья объясняет, как настроить настройки и разрешения на сервере Windows, чтобы позволить точкам присутствия в Cato Cloud интегрироваться с контроллером домена Active Directory.

Примечание

Примечания:

  • Скриншоты и процедуры в этой статье основаны на Windows Server 2016. Детали могут различаться для других версий.

  • Если вам нужна дополнительная информация об IP-адресе Cato для службы LDAP, смотрите Решение проблем с синхронизацией LDAP (для просмотра этой статьи необходимо войти в База Знаний Cato).

Создание нового доменного пользователя для служб каталогов

Создайте выделенного доменного пользователя для интеграции между вашей учетной записью Cato и доменом AD.

Это требования к паролю AD для этого пользователя:

  • Пароль никогда не истекает

  • Отключите настройку, которая заставляет пользователя изменить пароль при первом входе

Чтобы создать пользователя для служб каталогов:

  1. Создайте нового доменного пользователя (этот пользователь используется только для служб каталогов Cato).

  2. На вкладке Член убедитесь, что пользователь является членом группы Пользователи домена.

  3. Добавьте пользователя в следующие группы:

    • Пользователи распределенного COM

    • Читатели журнала событий

      Предварительные_требования_для_включения_осведомленности_пользователей_01.png

  4. Нажмите ОК для создания пользователя.

Настройка параметров DCOM

Настройте эти параметры Distributed COM (DCOM) на сервере Windows, чтобы разрешить точкам присутствия в Cato Cloud удаленно взаимодействовать с доменом. Это параметры DCOM, которые вам необходимо настроить:

  • Сервисы Windows

  • Свойства и протоколы DCOM

  • Разрешения безопасности COM

Настройка служб Windows

Запустите службы Server, Remote Registry и WMI Performance Adapter для Windows и настройте их на автоматический запуск вместе с сервером Windows.

Примечание

Примечание: Сервис WMI Performance Adapter в других версиях Windows server называется WMI.

Чтобы включить службы Windows:

  1. В меню Выполнить введите services.msc и нажмите ОК.

  2. В окне Сервисы убедитесь, что каждый из сервисов Сервер, Удаленный реестр, WMI Performance Adapter запущен и настроен на автоматический запуск.

    1. Чтобы изменить свойство сервиса, щелкните правой кнопкой мыши на имя сервиса и затем выберите Свойства.

    2. Для Тип запуска выберите Автоматический.

    3. Если статус сервиса не запущен, нажмите Запустить.

  3. Нажмите ОК и закройте окно Сервисы.

Настройка свойств и протоколов связи DCOM

Свойства DCOM определяют аутентификацию и уровень имитации для сервера. Настройте уровень аутентификации сервера на Подключение, что означает, что сеансовый ключ используется только для аутентификационного рукопожатия.

Установите уровень имитации на Идентификация, чтобы разрешить точкам присутствия доступ только к пользовательским данным, которые имеют отношение к Cato Directory Services.

Последовательность протоколов DCOM для сервера определяет, как сервер взаимодействует по сети. Службы каталогов используют протокол TCP/IP, ориентированный на соединение.

Чтобы настроить DCOM для служб каталогов:

  1. В меню Выполнить введите dcomcnfg и нажмите ОК. Откроется окно Службы компонентов.

  2. Из Службы компонентов > Компьютеры > Мой компьютер щёлкните правой кнопкой мыши по Мой компьютер и выберите Свойства. Откроется окно Свойства моего компьютера.

    Windows_DCOM.png

  3. Настройте свойства связи DCOM для сервера Windows:

    1. В окне Свойства моего компьютера выберите вкладку Свойства по умолчанию.

    2. Выберите Включить распределенный COM на этом компьютере.

    3. Из Уровень аутентификации по умолчанию выберите Подключить.

    4. Из Уровень олицетворения по умолчанию выберите Идентифицировать.

  4. Убедитесь, что протоколы DCOM включают Пакетно-ориентированный TCP/IP.

    Windows_DCOM_Protocols.png

    1. Нажмите вкладку Протоколы по умолчанию. Если Протоколы DCOM включают Пакетно-ориентированный TCP/IP, продолжите с шага 6 ниже.

    2. Нажмите Добавить. Откроется окно Выбор протокола DCOM.

    3. Из Последовательность протоколов выберите Пакетно-ориентированный TCP/IP.

    4. Нажмите ОК, чтобы закрыть окно Выбор протокола DCOM.

  5. Нажмите ОК.

  6. Сообщение уведомит вас о необходимости изменить настройки DCOM Machine. Нажмите Да, чтобы продолжить.

Настройка разрешений безопасности COM

В окне Сервисы компонентов (dcomcnfg) настройте разрешения доступа безопасности COM и разрешения запуска и активности, чтобы предоставить точкам присутствия доступ по умолчанию к:

  • Распределённые пользователи COM

  • Читатели журнала событий

Чтобы настроить разрешения безопасности COM для служб каталогов:

  1. Если необходимо, откройте окно Свойства моего компьютера, из Службы компонентов > Компьютеры > Мой компьютер, щёлкните правой кнопкой мыши по Мой компьютер и выберите Свойства.

  2. Нажмите вкладку Безопасность COM.

    Windows_COM_Security.png

  3. Настройте разрешения на доступ по умолчанию для распределённых пользователей COM и читателей журнала событий:

    1. В Разрешения на доступ нажмите Редактировать по умолчанию.

    2. В разделе Имена группы или пользователя добавьте и настройте Распределённых пользователей COM с следующими разрешениями:

      • Локальный доступ - Разрешить

      • Удалённый доступ - Разрешить

    3. Повторите предыдущие два шага для группы Читателей журнала событий.

    4. Нажмите ОК.

  4. Настройте разрешения на запуск для распределённых пользователей COM и читателей журнала событий:

    1. В Разрешения на запуск и активацию нажмите Редактировать по умолчанию.

    2. В разделе Имена группы или пользователя добавьте и настройте Распределённых пользователей COM с следующими разрешениями:

      • Удаленный запуск - Разрешить

      • Удаленная активация - Разрешить

    3. Повторите предыдущие два шага для группы Читатели журнала событий.

    4. Нажмите ОК.

  5. Нажмите ОК и закройте окно Свойства моего компьютера и Сервисы компонентов. Настройки безопасности COM настроены.

Настройка WMI на сервере Windows

Этот раздел обсуждает, как настроить разрешения WMI для разрешения Осведомленности Пользователя Cato отправлять WMI-запросы из Точек присутствия на сервер Windows.

Настройка WMI для подключения к Приложению Управления Cato

Чтобы подключиться к удаленному компьютеру с использованием WMI, убедитесь, что правильные настройки DCOM и настройки безопасности пространства имен WMI включены для подключения.

Для получения дополнительной информации о том, как настроить параметры WMI для разрешения подключений из Приложения Управления Cato, см. документацию Microsoft.

Настройка доступа пользователей WMI

Пользователь или группа, которых вы настроили для доступа DCOM, также должны иметь разрешение WMI для доступа к журналам событий Windows, которые предоставляют доступ Кейто к Событиям входа для пользователей AD. Настройте WMI для разрешения удаленного доступа для Пользователей Компьютерной Переработки Пользователей и Читателей журнала событий.

Для настройки параметров доступа пользователей WMI:

  1. В меню Выполнить введите wmimgmt.msc и нажмите ОК. Окно Управление Windows открывается.

  2. Правой кнопкой мыши щелкните Контроль WMI (местный) и выберите Свойства. Окно Свойства Контроля WMI (местный) открывается.

  3. Выберите вкладку Безопасность. Появляется древовидное меню пространства имен.

  4. Разверните ветвь Root и нажмите CIMV2.

    Windows_WMI_Безопасность.png

  5. Нажмите Безопасность под древом меню. Окно Безопасность для ROOT\CIMV2 открывается.

  6. Настройте разрешения на запуск для пользователей распределенной COM и читателей журнала событий

    1. Под Группа или имена пользователей, добавьте и настройте Пользователи распределенной COM с следующими разрешениями:

      • Включить учетную запись - Разрешить

      • Удаленное включение - Разрешить

    2. Повторите предыдущий шаг для Читателей журнала событий.

  7. Настройте расширенные параметры для пользователей распределенной COM:

    1. Выберите Пользователи распределенной COM и нажмите Расширенные. Откроется окно Расширенные настройки безопасности для CIMV2.

    2. В столбце Принципал выберите Пользователи распределенной COM и нажмите Редактировать. Окно Запись разрешений для CIMV2 открывается.

    3. В раскрывающемся меню Применяется к выберите Это пространство имен и подпространства.

      Windows_COMusers_Продвинутый.png

  8. Нажмите ОК. Закройте окно Расширенные настройки безопасности для CIMV2.

  9. Настройте расширенные параметры для читателей журнала событий:

    1. Выберите Читатели журнала событий и нажмите Расширенные.

      Windows_EventLog_Advanced.png

      Открывается окно Расширенные настройки безопасности для CIMV2.

    2. В столбце Основной выберите Читатели журнала событий и нажмите Редактировать. Открывается окно Вход разрешений для CIMV2.

    3. В меню-переключателе Применяется к выберите Этот пространство имен и подпространства.

  10. Нажмите ОК, чтобы закрыть окно Расширенные настройки безопасности для CIMV2.

  11. Нажмите ОК, чтобы закрыть окно Безопасность для ROOT\CIMV2, и окно Свойства управления WMI (локальные).

    Настройки доступа пользователей WMI настроены.

Конфигурация реестра контроллера WMI

Отредактируйте реестр Windows, чтобы предоставить разрешения на чтение для распределенных COM пользователей и читателей журналов событий.

Чтобы настроить разрешения реестра для контроллера WMI:

  1. Запустите Regedit.

  2. Перейдите к

    HKEY_LOCAL_MACHINE\SYSTEM\

    CurrentControlSet\

    Услуги\Журнал событий\Безопасность

  3. Щелкните правой кнопкой мыши на папке Безопасность и выберите Разрешения.

  4. Добавьте и настройте эти группы с разрешениями Чтение:

    • Распределенные COM пользователи

    • Читатели журнала событий

  5. Нажмите ОК.

Настройка контроллера WMI с помощью IPSec туннеля

Поскольку подключение к DC использует исходный IP-адрес в системном диапазоне Cato, если вы используете туннель IPSec для подключения к Socket Cato, вам необходимо настроить Фазу 2 для системного диапазона Cato: 10.254.254.12.

Для учетных записей, использующих пользовательский системный диапазон вместо стандартного, используйте пользовательский диапазон для расчета фиксированного IP-адреса для синхронизации Осведомленности Пользователя. The fixed IP address is the 9th in the custom range. Например, если пользовательский зарезервированный диапазон составляет 10.10.10.0/16, тогда фиксированный IP-адрес будет 10.10.10.9.

For accounts that use a smaller IP range, they still use the 9th in the custom range. Например, если пользовательский зарезервированный диапазон составляет 10.200.200.64/28, тогда фиксированный IP-адрес будет 10.200.200.73 (10.200.200.64 + x.x.x.9).

Настройка Брандмауэра Windows для разрешения DCOM

Настройте Windows или сторонний брандмауэр для разрешения доступа фиксированного IP-адреса для системного диапазона (или пользовательского диапазона). Для получения дополнительной информации о системных и пользовательских диапазонах см. выше Настройка контроллера WMI с помощью IPSec туннеля.

  • Если вы используете брандмауэр Windows, вы должны добавить исключение, которое разрешает DCOM коммуникации

  • If you are using a third-party firewall between the Windows Server and the Cato Network, add the same exception to it

Чтобы настроить брандмауэр Windows для разрешения DCOM коммуникаций:

  1. Откройте меню Выполнить.

  2. Введите wf.msc и нажмите ОК.

  3. Выберите Входящие правила.

  4. В меню Действие выберите Новое правило. Открывается Мастер создания нового входящего правила.

    Windows_FW_NewRule.png

  5. Выберите Пользовательский и нажмите Далее. Открывается окно Программы.

  6. Выберите Все программы и нажмите Далее. Открывается окно Протокол и Порты.

  7. Для Типа протокола выберите TCP и нажмите Далее. Открывается окно Область.

  8. Для Каким удаленным IP-адресам применяется это правило выберите опцию Эти IP-адреса.

  9. Нажмите Добавить. В разделе Этот IP-адрес или подсеть введите фиксированный IP-адрес для диапазона системы: 10.254.254.12.

    • Если вы используете собственный диапазон, введите фиксированный IP-адрес для вашего диапазона.

  10. Нажмите ОК, а затем Далее. Открывается окно Действие.

  11. Выберите Разрешить соединение и нажмите Далее. Открывается окно Профиль.

  12. Выберите один или несколько сетевых профилей, к которым применяется правило, и нажмите Далее. Открывается окно Имя.

  13. Введите Имя для правила брандмауэра, затем нажмите Готово.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 4

0 комментариев