Какие варианты назначения ip адреса существуют при установке сервера windows 2003

Главная / Сетевые технологии / Администрирование сетей на платформе MS Windows Server / Тест 2

Главная / Сетевые технологии /
Администрирование сетей на платформе MS Windows Server / Тест 2

Упражнение 1:


Номер 1

Windows Server 2003 Web Edition oтличается тем, что

Ответ:

(1) в этой редакции частично поддерживается Active Directory 

(2) эта редакция не может использоваться для создания контроллера домена 

(3) сервер с ОС данной редакции самый производительный 


Упражнение 2:


Номер 1

В какой из этих редакций реализована возможность "горячего" добавления памяти?

Ответ:

(1) Enterprise Edition 

(2) Web Edition 

(3) Datacenter Edition 

(4) Standard Edition 


Номер 2

В какой из этих редакций реализована поддержка сетевых мостов?

Ответ:

(1) Standard Edition 

(2) Web Edition 

(3) Enterprise Edition 


Номер 3

В какой из этих редакций ОС MS Windows 2003 Server реализована служба кластеров?

Ответ:

(1) Web Edition 

(2) Enterprise Edition 

(3) Datacenter Edition 

(4) Standard Edition 


Упражнение 3:


Номер 1

Благодаря какому компоненту клиент для сетей Microsoft может пользоваться любым установленным протоколом?

Ответ:

(1) UDP 

(2) NDIS 

(3) TDI 


Номер 2

Какой компонент позволяет приложению на компьютере с Windows 2003 Server открывать файлы на общем диске?

Ответ:

(1) интерфейс API 

(2) редиректор 

(3) служба 


Номер 3

Назовите причины, по которым в качестве сетевого протокола по умолчанию в Windows применяется TCP/IP вместо NetBEUI

Ответ:

(1) протокол NetBEUI не поддерживает обмен данными с Интернетом 

(2) протокол NetBEUI не является маршрутизируемым 

(3) протокол TCP/IP является маршрутизируемым 


Упражнение 4:


Номер 1

Как называется программный компонент, который позволяет ОС обмениваться данными с устройством?

Ответ:

(1) драйвер 

(2) канал DMA 

(3) диспетчер устройств 

(4) прерывание int 21 


Номер 2

На сервере установлен дисковый контроллер, драйверы которого отсутствуют в базовом наборе драйверов системы, ваши действия:

Ответ:

(1) при начальной загрузке нажать F6 и следовать инструкциям 

(2) в этой ситуации система предложит вам скачать обновления из сети Интернет 

(3) это невозможная ситуация, т.к. в ОС Windows имеются драйвера с общими для всех контроллеров функциями, с котороми возможно продолжить установку 


Номер 3

Какие варианты назначения ip-адреса существуют при установке сервера Windows 2003?

Ответ:

(1) статический IP-адрес 

(2) динамический IP-адрес назначаемый DHCP сервером сети 

(3) автоматическая частная IP-адресация (APIPA) для динамических адресов, при отсутствии сервера DHCP 


Упражнение 5:


Номер 1

Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

Ответ:

(1) предыдущая ОС была Novell NetWare 

(2) предыдущая ОС была Windows NT версии 4.0 Server 

(3) предыдущая ОС была Windows NT версии 3.51 или более ранних 


Номер 2

Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

Ответ:

(1) предыдущая ОС была Windows 98 

(2) предыдущая ОС была Windows 2000 Server 

(3) предыдущая ОС была Windows 2000 Advanced Server 


Упражнение 6:


Номер 1

Какой протокол обеспечивает именование и разрешение имен в рабочих группах Windows?

Ответ:

(1) NetBIOS 

(2) DNS 

(3) Kerberos 

(4) CIFS 


Номер 3

Какие протоколы нужно установить на компьютрах сети, чтобы все они получили доступ к сетям NetWare и Интернету

Ответ:

(1) NWLink и TCP/IP 

(2) TCP/IP 

(3) NWLink 


Упражнение 7:


Номер 1

Какие из перечисленных компонентов конфигурируются в Windows Server 2003 автоматически?

Ответ:

(1) удаленный доступ 

(2) локальные подключения 

(3) таблицы маршрутизации 


Номер 2

Какие из указанных компонентов привязываются к подключениям автоматически?

Ответ:

(1) клиент для сетей NetWare 

(2) драйвер сетевого монитора 

(3) клиент для сетей Microsoft 


Номер 3

Какие из перечисленных функций не могут конфигурироваться из консоли "Маршрутизация и удаленный доступ"

Ответ:

(1) Active Directory 

(2) удаленный доступ 

(3) фильтрация пакетов 

(4) общий доступ к Интернету 


Упражнение 8:


Номер 2

Какие компоненты Windows надо установить для обеспечения функциональности DHCP, DNS и WINS?

Ответ:

(1) сетевые службы 

(2) другие службы доступа к файлам и принтерам сети 

(3) средства управления и наблюдения 


Номер 3

Какие подкомпоненты Windows cодержат агенты мониторинга и управления серверами Windows, UNIX и сетевым оборудованием?

Ответ:

(1) протокол RIP 

(2) протокол SNMP 

(3) протокол SMTP 


Упражнение 9:


Номер 1

Как обычно осуществляется разрешение имен в собственных доменах Windows Server 2003?

Ответ:

(1) посредством DHCP 

(2) посредством DNS 

(3) посредством SNMP 


Номер 2

Для работы каких из перечисленных сетевых компонентов не обязательна инфраструктура открытого ключа?

Ответ:

(1) cовместное использование файлов 

(2) IPsec 

(3) SSL 


Номер 3

Компьютер с Windows 2003 Server может работать с...

Ответ:

(1) типами кадров 802.02 

(2) типом кадров 802.3 

(3) типом кадров 802.2 

(4) типами кадров 802.03 


Упражнение 10:


Номер 1

Выберите протоколы ориентированные на соединение

Ответ:

(1) NCP 

(2) TCP 

(3) SPX 

(4) UDP 


Номер 2

Какие из перечисленных ниже протоколов могут в одиночку обеспечить совместный доступ к файлам в Windows по сети?

Ответ:

(1) TCP/IP 

(2) IPX 

(3) NetBEUI 


Номер 3

Вы планируете развернуть компьютеры под управлением Windows Server 2003 в отделе из 250 служащих. Сервер будет хранить домашние каталоги, общие папки и обслуживать несколько принтеров. Какая редакция Windows Server 2003 является наиболее выгодным решением?

Ответ:

(1) Windows Server 2003 Standard Edition — надежная платформа для служб доступа к файлам и принтерам для небольших и средних предприятий или отделов 

(2) Windows Server 2003 Web Edition 

(3) Windows Server 2003 Datacenter Edition 


Упражнение 11:


Номер 1

Вы собираетесь развернуть компьютеры под управлением Windows Server 2003 для нового домена Active Directory в крупной корпорации, содержащей несколько отдельных доменов Active Directory, каждый из которых обслуживается дочерними компаниями корпорации. Компания приняла решение использовать Exchange Server 2003 в качестве единой платформы для обмена сообщениями между дочерними предприятиями и планирует использовать службу MMS (Microsoft Metadirectory Services) для синхронизации соответствующих свойств объектов по всей организации. Какая редакция Windows Server 2003 является наиболее выгодным решением?

Ответ:

(1) Windows Server 2003 Enterprise Edition — наиболее дешевое решение, поддерживающее MMS 

(2) Windows Server 2003 Standard Edition 

(3) Windows Server 2003 Web Edition 


Номер 3

Какие из перечисленных версий Windows Server 2003 требуют активации?

Ответ:

(1) Windows Server 2003 Standard Edition, розничная версия 

(2) Windows Server 2003 Enterprise Edition, пробная версия 

(3) Windows Server 2003 Enterprise Edition, версия Open License 

(4) Windows Server 2003 Standard Edition, версия Volume License 


Упражнение 12:


Номер 1

Какие из следующих утверждений о программе установки Windows Server 2003 верны?

Ответ:

(1) программу установки можно запустить, загрузив компьютер с компакт диска 

(2) программу установки можно запустить, загрузив компьютер с дискет 

(3) программа установки просит ввести непустой пароль, удовлетворяющий требованиям сложности 

(4) программа установки позволит ввести идентификатор продукта, состоящий из одних единиц 


Номер 3

При выборе пароля, не отвечающего критериям Microsoft для устойчивых паролей, когда доменная политика по безопасности пароля не задействована ...

Ответ:

(1) пустой и простой пароль не допускаются 

(2) пароль будет безоговорочно принят 

(3) появится предупреждение 


Транспортный уровень эталонной модели OSI находится

  • между прикладным и уровнем представления
  • (Правильный ответ) между сетевым и сеансовым
  • между канальным и физическим уровнями

Как классифицируют сети протяженностью более 1000 км.?

  • городские сети (MAN, Metropolitan Area Network)
  • локальные сети (LAN, Local Area Network)
  • (Правильный ответ) глобальные сети (WAN, Wide Area Network)

Витая пара — это

  • (Правильный ответ) среда передачи информации из перекрученных между собой электрических проводов, характеризующаяся простотой монтажа и низкой стоимостью
  • среда передачи информации, электрический кабель, состоящий из центрального проводника и металлической оплетки, разделенных диэлектриком
  • среда передачи информации, представляющая собой стеклянное или пластиковое волокно в оболочке, по которому распространяется световой сигнал

Модель TCP/IP также называют

  • моделью взаимодействия открытых систем
  • (Правильный ответ) моделью Министерства обороны США
  • (Правильный ответ) моделью DARPA

Отметьте протоколы маршрутизации

  • ICMP
  • (Правильный ответ) OSPF
  • (Правильный ответ) RIP

Компонент сетевой инфраструктуры: кабельная система, может быть построена

  • (Правильный ответ) на основе витой пары
  • (Правильный ответ) на основе коаксиального кабеля
  • бригадой линейщиков

Какой уровень определяет методы доступа к среде передачи данных?

  • сеансовый
  • (Правильный ответ) канальный
  • прикладной
  • (Правильный ответ) предыдущая ОС была Windows 2000 Advanced Server
  • (Правильный ответ) предыдущая ОС была Windows 2000 Server
  • предыдущая ОС была Windows 98

Какие протоколы нужно установить на компьютрах сети, чтобы все они получили доступ к сетям NetWare и Интернету

  • NWLink
  • (Правильный ответ) NWLink и TCP/IP
  • TCP/IP

Какие из перечисленных компонентов конфигурируются в Windows Server 2003 автоматически?

  • локальные подключения
  • удаленный доступ
  • (Правильный ответ) таблицы маршрутизации

Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

  • (Правильный ответ) предыдущая ОС была Windows NT версии 4.0 Server
  • предыдущая ОС была Novell NetWare
  • предыдущая ОС была Windows NT версии 3.51 или более ранних

Какие компоненты Windows надо установить для обеспечения функциональности DHCP, DNS и WINS?

  • другие службы доступа к файлам и принтерам сети
  • средства управления и наблюдения
  • (Правильный ответ) сетевые службы

Какие варианты назначения ip-адреса существуют при установке сервера Windows 2003?

  • (Правильный ответ) статический IP-адрес
  • (Правильный ответ) автоматическая частная IP-адресация (APIPA) для динамических адресов, при отсутствии сервера DHCP
  • (Правильный ответ) динамический IP-адрес назначаемый DHCP сервером сети

Как обычно осуществляется разрешение имен в собственных доменах Windows Server 2003?

  • посредством SNMP
  • (Правильный ответ) посредством DNS
  • посредством DHCP

Какие из указанных компонентов привязываются к подключениям автоматически?

  • драйвер сетевого монитора
  • клиент для сетей NetWare
  • (Правильный ответ) клиент для сетей Microsoft

Windows Server 2003 Web Edition oтличается тем, что

  • (Правильный ответ) в этой редакции отсутствует Active Directory
  • (Правильный ответ) эта редакция не может использоваться для создания контроллера домена
  • сервер с ОС данной редакции самый производительный

Что используется для определения идентификатора сети назначения пакета?

  • класс адреса
  • IP-заголовок
  • (Правильный ответ) маска подсети

В каком домене находится запись ресурса PTR для компьютера с IP-адресом 10.11.86.4?

  • (Правильный ответ) 4.86.11.10.in-addr.arpa
  • in-addr.arpa.4.86.11.10
  • 10.11.86.4.in-addr.arpa

DNS-сервер, отправляющий все запросы разрешения имен в заданном домене другому DNS-серверу, является

  • (Правильный ответ) условной пересылкой запросов
  • сервером пересылки
  • сервером кэширования
  • сервером с зоной-заглушкой

Сколько узлов возможно обозначить в сети с маской 192.168.0.0/16?

  • 256
  • (Правильный ответ) 65534
  • 65536

Отметьте количество сетей, в классе сети А

  • (Правильный ответ) 126
  • 16384
  • 2097152

Вам нужно включить динамическую DNS в определенной зоне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необходимо?

  • (Правильный ответ) зона должна быть интегрированной в AD
  • зона должна быть корневой
  • в зоне должна быть запись SRV

Classless Internet Domain Routing (CIDR)

  • cпособ IP-адресации, при котором не используются маска подсети по умолчанию, но остается традиционное деление IP-адрессов на классы
  • (Правильный ответ) cпособ IP-адресации, при котором не используются маска подсети по умолчанию и традиционное деление IP-адрессов на классы
  • cпособ IP-адресации, при котором используются маска подсети по умолчанию и традиционное деление IP-адрессов на классы

The distinguished name (DN) — это

  • 128-ми битовый идентификатор, гарантирующий уникальность
  • (Правильный ответ) уникальный идентификатор объекта, содержит имя домена, который содержит объект
  • имя которое содержит имя пользователя и имя домена, в котором пользователь расположен

Вы настраиваете принтер на компьютере под управлением Windows Server 2003. Компьютер будет использоваться в качестве сервера печати. Вы планируете использовать принтер, в настоящий момент подключенный к сети как изолированное устройство печати. Принтер какого типа следует добавить на сервер печати?

  • (Правильный ответ) общий
  • сетевой
  • удаленный

Какие минимальные разрешения NTFS требуются, чтобы пользователи могли открывать файлы и запускать программы из общей папки?

  • список содержимого папки (List Folder Contents)
  • запись (Write)
  • (Правильный ответ) чтение и выполнение (Read and Execute)

Вы устанавливаете принтер на клиентском компьютере. Принтер будет подключен к логическому принтеру, установленному на сервере печати Windows Server 2003. Сведения какого типа (типов) нужно предоставить для настройки принтера?

  • драйвер принтера
  • модель печатающего устройства
  • (Правильный ответ) UNC-путь к общему ресурсу печати

Что из следующего нужно сделать, чтобы сгенерировать журнал событий доступа к файлу или папке?

  • настроить разрешения NTFS, позволяющие учетной записи System вести аудит доступа к ресурсу
  • включить политику Аудит использования привилегий (Audit Privilege Use)
  • (Правильный ответ) включить политику Аудит доступа к объектам (Audit Object Access)

Один из ваших принтеров неисправен, и вы хотите запретить пользователям отправлять задания печати на логический принтер, обслуживающий это устройство. Что нужно сделать?

  • сменить порт принтера
  • (Правильный ответ) прекратить общий доступ к принтеру
  • удалить принтер из AD

Что делает распознаватель в первую очередь при разрешении DNS-имени?

  • выполняет широковещание в локальной подсети
  • cчитывает файл Hosts
  • (Правильный ответ) проверяет локальный кэш

Какие функции поддерживают комбинированные маршрутизаторы помимо собственной маршрутизации?

  • (Правильный ответ) NAT
  • (Правильный ответ) DHCP
  • NetBIOS

Как настроить DHCP-сервер на обновление записей ресурсов А и PTR от имени клиентов под управлением Windows NT 4?

  • зарегистрировать клиента как динамический узел с помощью DHCP-сервера
  • ничего не нужно предпринимать
  • (Правильный ответ) на вкладке DNS окна свойств DHCP-сервера отметить флажок Динамически обновлять DNS А- и PTR-записи для DHCP-клиентов, не требующих обновления (Dynamically Update DNS A And PTR Records For DHCP Clients That Do Not Request Updates)
  • на вкладке DNS окна свойств DHCP-сервера отметить флажок Всегда динамически обновлять DNS А- и PTR-записи (Always Dynamically Update DNS A And PTR Records)

На новом DNS-сервере создается зона «», а затем — поддомены этого корневого домена. Какая функция будет недоступна этому серверу?

  • cервер не сможет кэшировать имена
  • cервер не сможет подключиться к Интернету
  • (Правильный ответ) cервер не сможет разрешать имена из Интернета

Какой неверно настроенный параметр, скорее всего, является причиной того, что компьютер с TCP/IP не способен взаимодействовать с ПК сети?

  • предпочитаемый DNS-сервер
  • (Правильный ответ) ip-адрес
  • отсутствует Клиент для сетей Microsoft

Какой IP-адрес требуется клиентскому ПК, обращающемуся к Web-серверам в Интернете через маршрутизатор NAT

  • зарегистрированный и незарегистрированный
  • (Правильный ответ) незарегистрированный
  • зарегистрированный

Какой из перечисленных серверов может быть первым DHCP-сервером в сети?

  • (Правильный ответ) cервер рабочей группы Windows Server 2003 в сети, где нет доменов
  • (Правильный ответ) контроллер домена Windows Server 2003 в сети с Active Directory
  • cервер рабочей группы Windows Server 2003 в сети с Active Directory

Какая запись ресурса используется для разрешения доменных имен, указываемых в адресах электронной почты, в IP-адрес связанного с доменом почтового сервера?

  • PTR
  • CNAME
  • (Правильный ответ) MX

Какой IP-адрес требуется корпоративному Web-серверу, работающему в Интернет

  • (Правильный ответ) зарегистрированный
  • зарегистрированный и незарегистрированный
  • незарегистрированный

Какое максимальное число адресов возможно в пуле с маской подсети 255.255.255.248?

  • 32
  • (Правильный ответ) 6
  • 8

Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы вручную выполняете обычную архивацию, затем составляете расписание, по которому задание архивации запускается каждый вечер в течение следующих двух недель. Какой из типов архивации обеспечивает самый простой способ восстановления данных?

  • (Правильный ответ) обычный
  • добавочный
  • разностный

Жесткий диск на сервере Windows Server 2003 вышел из строя. Вы заменили диск, загрузили систему, инициализировали новый диск и создали на нем новый том NTFS. Теперь вы намерены восстановить данные, которые хранились на старом диске, из последнего архива. Как следует восстанавливать эти данные?

  • восстановить данные, используя архив ASR
  • (Правильный ответ) запустить мастер восстановления из программы Архивация данных
  • скопировать данные на диск с помощью консоли восстановления

Файловый сервер в вашей сети перестал загружаться. Испробовав все способы, вы решили восстановить систему с помощью ASR. Вы создали архив ASR сразу после установки Windows Server 2003 и еще один — два месяца назад после установки драйвера устройства. Каждую неделю вы выполняете полную архивацию файлов данных. Какие данные будут восстановлены из архива ASR?

  • (Правильный ответ) состояние системы двухмесячной давности
  • (Правильный ответ) конфигурация диска
  • состояние системы на момент последней полной архивации

Один из руководителей вернулся из деловой поездки. Перед поездкой он скопировал файлы из сетевой папки на жесткий диск своего компьютера. В общей папке хранятся документы других руководителей, которые изменяли свои файлы в его отсутствие. Вернувшись, он скопировал файлы в сетевой ресурс, обновив не столько свои, но и чужие файлы. Другие руководители не были в восторге от того, что их файлы были заменены старыми версиями. К счастью, вчера вечером вы выполнили обычную архивацию этой папки. Какой параметр восстановления следует выбрать?

  • не заменять файл на компьютере (Do Not Replace The File On My Computer)
  • всегда заменять файл на компьютере (Always Replace The File On My Computer)
  • (Правильный ответ) заменять файл на компьютере, только если он старее (Replace The File On Disk OnlIf The File On Disk Is Older)

Какие реквизиты необходимы для администрирования удаленного компьютера из консоли ММС?

  • гостевые
  • (Правильный ответ) административные
  • пользовательские

Можно ли перетащить файл из окна локального ПК в окно ПК подключенному по средствам сесси служб терминалов

  • да
  • (Правильный ответ) нет
  • да после соответствующих настроек

Может ли оснастка одновременно отображать информацию о локальном и удаленном компьютерах?

  • (Правильный ответ) нет, либо о локальном, либо о удаленном
  • да, но это не предустановленная консоль, ее придется создавать
  • да

Какое программное средство используется на сервере для включения удаленного подключения к рабочему столу?

  • лицензирование служб терминалов (Terminal Services Licensing)
  • (Правильный ответ) система (System Properties) из Панели управления
  • настройка служб терминалов (Terminal Services Configuration)

Для каких ОС доступен Удаленный рабочий стол для администрирования для настольных ОС

  • Windows 9x
  • Windows NT
  • (Правильный ответ) Windows XP

Если администратор щелкнет правой кнопкой мыши на имени пользователя User1 и выберет в меню пункт «Удаленное управления», то он

  • (Правильный ответ) при получении согласия пользователя будет работать с ним в одной сессии
  • при получении согласия пользователя будет работать в сессии, в которой только что работал пользователь, который в свою очередь будет отключен от сеанса
  • без получения согласия пользователя будет работать с ним в одной сессии

Укажите расположение журнала Безопастность по умолчанию

  • SystemRoot%system32configSysEvont.Evt
  • %SystemRoot%system32configAppEvent.Evt
  • (Правильный ответ) %SystemRoot%system 32сопfigSecEvent.Evt

Все ли функции оснастки, применяемые на локальном компьютере, можно использовать при удаленном подключении?

  • да, при условии наличия прав администратора
  • да
  • (Правильный ответ) нет

В системе Windows Server имеются клиенты служб терминалов для систем

  • (Правильный ответ) Windows 98
  • (Правильный ответ) Windows ME
  • (Правильный ответ) Windows 2000

Если требуется ограничить доступ к оснастке, как сконфигурировать содержащую ее консоль ММС?

  • нажать кнопку Ограничить доступ и выбрать из списка
  • удалить разрешения из списка ограничения доступа
  • (Правильный ответ) сохранить в одном из пользовательских режимов, в зависимости от требуемых условий ограничения доступа

Может ли администратор сервера подключиться к любой сессии?

  • (Правильный ответ) да, используя Диспетчер служб терминалов, получив соглашение
  • нет
  • (Правильный ответ) да, используя Диспетчер служб терминалов, без получения соглашения

На основе какого протокола работает Удаленный рабочий стол?

  • Ethetnet
  • X.250
  • (Правильный ответ) RDP

Ваш компьютер дает сбой примерно через час после каждой загрузки системы. Вы подозреваете, что проблема в приложении, допускающем утечку памяти, что приводит к нехватке памяти в системе. Как средствами Диспетчера задач выявить проблемное приложение?

  • средств Диспетчера задач недостаточно для выполнения такого рода анализа
  • (Правильный ответ) просмотреть изменение параметра Memory Usage Delta Память — изменение, если этот параметр растет даже при отсутствии действий в системе, то это приложение виновно в перезагрузках
  • просмотреть загрузку процессора, приложение потребляющие процессор дольще других может вызывать причину перезагрузок

Для отслеживания в Сетевом мониторе протокола TCP, необходимо:

  • в фильтре отображения установить Protocol == UDP
  • (Правильный ответ) в фильтре отображения установить Protocol == TCP
  • в фильтре отображения установить Protocol == TCP/IP

Укажите размер журнала безопасности по умолчанию

  • 50 Мб
  • 16 Мб
  • (Правильный ответ) 128 Мб

Журналы трассировки служат для

  • отслеживания значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям
  • (Правильный ответ) отслеживания запуска и работы приложений
  • (Правильный ответ) накопления данных в файле журнала на жестком диске или в базе данных

Ваша цель — наблюдать за работой всех серверов Windows Server 2003, чтобы дефрагментировать их диски по расписанию и максимально эффективно. Для работы вашей программы дефрагментации диска требуется, минимум, 20 % свободного места на каждом томе. Что нужно сделать?

  • (Правильный ответ) для каждого счетчика настроить оповещение, срабатывающее, когда на диске свободно меньше 20 % емкости
  • (Правильный ответ) настроить отправку предупреждений
  • (Правильный ответ) настроить оснастку Журналы и оповещения производительности (Performance Logs And Alerts) на рабочей станции (или на относительно свободном сервере) для мониторинга счетчика % свободного места (% Free Space) каждого экземпляра объекта Логический диск (LogicalDisk) для всех удаленных серверов

Основные назначение журналов оповещений

  • (Правильный ответ) обнаружение ситуации, когда какие-то показатели cтановятся меньше определенных критических значений
  • (Правильный ответ) обнаружение ситуации, когда какие-то показатели превышают установленные критические значения
  • (Правильный ответ) выполнение каких-либо действий в качестве реакции на данное событие

Выберите верное о программе Диспетчер задач (Task Manager)

  • (Правильный ответ) не позволяет конфигурировать память
  • (Правильный ответ) средство используемое на локальном компьютере
  • (Правильный ответ) используется для назначения приоритетов приложениям, а также их привязки к определенным процессорам

В каком режиме по умолчанию создаются консоли ММС?

  • пользовательском с полным доступом
  • (Правильный ответ) авторском
  • пользовательском

Что входит в физическую организацию AD?

  • (Правильный ответ) контроллер домена
  • (Правильный ответ) сайты
  • леса
  • деревья

Какое из перечисленных условий работы удаленного помощника связаны с брандмауэрами?

  • (Правильный ответ) порт 3389 должен быть открыт
  • нельзя использовать механизм Общий доступ к подключению Интернета (Internet Connection Sharing)
  • нельзя использовать NAT

Клиент для подключения к серверу терминалов нужно проинсталлировать на систему

  • Windows 2003
  • Windows XP
  • (Правильный ответ) Windows 2000

Чтобы открыть Диспечер задач, нужно

  • (Правильный ответ) нажать комбинацию CTRL+ALT+DELETE и нажать кнопку Диспетчер задач
  • (Правильный ответ) нажать CTRL+SHIFT+ESC
  • (Правильный ответ) нажать Пуск ? Выполнить ? набрать taskmgr ? нажать Enter

Главная /
Сетевые технологии /
Администрирование сетей на платформе MS Windows Server

Правильные ответы выделены зелёным цветом.
Все ответы: Курс посвящен изучению основ теории и получению практических навыков сетевого администрирования информационной системы организации — управления сетевыми узлами, сетевыми протоколами, службами каталогов, сетевыми службами, управления файловыми ресурсами системы, правами доступа к ресурсам, устройствами печати, системами резервного копирования и восстановления информации, осуществления мониторинга сетевых устройств и служб.

Как классифицируют сети протяженностью более 1000 км.?

(1) глобальные сети (WAN, Wide Area Network)

(2) городские сети (MAN, Metropolitan Area Network)

(3) локальные сети (LAN, Local Area Network)

Какой IP-адрес требуется корпоративному Web-серверу, работающему в Интернет

(1) зарегистрированный

(2) незарегистрированный

(3) зарегистрированный и незарегистрированный

Встроенный инструмент для создания резервных копий?

(1) ntbackup

(2) xpbackup

(3) ntarch

Вы открыли ММС-консоль Windows 2000 Server с помощью подменю Администрирование. В каком режиме она работает?

(1) пользовательском

(2) авторском

(3) авторизации

Windows Server 2003 Web Edition oтличается тем, что

(1) в этой редакции частично поддерживается Active Directory

(2) эта редакция не может использоваться для создания контроллера домена

(3) сервер с ОС данной редакции самый производительный

Отметьте символьное имя

(1) 00-53-45-00-00-00

(2) www.intuit.ru

(3) 127.0.0.1

Каковы минимальные полномочия, необходимые для создания учетной записи компьютера с Windows Server 2003 в ОП в домене?

(1) администраторы домена (Domain Admins)

(2) операторы учета (Account Operators) на контроллере домена

(3) администраторы (Administrators) на данном сервере

RAID-0 —

(1) тома с чередованием информации

(2) дисковый массив без дополнительной отказоустойчивости

(3) дисковый массив c дополнительной отказоустойчивостью

Компонент сетевой инфраструктуры: кабельная система, может быть построена

(1) на основе коаксиального кабеля

(2) на основе витой пары

(3) бригадой линейщиков

Какой IP-адрес требуется клиентскому ПК, обращающемуся к Web-серверам в Интернете через маршрутизатор NAT

(1) зарегистрированный

(2) незарегистрированный

(3) зарегистрированный и незарегистрированный

Какие типы архиваций копируют файлы с установленным атрибутом?

(1) добавочный

(2) разностный

(3) обычный

Может ли оснастка одновременно отображать информацию о локальном и удаленном компьютерах?

(1) нет, либо о локальном, либо о удаленном

(2) да

(3) да, но это не предустановленная консоль, ее придется создавать

Ваша цель — наблюдать за работой всех серверов Windows Server 2003, чтобы дефрагментировать их диски по расписанию и максимально эффективно. Для работы вашей программы дефрагментации диска требуется, минимум, 20 % свободного места на каждом томе. Что нужно сделать?

(1) настроить оснастку Журналы и оповещения производительности (Performance Logs And Alerts) на рабочей станции (или на относительно свободном сервере) для мониторинга счетчика % свободного места (% Free Space) каждого экземпляра объекта Логический диск (LogicalDisk) для всех удаленных серверов

(2) для каждого счетчика настроить оповещение, срабатывающее, когда на диске свободно меньше 20 % емкости

(3) настроить отправку предупреждений

В какой из этих редакций реализована возможность «горячего» добавления памяти?

(1) Enterprise Edition

(2) Web Edition

(3) Datacenter Edition

(4) Standard Edition

Broadcast-адрес используется для

(1) широковещательной передачи всем адресам подсети

(2) соединения типа «один-ко-многим»

(3) соединения типа «один-к-одному»

Какие платформы можно присоединять к домену?

(1) Windows 95

(2) Windows NT 4

(3) Windows 98

(4) Windows 2000

(5) Windows ME

(6) Windows XP

(7) Windows Server 2003

Динамические диски доступны в следующих ОС:

(1) Windows 95

(2) Windows NT 4.0

(3) Windows 98

(4) Windows 2000

(5) Windows ME

(6) Windows XP

(7) Windows Server 2003

В задачи сетевого администратора входит:

(1) планирование сети

(2) установка и настройка сетевых узлов

(3) установка и настройка сетевых протоколов

Какой метод выделения адресов DHCP следует применять для назначения адреса Web-серверу

(1) ручной

(2) динамический

(3) по средствам APIPA

Какие типы архивации архивируют все файлы

(1) обычная

(2) ежедневная

(3) копирующая

Можно ли изменить контекст существующей оснастки ММС с локального на удаленный, или для удаленного подключения необходимо загружать в консоль ММС еще одну оснастку того же типа?

(1) можно, перенастроив ее свойства

(2) нельзя

(3) можно, но нужно загружать еще одну

Благодаря какому компоненту клиент для сетей Microsoft может пользоваться любым установленным протоколом?

Сколько узлов возможно обозначить в сети с маской 192.168.0.0/16?

(1) 65536

(2) 256

(3) 65534

Что из перечисленного ниже соответствует самой дальней (внешней) границе действия единственной схемы?

(1) дерево доменов

(2) домен

(3) лес

Какие из следующих средств служат для администрирования общих папок на удаленном сервере?

(1) оснастка общие папки (Shared Folders)

(2) проводник Windows, запущенный на локальном компьютере и подключенный к общей папке на удаленном сервере или к скрытому общему диску

(3) проводник Windows, запущенный на удаленном компьютере в сеансе служб терминалов или дистанционного подключения к рабочему столу

Транспортный уровень эталонной модели OSI находится

(1) между сетевым и сеансовым

(2) между прикладным и уровнем представления

(3) между канальным и физическим уровнями

Какой неверно настроенный параметр, скорее всего, является причиной того, что компьютер с TCP/IP способен взаимодействовать с ПК ЛС, но не может связаться с ПК других сетей?

(1) основной шлюз

(2) маска подсети

(3) ip-адрес

Какое из следующих размещений нельзя использовать для хранения резервной копии системы Windows Server 2003?

(1) локальный привод CD-RW

(2) локальный ленточный накопитель

(3) локальный жесткий диск

Как оптимальным образом предоставить администраторам возможность удаленного управления сервером через службы терминалов?

(1) создать отдельную пользовательскую учетную запись с более низким уровнем авторизации для повседневного использования группой Администраторы (Administrators) и поместить ее в группу Удаленный рабочий стол для администрирования (Remote Desktop for Administration)

(2) удалить группу Администраторы (Administrators) из списка разрешений в подключении к серверу терминалов и поместить их административную учетную запись в группу Удаленный рабочий стол для администрирования (Remote Desktop for Administration)

(3) не выполнять никаких действий; они уже имеют доступ, поскольку являются администраторами

Для доступа средствами WMI к удаленному компьютеру и настройки его параметров требуются полномочия

(1) администратора

(2) оператора

(3) пользователя

Как называется программный компонент, который позволяет ОС обмениваться данными с устройством?

(1) драйвер

(2) канал DMA

(3) диспетчер устройств

(4) прерывание int 21

Cеть 10.0.0.0/8 является

(1) сетью класса А и состоит из приватных ip-адресов

(2) сетью с публичными ip-адресами

(3) сетью класса С и состоит из приватных ip-адресов

Как Active Directory использует DNS?

(1) Active Directory использует DNS как службу локатора (locator service)

(2) контроллеры домена регистрируют все предоставляемые ими службы (включая Active Directory) в DNS в виде записей SRV

(3) AD не использует DNS

Общая папка находится на томе FAT32. Группе Project Managers назначено разрешение Полный доступ (Full Control). Группе Project Engineers назначено разрешение Чтение (Read). Пользователь Julie входит в группу Project Engineers. Она получила повышение и стала членом группы Project Managers. Какое разрешение доступа к этой папке для нее действуют?

(1) полный доступ (Full Control)

(2) полудоступ (Half Control)

(3) чтение (Read)

Оптоволоконный кабель — это

(1) среда передачи информации из двух перекрученных между собой электрических проводов, характеризующаяся простотой монтажа и низкой стоимостью

(2) среда передачи информации, электрический кабель, состоящий из центрального проводника и металлической оплетки, разделенных диэлектриком

(3) среда передачи информации, представляющая собой стеклянное или пластиковое волокно в оболочке, по которому распространяется световой сигнал

Как узнать, вызвано ли отсутствие связи с сетью сбоем разрешения имен?

(1) попробовать связаться с компьютером используя его ip-адрес

(2) попробовать связаться с компьютером используя его MAC-адрес

(3) попробовать связаться с компьютером используя утилиту ping

Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы вручную выполняете обычную архивацию, затем составляете расписание, по которому задание архивации запускается каждый вечер в течение следующих двух недель. Какой из типов архивации завершится быстрее?

(1) обычный

(2) добавочный

(3) копирующий

В чем сходство программ Удаленный помощник (Remote Assistance) и Удаленный рабочий стол для администрирования (Remote Desktop for Administration)?

(1) требуют подтверждать начало сеанса

(2) позволяют удаленно управлять компьютером, как если бы пользователь физически работал с консолью на сервере

(3) могут использовать лишь те учетные записи, локальные или доменные, которым разрешены подключения Сервер терминалов

Укажите расположение журнала Приложение по умолчанию

(1) SystemRoot%system32configSysEvent.Evt

(2) %SystemRoot%system32configAppEvent.Evt

(3) %SystemRoot%system 32сопfigSecEvent.Evt

Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

(1) предыдущая ОС была Novell NetWare

(2) предыдущая ОС была Windows NT версии 4.0 Server

(3) предыдущая ОС была Windows NT версии 3.51 или более ранних

На каком из четырех уровней модели TCP/IP-сетей выполняется маршрутизация пакетов между источником и адресатом?

(1) межсетевой уровень

(2) уровень сетевого доступа

(3) прикладной уровень

Пользователь Bill жалуется, что не может получить доступ к плану отдела. Вы открываете вкладку Безопасность (Security) в окне свойств плана и видите, что все разрешения доступа к документу наследуются от родительской папки плана. Для группы, куда включен Bill, разрешение Чтение (Read) отменено. Какое из следующих действий позволило бы пользователю Bill получить доступ чтения к плану?

(1) изменить разрешения доступа к плану, чтобы предоставить пользователю Bill разрешение Чтение (Read)

(2) изменить разрешения родительской папки, чтобы предоставить пользователю Bill разрешение Полный доступ (Full Control)

(3) изменить разрешения родительской папки, чтобы предоставить пользователю Bill разрешение Чтение (Read)

На каком уровне эталонной модели OSI выполняется передача битов по физическим каналам?

(1) на физическом

(2) на канальном

(3) на всех

DHCP-область настроена с параметром 003 Маршрутизатор (003 Router), который определяет адрес основного шлюза на клиентах. Однако после выполнения команды Ipconfig /all на клиенте Clientl обнаруживается, что клиент получает IP-адрес из назначенной области, но ему не назначается адрес основного шлюза. Какая самая вероятная причина неполадки?

(1) Client 1 отключился от сети

(2) IP-адрес для Clientl предоставлен в рамках резервирования.

(3) на уровне сервера не определены параметры области

Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы выполняете обычную архивацию, а на следующий день решаете, какую архивацию выбрать: добавочную или разностную. Если бы НА СЛЕДУЮЩИЙ ДЕНЬ на сервере произошел сбой, одинаково эффективными были бы операции восстановления?

(1) нет, разностная архивация выгоднее

(2) да

(3) нет, добавочная архивация выгоднее

MMC — это

(1) базовый интерфейс для системных служебных программ в Windows Server 2003

(2) контейнер для оснасток

(3) удобное средство администрирования

Какой протокол обеспечивает именование и разрешение имен в рабочих группах Windows?

(1) NetBIOS

(2) DNS

(3) Kerberos

(4) CIFS

Какие из перечисленных сервисов подключаются к UDP-портам?

(1) DNS

(2) DHCP

(3) Ethernet

(4) Telnet

Какой из следующих протоколов удаленного доступа используется службой маршрутизации и удаленного доступа чаще всего и при этом разрешает как входящие, так и исходящие вызовы?

Что из следующего нужно сделать, чтобы сгенерировать журнал событий доступа к файлу или папке?

(1) настроить разрешения NTFS, позволяющие учетной записи System вести аудит доступа к ресурсу

(2) настроить элементы аудита, указав виды доступа, которые нужно отслеживать

(3) включить политику Аудит использования привилегий (Audit Privilege Use)

Выберите определение понятия сетевой протокол:

(1) совокупность технических, программных средств и правил, обеспечивающих взаимодействие различных устройств

(2) набор правил, алгоритм обмена информацией между абонентами сети

(3) программа обмена мгновенными сообщениями в сети Internet

При настройке DNS значения по умолчанию на DHCP-клиенте и сервере не изменялись. Какая запись (или записи) ресурсов клиента в DNS будет обновлена DHCP- сервером? (Предполагается, что клиент работает под управлением Windows XP).

(1) ни А, ни PTR

(2) A

(3) PTR

Вам нужно протестировать процедуру восстановления на сервере, не повредив производственные копии архивных данных. Какое размещение для восстановления лучше выбрать?

(1) исходное размещение (Original location)

(2) одну папку (Single folder)

(3) альтернативное размещение (Alternate location)

Может ли эксперт сам инициировать сеанс удаленного помощника с пользователем?

(1) да, с подтверждением пользователя

(2) да, без ведома пользователя

(3) нет

Чтобы открыть Диспечер задач, нужно

(1) нажать CTRL+SHIFT+ESC

(2) нажать комбинацию CTRL+ALT+DELETE и нажать кнопку Диспетчер задач

(3) нажать Пуск ⇒ Выполнить ⇒ набрать taskmgr ⇒ нажать Enter

Какие из перечисленных компонентов конфигурируются в Windows Server 2003 автоматически?

(1) удаленный доступ

(2) локальные подключения

(3) таблицы маршрутизации

Вы администратор сети из 10 компьютеров с Windows Server 2003 и 200 компьютеров с Microsoft Windows XP Professional. В сети установлен DNS-сервер DNS1, обслуживающий зону world.ru. Зона также настроена на возможность динамического обновления. DHCP-сервер отвечает за определение IP-конфигурации всех компьютеров под управлением Windows XP Professional. Один из этих компьютеров, pkl.world.ru, доступен только по IP-адресу, но не по имени. Как зарегистрировать этот компьютер в DNS?

(1) выполнить команду Nbtstat -R

(2) выполнить команду Ipconfig /registerdns

(3) выключить и перезагрузить pk.world.ru

Какова функция глобального каталога?

(1) позволяет хранить общие базы данных на одном сервере

(2) позволяет хранить общие файлы и папки на одном сервере

(3) позволяет пользователям получать доступ, используя групповые права

Вы настраиваете принтер на компьютере под управлением Windows Server 2003. Компьютер будет использоваться в качестве сервера печати. Вы планируете использовать принтер, в настоящий момент подключенный к сети как изолированное устройство печати. Принтер какого типа следует добавить на сервер печати?

(1) сетевой

(2) удаленный

(3) общий

Отметьте основные достоинства TCP/IP

(1) независимость от платформы и физической среды передачи данных

(2) стек протоколов TCP/IP включает в свой состав средства поддержки основных приложений Internet

(3) обеспечивает надежную связь

Какая запись ресурса используется для разрешения доменных имен, указываемых в адресах электронной почты, в IP-адрес связанного с доменом почтового сервера?

Журналы с регистрацией последних десяти процедур архивации/восстановления находятся в папке:

(1) «%system drive%WindowsNTBackupdata»

(2) «%system drive%Windows NTNTBackupdata»

(3) «%system drive%Documents and SettingsАдминистраторLocal SettingsApplication DataMicrosoftWindows NTNTBackupdata»

В системе Windows Server имеются клиенты служб терминалов для систем

(1) Windows NT 4

(2) Windows 95

(3) Windows ME

Журналы трассировки служат для

(1) отслеживания значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям

(2) накопления данных в файле журнала на жестком диске или в базе данных

(3) отслеживания запуска и работы приложений

Как обычно осуществляется разрешение имен в собственных доменах Windows Server 2003?

(1) посредством DHCP

(2) посредством DNS

(3) посредством SNMP

Как обычно осуществляется разрешение имен в собственных доменах Windows Server 2003?

(1) посредством DHCP

(2) посредством DNS

(3) посредством SNMP

В каком порядке проходят 4 стадии проектирования AD?

(1) (1) создание плана домена; (2) создание плана дерева; (3) создание плана OU; (4) создание плана сайтов

(2) (1) создание плана дерева; (2) создание плана домена; (3) создание плана OU; (4) создание плана сайтов

(3) (1) создание плана дерева; (2) создание плана домена; (3) создание плана сайтов; (4) создание плана OU

Вы администрируете компьютер под управлением Windows Server 2003, настроенный в качестве сервера печати, и хотите выполнить сервисные работы на подключенном к нему принтере. В очереди печати находится несколько документов. Вам нужно, чтобы принтер приостановил печать и обработал задания позже без их перезапуска. Как это лучше сделать?

(1) открыть окно свойств принтера и на вкладке Доступ (Sharing) выбрать Нет общего доступа к данному принтеру (Do Not Share This Printer)

(2) открыть окно свойств принтера и выбрать порт, не связанный ни с одним печатающим устройством

(3) открыть окно очереди печати и для каждого задания в меню Документ (Document) выбрать Приостановить (Pause)

(4) открыть окно очереди печати и в меню Принтер (Printer) выбрать Приостановить печать (Pause Printing)

На каком уровне работает протокол DNS?

(1) транспортный

(2) прикладной

(3) уровень сетевого интерфейса

Какое максимальное число адресов возможно в пуле с маской подсети 255.255.255.248?

Вы настраиваете задание архивации на компьютере под управлением Windows Server 2003 и намерены архивировать реестр, загрузочные файлы и регистрационную БД классов СОМ+. Какой вариант архивации следует выбрать?

(1) состояние системы

(2) %Systemroot

(3) %Windir%

Позволяет ли режим удаленного управления сервером, использовать шифрование?

(1) да, с использованием 56-битного ключа шифрования

(2) да, причем есть возможно определять уровень поддерживаемого шифрования на другой стороне соединения

(3) да, с использованием 128-битного ключа

Система при возникновении события отмеченного в журнале оповещений может:

(1) создать запись в журнале событий приложений

(2) отправить сетевое сообщение

(3) запустить журнал производительности

(4) запустить программу

Выберите протоколы ориентированные на соединение

(1) NCP

(2) TCP

(3) SPX

(4) UDP

DNS-сервер, который содержит записи типа SOA, NS и A, является

(1) сервером кэширования

(2) сервером с зоной-заглушкой

(3) сервером пересылки

(4) условной пересылкой запросов

Для разработки эффективного проектного решения инфраструктуры AD необходимо наличие:

(1) группы проектировщиков

(2) результатов коммерческого и технического анализа

(3) среды тестирования

Вы администрируете компьютер под управлением Windows Server 2003, настроенный в качестве сервера печати. Пользователи из группы Marketing жалуются, что не могут печатать документы с помощью принтера на этом сервере. Вы просматриваете разрешения в окне свойств принтера. Группе Marketing дано разрешение Управление документами (Manage Documents). Почему пользователи не могут печатать на этом принтере?

(1) группе Marketing должно быть предоставлено разрешение Печать (Print)

(2) разрешение Управление документами (Manage Documents) должно быть предоставлено группе Все (Everyone)

(3) разрешение Управление документами (Manage Documents) должно быть предоставлено группе Администраторы (Administrators)

Отметьте протоколы маршрутизации

(1) RIP

(2) OSPF

(3) ICMP

Какой из типов NAT обеспечивает наилучшую защиту?

(1) статический

(2) маскирующий

(3) динамический

Какой критерий чаще всего используется в качестве фильтра для архивации файлов?

(1) атрибуты

(2) имя

(3) расширение

На основе какого протокола работает Удаленный помощник?

(1) RDP

(2) X.250

(3) Ethetnet

Фильтры просмотра «Сетевого монитора» используются для отбора кадров по следующим критериям:

(1) по адресу отправителя или получателя

(2) по протоколу передачи кадров

(3) по свойствам и значениям, которые содержит кадр

Какие из следующих утверждений о программе установки Windows Server 2003 верны?

(1) программу установки можно запустить, загрузив компьютер с компакт диска

(2) программу установки можно запустить, загрузив компьютер с дискет

(3) программа установки просит ввести непустой пароль, удовлетворяющий требованиям сложности

(4) программа установки позволит ввести идентификатор продукта, состоящий из одних единиц

Какой из тэгов Lmhosts позволяет обращаться к файлам Lmhosts, расположенным на общих сетевых ресурсах?

(1) #INCLUDE

(2) #DOM

(3) #PRE

Зона, интегрированная в Active Directory — Active Directory Integrated Zone

(1) тип DNS-зоны, в которой база данных DNS хранится как часть базы данных Active Directory

(2) тип DNS-зоны, когда информация DNS автоматически реплицируется между контроллерами домена

(3) тип DNS-зоны, в которой база данных DNS отсутствует

Вам нужно настроить логический принтер так, чтобы большие документы с низким приоритетом печатались по ночам. Какой из следующих параметров необходимо настроить в окне свойств принтера?

(1) приоритет (Priority)

(2) доступен с/по (Available From/To)

(3) начинать печать после помещения в очередь всего задания (Start Printing After Last Page Is Spooled)

Компьютеры сети включены после перерыва в электроснабжении. DNS-клиент обращается с рекурсивным запросом на локальный DNS-сервер, пытаясь разрешить Интернет-имя, для которого данный сервер не является полномочным. Что происходит в первую очередь?

(1) DNS-клиент разрешает имя на основании информации из собственного кэша

(2) DNS-сервер разрешает имя на основании информации из собственного кэша

(3) DNS-сервер пересылает рекурсивный запрос вышестоящему DNS-серверу

Если администратор щелкнет правой кнопкой мыши на имени пользователя User1 и выберет в меню пункт «Удаленное управления», то он

(1) при получении согласия пользователя будет работать с ним в одной сессии

(2) без получения согласия пользователя будет работать с ним в одной сессии

(3) при получении согласия пользователя будет работать в сессии, в которой только что работал пользователь, который в свою очередь будет отключен от сеанса

Для того чтобы расширить информацию о сетевых подключениях, в Диспетчере задач можно

(1) выбрать дополнительные столбцы из меню Вид ⇒ Выбрать столбцы

(2) выбрать дополнительные столбцы щелкнув по графику правой кнопкой мыши и выбрать столбцы

(3) столбцы на вкладке сеть фиксированы

Какие компоненты необходимы для реализации хостинга Web-сервера?

(1)

  • DNS-сервер подключенный к Интенету
  • (2)

  • DNS-сервер с зарегистрированным IP-адресом
  • DNS-сервер, подключенный к Интернету
  • доступ к DNS-сервису для администратора
  • (3)

  • DNS-сервер с зарегистрированным IP-адресом
  • The relative distinguished name (RDN) — это

    (1) часть объекта DN

    (2) 128-ми битовый идентификатор, гарантирующий уникальность

    (3) имя которое содержит имя пользователя и имя домена, в котором пользователь расположен

    Вы устанавливаете принтер на клиентском компьютере. Принтер будет подключен к логическому принтеру, установленному на сервере печати Windows Server 2003. Сведения какого типа (типов) нужно предоставить для настройки принтера?

    (1) URL принтера на сервере печати

    (2) TCP/IP-порт принтера

    (3) модель печатающего устройста

    Что нужно сделать, чтобы информация о маршруте к новой защищенной подсети была доступна только узлам подсети 2?

    (1) нe развертывать протокол маршрутизации на маршрутизаторе, подключенном к защищенной подсети. Настроить на рабочих станциях подсети 2 статические маршруты в защищенную подсеть

    (2) развернуть в сети протокол OSPF и сконфигурировать маршрутизатор, подключенный к защищенной подсети, как маршрутизатор границы области

    (3) настроить фильтры равных RIP-маршрутизаторов на маршрутизаторе, подключенном к защищенной подсети

    Файловый сервер в вашей сети перестал загружаться. Испробовав все способы, вы решили восстановить систему с помощью ASR. Вы создали архив ASR сразу после установки Windows Server 2003 и еще один — два месяца назад после установки драйвера устройства. Каждую неделю вы выполняете полную архивацию файлов данных. Какие данные будут восстановлены из архива ASR?

    (1) конфигурация диска

    (2) файлы данных на момент последней полной архивации

    (3) файлы данных двухмесячной давности

    Можно ли работая в сессии служб терминалов, скопировав информацию из своего ПК в буфер обмена вставить ее на подключенный ПК?

    (1) да

    (2) да, можно использовать механизм drag and drop

    (3) нет

    «Сетевой монитор» может перехватывать фреймы для интерфейсов —

    (1) модемы

    (2) сетевые адаптеры

    (3) VPN-соединения

    Вы собираетесь развернуть компьютеры под управлением Windows Server 2003 для нового домена Active Directory в крупной корпорации, содержащей несколько отдельных доменов Active Directory, каждый из которых обслуживается дочерними компаниями корпорации. Компания приняла решение использовать Exchange Server 2003 в качестве единой платформы для обмена сообщениями между дочерними предприятиями и планирует использовать службу MMS (Microsoft Metadirectory Services) для синхронизации соответствующих свойств объектов по всей организации. Какая редакция Windows Server 2003 является наиболее выгодным решением?

    (1) Windows Server 2003 Enterprise Edition — наиболее дешевое решение, поддерживающее MMS

    (2) Windows Server 2003 Standard Edition

    (3) Windows Server 2003 Web Edition

    DNS-сервер, отправляющий все запросы разрешения имен в заданном домене другому DNS-серверу, является

    (1) сервером кэширования

    (2) сервером с зоной-заглушкой

    (3) сервером пересылки

    (4) условной пересылкой запросов

    Cервер под управлением Windows Server 2003, на котором установлена и работает служба Active Directory — это

    (1) сайт

    (2) OU

    (3) контроллер домена

    Вы группируете принтеры в пул на компьютере под управлением Windows Server 2003. Пул принтеров содержит три одинаковых печатающих устройства. Вы открываете окно свойств принтера и на вкладке Порты (Ports) устанавливаете флажок Разрешить группировку принтеров в пул (Enable Printer Pooling). Что следует сделать далее?

    (1) настроить порт LPT1 для обслуживания трех принтеров

    (2) выбрать или создать порты, связанные с этими тремя принтерами

    (3) на вкладке Параметры устройства (Device Settings) настроить устанавливаемые дополнения для обслуживания двух дополнительных устройств печати

    Как классифицируют сети, занимающие пространство одного здания?

    (1) глобальные сети (WAN, Wide Area Network)

    (2) городские сети (MAN, Metropolitan Area Network)

    (3) локальные сети (LAN, Local Area Network)

    Какой IP-адрес требуется для Web-сервера, работающего в частной интрасети и предоставляющий сотрудникам сведения о кадрах

    (1) зарегистрированный

    (2) незарегистрированный

    (3) зарегистрированный и незарегистрированный

    Какой атрибут говорит программе архиватору, о том что он подлежит архивированию

    (1) сжимать

    (2) файл готов для архивирования

    (3) на отправку

    В каком режиме по умолчанию создаются консоли ММС?

    (1) пользовательском с полным доступом

    (2) авторском

    (3) пользовательском

    Необходимо, чтобы данные в журнале Безопасность (Security) не перезаписывались, в то же время нужно, чтобы компьютер Windows Server 2003 не прекращал обслуживание сети. Какие параметры нужно задать на сервере?

    (1) нe задавать групповую политику с параметром Параметры безопасности (Security Options)Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности (Audit: Shut Down System Immediately If Unable To Log Security Audits), поскольку в этом случае сервер перестанет быть доступным в сети после заполнения журнала безопасности

    (2) в свойствах журнала безопасности задайте параметр Не затирать события (очистка журнала вручную)

    (3) запланировать регулярный анализ журнала

    Unicast-адрес используется для

    (1) соединения типа «один-ко-многим»

    (2) соединения типа «один-ко-всем»

    (3) соединения типа «один-к-одному»

    RAID-5 —

    (1) тома с чередованием информации

    (2) дисковый массив с зеркалированием данных

    (3) дисковый массив с чередованием данных и вычислением контрольных сумм для записываемых данных

    К сетевым протоколам относят

    (1) TCP/IP

    (2) SPX/IPX

    (3) Ethernet

    Адреса какого класса поддерживают максимальное число хостов в подсети?

    Какие типы архиваций не очищают атрибут?

    (1) обычный

    (2) добавочный

    (3) копирующий

    (4) разностный

    Какие реквизиты необходимы для администрирования удаленного компьютера из консоли ММС?

    (1) пользовательские

    (2) гостевые

    (3) административные

    Ваш компьютер дает сбой примерно через час после каждой загрузки системы. Вы подозреваете, что проблема в приложении, допускающем утечку памяти, что приводит к нехватке памяти в системе. Как средствами Диспетчера задач выявить проблемное приложение?

    (1) просмотреть загрузку процессора, приложение потребляющие процессор дольще других может вызывать причину перезагрузок

    (2) средств Диспетчера задач недостаточно для выполнения такого рода анализа

    (3) просмотреть изменение параметра Memory Usage Delta Память — изменение, если этот параметр растет даже при отсутствии действий в системе, то это приложение виновно в перезагрузках

    В какой из этих редакций ОС MS Windows 2003 Server реализована служба кластеров?

    (1) Web Edition

    (2) Enterprise Edition

    (3) Datacenter Edition

    (4) Standard Edition

    Ip-адрес 172.0.0.1 в 2-й системе счисления выглядит

    (1) 10101100.11111111.11111111.11111111

    (2) 11111111.00000000.00000000.00000001

    (3) 10101100.00000000.00000000.00000001

    Ваша организация расширилась и создала второй домен. В последние выходные несколько компьютеров из вашего домена были переведены в новый домен. Открыв консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers), вы видите, что эти компьютеры все еще отображаются в вашем домене, но помечены красным крестом «X». Какие действия лучше всего предпринять?

    (1) включить эти учетные записи

    (2) отключить эти учетные записи

    (3) удалить эти учетные записи

    Какой специальный символ используется для того чтобы скрыть папку от простмотра в окне «сетевое окружение»?

    В задачи сетевого администратора входит:

    (1) мониторинг сетевых узлов

    (2) мониторинг сетевого трафика

    (3) обеспечение защиты данных

    Какую функцию выполняет агент ретрансляции DHCP?

    (1) позволяет получать ip-адреса от DHCP-серверов, расположенных в других подсетях

    (2) позволяет повторять запрос на получение ip-адреса, в случае загрузки DHCP сервера

    (3) позволяет транслировать незарегистрированные динамические ip-адреса в сеть Интернет, аналог NAT

    Функция Windows Server 2003, которая после настройки на сервере и клиентских компьютерах позволяет пользователям извлекать предыдущие версии файлов без вмешательства администратора

    (1) Теневые копии общих папок

    (2) EasyRecoveryPro

    (3) Shadow copies of shared folders

    Сколько одновременных подключений разрешено к серверу терминалов, работающему в режиме удаленного администрирования?

    (1) два удаленных и одно с локальной консоли

    (2) четыре

    (3) пять

    Выберите верное о оснастке Журналы и оповещения производительности (Performance Logs And Alerts)

    (1) записывает через указанные интервалы показания настроенных объектов счетчиков

    (2) служит для записи в журналы счетчиков данных

    (3) не предназначена для конфигурирования

    Назовите причины, по которым в качестве сетевого протокола по умолчанию в Windows применяется TCP/IP вместо NetBEUI

    (1) протокол NetBEUI не поддерживает обмен данными с Интернетом

    (2) протокол NetBEUI не является маршрутизируемым

    (3) протокол TCP/IP является маршрутизируемым

    Отметьте количество сетей, в классе сети А

    (1) 2097152

    (2) 16384

    (3) 126

    Каковы преимущества доверия к сокращению?

    (1) доверие к сокращению позволяет устанавливать прямые доверительные отношения между двумя доменами, которые могут быть уже связаны цепочкой транзитивных доверий

    (2) доверие к сокращению позволяет устанавливать прямые доверительные отношения между двумя доменами, которые еще не связаны цепочкой транзитивных доверий

    (3) доверие к сокращению ускоряет обработку запросов между связанными доменами

    Какие из следующих средств служат для администрирования общих папок на удаленном сервере?

    (1) оснастка общие папки (Shared Folders)

    (2) проводник Windows, запущенный на удаленном компьютере в сеансе служб терминалов или дистанционного подключения к рабочему столу

    (3) консоль Управление файловым сервером (File Server Management)

    Канальный уровень эталонной модели OSI находится

    (1) между прикладным и сеансовым

    (2) между физическим и сетевым

    (3) между транспортным и уровнем представления

    Какой неверно настроенный параметр, скорее всего, является причиной того, что компьютер с TCP/IP не способен взаимодействовать с ПК сети?

    (1) предпочитаемый DNS-сервер

    (2) отсутствует Клиент для сетей Microsoft

    (3) ip-адрес

    Какие из следующих размещений нельзя использовать для хранения резервной копии системы Windows Server 2003?

    (1) локальный привод DVD+R

    (2) общая папка на удаленном сервере

    (3) ленточный накопитель на удаленном сервере

    Какие выгоды приносит использование программы Удаленный помощник (Remote Assistance)?

    (1) не требуется присутствие на месте

    (2) появляется возможность получить консультацию человека, чье присутствие не обязательно

    (3) увеличивается скорость реагирования

    Укажите размер журнала безопасности по умолчанию

    (1) 50 Мб

    (2) 16 Мб

    (3) 128 Мб

    Какие варианты назначения ip-адреса существуют при установке сервера Windows 2003?

    (1) статический IP-адрес

    (2) динамический IP-адрес назначаемый DHCP сервером сети

    (3) автоматическая частная IP-адресация (APIPA) для динамических адресов, при отсутствии сервера DHCP

    Сообщение RARP Request, или Reverse ARP Request (обратный ARP-запрос) — это

    (1) запрос на определение IP-адреса по известному MAC-адресу

    (2) ответ узла на обратный ARP-запрос

    (3) широковещательный запрос, отправляемый на физическом уровне модели TCP/IP, для определения MAC-адреса узла, имеющего конкретный IP-адрес

    Вам нужно включить динамическую DNS в определенной зоне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необходимо?

    (1) зона должна быть интегрированной в AD

    (2) зона должна быть корневой

    (3) в зоне должна быть запись SRV

    Какие минимальные разрешения NTFS требуются, чтобы пользователи могли открывать файлы и запускать программы из общей папки?

    (1) чтение и выполнение (Read and Execute)

    (2) запись (Write)

    (3) список содержимого папки (List Folder Contents)

    Витая пара — это

    (1) среда передачи информации из перекрученных между собой электрических проводов, характеризующаяся простотой монтажа и низкой стоимостью

    (2) среда передачи информации, электрический кабель, состоящий из центрального проводника и металлической оплетки, разделенных диэлектриком

    (3) среда передачи информации, представляющая собой стеклянное или пластиковое волокно в оболочке, по которому распространяется световой сигнал

    Какой из перечисленных серверов может быть первым DHCP-сервером в сети?

    (1) контроллер домена Windows Server 2003 в сети с Active Directory

    (2) cервер рабочей группы Windows Server 2003 в сети, где нет доменов

    (3) cервер рабочей группы Windows Server 2003 в сети с Active Directory

    Пользователь случайно удалил данные из документа Microsoft Word. Обычная архивация выполнялась на сервере вчера вечером. Какой параметр следует выбрать, чтобы восстановить исходный файл?

    (1) всегда заменять файл на компьютере (Always Replace The File On My Computer)

    (2) заменять файл на компьютере, только если он старее (Replace The File On Disk Only If The File On Disk Is Older)

    (3) не заменять файл на компьютере (Do Not Replace The File On My Computer)

    Какое из перечисленных условий работы удаленного помощника связаны с брандмауэрами?

    (1) порт 3389 должен быть открыт

    (2) нельзя использовать NAT

    (3) нельзя использовать механизм Общий доступ к подключению Интернета (Internet Connection Sharing)

    При установке службы DNS появится журнал

    (1) DNS-сервер

    (2) Directory Service Cлужба каталогов

    (3) File Replication Service Служба репликации

    Какой из перечисленных протоколов относится к транспортному уровню?

    (1) UDP

    (2) IGMP

    (3) Ethernet

    Вам нужно обеспечить шифрование всех удостоверений, передаваемых между удаленными клиентами и сервером маршрутизации и удаленного доступа. Какой из следующих способов аутентификации вы могли бы задействовать?

    (1) CHAP

    (2) SPAP

    (3) MS-CHAP

    Пользователь Bill жалуется, что не может получить доступ к плану отдела. Вы открываете вкладку Безопасность (Security) в окне свойств плана и видите, что все разрешения доступа к документу наследуются от родительской папки плана. Для группы, куда включен Bill, разрешение Чтение (Read) отменено. Какое из следующих действий позволило бы пользователю Bill получить доступ к плану?

    (1) изменить разрешения доступа к плану: снять флажок Разрешить наследование разрешений… (Allow Inheritable Permissions…), щелкнуть Копировать (Сору) и удалить запрет

    (2) изменить разрешения доступа к плану, чтобы предоставить пользователю Bill разрешение Чтение (Read)

    (3) изменить разрешения родительской папки, чтобы предоставить пользователю Bill разрешение Чтение (Read)

    Какой уровень эталонной модели OSI отвечает за маршрутизацию?

    (1) сетевой

    (2) транспортный

    (3) канальный

    Как настроить DHCP-сервер на обновление записей ресурсов А и PTR от имени клиентов под управлением Windows NT 4?

    (1) ничего не нужно предпринимать

    (2) на вкладке DNS окна свойств DHCP-сервера отметить флажок Динамически обновлять DNS А- и PTR-записи для DHCP-клиентов, не требующих обновления (Dynamically Update DNS A And PTR Records For DHCP Clients That Do Not Request Updates)

    (3) на вкладке DNS окна свойств DHCP-сервера отметить флажок Всегда динамически обновлять DNS А- и PTR-записи (Always Dynamically Update DNS A And PTR Records)

    (4) зарегистрировать клиента как динамический узел с помощью DHCP-сервера

    Один из руководителей вернулся из деловой поездки. Перед поездкой он скопировал файлы из сетевой папки на жесткий диск своего компьютера. В общей папке хранятся документы других руководителей, которые изменяли свои файлы в его отсутствие. Вернувшись, он скопировал файлы в сетевой ресурс, обновив не столько свои, но и чужие файлы. Другие руководители не были в восторге от того, что их файлы были заменены старыми версиями. К счастью, вчера вечером вы выполнили обычную архивацию этой папки. Какой параметр восстановления следует выбрать?

    (1) не заменять файл на компьютере (Do Not Replace The File On My Computer)

    (2) заменять файл на компьютере, только если он старее (Replace The File On Disk OnlIf The File On Disk Is Older)

    (3) всегда заменять файл на компьютере (Always Replace The File On My Computer)

    Как запросить помощь у Удаленного помощника?

    (1) позвонить

    (2) по электронной почте

    (3) c помощью файла

    Когда возникает подозрение, что кто-то из пользователей пытается получить несанкционированный доступ к информации целесообразно:

    (1) отключить аудит доступа к объектам

    (2) включить аудит доступа к объектам

    (3) включть аудит управления учетными записями

    При использовании политик аудита доступа к объектам рекомендуется

    (1) устанавливать аудиты только когда в них есть реальная необходимость

    (2) устанавливать как можно большее количество аудитов

    (3) устанавливать небольшое количество аудитов, чтобы проще было проводить анализ

    Какие протоколы нужно установить на компьютрах сети, чтобы все они получили доступ к сетям NetWare и Интернету

    (1) NWLink и TCP/IP

    (2) TCP/IP

    (3) NWLink

    Что входит в физическую организацию AD?

    (1) контроллер домена

    (2) сайты

    (3) деревья

    (4) леса

    Что из следующего является допустимым условием фильтра для поиска событий доступа к файлу или папке в журнале безопасности? Выберите все подходящие варианты

    (1) дата события

    (2) имя пользователя — инициатора события

    (3) тип доступа к объекту, повлекшего событие

    (4) успех или неудача предпринятого действия

    На каком уровне модели TCP/IP работают TCP, UDP?

    (1) на транспортном

    (2) в Internet

    (3) на уровне приложений

    Что делает распознаватель в первую очередь при разрешении DNS-имени?

    (1) выполняет широковещание в локальной подсети

    (2) cчитывает файл Hosts

    (3) проверяет локальный кэш

    Пользователь удалил файл в общей папке на сервере. Открыв окно свойств папки, пользователь не видит вкладки Предыдущие версии (Previous Versions). Что может являться причиной?

    (1) теневое копирование не включено для данной папки

    (2) пользователь не имеет разрешения на просмотр кэша теневого копирования

    (3) теневое копирование не включено для тома на сервере

    (4) клиент теневого копирования не установлен на компьютере пользователя

    Какие варианты прекращения работы в терминальной сессии существуют, у создателя сессии с правами администратора?

    (1) «Перезагрузка»

    (2) «Отключение сеанса»

    (3) «Завершение сеанса»

    (4) «Завершение работы»

    Ваше приложение требует большое количество оперативной памяти, что можно сделать для ускорения его работы с помощью Диспетчера задач?

    (1) ничего Диспетчер задач не управляет выделением памяти

    (2) можно отбразить столбец Память максимум, щелкнуть на процессе приложения и написать количество память в соответствующем поле

    (3) можно, только если у вас имеются права администратора

    Какие из перечисленных функций не могут конфигурироваться из консоли «Маршрутизация и удаленный доступ»

    (1) Active Directory

    (2) удаленный доступ

    (3) фильтрация пакетов

    (4) общий доступ к Интернету

    Какие компоненты необходимы для реализации разрешения имен для клиентов Интернета?

    (1)

  • DNS-сервер подключенный к Интернету
  • (2)

  • DNS-сервер с зарегистрированным IP-адресом
  • зарегистрированное доменное имя
  • (3)

  • DNS-сервер с зарегистрированным IP-адресом
  • зарегистрированное доменное имя
  • DNS-сервер, подключенный к Интернету
  • доступ к DNS-сервису для администратора
  • (4)

  • DNS-сервер с зарегистрированным IP-адресом
  • The distinguished name (DN) — это

    (1) уникальный идентификатор объекта, содержит имя домена, который содержит объект

    (2) 128-ми битовый идентификатор, гарантирующий уникальность

    (3) имя которое содержит имя пользователя и имя домена, в котором пользователь расположен

    Вы настраиваете принтер на компьютере под управлением Windows Server 2003. Компьютер будет использоваться в качестве сервера печати. Вы планируете использовать принтер, в настоящий момент подключенный к сети как изолированное устройство печати. Принтер какого типа следует добавить на сервер печати?

    (1) сетевой

    (2) общий

    (3) локальный

    Модель TCP/IP также называют

    (1) моделью DARPA

    (2) моделью Министерства обороны США

    (3) моделью взаимодействия открытых систем

    На DNS-сервере не удается выполнить рекурсивный тест. Допустим, что несмотря на это сервер успешно взаимодействует с другими DNS-серверами. Назовите возможные причины такого поведения.

    (1) DNS-сервер настроен как корневой сервер

    (2) такое поведение невозможно

    (3) файл корневых ссылок неправильно сконфигурирован

    Обычно объем лент DLT IV составляет:

    (1) 10 Гбайт без сжатия и 26 Гбайт со сжатием

    (2) 35-40 Гбайт без сжатия и 70-80 Гбайт со сжатием

    (3) 1 Гбайт без сжатия и 2 Гбайт со сжатием

    Службы терминалов могут работать в режиме

    (1) сервера ожидающего соединения

    (2) удаленного управления сервером

    (3) сервера приложений

    Какие подкомпоненты Windows cодержат агенты мониторинга и управления серверами Windows, UNIX и сетевым оборудованием?

    (1) протокол RIP

    (2) протокол SNMP

    (3) протокол SMTP

    В каком домене находится запись ресурса PTR для компьютера с IP-адресом 10.11.86.4?

    (1) in-addr.arpa.4.86.11.10

    (2) 4.86.11.10.in-addr.arpa

    (3) 10.11.86.4.in-addr.arpa

    The user principal name (UPN) — это

    (1) уникальный идентификатор объекта, содержит имя домена, который содержит объект

    (2) 128-ми битовый идентификатор, гарантирующий уникальность

    (3) имя которое содержит имя пользователя и имя домена, в котором пользователь расположен

    Один из ваших принтеров неисправен, и вы хотите запретить пользователям отправлять задания печати на логический принтер, обслуживающий это устройство. Что нужно сделать?

    (1) удалить принтер из AD

    (2) сменить порт принтера

    (3) прекратить общий доступ к принтеру

    На каком уровне работает протокол SNMP?

    (1) прикладной уровень

    (2) транспортный уровень

    (3) уровень межсетевого взаимодействия

    На новом DNS-сервере создается зона «», а затем — поддомены этого корневого домена. Какая функция будет недоступна этому серверу?

    (1) cервер не сможет кэшировать имена

    (2) cервер не сможет подключиться к Интернету

    (3) cервер не сможет разрешать имена из Интернета

    Вы установили сканер на компьютере под управлением Windows Server 2003. После этого ОС перестала загружаться. Каким максимально щадящим методом следует в первую очередь попробовать восстановить систему?

    (1) консоль восстановления

    (2) режим восстановления служб каталогов

    (3) безопасный режим загрузки

    В системе Windows Server имеются клиенты служб терминалов для систем

    (1) Windows 2000

    (2) Windows ME

    (3) Windows 98

    Журналы счетчиков служат для

    (1) отслеживания значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям

    (2) накопления данных в файле журнала на жестком диске или в базе данных

    (3) отслеживания запуска и работы приложений

    Компьютер с Windows 2003 Server может работать с…

    (1) типами кадров 802.02

    (2) типом кадров 802.3

    (3) типом кадров 802.2

    (4) типами кадров 802.03

    Выберите все верные утверждения о разрешении NetBIOS-имен с использованием широковещательной рассылки

    (1) широковещательная рассылка генерирует больше трафика, чем WINS

    (2) широковещательная рассылка работает быстрее WINS

    (3) для использования широковещательной рассылки компьютеру требуется файл Lmhost

    (4) широковещательная рассылка обеспечивает разрешение имен только для компьютеров ЛС

    Почему вы должны стараться минимизировать количество доменов в организации?

    (1) добавление доменов в лес прибавляет проблем управления, и увеличивает нагрузку на аппаратуру

    (2) добавление доменов в лес добавляет проблем при управлении

    (3) добавление доменов в лес увеличивает нагрузку на аппаратуру

    Логический принтер

    (1) в контексте пользовательского интерфейса Microsoft Windows это логический принтер, являющийся клиентом общего логического принтера (то есть подключенный к нему) на другом компьютере

    (2) принтер имеющий интерфейс сети (например Ethernet)

    (3) представляет физический принтер, обслуживая порт этого принтера

    Какому уровню в модели OSI соответствует транспортный уровень модели TCP/IP?

    (1) прикладному

    (2) сетевому

    (3) транспортному

    Какие функции поддерживают комбинированные маршрутизаторы помимо собственной маршрутизации?

    (1) DHCP

    (2) NAT

    (3) NetBIOS

    Файловый сервер в вашей сети перестал загружаться. Испробовав все способы, вы решили восстановить систему с помощью ASR. Вы создали архив ASR сразу после установки Windows Server 2003 и еще один — два месяца назад после установки драйвера устройства. Каждую неделю вы выполняете полную архивацию файлов данных. Какие данные будут восстановлены из архива ASR?

    (1) конфигурация диска

    (2) состояние системы двухмесячной давности

    (3) состояние системы на момент последней полной архивации

    Клиент для подключения к серверу терминалов нужно проинсталлировать на систему

    (1) Windows 2000

    (2) Windows XP

    (3) Windows 2003

    Компонента «сетевой монитор» позволяет просматривать:

    (1) адрес отправителя и получателя кадра

    (2) данные заголовка кадра

    (3) передаваемые данные кадра

    Какие из перечисленных версий Windows Server 2003 требуют активации?

    (1) Windows Server 2003 Standard Edition, розничная версия

    (2) Windows Server 2003 Enterprise Edition, пробная версия

    (3) Windows Server 2003 Enterprise Edition, версия Open License

    (4) Windows Server 2003 Standard Edition, версия Volume License

    Выберите из следующего списка все, от чего позволяет отказаться хранение записей ресурса в БД AD?

    (1) дополнительные зоны

    (2) передача зоны

    (3) основные зоны

    (4) зоны-заглушки

    Classless Inter-Domain Routing (CIDR)

    (1) cпособ IP-адресации, при котором не используются маска подсети по умолчанию и традиционное деление IP-адрессов на классы

    (2) cпособ IP-адресации, при котором используются маска подсети по умолчанию и традиционное деление IP-адрессов на классы

    (3) cпособ IP-адресации, при котором не используются маска подсети по умолчанию, но остается традиционное деление IP-адрессов на классы

    Вы администрируете компьютер под управлением Windows Server 2003, настроенный в качестве сервера печати, и хотите управлять службами печати из Web браузера на клиентском компьютере. Сервер называется world, но вы не знаете имя общего ресурса принтера. По какому URL следует подключаться к принтеру?

    (1) http://world/printers

    (2) http://printers/world

    (3) http://windows/web/printers

    Руководство компании требует улучшить защиту маршрутизации в сети и недвусмысленно выразило свое недовольство тем, что аутентификация маршрутизаторов выполняется паролем в виде открытого текста. Какие дополнительные меры можно предпринять для предотвращения перехвата информации о маршрутах и появления в сети подставных маршрутизаторов?

    (1) развернуть службу каталогов Active Directory

    (2) настроить в RIP поддержку автостатических маршрутов

    (3) cконфигурировать соседей RIP

    (4) cоздать фильтры равных RIP-маршрутов

    (5) организовать фильтрацию маршрутов

    Жесткий диск на сервере Windows Server 2003 вышел из строя. Вы заменили диск, загрузили систему, инициализировали новый диск и создали на нем новый том NTFS. Теперь вы намерены восстановить данные, которые хранились на старом диске, из последнего архива. Как следует восстанавливать эти данные?

    (1) восстановить данные, используя архив ASR

    (2) выбрать вариант Загрузка последней удачной конфигурации (Last Known Good Configuration) в безопасном режиме, чтобы настроить новый диск

    (3) запустить мастер восстановления из программы Архивация данных

    Может ли администратор сервера подключиться к любой сессии?

    (1) да, используя Диспетчер служб терминалов, без получения соглашения

    (2) нет

    (3) да, используя Диспетчер служб терминалов, получив соглашение

    Cчетчик Память — Страницы/сек журнала оповещений показывает значение 20, о чем это говорит?

    (1) это говорит о том, что в системе идет слишком интенсивный обмен страниц файла подкачки

    (2) это говорит о том, что в системе идет обмен страниц файла подкачки нормальной интенсивности

    (3) это говорит о недостаточном объеме оперативной памяти

    Вы планируете развернуть компьютеры под управлением Windows Server 2003 в отделе из 250 служащих. Сервер будет хранить домашние каталоги, общие папки и обслуживать несколько принтеров. Какая редакция Windows Server 2003 является наиболее выгодным решением?

    (1) Windows Server 2003 Standard Edition — надежная платформа для служб доступа к файлам и принтерам для небольших и средних предприятий или отделов

    (2) Windows Server 2003 Web Edition

    (3) Windows Server 2003 Datacenter Edition

    DNS-сервер, который не содержит зон, обслуживающих клиентские запросы разрешения имен, является

    (1) сервером кэширования

    (2) сервером с зоной-заглушкой

    (3) сервером пересылки

    (4) условной пересылкой запросов

    Группа контроллеров доменов, которые находятся в одной или нескольких IP-подсетях

    Какое из следующих действий дадут наиболее точное представление о нагрузке на принтер, чтобы вы знали расход тонера и бумаги?

    (1) настройка аудита для логического принтера и ведение аудита успешного использования разрешения Печать (Print) группой Все (Everyone)

    (2) настройка журнала производительности и мониторинг счетчика Заданий (Jobs) для каждого логического принтера

    (3) настройка журнала производительности и мониторинг счетчика Всего напечатано страниц (Total Pages Printed) для каждого логического принтера

    При подключении к удаленному Web-сайту наблюдается задержка. Какой инструмент позволит точно установить, какой маршрутизатор(ы) повинен в этом?

    (1) Ping

    (2) PathPing

    (3) Tracert

    Сколько заданий понадобится для полного восстановления компьютера, диск которого сломался в полдень во вторник, если полная архивация выполняется в 6 утра по средам и субботам, а в остальные дни в то же время проводится добавочная архивация?

    Поверх какого протокола работает протокол RDP?

    (1) IPX/SPX

    (2) TCP/IP

    (3) ARP

    Для отслеживания в Сетевом мониторе протокола TCP, необходимо:

    (1) в фильтре отображения установить Protocol == UDP

    (2) в фильтре отображения установить Protocol == TCP

    (3) в фильтре отображения установить Protocol == TCP/IP

    При выборе пароля, не отвечающего критериям Microsoft для устойчивых паролей, когда доменная политика по безопасности пароля не задействована …

    (1) пустой и простой пароль не допускаются

    (2) пароль будет безоговорочно принят

    (3) появится предупреждение

    Какие атаки помогает отразить использование резервных DNS-серверов ISP?

    (1) ARP spoofing

    (2) man-in-the-middle

    (3) DoS

    Хозяин схемы (Schema Master)

    (1) поддерживает список всех возможных классов объектов и атрибутов

    (2) отвечает за поддержку и распространение схемы на остальную часть леса

    (3) первый контроллер домена в лесу

    Вам нужно настроить логический принтер так, чтобы большие документы с низким приоритетом печатались по ночам. Какой из следующих параметров необходимо настроить в окне свойств принтера?

    (1) cохранять документы после печати (Keep Printed Documents)

    (2) доступен с/по (Available From/To)

    (3) печатать прямо на принтер (ускорение вывода на печать) [Print Directly To The Printer]

    Активное сетевое оборудование включает в себя

    (1) концентраторы

    (2) маршрутизаторы

    (3) оптоволоконный патч-корд

    Какой IP-адрес требуется прокси-серверу, предоставляющему доступ к Web-страницам в Интернете клиентам частной сети

    (1) зарегистрированный

    (2) незарегистрированный

    (3) зарегистрированный и незарегистрированный

    Какие типы архиваций очищают атрибут?

    (1) обычный

    (2) копирующий

    (3) добавочный

    Если требуется ограничить доступ к оснастке, как сконфигурировать содержащую ее консоль ММС?

    (1) нажать кнопку Ограничить доступ и выбрать из списка

    (2) сохранить в одном из пользовательских режимов, в зависимости от требуемых условий ограничения доступа

    (3) удалить разрешения из списка ограничения доступа

    Сервер для наблюдения за другими серверами в сети не справляется с этой задачей, и вы решили его разгрузить. Что нужно сделать помимо сбора максимально возможного объема данных, чтобы оказать наибольшее влияние на производительность компьютера, ведущего мониторинг?

    (1) увеличить частоту опроса, тем самым снизить загрузку компьютера ведущего наблюдение

    (2) уменьшить частоту опроса, тем самым снизить загрузку компьютера ведущего наблюдение

    (3) поставить всевозможные счетчики

    В какой из этих редакций реализована поддержка сетевых мостов?

    (1) Standard Edition

    (2) Web Edition

    (3) Enterprise Edition

    Ip-адрес 10.16.16.32 в 2-й системе счисления выглядит:

    (1) 00001010.00010000.00010000.11111111

    (2) 00001010.00010000.00010000.00100000

    (3) 10100000.00010000.00010000.00100000

    Вы открываете объект компьютера, но на вкладке Операционная система (Operating System) его окна свойств нет никакой информации. Почему значения свойств не отображаются?

    (1) не прошло обновление, необходимо подждать 15 минуть и нажать клавишу F5

    (2) ни один компьютер не присоединен к домену при помощи этой учетной записи,когда какая нибудь система присоединяется к домену, по умолчанию ее свойства отображаются на вкладке Операционная система (Operating System)

    (3) не прошло обновление, необходимо подждать 5 минуть и нажать клавишу F5

    В системе Windows Server имеются следующие виды томов:

    (1) простой том (simple volume)

    (2) составной том (spanned volume)

    (3) зеркальный том (mirrored volume)

    (4) чередующийся том (striped volume)

    (5) том RAID-5 (RAID-5 volume)

    В задачи системного администратора входит:

    (1) установка и настройка сетевых служб

    (2) поиск неисправностей

    (3) поиск узких мест сети и повышения эффективности работы сети

    Что нужно настроить после установки Windows XP на новом ПК, чтобы активировать клиент DHCP

    (1) запустить мастер установки DHCP клиента из панели управления

    (2) выполнить команду set DHCP on

    (3) ничего

    Назовите службу позволяющую архивировать открытые или заблокированные файлы

    (1) Volume Block Copy Service

    (2) служба VSS

    (3) Volume Shadow Copy Service

    Все ли функции оснастки, применяемые на локальном компьютере, можно использовать при удаленном подключении?

    (1) да

    (2) да, при условии наличия прав администратора

    (3) нет

    Выберите верное о программе Диспетчер задач (Task Manager)

    (1) средство используемое на локальном компьютере

    (2) не позволяет конфигурировать память

    (3) используется для назначения приоритетов приложениям, а также их привязки к определенным процессорам

    Какой компонент позволяет приложению на компьютере с Windows 2003 Server открывать файлы на общем диске?

    (1) интерфейс API

    (2) редиректор

    (3) служба

    Сколько узлов возможно обозначить в сети с маской 192.168.1.0/24?

    Какие из следующих средств служат для администрирования общих папок на удаленном сервере?

    (1) проводник Windows, запущенный на локальном компьютере и подключенный к общей папке на удаленном сервере или к скрытому общему диску

    (2) проводник Windows, запущенный на удаленном компьютере в сеансе служб терминалов или дистанционного подключения к рабочему столу

    (3) консоль Управление файловым сервером (File Server Management)

    Сетевой уровень эталонной модели OSI находится

    (1) между транспортным и канальным

    (2) между прикладным и сеансовым

    (3) между транспортным и уровнем представления

    Какой неверно настроенный параметр, скорее всего, является причиной того, что компьютер с TCP/IP не способен взаимодействовать с символическими адресами?

    (1) предпочитаемый DNS-сервер

    (2) маска подсети

    (3) ip-адрес

    Какие из следующих размещений нельзя использовать для хранения резервной копии системы Windows Server 2003?

    (1) локальный привод DVD+R

    (2) общая папка на удаленном сервере

    (3) локальный сменный диск

    Какое программное средство используется на сервере для включения удаленного подключения к рабочему столу?

    (1) система (System Properties) из Панели управления

    (2) лицензирование служб терминалов (Terminal Services Licensing)

    (3) настройка служб терминалов (Terminal Services Configuration)

    Журнал событий (Event Log) по умолчанию ведет следующие журналы:

    (1) cистема (System)

    (2) приложение (Application)

    (3) пользователь (User)

    На сервере установлен дисковый контроллер, драйверы которого отсутствуют в базовом наборе драйверов системы, ваши действия:

    (1) при начальной загрузке нажать F6 и следовать инструкциям

    (2) в этой ситуации система предложит вам скачать обновления из сети Интернет

    (3) это невозможная ситуация, т.к. в ОС Windows имеются драйвера с общими для всех контроллеров функциями, с котороми возможно продолжить установку

    Сообщение ARP Request (запрос ARP) — это

    (1) широковещательный запрос, отправляемый на физическом уровне модели TCP/IP, для определения MAC-адреса узла, имеющего конкретный IP-адрес

    (2) запрос на определение IP-адреса по известному MAC-адресу

    (3) ответ узла на обратный ARP-запрос

    Какой из следующих типов записей ресурсов позволяет создать псевдоним для существующего хост-имени?

    (1) тип ALIAS

    (2) тип A

    (3) тип CNAME

    Какие минимальные разрешения NTFS требуются, чтобы пользователи могли открывать файлы и запускать программы из общей папки?

    (1) чтение и выполнение (Read and Execute)

    (2) полный доступ (Full Control)

    (3) изменение (Modify)

    Коаксиальный кабель — это

    (1) среда передачи информации из двух перекрученных между собой электрических проводов, характеризующаяся простотой монтажа и низкой стоимостью

    (2) среда передачи информации, электрический кабель, состоящий из центрального проводника и металлической оплетки, разделенных диэлектриком

    (3) среда передачи информации, представляющая собой стеклянное или пластиковое волокно в оболочке, по которому распространяется световой сигнал

    Почему DHCP-клиенты вынуждены использовать широковещательные сообщения для запроса IP-адреса у DHCP-сервера?

    (1) DHCP-сервер может принимать только широковещательные сообщения

    (2) y DHCP-клиента еще нет ip-адреса

    (3) DHCP-сервер может обслуживать только компьютеры, расположенные с ним в одной подсети

    Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы вручную выполняете обычную архивацию, затем составляете расписание, по которому задание архивации запускается каждый вечер в течение следующих двух недель. Какой из типов архивации обеспечивает самый простой способ восстановления данных?

    (1) разностный

    (2) обычный

    (3) добавочный

    Укажите расположение журнала Безопасность по умолчанию

    (1) SystemRoot%system32configSysEvont.Evt

    (2) %SystemRoot%system32configAppEvent.Evt

    (3) %SystemRoot%system 32сопfigSecEvent.Evt

    Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

    (1) предыдущая ОС была Windows 98

    (2) предыдущая ОС была Windows 2000 Server

    (3) предыдущая ОС была Windows 2000 Advanced Server

    Какой из перечисленных ТСР/IР-протоколов не работает на межсетевом уровне?

    Какую из следующих масок подсетей по умолчанию использовал бы компьютер с IP-адресом 157.54.4.201?

    (1) 255.0.0.0

    (2) 255.255.0.0

    (3) 255.255.255.0

    (4) 255.255.255.255

    Пользователь Bill жалуется, что не может получить доступ к плану отдела. Вы открываете вкладку Безопасность (Security) в окне свойств плана и видите, что все разрешения доступа к документу наследуются от родительской папки плана. Для группы, куда включен Bill, разрешение Чтение (Read) отменено. Какое из следующих действий позволило бы пользователю Bill получить доступ к плану?

    (1) изменить разрешения доступа к плану: снять флажок Разрешить наследование разрешений… (Allow Inheritable Permissions…), щелкнуть Копировать (Сору) и удалить запрет

    (2) изменить разрешения доступа к плану, чтобы предоставить пользователю Bill разрешение Чтение (Read)

    (3) изменить разрешения родительской папки, чтобы предоставить пользователю Bill разрешение Чтение (Read)

    Какой уровень определяет методы доступа к среде передачи данных?

    (1) прикладной

    (2) сеансовый

    (3) канальный

    Назовите две группы безопасности, кроме Администраторы (Administrators), которым предоставлено право управления DHCP-серверами.

    (1) администраторы DNS (DNS Administrators)

    (2) администраторы предприятия (Enterprise Admins)

    (3) администраторы DHCP (DHCP Administrators)

    Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы выполняете обычную архивацию, а на следующий день решаете, какую архивацию выбрать: добавочную или разностную. Если бы ЧЕРЕЗ ДВА ДНЯ на сервере произошел сбой, одинаково эффективными были бы операции восстановления?

    (1) нет, разностная архивация выгоднее

    (2) да

    (3) нет, добавочная архивация выгоднее

    Протокол предназначенный для подключения к удаленным Windows-системам и работы с ними

    (1) протокол OSPF

    (2) протокол SMTP

    (3) протокол удаленного рабочего стола (RDP)

    Что используется для определения идентификатора сети назначения пакета?

    (1) IP-заголовок

    (2) маска подсети

    (3) класс адреса

    Что входит в логическую организацию AD?

    (1) сайты

    (2) домены

    (3) контроллер домена

    (4) OU

    Что из следующего нужно сделать, чтобы сгенерировать журнал событий доступа к файлу или папке?

    (1) настроить разрешения NTFS, позволяющие учетной записи System вести аудит доступа к ресурсу

    (2) включить политику Аудит доступа к объектам (Audit Object Access)

    (3) включить политику Аудит использования привилегий (Audit Privilege Use)

    На каком уровне модели TCP/IP работает www?

    (1) транспортный

    (2) приложений

    (3) прикладной

    Какой домен является коренным для пространства имен с FQDN first.domainl.local.?

    (1) domain 1

    (2) local.

    (3) «»(пустая строка)

    В удаленном филиале работает 20 человек и нет администратора. Доступ к файлам и принтерам обеспечивает система под управлением Windows Server 2003. На ней установлен ленточный накопитель. Вы хотите дать опытному пользователю Vasya полномочия и привилегии для архивации и восстановления этого сервера. Как лучше всего это сделать?

    (1) включить пользователя Vasya в группу опытные пользователи

    (2) включить пользователя Vasya в группу администраторы

    (3) включить пользователя Vaysya в группу операторы архива

    Какие варианты прекращения работы в терминальной сессии существуют, у создателя сессии с правами пользователя?

    (1) «Перезагрузка»

    (2) «Отключение сеанса»

    (3) «Завершение сеанса»

    По умолчанию в Диспетчере задач на вкладке «Процессы» отображаются столбцы:

    (1) Имя образа

    (2) Имя пользователя

    (3) ЦП

    (4) Память

    Какие из указанных компонентов привязываются к подключениям автоматически?

    (1) клиент для сетей NetWare

    (2) драйвер сетевого монитора

    (3) клиент для сетей Microsoft

    Какие компоненты необходимы для реализации хостинга домена Интернета?

    (1)

  • DNS-сервер с зарегистрированным IP-адресом
  • (2)

  • DNS-сервер с зарегистрированным IP-адресом
  • зарегистрированное доменное имя
  • (3)

  • DNS-сервер с зарегистрированным IP-адресом
  • зарегистрированное доменное имя
  • DNS-сервер, подключенный к Интернету
  • доступ к DNS-сервису для администратора
  • Сколько типов доверия существует в AD?

    Вы настраиваете принтер на компьютере под управлением Windows Server 2003. Компьютер будет использоваться в качестве сервера печати. Вы планируете использовать принтер, в настоящий момент подключенный к сети как изолированное устройство печати. Принтер какого типа следует добавить на сервер печати?

    (1) сетевой

    (2) удаленный

    (3) локальный

    ARP — это

    (1) интерфейс для установки адресов абонентов сети

    (2) протокол разрешения адресов

    (3) протокол передачи данных

    Вы только что обновили запись ресурса узла сети. Какую еще запись ресурса, связанную с первой, нужно обновить?

    (1) запись указателя PTR, относящуюся к этому же узлу

    (2) запись указателя PTR, относящуюся к другому узлу

    (3) никакую

    Обычно объем лент AIT-3 составляет:

    (1) 10 Гбайт без сжатия и 26 Гбайт со сжатием

    (2) 100 Гбайт без сжатия и 260 Гбайт со сжатием

    (3) 1 Гбайт без сжатия и 2 Гбайт со сжатием

    Для каких ОС доступен Удаленный рабочий стол для администрирования для настольных ОС

    (1) Windows 9x

    (2) Windows XP

    (3) Windows NT

    Какие компоненты Windows надо установить для обеспечения функциональности DHCP, DNS и WINS?

    (1) сетевые службы

    (2) другие службы доступа к файлам и принтерам сети

    (3) средства управления и наблюдения

    Какие компоненты необходимы для реализации хостинга домена AD?

    (1)

  • DNS-сервер подключенный к Интернету
  • (2)

  • DNS-сервер с зарегистрированным IP-адресом
  • DNS-сервер, подключенный к Интернету
  • доступ к DNS-сервису для администратора
  • (3)

  • доступ к DNS-сервису для администратора
  • The globally unique identifier (GUID) — это

    (1) уникальный идентификатор объекта, содержит имя домена, который содержит объект

    (2) 128-ми битовый идентификатор, гарантирующий уникальность

    (3) имя которое содержит имя пользователя и имя домена, в котором пользователь расположен

    Вы устанавливаете принтер на клиентском компьютере. Принтер будет подключен к логическому принтеру, установленному на сервере печати Windows Server 2003. Сведения какого типа (типов) нужно предоставить для настройки принтера?

    (1) UNC-путь к общему ресурсу печати

    (2) драйвер принтера

    (3) модель печатающего устройства

    Отметьте основные достоинства TCP/IP

    (1) работа в гетерогенных средах

    (2) подтверждения передачи

    (3) поддержка аналоговых сигналов

    Какая запись ресурса используется для разрешения доменных имен, указываемых в адресах электронной почты, в IP-адрес связанного с доменом почтового сервера?

    Задачи сетевого администратора в построении системы резервного копирования:

    (1) анализ данных, используемых компанией и определение степени их критичности для деятельности компании

    (2) определение объемов данных, подлежащих архивированию, и интенсивности их модификации

    (3) разработка стратегии резервного копирования каждого типа информации

    (4) создание и настройка заданий для выполнения резервного копирования

    (5) регулярный просмотр журналов, в которые записываются протоколы резервного копирования

    (6) регулярное тестирование созданных резервных копий

    В системе Windows Server имеются клиенты служб терминалов для систем

    (1) Windows NT 3.5

    (2) Windows 3.11

    (3) Windows 98

    Журналы оповещения служат для

    (1) отслеживания значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям

    (2) накопления данных в файле журнала на жестком диске или в базе данных

    (3) отслеживания запуска и работы приложений

    Для работы каких из перечисленных сетевых компонентов не обязательна инфраструктура открытого ключа?

    (1) cовместное использование файлов

    (2) IPsec

    (3) SSL

    Какова максимальная длина домена DNS?

    (1) 63 символа

    (2) 16 символов

    (3) 256 символов

    Какова первичная причина определения OU?

    (1) делегирование полномочий администратора

    (2) разрешение имен становится много проще

    (3) создание OU отражается на быстродействии

    Сетевой принтер (в контексте Microsoft)

    (1) в контексте пользовательского интерфейса Microsoft Windows это логический принтер, являющийся клиентом общего логического принтера (то есть подключенный к нему) на другом компьютере

    (2) принтер имеющий интерфейс сети (например Ethernet)

    (3) представляет физический принтер, обслуживая порт этого принтера

    На каком уровне работает протокол DHCP?

    (1) на одном уровне с DNS

    (2) на транспортном уровне

    (3) на прикладном уровне

    Определите, какую маску подсети надо назначить пулу 207.46.200.0-207.46.207.255.

    (1) 255.255.255.0.

    (2) 255.255.48.0.

    (3) 255.255.248.0.

    Жесткий диск на сервере Windows Server 2003 вышел из строя. Вы заменили диск, загрузили систему, инициализировали новый диск и создали на нем новый том NTFS. Теперь вы намерены восстановить данные, которые хранились на старом диске, из последнего архива. Как следует восстанавливать эти данные?

    (1) восстановить данные, используя архив ASR

    (2) скопировать данные на диск с помощью консоли восстановления

    (3) запустить мастер восстановления из программы Архивация данных

    Какая максимальная длина ключа шифрования для сеанса удаленного управления сервером?

    (1) любая по выбору

    (2) 56-битная последовательность

    (3) 128-битная последовательность

    Основные назначение журналов оповещений

    (1) обнаружение ситуации, когда какие-то показатели превышают установленные критические значения

    (2) выполнение каких-либо действий в качестве реакции на данное событие

    (3) обнаружение ситуации, когда какие-то показатели cтановятся меньше определенных критических значений

    Какие из перечисленных ниже протоколов могут в одиночку обеспечить совместный доступ к файлам в Windows по сети?

    (1) TCP/IP

    (2) IPX

    (3) NetBEUI

    DNS-сервер, который получает все запросы, которые не удалось разрешить, от другого сервера, специально для их отправки, является

    (1) сервером кэширования

    (2) сервером с зоной-заглушкой

    (3) сервером пересылки

    (4) условной пересылкой запросов

    Что такое КСС?

    (1) встроенный процесс, исполняемый на всех контроллерах домена

    (2) контролер службы сервера

    (3) служба проверки согласованности знаний (knowledge consistency checker)

    Какое из следующих действий дадут наиболее точное представление о нагрузке на принтер, чтобы вы знали расход тонера и бумаги?

    (1) настройка аудита для логического принтера и ведение аудита успешного использования разрешения Печать (Print) группой Все (Everyone)

    (2) экспорт журнала Система (System) в текстовый файл с разделителями — запятыми и применение Excel для анализа событий очереди печати

    (3) настройка журнала производительности и мониторинг счетчика Всего напечатано страниц (Total Pages Printed) для каждого логического принтера

    Какой IP-адрес требуется маршрутизатору NAT, обеспечивающему доступ к Интернет клиентам частной сети

    (1) зарегистрированный

    (2) незарегистрированный

    (3) зарегистрированный и незарегистрированный

    Тип архивирования сохранияющий только измененные файлы (те у которых установлен атрибут «Файл готов для архивирования»)?

    (1) добавочный

    (2) нормальный

    (3) разностный

    К какому типу относятся консоли ММС из подменю Администрирование?

    (1) расширения

    (2) изолированные

    (3) предустановленные

    Отметьте физический адрес узла

    (1) 4C-00-10-51-27-D3

    (2) 192.168.0.3

    (3) www.yandex.ru

    Где в интерфейсе можно изменить членство компьютера под управлением Windows Server 2003 в домене?

    (1) окно свойств Мой компьютер (My Computer)

    (2) приложение Домен (Domain)

    (3) папка Сетевые подключения (Network Connections)

    Выберите все, что необходимо для организации в сети собственного сервера почты Интернета

    (1) DNS-сервер для хостинга домена

    (2) зарегистрированный IP-адрес

    (3) зарегистрированное доменное имя

    Файловый сервер в вашей сети перестал загружаться. Испробовав все способы, вы решили восстановить систему с помощью ASR. Вы создали архив ASR сразу после установки Windows Server 2003 и еще один — два месяца назад после установки драйвера устройства. Каждую неделю вы выполняете полную архивацию файлов данных. Какие данные будут восстановлены из архива ASR?

    (1) конфигурация диска

    (2) операционная система

    (3) файлы данных двухмесячной давности

    Можно ли перетащить файл из окна локального ПК в окно ПК подключенному по средствам сесси служб терминалов

    (1) нет

    (2) да после соответствующих настроек

    (3) да

    Для осуществления мониторинга сетевой активности на низком уровне в Microsoft Windows 2003 служит

    (1) компонента системы «Сетевой монитор»

    (2) диспетчер задач

    (3) журнал трассировки

    Какие типы зон DNS нельзя хранить в БД AD?

    (1) основную

    (2) дополнительную

    (3) зону заглушку

    Корневой домен дерева назначается

    (1) администратором из утилиты Active Directory Installation Wizard

    (2) первый домен созданный в дереве

    (3) администратором из Configure Your Server Wizard

    Вы группируете принтеры в пул на компьютере под управлением Windows Server 2003. Пул принтеров содержит три одинаковых печатающих устройства. Вы открываете окно свойств принтера и на вкладке Порты (Ports) устанавливаете флажок Разрешить группировку принтеров в пул (Enable Printer Pooling). Что следует сделать далее?

    (1) настроить порт LPT1 для обслуживания трех принтеров

    (2) выбрать или создать порты, связанные с этими тремя принтерами

    (3) на вкладке Дополнительно (Advanced) настроить приоритет для каждого устройства печати, чтобы распределить задания между тремя устройствами

    Сколько зарегистрированных IP-адресов требуется динамическому маршрутизатору NAT?

    (1) один

    (2) по одному на каждое одновременно установленное соединение

    (3) по одному на каждый незарегистрированный IP-адрес

    Сети полная архивация выполняется еженедельно вечером в среду, а по вечерам остальных дней недели производится разностная архивация. Сколько заданий понадобится для полного восстановления жесткого диска, который сломался во вторник утром?

    На основе какого протокола работает Удаленный рабочий стол?

    (1) RDP

    (2) X.250

    (3) Ethetnet

    Консоль Производительность состоит из оснасток:

    (1) системный монитор (System Monitor)

    (2) журналы и оповещения производительности (Performance Logs And Alerts)

    (3) сетевого монитора

    Назовите технологию, распространение которой послужило причиной разработки стандарта динамического обновления

    (1) AD

    (2) DHCP

    (3) анализаторы протокола

    Роли хозяина операций — operations master roles

    (1) имеют 3 разновидности в пределах домена

    (2) имеют две разновидности в пределах леса

    (3) уникальные роли в пределах домена или леса

    Вам нужно настроить логический принтер так, чтобы большие документы с низким приоритетом печатались по ночам. Какой из следующих параметров необходимо настроить в окне свойств принтера?

    (1) cохранять документы после печати (Keep Printed Documents)

    (2) доступен с/по (Available From/To)

    (3) начинать печать лосле помещения в очередь всего задания (Start Printing After Last Page Is Spooled)

    Какие журналы будут по умолчанию отображаться в консоли Просмотр событий (Event Viewer) на контроллере домена с запущенной службой DNS?

    (1) приложение (Application)

    (2) система (System)

    (3) безопасность (Security)

    (4) DNS-сервер (DNS Server)

    Неделю назад, мы познакомились с протоколом DHCP и узнали об основных принципах его функционирования. Теперь настало время попрактиковаться в его использовании, и начнем мы данную практику с настройки DHCP сервера в ОС Windows Server 2003.

    Хотя ОС Windows Server 2003 уже сильно устарела, она продолжает использоваться на многих серверах в самых различных компаниях. Поэтому настройку DHCP серверов мы начнем разбирать именно с данной ОС, а позже перейдем к ее приемникам Windows Server 2008 и Windows Server 2012.

    Для отработки навыков работы с DHCP сервером в данной статье будет использоваться следующая сетевая топология:

    Вот так будет выглядеть наша тестовая сеть

    В качестве DHCP сервера будет использоваться компьютер под управлением Windows Server 2003, в качестве компьютера пользователя компьютер под управлением Windows XP.  DHCP сервер имеет статически заданный IP адрес192.168.1.1, компьютер пользователя автоматически получает настройки от DHCP сервера. Данная сетевая топология может быть создана как на базе реального оборудования, так и с использованием виртуальных машин. В данной статье будет рассматриваться вариант с использованием виртуальных машин созданных при помощи Windows Virtual PC, настройки сети обоих виртуальных машин заданы в соответствии с рисунком.

    Параметры сети виртуальных машин

    После того, как мы обговорили некоторые нюансы реализации тестовой площадки для создания DHCP сервера, перейдем  к непосредственной его настройке. Для этого на сервера с  Windows Server 2003  в меню «Пуск» выберите пункт «Управление данным сервером».

    Открываем оснастку «Управление данным сервером»

    После данного действия откроется оснастка управления вашим сервером, в данной панели отображаются все роли, которые в данный момент выполняет ваши сервер (так как мы пока еще не настраивали роли, то ничего не отображается). Для добавления новой роли серверу нажмите на кнопку «Добавить или удалить роль».

    Добавляем роль в Windows Server 2003

    Откроется окно, которое предупреждает вас о том, что для выполнения дальнейших действий необходимо иметь сетевое подключение, сконфигурированное в соответствии с вашими потребностями (в данном случае необходимо лишь убедиться, что на нашем сервере функционирует сеть  и что он имеет статический адрес 192.168.1.1). Нажимаем на кнопку «Далее»

    Предупреждение перед добавлением роли


    В следующем окне нам предлагается выбрать роль, которую мы хотим установить на данном сервере, так как мы хотим настроить DHCP сервер, то соответственно выбираем роль DHCP сервера.

    Выбор роли для установки в Windows Server 2003

    В следующем окне отображаются действия, выбранные для выполнения, просто нажмите «Далее».

    Действия которые будут выполняться

    Начнется процесс установки DHCP сервера.

    Наблюдаем за установкой роли DHCP сервера

    После завершения установки основных файлов DHCP сервера, откроется окно мастера, предлагающее сконфигурировать DHCP сервер в соответствии с вашими потребностями. Нажмите «Далее».

    Мастер настройки DHCP сервера

    Введите имя области IP адресов, которые вы будете раздавать клиентам. Можно ввести что угодно, главное чтобы это было понятно именно вам.

    Задаем имя и описание области

    Укажите в каком диапазоне выдавать IP адреса клиентам, и какую маску подсети им задавать. В данном случае будут раздаваться IP адреса из диапазона 192.168.1.100-200 c маской подсети 255.255.255.0.

    Диапазон IP адресов, раздаваемый DHCP сервером

    Если необходимо добавить какие либо исключения для выбранной области, то указываем их в следующем окне. В данном случае ничего не меняем и нажимаем кнопку «Далее».

    Добавляем исключение

    В следующем окне указываем время аренды IP адреса DHCP клиентом у сервера. По умолчанию данное время равно 8 часам, это означает что клиент, получивший IP адрес у DHCP сервера, будет обращаться к нему каждые 8 часов для получения разрешения на дальнейшие использование данного IP адреса, или же для его смены.

    Задаем время аренды IP адреса

    Как мы знаем с помощью DHCP сервера можно раздавать компьютерам не только IP адреса, но и еще ряд параметров, таких как адрес основного шлюза, адрес DNS сервера и д.р. Если мы хотим чтобы наш сервер раздавал данные параметры своим клиентам выбираем пункт «Да, настроить эти параметры сейчас» и последовательно задаем их в следующих трех окнах.

    Настройка дополнительны параметров раздаваемых DHCP сервером
    Задаем основной шлюз
    Задаем адрес DNS сервера
    Задаем адрес WINS севера

    После задания всех настрое вас спросят хотите ли вы активировать данную область IP адресов на данном DHCP сервере – соглашаемся и нажимаем далее.

    Хотите ли вы активировать данную область?

    После этого вас порадуют сообщениями о том, что ваш DHCP сервер сконфигурирован и готов к работе.

    Завершение работы мастера настройки DHCP сервера
    Роль успешно добавлена

    После этого включите виртуальную машину, на которой установлена Windows XP. Выполните в командной строке ipconfig. Если DHCP сервер настроен правильно, компьютер должен получить IP адрес из диапазона 192.168.1.100-200.

    Компьютер пользователя получил IP адрес

    В данном случае DHCP сервер последовательно раздает IP адреса заданного диапазона запрашивающим клиентам. Но иногда бывает нужно сделать так, чтобы определенный компьютер получал строго заданный IP адрес. Как же это сделать? Для этого снова вернемся на наш сервер,  и перейдем в оснастку «Управление данным сервером». Как вы можете заметить, в ней теперь отображается только что созданная роль DHCP сервера. Для настройки DHCP сервера кликните по надписи «Управление этим DHCP сервером».

    Оснастка управление сервером с одной ролью

    В созданной области выберите пункт резервирование. Щелкните по нему правой кнопкой мыши и создайте правило, с помощью которого компьютер с определенным MAC адресом будет получать определенный IP адрес. В данном случае в качестве MAC адреса указываем MAC виртуальной машины с Windows XP.

    Резервирование IP адресов DHCP сервером
    Привязка IP адреса к заданному MAC адресу

    Перейдем на виртуальную машину с Windows XP. Отключим и снова включим сетевое подключение на ней. После чего в командной строке снова выполним команду ipconfig. Если все сделано верно, клиентский компьютер получит IP адрес 192.168.1.177.

    Компьютер получил IP привязанный к его MAC адресу

    Ну вот так, довольно несложно настраиваются основные возможности DHCP сервера в ОС Windows Server 2003.

    P.S. Лично у меня при использовании DHCP сервера на виртуальных машинах, созданных в Windows Virtual PC, возникла следующая проблема – клиентские компьютеры не в какую не хотели получать IP адреса от DHCP сервера. Что я делал для решения данной проблемы:

    • Выключил все виртуальные машины.
    • Открыл файл %localappdata%microsoftWindows Virtual PCOptions.xml
    • Нашел в нем фрагмент:  

        <dhcp>

          <enabled type=»boolean»>false</enabled>

          <ending_ip_address type=»integer»>2851998462</ending_ip_address>

          <network type=»integer»>2851995648</network>

          <network_mask type=»integer»>4294901760</network_mask>

          <starting_ip_address type=»integer»>2851995664</starting_ip_address>

        </dhcp>

    • Заменил в нем строку <enabled type=»boolean»>true</enabled> на <enabled type=»boolean»>false</enabled>

    После этого все стало прекрасно работать =)  Удачи вам! Если у вас что то не получается, то не стесняйтесь спрашивать. 

    Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

    Перейти

    Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

    Перейти

    Вы планируете развернуть компьютеры под управлением Windows Server 2003 в отделе из 250 служащих. Сервер будет хранить домашние каталоги, общие папки и обслуживать несколько принтеров. Какая редакция Windows Server 2003 является наиболее выгодным решением?

    Перейти

    Вы администрируете компьютер под управлением Windows Server 2003, настроенный в качестве сервера печати, и хотите управлять службами печати из Web браузера на клиентском компьютере. Сервер называется world, но вы не знаете имя общего ресурса принтера. По какому URL следует подключаться к принтеру?

    Перейти

    Какие из перечисленных версий Windows Server 2003 требуют активации?

    Перейти

    Какие из перечисленных компонентов конфигурируются в Windows Server 2003 автоматически?

    Перейти

    В удаленном филиале работает 20 человек и нет администратора. Доступ к файлам и принтерам обеспечивает система под управлением Windows Server 2003. На ней установлен ленточный накопитель. Вы хотите дать опытному пользователю Vasya полномочия и привилегии для архивации и восстановления этого сервера. Как лучше всего это сделать?

    Перейти

    Какие из следующих утверждений о программе установки Windows Server 2003 верны?

    Перейти

    Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы выполняете обычную архивацию, а на следующий день решаете, какую архивацию выбрать: добавочную или разностную. Если бы ЧЕРЕЗ ДВА ДНЯ на сервере произошел сбой, одинаково эффективными были бы операции восстановления?

    Перейти

    Какие варианты прекращения работы в терминальной сессии существуют, у создателя сессии с правами пользователя?

    Перейти

  • Замечания по
    автоматической установке операционной
    системы Windows Server.

    Вопросы
    автоматической установки системы не
    входят в данный учебный курс. Для
    получения начальной информации по этой
    теме рекомендуем ознакомиться с
    материалами, имеющимися на установочном
    компакт-диске. На этом CD есть папка
    SUPPORTTOOLS,
    в которой среди прочих имеется файл
    DEPLOY.CAB.
    В данном файле содержится ряд утилит,
    которые помогают автоматизировать
    процедуру установки системы и подготовить
    сценарии для тиражирования установки
    на большое количество серверов. Это в
    первую очередь программа установки
    winnt32.exe
    (и ее 16-битный собрат winnt.exe),
    которая в комбинации с различными
    ключами и параметрами может намного
    ускорить процесс установки. А также
    программы setupmgr.exe
    и sysprep.exe.
    В файле DEPLOY.CAB
    имеется также файл deploy.chm,
    в котором содержится подробное описание
    использование всех данных утилит.

    С
    дистрибутивного компакт-диска можно
    установить комплект ресурсов Windows Server
    2003 Support Tools. Средства поддержки — это
    универсальный набор утилит для выполнения
    любых сервисных задач от диагностики
    системы до сетевого мониторинга.

    Есть
    много способов администрирования систем
    Windows Server 2003. Чаще всего применяются
    следующие.

    • Панель управления
      — набор средств для управления
      конфигурацией системы Windows Server 2003. В
      классическом меню Пуск (Start) доступ к
      этим средствам открывает подменю
      Настройка (Settings), в упрощенном меню
      Пуск (Start) команда Панель управления
      (Control Panel) доступна сразу.

    • Графические
      средства администрирования — ключевые
      средства для управления компьютерами
      в сети и их ресурсами. Доступ к
      необходимому средству можно получить,
      щелкнув его значок в подменю
      Администрирование (Administrative Tools).

    • Мастера
      администрирования — средства
      автоматизации ключевых административных
      задач. В отличие от Windows NT мастера не
      сосредоточены в центральном месте —
      доступ к ним происходит посредством
      выбора соответствующих параметров
      меню и других средств администрирования.

    • Функции командной
      строки. Большинство административных
      действий можно выполнять из командной
      строки.

    В этом
    упражнении вы освоите установку
    операционных систем семейства Windows 2003
    Server

    Упражнение
    1. Установка операционной системы Windows
    2003 Server (редакция Standard или Enterprise)

    Цель упражнения

    Освоить технологию
    ручной установки операционной системы
    Windows 2003 Server

    Исходная
    конфигурация компьютера

    Компьютер
    без операционной системы или с
    установленной системой Windows на разделе
    С:

    Результат

    Компьютер с
    установленной системой Windows 2003 Server

    Предварительные
    навыки

    Практические
    навыки работы в системе Windows

    Задания

    1

    Установка
    системы

    1. Запуск
      установки

    Вариант
    1

    • Вставить в
      CD-дисковод установочный CD

    • Загрузить
      компьютер с компакт-диска

    • Выбрать нужную
      редакцию системы

    Вариант
    2

    • Вставить в
      CD-дисковод установочный CD

    • Автоматически
      загружается программа установки
      системы

    • Выбрать пункт
      «Установить систему»

    Вариант
    3

    • Кнопка
      «Пуск»

      «Выполнить»

      «Обзор»

    • Найти
      открыть папку i386
      на дистрибутиве операционной системы

    • Найти
      файл с именем winnt32.exe,
      запустить данный файл

  • Процесс
    установки

    Текстовый
    режим

      1. Выбор действий

    «Чтобы
    приступить к установке Windows»
    нажмите
    «Ввод

      1. Лицензионное
        соглашение

    Нажмите
    клавишу F8 —
    «Принимаю лицензионное соглашение»

      1. Разметка жесткого
        диска и выбор раздела для установки

    Пример:

    Неразмеченная
    область — 14345 МБ

    С
    Создать
    раздел
    (или
    выбрать существующий)

    Создать
    раздел размером 5000
    МБ

    Ввод
    «Установить»

    Выбрать

    Форматировать
    раздел в
    системе
    FAT/NTFS (Быстрое)

      1. Процесс
        копирования файлов

      2. Перезагрузка
        компьютера

    Графический
    режим

      1. Определение
        устройств

      2. Язык и региональные
        стандарты

    Язык
    ввода по умолчанию — Русский

      1. Настройка
        принадлежности программ

    Введите
    значения текстовых полей (см. п. 3.2.):

    Имя:

    Организация.

      1. Ключ продукта

    Введите
    ключ для установки системы

      1. Режим лицензирования

    Задайте
    значение:

    «Нa
    сервер»

    50

      1. Имя компьютера
        и пароль администратора

    Введите
    имя компьютера и пароль администратора
    сервера (см. п. 3.4-3.5.)

    Пример
    (для варианта самостоятельного
    изучения)

    Имя
    —DC 1

    Пароль
    «пароль»

      1. Настройка
        времени и даты

    Установите
    нужную дату и время

      1. Установка
        поддержки сети

      2. Сетевые параметры

    Установите
    параметры протокола TCP/IP компьютера
    (см. п. 3.3.)

    Выберите:

    «Особые
    параметры»

    Свойства
    TCP/IP
    — задайте
    параметры протокола TCP/IP

      1. Рабочая группа
        или домен

    Оставьте
    по умолчанию рабочую группу WORKGROUP

      1. Снова процесс
        копирование файлов

      2. Завершающие
        действия по установке системы
        (настройка Главного меню, регистрация
        компонентов, сохранение настроек и
        т.д.)

    1. Специфические
      моменты

      1. Драйверы
        устройств

    В
    процессе установки могут потребоваться
    драйверы для устройств, для которых
    в БД драйверов системы нет соответствующего
    драйвера.

    Если
    вы занимаетесь в группе под руководством
    преподавателя, то он предоставит все
    необходимые драйверы.

    Если
    вы занимаетесь индивидуально, то сами
    позаботьтесь о необходимых драйверах
    для ваших компьютеров.

      1. Ввод
        сведений о пользователе

    В
    полях «Пользователь»
    и «Организация»
    введите любую текстовую информацию
    (например, Userv
    Company)

      1. Настройка
        сетевых подключений

    Протокол
    TCP/IP

    Значение
    IP-адреса и маски подсети необходимо
    взять из таблицы распределения
    IP-адресов и имен компьютеров — введите
    параметры того компьютера, который
    назначен для вас преподавателем;
    значения остальных параметров протокола
    TCP/IP оставьте пустыми

      1. Выбор
        имени компьютера

    Выберите
    имя компьютера из таблицы распределения
    IP-адресов и имен компьютеров — введите
    то имя, которое назначено для вас
    преподавателем

      1. Пароль
        администратора

    Если
    вы занимаетесь в группе под руководством
    преподавателя, то он даст необходимые
    рекомендации (в большинстве случает
    можно оставить пустой пароль).

    Если
    вы занимаетесь индивидуально, то
    назначьте пароль администратора таким
    образом, чтобы защитить вашу учебную
    конфигурацию от несанкционированного
    доступа и повреждения информации.

    1. Завершение
      установки

      1. Выбор
        системы, загружаемой по умолчанию

    По
    окончании установки системы, после
    последней перезагрузки компьютера в
    момент появления меню выбора операционной
    системы выбрать ту систему, которая
    только что была установлена (данная
    установка должна выбираться по
    умолчанию).

      1. Региональные
        настройки

    Завершить
    настройку региональных параметров

      1. Настройка
        стандартного профиля пользователя

    Зарегистрируйтесь
    в системе с учетной записью администратора
    компьютера.

    Настройте
    следующие параметры профиля:

    • вид рабочего
      стола

    • просмотр папок:

    • показ полного
      пути в заголовке окна и строке адреса

    • показ скрытых
      файлов и папок

    • показ содержимого
      системных папок

    • показ защищенных
      системных файлов

    • показ расширений
      файлов

    • показ сжатых
      и зашифрованных файлов другим цветом

    • отмена запоминания
      вида каждой отдельной папки

    • применить
      данный способ просмотр для всех
      папок

    • свойства кнопки
      «Пуск» и «Главного меню»
      программ

    Сделайте
    профиль администратора профилем по
    умолчанию

  • 4. Лекция: Протокол tcp/ip, служба dns:

    Работа
    сетевых компонент операционных систем
    семейства Windows Server базируется на протоколе
    TCP/IP, а функционирование службы каталогов
    Active Directory полностью зависит от службы
    DNS. По этой причине описание протокола
    TCP/IP и службы DNS вынесено в отдельный
    раздел, предваряющий изучение остальных
    служб и компонент. В лекции 1 были кратко
    описаны протоколы и приложения, образующие
    стек TCP/IP, поэтому в данном разделе
    подробно рассматриваются правила
    адресации узлов IP-сетей и алгоритмы
    взаимодействия узлов, а также работа
    службы доменных имен DNS.

    4.1 Основы функционирования протокола tcp/ip (ip-адрес, маска подсети, основной шлюз; деление на подсети с помощью маски подсети; введение в ip-маршрутизацию). Адресация узлов в ip-сетях

    В
    сетях TCP/IP принято различать адреса
    сетевых узлов трех уровней

    • физический (или
      локальный) адрес узла (МАС-адрес сетевого
      адаптера или порта маршрутизатора);
      эти адреса назначаются производителями
      сетевого оборудования;

    • IP-адрес
      узла (например, 192.168.0.1),
      данные адреса назначаются сетевыми
      администраторами или Интернет-провайдерами;

    • символьное имя
      (например, www.microsoft.com); эти имена также
      назначаются сетевыми администраторами
      компаний или Интернет-провайдерами.

    Рассмотрим
    подробнее IP-адресацию.

    Компьютеры
    или другие сложные сетевые устройства,
    подсоединенные к нескольким физическим
    сетям, имеют несколько IP-адресов — по
    одному на каждый сетевой интерфейс.
    Схема адресации позволяет проводить
    единичную, широковещательную и групповую
    адресацию. Таким образом, выделяют 3
    типа IP-адресов.

    1. Unicast-адрес (единичная
      адресация конкретному узлу) — используется
      в коммуникациях «один-к-одному».

    2. Broadcast-адрес
      (широковещательный адрес, относящийся
      ко всем адресам подсети) — используется
      в коммуникациях «один-ко-всем». В
      этих адресах поле идентификатора
      устройства заполнено единицами.
      IP-адресация допускает широковещательную
      передачу, но не гарантирует ее — эта
      возможность зависит от конкретной
      физической сети. Например, в сетях
      Ethernet широковещательная передача
      выполняется с той же эффективностью,
      что и обычная передача данных, но есть
      сети, которые вообще не поддерживают
      такой тип передачи или поддерживают
      весьма ограничено.

    3. Multicast-адрес
      (групповой адрес для многоадресной
      отправки пакетов) — используется в
      коммуникациях «один-ко-многим».
      Поддержка групповой адресации
      используется во многих приложениях,
      например, приложениях интерактивных
      конференций. Для групповой передачи
      рабочие станции и маршрутизаторы
      используют протокол IGMP, который
      предоставляет информацию о принадлежности
      устройств определенным группам.

    Unicast-адреса.

    Каждый
    сетевой интерфейс на каждом узле сети
    должен иметь уникальный unicast-адрес.
    IP-адрес имеет длину 4 байта (или 32 бита).
    Для удобства чтения адресов 32-битные
    числа разбивают на октеты по 8 бит, каждый
    октет переводят в десятичную систему
    счисления и при записи разделяют точками.
    Например, IP-адрес 11000000101010000000000000000001
    записывается как 192.168.0.1.

    I

    P-адрес
    состоит из двух частей — идентификатор
    сети (префикс сети, Network ID) и идентификатор
    узла (номер устройства, Host ID). Такая схема
    приводит к двухуровневой адресной
    иерархии. Структура IP-адреса изображена
    на рис.
    4.1
    .

    Рис. 4.1

    Идентификатор
    сети идентифицирует все узлы, расположенные
    на одном физическом или логическом
    сегменте сети, ограниченном
    IP-маршрутизаторами. Все узлы, находящиеся
    в одном сегменте должны иметь одинаковый
    идентификатор сети.

    Идентификатор
    узла идентифицирует конкретный сетевой
    узел (сетевой адаптер рабочей станции
    или сервера, порт маршрутизатора).
    Идентификатор узла должен быть уникален
    для каждого узла внутри IP-сети, имеющей
    один идентификатор сети.

    Таким
    образом, в целом IP-адрес будет уникален
    для каждого сетевого интерфейса всей
    сети TCP/IP.

    Соотношение
    между идентификатором сети и идентификатором
    узла в IP-адресе определяется с помощью
    маски подсети (Network mask), которая имеет
    длину также 4 байта и также записывается
    в десятичной форме по 4 октета, разделенных
    точками. Старшие биты маски подсети,
    состоящие из 1,
    определяют, какие разряды IP-адреса
    относятся к идентификатору сети. Младшие
    биты маски, состоящие из 0,
    определяют, какие разряды IP-адреса
    относятся к идентификатору узла.

    IP-адрес
    и маска подсети — минимальный набор
    параметров для конфигурирования
    протокола TCP/IP на сетевом узле.

    Для
    обеспечения гибкости в присваивании
    адресов компьютерным сетям разработчики
    протокола определили, что адресное
    пространство IP должно быть разделено
    на три различных класса — А, В и С.

    В
    дополнение к этим трем классам выделяют
    еще два класса. D — этот класс используется
    для групповой передачи данных. Е —
    класс, зарезервированный для проведения
    экспериментов.

    IP-адреса
    класса А.

    С

    тарший
    бит любого IP-адреса в сети класса А
    всегда равен 0. Идентификатор сети
    состоит из 8 бит, идентификатор узла —
    24 бита. Маска подсети для узлов сетей
    класса A — 255.0.0.0.
    Структура IP-адресов класса А приведена
    на рис.
    4.2
    .

    Рис. 4.2

    IP-адреса
    класса B.

    Д

    ва
    старших бита любого IP-адреса в сети
    класса B всегда равны 10. Идентификатор
    сети состоит из 16 бит, идентификатор
    узла — 16 бит. Маска подсети для узлов
    сетей класса B — 255.255.0.0.
    Структура IP-адресов класса B приведена
    на рис.
    4.3
    .

    Рис. 4.3

    IP-адреса
    класса C.

    Т

    ри
    старших разряда любого IP-адреса в сети
    класса C всегда равны 110.
    Идентификатор сети состоит из 24 разрядов,
    идентификатор узла — из 8 разрядов.
    Маска подсети для узлов сетей класса C
    — 255.255.255.0.
    Структура IP-адресов класса C приведена
    на рис.
    4.4
    .

    Рис. 4.4

    Класс
    D

    IP-адреса
    класса D используются для групповых
    адресов (multicast-адреса). Четыре старших
    разряда любого IP-адреса в сети класса
    D всегда равны 1110.
    Оставшиеся 28 бит используются для
    назначения группового адреса.

    Класс
    E

    Пять
    старших разрядов любого IP-адреса в сети
    класса E равны 11110.
    Адреса данного класса зарезервированы
    для будущего использования (и не
    поддерживаются системой Windows Server).

    Правила
    назначения идентификаторов сети (Network
    ID)

    • первый
      октет идентификатора сети не может
      быть равен 127
      (адреса вида 127.x.y.z
      предназначены для отправки узлом
      пакетов самому себе и используются как
      правило для отладки сетевых приложений,
      такие адреса называются loopback-адресами,
      или адресами обратной связи);

    • все
      разряды идентификатора сети не могут
      состоять из одних 1
      (IP-адреса, все биты идентификаторов
      сети которых установлены в 1, используются
      при широковещательной передаче
      информации);

    • все
      разряды идентификатора сети не могут
      состоять из одних 0
      (в IP-адресах все биты, установленные в
      ноль, соответствуют либо данному
      устройству, либо данной сети);

    • идентификатор
      каждой конкретной сети должен быть
      уникальным среди подсетей, объединенных
      в одну сеть с помощью маршрутизаторов.

    Диапазоны
    возможных идентификаторов сети приведены
    в табл.
    4.1
    .

    Таблица 4.1.

    Класс сети

    Наименьший
    идентификатор сети

    Наибольший
    идентификатор сети

    Количество
    сетей

    Класс A

    1.0.0.0

    126.0.0.0

    126

    Класс B

    128.0.0.0

    191.255.0.0

    16384

    Класс C

    192.0.0.0

    223.255.255.0

    2097152

    Правила
    назначения идентификаторов узла (Host
    ID)

    • все
      разряды идентификатора узла не могут
      состоять из одних 1
      (идентификатор узла, состоящий из одних
      1,
      используется для широковещательных
      адресов, или broadcast-адресов);

    • все
      разряды идентификатора сети не могут
      состоять из одних 0
      (если разряды идентификатора узла равны
      0,
      то такой адрес обозначает всю подсеть,
      например, адрес 192.168.1.0
      с маской подсети 255.255.255.0
      обозначает всю подсеть с идентификатором
      сети 192.168.1;

    • идентификатор
      узла должен быть уникальным среди узлов
      одной подсети.

    Диапазоны
    возможных идентификаторов узла приведены
    в табл.
    4.2
    .

    Таблица 4.2.

    Класс сети

    Наименьший
    идентификатор узла

    Наибольший
    идентификатор узла

    Количество
    узлов

    Класс A

    w.0.0.1

    w.255.255.254

    16777214

    Класс B

    w.x.0.1

    w.x.255.254

    65534

    Класс C

    w.x.y.1

    w.x.y.254

    254

    Другим
    способом обозначения сети, более удобным
    и более кратким, является обозначение
    сети с сетевым префиксом. Такое обозначение
    имеет вид «/число бит маски подсети».
    Например, подсеть 192.168.1.0
    с маской подсети 255.255.255.0
    можно более кратко записать в виде
    192.168.1.0/24,
    где число 24
    длина маски подсети в битах.

    Публичные и приватные (частные) ip-адреса

    Все
    пространство IP-адресов разделено на 2
    части: публичные адреса, которые
    распределяются между Интернет-провайдерами
    и компаниями международной организацией
    Internet Assigned Numbers Authority (сокращенно IANA), и
    приватные адреса, которые не контролируются
    IANA и могут назначаться внутрикорпоративным
    узлам по усмотрению сетевых администраторов.
    Если какая-либо компания приобрела
    IP-адреса в публичной сети, то ее сетевые
    узлы могут напрямую маршрутизировать
    сетевой трафик в сеть Интернет и могут
    быть прозрачно доступны из Интернета.
    Если внутрикорпоративные узлы имеют
    адреса из приватной сети, то они могут
    получать доступ в Интернет с помощью
    протокола трансляции сетевых адресов
    (NAT, Network Address Translation) или с помощью
    прокси-сервера. В простейшем случае с
    помощью NAT возможно организовать работу
    всей компании с использованием
    единственного зарегистрированного
    IP-адреса.

    Механизм
    трансляции адресов NAT преобразует
    IP-адреса из частного адресного пространства
    IP (эти адреса еще называют «внутренние»,
    или «серые IP») в зарегистрированное
    открытое адресное пространство IP. Обычно
    эти функции (NAT) выполняет либо
    маршрутизатор, либо межсетевой экран
    (firewall) — эти устройства подменяют адреса
    в заголовках проходящих через них
    IP-пакетов.

    На
    практике обычно компании получают через
    Интернет-провайдеров небольшие сети в
    пространстве публичных адресов для
    размещения своих внешних ресурсов —
    web-сайтов или почтовых серверов. А для
    внутрикорпоративных узлов используют
    приватные IP-сети.

    Пространство
    приватных IP-адресов состоит из трех
    блоков:

    • 10.0.0.0/8
      (одна сеть класса A);

    • 172.16.0.0/12
      (диапазон адресов, состоящий из 16 сетей
      класса B — от 172.16.0.0/16
      до 172.31.0.0/16);

    • 192.168.0.0/16(диапазон
      адресов, состоящий из 256 сетей класса
      C — от 192.168.0.0/24
      до
      192.168.255.0/16).

    Кроме
    данных трех блоков имеется еще блок
    адресов, используемых для автоматической
    IP-адресации (APIPA, Automatic Private IP Addressing).
    Автоматическая IP-адресация применяется
    в том случае, когда сетевой интерфейс
    настраивается для автоматической
    настройки IP-конфигурации, но при этом
    в сети отсутствует сервер DHCP. Диапазон
    адресов для APIPA — сеть класса B
    169.254.0.0/16.

    Отображение ip-адресов на физические адреса

    Каждый
    сетевой адаптер имеет свой уникальный
    физический адрес (или MAC-адрес). За
    отображение IP-адресов адаптеров на их
    физические адреса отвечает протокол
    ARP (Address Resolution Protocol). Необходимость
    протокола ARP продиктована тем
    обстоятельством, что IP-адреса устройств
    в сети назначаются независимо от их
    физических адресов. Поэтому для доставки
    сообщений по сети необходимо определить
    соответствие между физическим адресом
    устройства и его IP-адресом — это
    называется разрешением адресов. В
    большинстве случаев прикладные программы
    используют именно IP-адреса. А так как
    схемы физической адресации устройств
    весьма разнообразны, то необходим
    специальный, универсальный протокол.
    Протокол разрешения адресов ARP был
    разработан таким образом, чтобы его
    можно было использовать для разрешения
    адресов в различных сетях. Фактически
    ARP можно использовать с произвольными
    физическими адресами и сетевыми
    протоколами. Протокол ARP предполагает,
    что каждое устройство знает как свой
    IP-адрес, так и свой физический адрес.
    ARP динамически связывает их и заносит
    в специальную таблицу, где хранятся
    пары «IP-адрес — физический адрес»
    (обычно каждая запись в ARP-таблице имеет
    время жизни 10 мин.). Эта таблица хранится
    в памяти компьютера и называется кэш
    протокола ARP (ARP-cache).

    Работа
    протокола ARP заключается в отправке
    сообщений между сетевыми узлами:

    • ARP Request (запрос
      ARP) — широковещательный запрос,
      отправляемый на физическом уровне
      модели TCP/IP, для определения MAC-адреса
      узла, имеющего конкретный IP-адрес;

    • ARP Reply (ответ ARP) —
      узел, IP-адрес которого содержится в
      ARP-запросе, отправляет узлу, пославшему
      ARP-запрос, информацию о своем MAC-адресе;

    • RARP Request, или Reverse
      ARP Request (обратный ARP-запрос) — запрос на
      определение IP-адреса по известному
      MAC-адресу;

    • RARP Reply, или Reverse
      ARP Reply (обратный ARP-ответ) — ответ узла
      на обратный ARP-запрос.

    Разбиение сетей на подсети с помощью маски подсети

    Для
    более эффективного использования
    пространства адресов IP-сети с помощью
    маски подсети могут быть разбиты на
    более мелкие подсети (subnetting) или объединены
    в более крупные сети (supernetting).

    Рассмотрим
    на примере разбиение сети 192.168.1.0/24
    (сеть класса C) на более мелкие подсети.
    В исходной сети в IP-адресе 24 бита относятся
    к идентификатору сети и 8 бит — к
    идентификатору узла. Используем маску
    подсети из 27 бит, или, в десятичном
    обозначении, — 255.255.255.224,
    в двоичном обозначении — 11111111
    11111111 11111111 11100000. Получим
    следующее разбиение на подсети:

    Таблица 4.3.

    Подсеть

    Диапазон
    IP-адресов

    Широковещательный
    адрес в подсети

    192.168.1.0/27

    192.168.1.1–192.168.1.30

    192.168.1.31

    192.168.1.32/27

    192.168.1.33–192.168.1.62

    192.168.1.63

    192.168.1.64/27

    192.168.1.65–192.168.1.94

    192.168.1.95

    192.168.1.96/27

    192.168.1.97–192.168.1.126

    192.168.1.127

    192.168.1.128/27

    192.168.1.129–192.168.1.158

    192.168.1.159

    192.168.1.160/27

    192.168.1.161–192.168.1.190

    192.168.1.191

    192.168.1.192/27

    192.168.1.193–192.168.1.222

    192.168.1.223

    192.168.1.224/27

    192.168.1.225–192.168.1.254

    192.168.1.255

    Таким
    образом, мы получили 8 подсетей, в каждой
    из которых может быть до 30 узлов. Напомним,
    что идентификатор узла, состоящий из
    нулей, обозначает всю подсеть, а
    идентификатор узла, состоящий из одних
    единиц, означает широковещательный
    адрес (пакет, отправленный на такой
    адрес, будет доставлен всем узлам
    подсети).

    IP-адреса
    в данных подсетях будут иметь структуру:

    Отметим
    очень важный момент. С использованием
    такой маски узлы с такими, например,
    IP-адресами, как 192.168.1.48
    и 192.168.1.72,
    находятся в различных подсетях, и для
    взаимодействия данных узлов необходимы
    маршрутизаторы, пересылающие пакеты
    между подсетями192.168.1.32/27
    и 192.168.1.64/27.

    Примечание.
    Согласно стандартам протокола TCP/IP для
    данного примера не должно существовать
    подсетей 192.168.1.0/27
    и 192.168.1.224/27
    (т.е. первая и последняя подсети). На
    практике большинство операционных
    систем (в т.ч. системы семейства Microsoft
    Windows) и маршрутизаторов поддерживают
    работу с такими сетями.

    А

    налогично,
    можно с помощью маски подсети объединить
    мелкие сети в более крупные.

    Например,
    IP-адреса сети 192.168.0.0/21
    будут иметь следующую структуру:

    Диапазон
    IP-адресов данной сети: 192.168.0.1–192.168.7.254
    (всего — 2046 узлов), широковещательный
    адрес подсети — 192.168.7.255.

    Преимущества
    подсетей внутри частной сети:

    • разбиение больших
      IP-сетей на подсети (subnetting) позволяет
      снизить объем широковещательного
      трафика (маршрутизаторы не пропускают
      широковещательные пакеты);

    • объединение
      небольших сетей в более крупные сети
      (supernetting) позволяет увеличить адресное
      пространство с помощью сетей более
      низкого класса;

    • изменение топологии
      частной сети не влияет на таблицы
      маршрутизации в сети Интернет (хранят
      только маршрут с общим номером сети);

    • размер глобальных
      таблиц маршрутизации в сети Интернет
      не растет;

    • администратор
      может создавать новые подсети без
      необходимости получения новых номеров
      сетей.

    Старшие
    биты IP-адреса используются рабочими
    станциями и маршрутизаторами для
    определения класса адреса. После того
    как класс определен, устройство может
    однозначно вычислить границу между
    битами, использующимися для идентификации
    номера сети, и битами номера устройства
    в этой сети. Однако при разбиении сетей
    на подсети или при объединении сетей
    для определения границ битов,
    идентифицирующих номер подсети, такая
    схема не подходит. Для этого как раз и
    используется 32-битная маска подсети,
    которая помогает однозначно определить
    требуемую границу. Напомним, что для
    стандартных классов сетей маски имеют
    следующие значения:

    • 255.0.0.0
      – маска для сети класса А;

    • 255.255.0.0
      — маска для сети класса В;

    • 255.255.255.0
      — маска для сети класса С.

    Для
    администратора сети чрезвычайно важно
    знать четкие ответы на следующие вопросы:

    • Сколько подсетей
      требуется организации сегодня?

    • Сколько подсетей
      может потребоваться организации в
      будущем?

    • Сколько устройств
      в наибольшей подсети организации
      сегодня?

    • Сколько устройств
      будет в самой большой подсети организации
      в будущем?

    Отказ
    от использования только стандартных
    классов IP-сетей (A, B, и C) называется
    бесклассовой междоменной маршрутизацией
    (Classless Inter-Domain Routing, CIDR).

    Введение в ip-маршрутизацию

    Для
    начала уточним некоторые понятия:

    • сетевой узел
      (node) — любое сетевое устройство с
      протоколом TCP/IP;

    • хост (host) — сетевой
      узел, не обладающий возможностями
      маршрутизации пакетов;

    • маршрутизатор
      (router) — сетевой узел, обладающий
      возможностями маршрутизации пакетов

    IP-маршрутизация
    — это процесс пересылки unicast-трафика
    от узла-отправителя к узлу–получателю
    в IP-сети с произвольной топологией.

    Когда
    один узел IP-сети отправляет пакет другому
    узлу, в заголовке IP-пакета указываются
    IP-адрес узла отправителя и IP-адрес
    узла-получателя. Отправка пакета
    происходит следующим образом:

    1. Узел-отправитель
      определяет, находится ли узел-получатель
      в той же самой IP-сети, что и отправитель
      (в локальной сети), или в другой IP-сети
      (в удаленной сети). Для этого узел-отправитель
      производит поразрядное логическое
      умножение своего IP-адреса на маску
      подсети, затем поразрядное логическое
      умножение IP-адреса узла получателя
      также на свою маску подсети. Если
      результаты совпадают, значит, оба узла
      находятся в одной подсети. Если результаты
      различны, то узлы находятся в разных
      подсетях.

    2. Если оба сетевых
      узла расположены в одной IP-сети, то
      узел-отправитель сначала проверяет
      ARP-кэш на наличие в ARP-таблице MAC-адреса
      узла-получателя. Если нужная запись в
      таблице имеется, то дальше отправка
      пакетов производится напрямую
      узлу-получателю на канальном уровне.
      Если же в ARP-таблице нужной записи нет,
      то узел-отправитель посылает ARP-запрос
      для IP-адреса узла-получателя, ответ
      помещает в ARP-таблицу и после этого
      передача пакета также производится на
      канальном уровне (между сетевыми
      адаптерами компьютеров).

    3. Если узел-отправитель
      и узел-получатель расположены в разных
      IP-сетях, то узел-отправитель посылает
      данный пакет сетевому узлу, который в
      конфигурации отправителя указан как
      «Основной шлюз» (default gateway). Основной
      шлюз всегда находится в той же IP-сети,
      что и узел-отправитель, поэтому
      взаимодействие происходит на канальном
      уровне (после выполнения ARP-запроса).
      Основной шлюз — это маршрутизатор,
      который отвечает за отправку пакетов
      в другие подсети (либо напрямую, либо
      через другие маршрутизаторы).

    Р

    ассмотрим
    пример, изображенный на рис.
    4.5
    .

    Рис. 4.5

    В
    данном примере 2 подсети: 192.168.0.0/24
    и 192.168.1.0/24.
    Подсети объединены в одну сеть
    маршрутизатором. Интерфейс маршрутизатора
    в первой подсети имеет IP-адрес 192.168.0.1,
    во второй подсети — 192.168.1.1.
    В первой подсети имеются 2 узла: узел A
    (192.168.0.5)
    и узел B (192.168.0.7).
    Во второй подсети имеется узел C с
    IP-адресом 192.168.1.10.

    Если
    узел A будет отправлять пакет узлу B, то
    сначала он вычислит, что узел B находится
    в той же подсети, что и узел A (т.е. в
    локальной подсети), затем узел A выполнит
    ARP-запрос для IP-адреса 192.168.0.7.
    После этого содержимое IP-пакета будет
    передано на канальный уровень, и
    информация будет передана сетевым
    адаптером узла A сетевому адаптеру узла
    B. Это пример прямой доставки данных
    (или прямой маршрутизации, direct delivery).

    Если
    узел A будет отправлять пакет узлу C, то
    сначала он вычислит, что узел C находится
    в другой подсети (т.е. в удаленной
    подсети). После этого узел A отправит
    пакет узлу, который в его конфигурации
    указан в качестве основного шлюза (в
    данном случае это интерфейс маршрутизатора
    с IP-адресом 192.168.0.1).
    Затем маршрутизатор с интерфейса
    192.168.1.1
    выполнит прямую доставку узлу C. Это
    пример непрямой доставки (или косвенной
    маршрутизации, indirect delivery) пакета от узла
    A узлу C. В данном случае процесс косвенной
    маршрутизации состоит из двух операций
    прямой маршрутизации.

    В
    целом процесс IP-маршрутизации представляет
    собой серии отдельных операций прямой
    или косвенной маршрутизации пакетов.

    Каждый
    сетевой узел принимает решение о
    маршрутизации пакета на основе таблицы
    маршрутизации, которая хранится в
    оперативной памяти данного узла. Таблицы
    маршрутизации существуют не только у
    маршрутизаторов с несколькими
    интерфейсами, но и у рабочих станций,
    подключаемых к сети через сетевой
    адаптер. Таблицу маршрутизации в системе
    Windows можно посмотреть по команде route
    print.
    Каждая таблица маршрутизации содержит
    набор записей. Записи могут формироваться
    различными способами:

    • записи, созданные
      автоматически системой на основе
      конфигурации протокола TCP/IP на каждом
      из сетевых адаптеров;

    • статические
      записи, созданные командой route
      add
      или в консоли службы Routing
      and Remote Access Service
      ;

    • динамические
      записи, созданные различными протоколами
      маршрутизации (RIP или OSPF).

    Рассмотрим
    два примера: таблицу маршрутизации
    типичной рабочей станции, расположенной
    в локальной сети компании, и таблицу
    маршрутизации сервера, имеющего несколько
    сетевых интерфейсов.

    Рабочая
    станция.

    В
    данном примере имеется рабочая станция
    с системой Windows XP, с одним сетевым
    адаптером и такими настройками протокола
    TCP/IP: IP-адрес — 192.168.1.10,
    маска подсети — 255.255.255.0,
    основной шлюз — 192.168.1.1.

    Введем
    в командной строке системы Windows команду
    route
    print,
    результатом работы команды будет
    следующий экран (рис.
    4.6
    ; в
    скобках приведен текст для английской
    версии системы):

    Р

    ис.
    4.6

    Список
    интерфейсов

    — список сетевых адаптеров, установленных
    в компьютере. Интерфейс MS
    TCP Loopback interface

    присутствует всегда и предназначен для
    обращения узла к самому себе. Интерфейс
    Realtek
    RTL8139 Family PCI Fast Ethernet NIC

    — сетевая
    карта.

    Далее
    идет сама таблица маршрутов. Каждая
    строка таблицы — это маршрут для
    какой-либо IP-сети. Ее столбцы:

    Сетевой
    адрес

    диапазон IP-адресов, которые достижимы
    с помощью данного маршрута.

    Маска
    сети
    — маска
    подсети, в которую отправляется пакет
    с помощью данного маршрута.

    Адрес
    шлюза

    IP-адрес узла, на который пересылаются
    пакеты, соответствующие данному маршруту.

    Интерфейс
    — обозначение сетевого интерфейса
    данного компьютера, на который пересылаются
    пакеты, соответствующие маршруту.

    Метрика
    — условная стоимость маршрута. Если
    для одной и той же сети есть несколько
    маршрутов, то выбирается маршрут с
    минимальной стоимостью. Как правило,
    метрика — это количество маршрутизаторов,
    которые должен пройти пакет, чтобы
    попасть в нужную сеть.

    Проанализируем
    некоторые строки таблицы.

    Первая
    строка таблицы соответствует значению
    основного шлюза в конфигурации TCP/IP
    данной станции. Сеть с адресом «0.0.0.0»
    обозначает «все остальные сети, не
    соответствующие другим строкам данной
    таблицы маршрутизации».

    Вторая
    строка — маршрут для отправки пакетов
    от узла самому себе.

    Третья
    строка (сеть 192.168.1.0
    с маской 255.255.255.0)
    — маршрут для отправки пакетов в
    локальной IP-сети (т.е. той сети, в которой
    расположена данная рабочая станция).

    Последняя
    строка — широковещательный адрес для
    всех узлов локальной IP-сети.

    Последняя
    строка на рис.
    4.6

    список постоянных маршрутов рабочей
    станции. Это статические маршруты,
    которые созданы командой route
    print.
    В данном примере нет ни одного такого
    статического маршрута.

    Сервер.

    Теперь
    рассмотрим сервер с системой Windows 2003
    Server, с тремя сетевыми адаптерами:

    • Адаптер
      1 — расположен во внутренней сети
      компании (IP-адрес — 192.168.1.10,
      маска подсети — 255.255.255.0);

    • Адаптер
      2 — расположен во внешней сети
      Интернет-провайдера ISP-1 (IP-адрес —
      213.10.11.2,
      маска подсети — 255.255.255.248,
      ближайший интерфейс в сети провайдера
      — 213.10.11.1);

    • Адаптер
      3 — расположен во внешней сети
      Интернет-провайдера ISP-2 (IP-адрес —
      217.1.1.34,
      маска подсети — 255.255.255.248,
      ближайший интерфейс в сети провайдера
      — 217.1.1.33).

    IP-сети
    провайдеров — условные, IP-адреса выбраны
    лишь для иллюстрации (хотя вполне
    возможно случайное совпадение с
    какой-либо существующей сетью).

    Кроме
    того, на сервере установлена Служба
    маршрутизации и удаленного доступа для
    управления маршрутизацией пакетов
    между IP-сетями и доступа в сеть компании
    через модемный пул.

    В
    данном случае команда route
    print
    выдаст таблицу маршрутизации, изображенную
    на рис.
    4.7
    .

    Р

    ис.
    4.7

    В
    таблице в списке интерфейсов отображены
    три сетевых адаптера разных моделей,
    адаптер обратной связи (MS TCP Loopback
    interface) и WAN
    (PPP/SLIP) Interface

    интерфейс для доступа в сеть через
    модемный пул.

    Отметим
    особенности таблицы маршрутов сервера
    с несколькими сетевыми интерфейсами.

    Первая
    строка похожа на первую строку в таблице
    рабочей станции. Она также соответствует
    значению основного шлюза в конфигурации
    TCP/IP данной станции. Заметим, что только
    на одном интерфейсе можно задавать
    параметр «Основной шлюз». В данном
    случае этот параметр был задан на одном
    из внешних интерфейсов (это же значение
    отражено и в конце таблицы в строке
    «Основной шлюз»).

    Как
    и в рабочей станции, для каждого интерфейса
    есть маршруты как для unicast-пакетов, так
    и для широковещательных (broadcast) для
    каждой подсети.

    Во
    второй строке содержится статический
    маршрут, сконфигурированный в консоли
    Службы
    маршрутизации и удаленного доступа
    ,
    для пересылки пакетов в сеть 196.15.20.16/24.

    Поддержка
    таблиц маршрутизации.

    Есть
    два способа поддержки актуального
    состояния таблиц маршрутизации: ручной
    и автоматический.

    Ручной
    способ подходит для небольших сетей. В
    этом случае в таблицы маршрутизации
    вручную заносятся статические записи
    для маршрутов. Записи создаются либо
    командой route
    add,
    либо в консоли Службы
    маршрутизации и удаленного доступа
    .

    В
    больших сетях ручной способ становится
    слишком трудоемким и чреват ошибками.
    Автоматическое построение и модификация
    таблиц маршрутизации производится так
    называемыми «динамическими
    маршрутизаторами»
    .
    Динамические маршрутизаторы отслеживают
    изменения в топологии сети, вносят
    необходимые изменения в таблицы маршрутов
    и обмениваются данной информацией с
    другими маршрутизаторами, работающими
    по тем же протоколам маршрутизации. В
    Windows Server реализована динамическая
    маршрутизация в Службе
    маршрутизации и удаленного доступа
    .
    В данной службе реализованы наиболее
    распространенные протоколы маршрутизации
    — протокол RIP версий 1 и 2 и протокол
    OSPF.

    4.2 Служба dns (домены, зоны; зоны прямого и обратного просмотра; основные и дополнительные зоны; рекурсивный и итеративный запросы на разрешение имен).

    Историческая
    справка:

    Систему доменных имен разработал в 1983
    году Пол Мокапетрис. Тогда же было
    проведено первое успешное тестирование
    DNS, ставшей позже одним из базовых
    компонентов сети Internet. С помощью DNS стало
    возможным реализовать масштабируемый
    распределенный механизм, устанавливающий
    соответствие между иерархическими
    именами сайтов и числовыми IP-адресами.

    В
    1983 году Пол Мокапетрис работал научным
    сотрудником института информатики
    (Information Sciences Institute, ISI), входящего в состав
    инженерной школы университета Южной
    Калифорнии (USC). Его руководитель, Джон
    Постел, предложил Полу придумать новый
    механизм, устанавливающий связи между
    именами компьютеров и адресами Internet, —
    взамен использовавшемуся тогда
    централизованному каталогу имен и
    адресов хостов, который поддерживала
    калифорнийская компания SRI International.

    «Все
    понимали, что старая схема не сможет
    работать вечно, — вспоминает Мокапетрис.
    — Рост Internet становился лавинообразным.
    К сети, возникшей на основе проекта
    ARPANET, инициированного Пентагоном,
    присоединялись все новые и новые компании
    и исследовательские институты».

    Предложенное
    Мокапетрисом решение — DNS — представляло
    собой распределенную базу данных,
    которая позволяла организациям,
    присоединившимся к Internet, получить свой
    домен.

    «Как
    только организация подключалась к сети,
    она могла использовать сколь угодно
    много компьютеров и сама назначать им
    имена», — подчеркнул Мокапетрис.
    Названия доменов компаний получили
    суффикс .com,
    университетов — .edu
    и так далее.

    Первоначально
    DNS была рассчитана на поддержку 50 млн.
    записей и допускала безопасное расширение
    до нескольких сотен миллионов записей.
    По оценкам Мокапетриса, сейчас
    насчитывается около 1 млрд. имен DNS, в
    том числе почти 20 млн. общедоступных
    имен. Остальные принадлежат системам,
    расположенным за межсетевыми экранами.
    Их имена неизвестны обычным
    Internet-пользователям.

    Новая
    система внедрялась постепенно, в течение
    нескольких лет. В это время ряд
    исследователей экспериментировали с
    ее возможностями, а Мокапетрис занимался
    в ISI обслуживанием и поддержанием
    стабильной работы «корневого сервера»,
    построенного на мэйнфреймах компании
    Digital Equipment. Копии таблиц хостов хранились
    на каждом компьютере, подключенном к
    Internet, еще примерно до 1986 года. Затем
    начался массовый переход на использование
    DNS.

    Необходимость отображения имен сетевых узлов в ip-адреса

    Компьютеры
    и другие сетевые устройства, отправляя
    друг другу пакеты по сети, используют
    IP-адреса. Однако пользователю (человеку)
    гораздо проще и удобнее запомнить
    некоторое символические имена сетевых
    узлов, чем четыре бессодержательных
    для него числа. Однако, если люди в своих
    операциях с сетевыми ресурсами будут
    использовать имена узлов, а не IP-адреса,
    тогда должен существовать механизм,
    сопоставляющий именам узлов их IP-адреса.

    Есть
    два таких механизма — локальный для
    каждого компьютера файл hosts и
    централизованная иерархическая служба
    имен DNS.

    Использование локального файла hosts и системы доменных имен dns для разрешения имен сетевых узлов

    На
    начальном этапе развития сетей, когда
    количество узлов в каждой сети было
    небольшое, достаточно было на каждом
    компьютере хранить и поддерживать
    актуальное состояние простого текстового
    файла, в котором содержался список
    сетевых узлов данной сети. Список устроен
    очень просто — в каждой строке текстового
    файла содержится пара «IP-адрес — имя
    сетевого узла». В системах семейства
    Windows данный файл расположен в папке
    %system
    root%system32driversetc
    (где %system
    root%
    обозначает папку, в которой установлена
    операционная система). Сразу после
    установки системы Windows создается файл
    hosts
    с одной записью 127.0.0.1
    localhost.

    С
    ростом сетей поддерживать актуальность
    и точность информации в файле hosts
    становится все труднее. Для этого надо
    постоянно обновлять содержимое этого
    файла на всех узлах сети. Кроме того,
    такая простая технология не позволяет
    организовать пространство имен в
    какую-либо структуру. Поэтому появилась
    необходимость в централизованной базе
    данных имен, позволяющей производить
    преобразование имен в IP-адреса без
    хранения списка соответствия на каждом
    компьютере. Такой базой стала DNS (Domain
    Name System) — система именования доменов,
    которая начала массовую работу в 1987
    году.

    Заметим,
    что с появлением службы DNS актуальность
    использования файла host совсем не исчезла,
    в ряде случаев использование этого
    файла оказывается очень эффективным.

    Служба dns: пространство имен, домены

    DNS
    — это иерархическая база данных,
    сопоставляющая имена сетевых узлов и
    их сетевых служб IP-адресам узлов.
    Содержимое этой базы, с одной стороны,
    распределено по большому количеству
    серверов службы DNS, а с другой стороны,
    является централизованно управляемым.
    В основе иерархической структуры базы
    данных DNS лежит доменное пространство
    имен (domain namespace), основной структурной
    единицей которого является домен,
    объединяющий сетевые узлы (хосты), а
    также поддомены. Процесс поиска в БД
    службы DNS имени некоего сетевого узла
    и сопоставления этому имени IP-адреса
    называется «разрешением имени узла
    в пространстве имен DNS».

    Служба
    DNS состоит из трех основных компонент:

    • Пространство
      имен DNS и соответствующие ресурсные
      записи (RR, resource record)

      — это сама распределенная база данных
      DNS;

    • Серверы
      имен DNS

      — компьютеры, хранящие базу данных DNS и
      отвечающие на запросы DNS-клиентов;

    • DNS-клиенты
      (DNS-clients, DNS-resolvers)

      -компьютеры, посылающие запросы серверам
      DNS для получения ресурсных записей.

    Пространство
    имен.

    П

    ространство
    имен DNS — иерархическая древовидная
    структура, начинающаяся с корня, не
    имеющего имени и обозначаемого точкой
    «.». Схему построения пространства
    имен DNS лучше всего проиллюстрировать
    на примере сети Интернет (рис.
    4.8
    ).

    Рис. 4.8

    Для
    доменов 1-го уровня различают 3 категории
    имен:

    • ARPA
      — специальное имя, используемое для
      обратного разрешения DNS (из IP-адреса в
      полное имя узла);

    • Общие
      (generic) имена 1-го уровня

      — 16 (на данный момент) имен, назначение
      которых приведено в табл.
      4.4
      ;

    • Двухбуквенные
      имена для стран

      — имена для доменов, зарегистрированных
      в соответствующих странах (например,
      ru
      — для России, ua
      — для Украины, uk
      — для Великобритании и т.д.).

    Таблица 4.4.

    Имя домена

    Назначение

    aero

    Сообщества
    авиаторов

    biz

    Компании (без
    привязки к стране)

    com

    Коммерческие
    организации, преимущественно в США
    (например, домен microsoft.com для корпорации
    Microsoft)

    coop

    Кооперативы

    edu

    Образовательные
    учреждения в США

    gov

    Правительственные
    учреждения США

    info

    Домен для
    организаций, предоставляющих любую
    информацию для потребителей

    int

    международные
    организации (например, домен nato.int для
    НАТО)

    mil

    Военные ведомства
    США

    museum

    Музеи

    name

    Глобальный домен
    для частных лиц

    net

    Домен для
    Интернет-провайдеров и других
    организаций, управляющих структурой
    сети Интернет

    org

    Некоммерческие
    и неправительственные организации,
    преимущественно в США

    pro

    Домен для
    профессиональных объединений (врачей,
    юристов, бухгалтеров и др.)

    job

    Кадровые агентства

    travel

    Туроператоры

    Для
    непосредственного отображения
    пространства имен в пространство
    IP-адресов служат т.н. ресурсные записи
    (RR, resource record). Каждый сервер DNS содержит
    ресурсные записи для той части пространства
    имен, за которую он несет ответственность
    (authoritative). табл.
    4.5

    содержит описание наиболее часто
    используемых типов ресурсных записей.

    Таблица 4.5.

    Тип ресурсной
    записи

    Функция записи

    Описание
    использования

    A

    Host Address Адрес
    хоста, или узла

    Отображает
    имя узла на IP-адрес (например, для
    домена microsoft.com узлу с именем
    www.microsoft.com
    сопоставляется IP-адрес с помощью
    такой записи: www
    A 207.46.199.60)

    CNAME

    Canonical Name (alias)
    Каноническое имя (псевдоним)

    Отображает одно
    имя на другое

    MX

    Mail Exchanger Обмен
    почтой

    Управляет
    маршрутизацией почтовых сообщений
    для протокола SMTP

    NS

    Name Server Сервер
    имен

    Указывает на
    серверы DNS, ответственные за конкретный
    домен и его поддомены

    PTR

    Pointer Указатель

    Используется
    для обратного разрешения IP-адресов
    в имена узлов в домене in-addr.arpa

    SOA

    Start of Authority
    Начальная запись зоны

    Используется
    для указания основного сервера для
    данной зоны и описания свойств зоны

    SRV

    Service Locator Указатель
    на службу

    Используется
    для поиска серверов, на которых
    функционируют определенные службы
    (например, контроллеры доменов Active
    Directory или серверы глобального каталога)

    Полное
    имя узла (FQDN, fully qualified domain name) состоит из
    нескольких имен, называемых метками
    (label) и разделенных точкой. Самая левая
    метка относится непосредственно к узлу,
    остальные метки — список доменов от
    домена первого уровня до того домена,
    в котором находится узел (данный список
    просматривается справа налево).

    Серверы
    имен DNS.

    Серверы
    имен DNS (или DNS-серверы) — это компьютеры,
    на которых хранятся те части БД
    пространства имен DNS, за которые данные
    серверы отвечают, и функционирует
    программное обеспечение, которое
    обрабатывает запросы DNS-клиентов на
    разрешение имен и выдает ответы на
    полученные запросы.

    DNS-клиенты.

    DNS-клиент
    — это любой сетевой узел, который обратился
    к DNS-серверу для разрешения имени узла
    в IP-адрес или, обратно, IP-адреса в имя
    узла.

    Служба dns: домены и зоны

    Как
    уже говорилось выше, каждый DNS-сервер
    отвечает за обслуживание определенной
    части пространства имен DNS. Информация
    о доменах, хранящаяся в БД сервера DNS,
    организуется в особые единицы, называемые
    зонами (zones). Зона — основная единица
    репликации данных между серверами DNS.
    Каждая зона содержит определенное
    количество ресурсных записей для
    соответствующего домена и, быть может,
    его поддоменов.

    Системы
    семейства Windows Server поддерживают следующие
    типы зон:

    • Стандартная
      основная (standard primary)

      — главная копия стандартной зоны; только
      в данном экземпляре зоны допускается
      производить какие-либо изменения,
      которые затем реплицируются на серверы,
      хранящие дополнительные зоны;

    • Стандартная
      дополнительная (standard secondary)

      — копия основной зоны, доступная в режиме
      «только-чтение», предназначена
      для повышения отказоустойчивости и
      распределения нагрузки между серверами,
      отвечающими за определенную зону;
      процесс репликации изменений в записях
      зон называется «передачей зоны»
      (zone
      transfer
      )
      (информация в стандартных зонах хранится
      в текстовых файлах, файлы создаются в
      папке «%system root%system32dns», имя файла,
      как правило, образуется из имени зоны
      с добавлением расширения файла «.dns»;
      термин «стандартная» используется
      только в системах семейства Windows);

    • Интегрированная
      в Active Directory (Active Directory–integrated)

      — вся информация о зоне хранится в виде
      одной записи в базе данных Active Directory
      (такие типы зон могут существовать
      только на серверах Windows, являющихся
      контроллерами доменов Active Directory; в
      интегрированных зонах можно более
      жестко управлять правами доступа к
      записям зоны; изменения в записях зоны
      между разными экземплярами интегрированной
      зоны производятся не по технологии
      передачи зоны службой DNS, а механизмами
      репликации службы Active Directory);

    • Зона-заглушка
      (stub;
      только в Windows 2003) — особый тип зоны,
      которая для данной части пространства
      имен DNS содержит самый минимальный
      набор ресурсных записей (начальная
      запись зоны SOA, список серверов имен,
      отвечающих за данную зону, и несколько
      записей типа A для ссылок на серверы
      имен для данной зоны).

    Р

    ассмотрим
    на примере соотношение между понятиями
    домена и зоны. Проанализируем информацию,
    представленную на рис.
    4.9
    .

    Рис. 4.9

    В
    данном примере пространство имен DNS
    начинается с домена microsoft.com,
    который содержит 3 поддомена:
    sales.microsoft.com,
    it.microsoft.com
    и edu.microsoft.com
    (домены на рисунке обозначены маленькими
    горизонтальными овалами). Домен — понятие
    чисто логическое, относящееся только
    к распределению имен. Понятие домена
    никак не связано с технологией хранения
    информации о домене. Зона — это способ
    представления информации о домене и
    его поддоменах в хранилище тех серверов
    DNS, которые отвечают за данный домен и
    поддомены. В данной ситуации, если для
    хранения выбрана технология стандартных
    зон, то размещение информации о доменах
    может быть реализовано следующим
    образом:

    • записи,
      относящиеся к доменам microsoft.com
      и edu.microsoft.com,
      хранятся в одной зоне в файле
      «microsoft.com.dns»
      (на рисунке зона обозначена большим
      наклонным овалом);

    • управление
      доменами sales.microsoft.com
      и it.microsoft.com
      делегировано другим серверам DNS, для
      этих доменов на других серверах созданы
      соответствующие файлы «sales.microsoft.com.dns»
      и «it.microsoft.com.dns»
      (данные зоны обозначены большими
      вертикальными овалами).

    Делегирование
    управления — передача ответственности
    за часть пространства имен другим
    серверам DNS.

    Зоны прямого и обратного просмотра

    Зоны,
    рассмотренные в предыдущем примере,
    являются зонами
    прямого просмотра (forward lookup zones)
    .
    Данные зоны служат для разрешения имен
    узлов в IP-адреса. Наиболее часто
    используемые для этого типы записей:
    A,
    CNAME,
    SRV.

    Для
    определения имени узла по его IP-адресу
    служат зоны обратного просмотра (reverse
    lookup zones), основной тип записи в «обратных»
    зонах — PTR. Для решения данной задачи
    создан специальный домен с именем
    in-addr.arpa.
    Для каждой IP-сети в таком домене создаются
    соответствующие поддомены, образованные
    из идентификатора сети, записанного в
    обратном порядке. Записи в такой зоне
    будут сопоставлять идентификатору узла
    полное FQDN-имя данного узла. Например,
    для IP-сети 192.168.0.0/24
    необходимо создать зону с именем
    «0.168.192.in-addr.arpa».
    Для узла с IP-адресом 192.168.0.10
    и именем host.company.ru
    в данной зоне должна быть создана запись
    «10
    PTR host.company.ru».

    Алгоритмы работы итеративных и рекурсивных запросов dns

    Все
    запросы, отправляемые DNS-клиентом
    DNS-серверу для разрешения имен, делятся
    на два типа:

    • итеративные
      запросы (клиент посылает серверу DNS
      запрос, в котором требует дать наилучший
      ответ без обращений к другим DNS-серверам);

    • рекурсивные
      запросы (клиент посылает серверу DNS
      запрос, в котором требует дать
      окончательный ответ даже если DNS-серверу
      придется отправить запросы другим
      DNS-серверам; посылаемые в этом случае
      другим DNS-серверам запросы будут
      итеративными).

    Обычные
    DNS-клиенты (например, рабочие станции
    пользователей), как правило, посылают
    рекурсивные запросы.

    Рассмотрим
    на примерах, как происходит взаимодействие
    DNS-клиента и DNS-сервера при обработке
    итеративных и рекурсивных запросов.

    Допустим,
    что пользователь запустил программу
    Обозреватель Интернета и ввел в адресной
    строке адрес http://www.microsoft.com.
    Прежде чем Обозреватель установит сеанс
    связи с веб-сайтом по протоколу HTTP,
    клиентский компьютер должен определить
    IP-адрес веб-сервера. Для этого клиентская
    часть протокола TCP/IP рабочей станции
    пользователя (так называемый resolver)
    сначала просматривает свой локальный
    кэш разрешенных ранее имен в попытке
    найти там имя www.microsoft.com.
    Если имя не найдено, то клиент посылает
    запрос DNS-серверу, указанному в конфигурации
    TCP/IP данного компьютера (назовем данный
    DNS-сервер «локальным
    DNS-сервером»
    ),
    на разрешение имени www.microsoft.com
    в IP-адрес данного узла. Далее DNS-сервер
    обрабатывает запрос в зависимости от
    типа запроса.

    Вариант
    1 (итеративный запрос).

    Если
    клиент отправил серверу итеративный
    запрос (напомним, что обычно клиенты
    посылают рекурсивные запросы), то
    обработка запроса происходит по следующей
    схеме:

    • сначала
      локальный DNS-сервер ищет среди зон, за
      которые он отвечает, зону microsoft.com;

    если
    такая зона найдена, то в ней ищется
    запись для узла www;
    если запись найдена, то результат поиска
    сразу же возвращается клиенту;

    в
    противном случае локальный DNS-сервер
    ищет запрошенное имя www.microsoft.com
    в своем кэше разрешенных ранее
    DNS-запросов;

    если
    искомое имя есть в кэше, то результат
    поиска возвращается клиенту; если
    локальный DNS-сервер не нашел в своей
    базе данных искомую запись, то клиенту
    посылается IP-адрес одного из корневых
    серверов DNS;

    • клиент
      получает IP-адрес корневого сервера и
      повторяет ему запрос на разрешение
      имени www.microsoft.com;

    корневой
    сервер не содержит в своей БД зоны
    «microsoft.com», но ему известны DNS-серверы,
    отвечающие за зону «com», и корневой
    сервер посылает клиенту IP-адрес одного
    из серверов, отвечающих за эту зону;

    • клиент
      получает IP-адрес сервера, отвечающего
      за зону «com», и посылает ему запрос
      на разрешение имени www.microsoft.com;

    сервер,
    отвечающий за зону com,
    не содержит в своей БД зоны microsoft.com,
    но ему известны DNS-серверы, отвечающие
    за зону microsoft.com,
    и данный DNS-сервер посылает клиенту
    IP-адрес одного из серверов, отвечающих
    уже за зону microsoft.com;

    • клиент
      получает IP-адрес сервера, отвечающего
      за зону microsoft.com,
      и посылает ему запрос на разрешение
      имени www.microsoft.com;

    сервер,
    отвечающий за зону microsoft.com,
    получает данный запрос, находит в своей
    базе данных IP-адрес узла www,
    расположенного в зоне microsoft.com,
    и посылает результат клиенту;

    клиент
    получает искомый IP-адрес, сохраняет
    разрешенный запрос в своем локальном
    кэше и передает IP-адрес веб-сайта
    программе Обозреватель Интернета (после
    чего Обзреватель устанавливает связь
    с веб-сайтом по протоколу HTTP).

    Вариант
    2 (рекурсивный запрос).

    Если
    клиент отправил серверу рекурсивный
    запрос, то обработка запроса происходит
    по такой схеме:

    • сначала
      локальный DNS-сервер ищет среди зон, за
      которые он отвечает, зону microsoft.com;
      если такая зона найдена, то в ней ищется
      запись для узла www;
      если запись найдена, то результат поиска
      сразу же возвращается клиенту;

    в
    противном случае локальный DNS-сервер
    ищет запрошенное имя www.microsoft.com
    в своем кэше разрешенных ранее
    DNS-запросов; если искомое имя есть в
    кэше, то результат поиска возвращается
    клиенту;

    • если
      локальный DNS-сервер не нашел в своей
      базе данных искомую запись, то сам
      локальный DNS-сервер выполняет серию
      итеративных запросов на разрешение
      имени www.microsoft.com,
      и клиенту посылается либо найденный
      IP-адрес, либо сообщение об ошибке.

    Реализация службы dns в системах семейства Windows Server

    Главная
    особенность службы DNS в системах семейства
    Windows Server заключается в том, что служба
    DNS разрабатывалась для поддержки службы
    каталогов Active Directory. Для выполнения этой
    функции требуются обеспечение двух
    условий:

    • поддержка службой
      DNS динамической регистрации (dynamic
      updates);

    • поддержка
      службой DNS записей типа SRV.

    Служба
    DNS систем Windows Server удовлетворяет обоим
    условиям, и реализация служб каталогов
    Active Directory может быть обеспечена только
    серверами на базе систем Windows Server.

    Рассмотрим
    несколько простых примеров управления
    службой DNS:

    • установка службы
      DNS;

    • создание основной
      и дополнительной зоны прямого просмотра;

    • создание зоны
      обратного просмотра;

    • выполнение
      динамической регистрации узлов в зоне.

    Все
    рассматриваемые далее в пособии примеры
    были выполнены в следующей конфигурации:

    • сеть состоит из
      двух серверов Windows 2003 Server;

    • операционная
      система — ограниченная по времени
      120-дневная русская версия Windows 2003 Server
      Enterprise Edition;

    • первый
      сервер установлен на ПК с процессором
      Intel Pentium-4 3Ггц и оперативной памятью 512
      МБ, имя сервера — DC1, IP-адрес — 192.168.0.1/24;

    • второй
      сервер работает в качестве виртуальной
      системы с помощью Microsoft VirtualPC 2004, имя
      сервера -DC2, IP-адрес — 192.168.0.2/24;

    • имя домена в
      пространстве DNS и соответствующее имя
      в службе каталогов Active Directory — world.ru (сеть
      полностью изолирована от других сетей,
      поэтому в данном примере авторы были
      свободны в выборе имени домена; в
      реальной обстановке конкретного
      учебного заведения преподавателю нужно
      скорректировать данную информацию).

    Подробные
    рекомендации по организации сети для
    изучения данного курса (как под
    руководством преподавателя в организованной
    группе, так и при самостоятельном
    изучении) изложены в указаниях к
    выполнению упражнений лабораторных
    работ в конце пособия.

    Установка
    службы DNS

    Установка
    службы DNS (как и других компонент системы)
    производится достаточно просто с помощью
    мастера установки компонент Windows:

    1. Откройте
      Панель
      управления
      .

    2. Выберите
      пункт «Установка
      и удаление программ»
      .

    3. Нажмите
      кнопку «Установка
      компонентов Windows»
      .

    4. Выберите
      «Сетевые
      службы»

      — кнопка «Дополнительно»
      (ни в коем случае не снимайте галочку
      у названия «Сетевые
      службы»
      ).

    5. О

      тметьте
      службу DNS.

    Рис. 4.10

    1. Кнопка
      «ОК»,
      кнопка «Далее»,
      кнопка «Готово».

    Если
    система попросит указать путь к
    дистрибутиву системы, введите путь к
    папке с дистрибутивом.

    Выполним
    данное действие на обоих серверах.

    Создание
    основной зоны прямого просмотра.

    На
    сервере DC1 создадим стандартную основную
    зону с именем world.ru.

    1. Откроем консоль
      DNS.

    2. Выберем
      раздел «Зоны
      прямого просмотра»
      .

    3. Запустим
      мастер создания зоны (тип зоны —
      «Основная»,
      динамические обновления — разрешить,
      остальные параметры — по умолчанию).

    4. Введем
      имя зоны — world.ru.

    5. Разрешим
      передачу данной зоны на любой сервер
      DNS (Консоль
      DNS
      — зона world.ru
      Свойства
      — Закладка «Передачи
      зон»

      — Отметьте «Разрешить
      передачи»

      и «На
      любой сервер»
      ).

    Создание
    дополнительной зоны прямого просмотра.

    На
    сервере DC2 создадим стандартную
    дополнительную зону с именем world.ru.

    1. Откроем консоль
      DNS.

    2. Выберем
      раздел «Зоны
      прямого просмотра»

    3. Запустим
      мастер создания зоны (выбрать: тип зоны
      «Дополнительная»,
      IP-адрес master-сервера (с которого будет
      копироваться зона) — адрес сервера DC1,
      остальные параметры — по умолчанию)

    4. Введем
      имя зоны — world.ru.

    5. Проверим в консоли
      DNS появление зоны.

    Настройка
    узлов для выполнения динамической
    регистрации на сервер DNS.

    Для
    выполнения данной задачи нужно выполнить
    ряд действий как на сервере DNS, так и в
    настройках клиента DNS.

    Сервер
    DNS.

    1. Создать
      соответствующую зону.

    2. Разрешить
      динамические обновления.

    Это
    нами уже выполнено.

    Клиент
    DNS.

    1. Указать в настройках
      протокола TCP/IP адрес предпочитаемого
      DNS-сервера — тот сервер, на котором
      разрешены динамические обновления (в
      нашем примере — сервер DC1).

    2. В

      полном имени компьютера указать
      соответствующий DNS-суффикс (в нашем
      примере — world.ru).
      Для этого — «Мой
      компьютер»

      «Свойства»
      — Закладка «Имя
      компьютера»

      — Кнопка «Изменить»
      — Кнопка «Дополнительно»
      — в пустом текстовом поле впишем название
      домена world.ru
      — кнопка «ОК»
      (3 раза)).

    Рис. 4.11

    П

    осле
    этого система предложит перезагрузить
    компьютер. После выполнения перезагрузки
    на сервер DNS в зоне world.ru
    автоматически создадутся записи типа
    A
    для наших серверов (рис.
    4.12
    ).

    Рис. 4.12

    Создание
    зоны обратного просмотра.

    1. Откроем консоль
      DNS.

    2. Выберем
      раздел «Зоны
      обратного просмотра»
      .

    3. Запустим
      мастер создания зоны (выбрать: тип зоны
      «Основная»,
      динамические обновления — разрешить,
      остальные параметры — по умолчанию)

    4. В поле
      «Код
      сети (ID)»

      введем параметры идентификатора сети
      — 192.168.0.

    5. Выполним
      команду принудительной регистрации
      клиента на сервере DNS — ipconfig
      /registerdns.

    Наши
    серверы зарегистрируются в обратной
    зоне DNS (рис.
    4.13
    ):

    Р

    ис.
    4.13

    4.3 Диагностические утилиты tcp/ip и dns.

    Любая
    операционная система имеет набор
    диагностических утилит для тестирования
    сетевых настроек и функционирования
    коммуникаций. Большой набор диагностических
    средств есть и в системах семейства
    Windows (как графических, так и режиме
    командной строки).

    Перечислим
    утилиты командной строки, являющиеся
    инструментами первой необходимости
    для проверки настроек протокола TCP/IP и
    работы сетей и коммуникаций. Подробное
    описание данных утилит содержится в
    системе интерактивной помощи Windows. В
    Таблице 4.6 укажем основные и наиболее
    часто используемые параметры этих
    команд и дадим их краткое описание.

    Таблица 4.6.

    Название
    утилиты

    Параметры

    Комментарии

    ipconfig

    /?
    — Отобразить справку по команде

    /all
    — Отобразить полную информацию о
    настройке параметров всех адаптеров

    /release
    — Освободить динамическую IP-конфигурацию

    /renew
    — Обновить динамическую IP-конфигурацию
    с DHCP-сервера

    /flushdns
    — Очистить кэш разрешений DNS

    /registerdns
    — Обновить регистрацию на DNS-сервере

    /displaydns
    — Отобразить содержимое кэша разрешений
    DNS

    Служит
    для отображения всех текущих параметров
    сети TCP/IP и обновления параметров DHCP
    и DNS. При вызове команды ipconfig
    без параметров выводятся IP-адрес,
    маска подсети и основной шлюз для
    каждого сетевого адаптера.

    arp

    -a
    — Отображает текущие ARP-записи

    Отображение и
    изменение ARP-таблиц.

    ping

    Формат
    команды:

    «ping
    <сетевой узел> параметры»

    Параметры:

    -t
    — Бесконечная (до нажатия клавиш
    <Ctrl>+<Break>) отправка пакетов на
    указанный узел

    -a
    — Определение имени узла по IP-адресу

    -n
    <число>
    — Число отправляемых запросов

    -l
    <размер>
    — Размер буфера отправки

    -w
    <таймаут>
    — Таймаут ожидания каждого ответа в
    миллисекундах

    Мощный
    инструмент диагностики (с помощью
    протокола ICMP).

    Команда
    ping
    позволяет проверить:

    • работоспособность
      IP-соединения;

    • правильность
      настройки протокола TCP/IP на узле;

    • работоспособность
      маршрутизаторов;

    • работоспособность
      системы разрешения имен FQDN или
      NetBIOS;

    • доступность
      и работоспособность какого-либо
      сетевого ресурса.

    tracert

    -d
    — Без разрешения IP-адресов в имена
    узлов

    -h
    <максЧисло>
    — Максимальное число прыжков при
    поиске узла

    -w
    <таймаут>
    — Таймаут каждого ответа в миллисекундах

    Служебная
    программа для трассировки маршрутов,
    используемая для определения пути,
    по которому IP-дейтаграмма доставляется
    по месту назначения.

    pathping

    -n
    — Без разрешения IP-адресов в имена
    узлов

    -h
    максЧисло
    — Максимальное число прыжков при
    поиске узла

    -q
    <число_запросов>
    — Число запросов при каждом прыжке

    -w
    <таймаут>
    — Таймаут каждого ответа в миллисекундах

    Средство
    трассировки маршрута, сочетающее
    функции программ ping
    и tracert
    и обладающее дополнительными
    возможностями.

    Эта
    команда показывает степень потери
    пакетов на любом маршрутизаторе или
    канале, с ее помощью легко определить,
    какие маршрутизаторы или каналы
    вызывают неполадки в работе сети.

    netstat

    -a
    — Отображение всех подключений и
    ожидающих (слушающих) портов

    -n
    — Отображение адресов и номеров портов
    в числовом формате

    -o
    — Отображение кода (ID) процесса каждого
    подключения

    -r
    — Отображение содержимого локальной
    таблицы маршрутов

    Используется
    для отображения статистики протокола
    и текущих TCP/IP-соединений.

    nbtstat

    –n
    — Выводит имена пространства имен
    NetBIOS, зарегистрированные локальными
    процессами

    –c
    — Отображает кэш имен NetBIOS (разрешение
    NetBIOS-имен в IP-адреса)

    –R
    — Очищает кэш имен и перезагружает
    его из файла Lmhosts

    –RR
    — Освобождает имена NetBIOS, зарегистрированные
    на WINS-сервере, а затем обновляет их
    регистрацию

    Средство
    диагностики разрешения имен NetBIOS

    П

    римеры
    использования утилит командной строки.

    Пример
    1. Команда ipconfig
    (без параметров и с параметром /all).

    Рис. 4.14

    Пример
    2. Команда arp.

    П

    оскольку
    в нашей сети только два узла, то в кэше
    сервера DC1 будет только одна запись —
    отображение IP-адреса сервера DC2 на
    MAC-адрес сетевого адаптера.

    Рис. 4.15

    Пример
    3. Команда ping.

    Варианты
    использования:

    • ping
      <IP-адрес>;

    • ping
      <NetBIOS-имя узла>,
      когда в зоне сервера DNS нет записи для
      сервера DC2 (поиск IP-адреса производится
      широковещательным запросом );

    • ping
      <NetBIOS-имя узла>,
      когда в зоне сервера DNS есть запись для
      сервера DC2 (надо обратить внимание на
      подстановку клиентом DNS суффикса домена
      в запросе на имя узла, т.е в команде
      используется краткое NetBIOS-имя сервера,
      а в статистике команды выводится полное
      имя);

    • ping
      <FQDN-имя узла>,
      когда в зоне сервера DNS нет записи для
      сервера DC2 (узел DC2 не будет найдет в
      сети);

    • p

      ing
      <FQDN-имя узла>,
      когда в зоне сервера DNS есть запись для
      сервера DC2 (узел успешно найден);

    • ping
      –a <IP-адрес>
      (обратное разрешение IP-адреса в имя
      узла)

    Рис. 4.16

    Пример
    4. Команда tracert.

    Т

    рассировка
    маршрута до узла www.ru (если в вашем
    распоряжении только одна IP-сеть, то
    изучить работу данной команды будет
    невозможно).

    Рис. 4.17

    Пример
    5. Команда pathping.

    А

    налогичная
    задача (трассировка маршрута до узла
    www.ru), выполненная командой pathping.

    Рис. 4.18

    П

    ример
    6. Команда netstat

    параметрами –an
    — отображение в числовой форме списка
    активных подключений и слушающих
    портов).

    Рис. 4.19

    П

    ример
    7. Команда nbtstat

    параметром –n
    — отображение локальных имен NetBIOS).

    Рис. 4.20

    5. Лабораторная работа: Протокол tcp/ip, служба dns:

    В
    лабораторной работе рассмотрены примеры
    работы с программой ping.exe, рассмотрены
    практические приемы применения
    стандартных утилит Windows Server 2003 для
    диагностики протокола TCP/IP. Приведен
    пошаговый процесс установки службы
    DNS, ее настройки

    Упражнение 1. Базовые сведения о параметрах протокола tcp/ip. Проверка коммуникаций с помощью команды ping.

    Цель упражнения

    Изучить
    базовые понятия протокола TCP/IP:

    • IP-адрес

    • маска подсети

    • настройка этих
      параметров

    • проверка
      коммуникаций между компьютерами

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server

    Результат

    Настроенные
    параметры протокола TCP/IP, понятие об
    утилите ping
    и процессе определения имен компьютеров
    широковещательными запросами

    Предварительные
    навыки

    Умение
    настраивать свойства «Сетевого
    окружения»
    системы
    Windows 2003 Server

    Задания

    1

    Настройка
    параметров протокола TCP/IP

    Настройка
    параметров TCP/IP

    Если
    вы пропустили этап настройки параметров
    TCP/IP во время установки системы,
    настройте эти параметры

    Значение
    IP-адреса и маски подсети необходимо
    взять из таблицы распределения
    IP-адресов и имен компьютеров — введите
    параметры того компьютера, который
    назначен для вас преподавателем;
    значения остальных параметров протокола
    TCP/IP оставьте пустыми

    2

    Проверка
    коммуникаций с помощью команды ping

    1. Проверка
      с помощью команды ping
      коммуникаций по IP-адресам

    Выполните
    команду ping
    в таких вариантах:

    ping
    <1Р-адрес вашего компьютера>

    ping
    <1Р-адрес компьютера партнера в вашем
    домене>

    Если
    вы в компьютерном классе, то

    ping
    <1Р-адреса компьютеров в других
    доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    192.168.0.1

    ping
    192.168.0.2

    ping
    192.168.0.3

    1. Проверка
      с помощью команды ping
      коммуникаций по коротким именам
      компьютеров (NetBIOS-имена)

    Выполните
    команду ping
    в таких вариантах:

    ping
    <имя вашего компьютера>

    ping
    <имя компьютера партнера в вашем
    домене>

    Если
    вы в компьютерном классе, то

    ping
    <имена компьютеров в других доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    minsk

    ping
    brest

    ping
    kiev

    ping
    berlin

    1. Проверка
      с помощью команды ping
      коммуникаций по полным именам
      компьютеров (FQDN-имена)

    Выполните
    команду ping
    в таких вариантах:

    ping
    <имя вашего компьютера>

    ping
    <имя компьютера партнера в вашем
    домене>

    Если
    вы в компьютерном классе, то

    ping
    <имена компьютеров в других доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    minsk.belarus.world.ru

    ping
    brest.belarus.world.ru

    ping
    kiev.ukraine.world.ru

    ping
    berlin.germany.world.ru

    Упражнение 2. Установка службы dns. Создание зон прямого просмотра (forward lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.

    Цель упражнения

    Изучить:

    • процесс установки
      службы DNS

    • создание зон
      прямого просмотра (основная и
      дополнительная), перенос зон

    • настройку
      параметров TCP/IP для динамической
      регистрации узлов на сервере DNS

    • применение
      команды ipconfig
      для принудительной регистрации на
      сервере DNS

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server

    Результат

    Установленная
    служба DNS

    Созданные
    зоны прямого просмотра (основная и
    дополнительная)

    Параметры
    TCP/IP, настроенные для динамической
    регистрации на сервере DNS

    Предварительные
    навыки

    Знания
    и навыки, полученные после выполнения
    Упражнения 1

    Задания

    1

    Установка
    службы DNS на сервере

    1. Откройте
      Панель
      управления

    2. Выберите
      пункт «Установка
      и удаление программ»

    3. Нажмите
      кнопку «Установка
      компонентов Windows»

    4. Выберите
      «Сетевые
      службы»

      кнопка
      «Дополнительно»

    5. Отметьте службу
      DNS

    6. ОК

    (может
    потребоваться указать путь к дистрибутиву
    системы)

    2

    Создание
    основной зоны прямого просмотра

    Данное
    упражнение выполняйте на первом
    компьютере в вашей паре

    1. Откройте консоль
      DNS

    2. Выберите
      раздел «Зоны
      прямого просмотра»

    3. Запустите
      мастер создания зоны (выбрать: тип
      зоны — «Основная»,
      динамические
      обновления — разрешить, остальные
      параметры — по умолчанию)

    4. Введите имя зоны
      из таблицы распределения IP-адресов
      и имен компьютеров — введите имя
      домена, который назначен для вас
      преподавателем

    Пример
    (для компьютера minsk.belarus.world.ru):

    имя
    домена — belarus.world.ru

    1. Разрешите
      передачу данной зоны на любой сервер
      DNS (Консоль
      DNS

      ваша зона — Свойства

      Закладка «Передачи
      зон»

      Отметьте «Разрешить
      передачи»

      и «На
      любой сервер»

    3

    Создание
    дополнительной зоны прямого просмотра

    Данное
    упражнение выполняйте на втором
    компьютере в вашей паре

    1. Откройте консоль
      DNS

    2. Выберите
      раздел «Зоны
      прямого просмотра»

    3. Запустите
      мастер создания зоны (выбрать: тип
      зоны — «Дополнительная»,
      IP-адрес master-сервера — адрес первого
      компьютера в вашей паре, остальные
      параметры — по умолчанию)

    4. Введите имя зоны
      из таблицы распределения IP-адресов
      и имен компьютеров — введите имя
      домена, который назначен для вас
      преподавателем

    Пример
    (для компьютера brest.belarus.world.ru):

    имя
    домена — belarus.world.ru

    IP-адрес
    мастер-сервера — IP-адрес сервера MINSK

    1. Проверьте
      появление зоны в окне консоли службы
      DNS

    4

    Настройка
    параметров TCP/IP для динамической
    регистрации узлов на сервере DNS

    1. Откройте свойства
      протокола TCP/IP вашего сервера

    2. Укажите
      в качестве Предпочитаемого
      сервера DNS
      IP-адрес
      первого сервера в вашей паре

    3. Назначьте
      в качестве суффикса полного имени
      вашего сервера имя назначенного вашей
      паре домена («Мой
      компьютер»

      «Свойства»

      Закладка «Имя
      компьютера»

      Кнопка «Изменить»
      Кнопка «Дополнительно»
      в пустом текстовом поле впишите
      название вашего домена.— кнопка
      «0К»(3
      раза))

    Внимание!
    Смена имени компьютера потребует его
    перезагрузки.

    Настоятельно
    рекомендуется перезагружать компьютеры
    в паре по очереди: сначала первый,
    затем второй.

    1. Проверьте,
      что оба сервера в вашей паре
      зарегистрировались в соответствующей
      зоне сервера DNS на первом
      сервере.
      Если серверы не зарегистрировались
      в процессе перезагрузки, сделайте
      принудительную регистрацию с помощью
      команды

    ipconfig
    /registerdns

    1. Проверьте,
      что на втором
      сервере
      произошла корректная передача зоны
      для вашего домена. Если автоматическая
      передача зоны не произошла, то сделайте
      это вручную в консоли DNS (Консоль DNS —
      Выбрать вашу зону, щелчок правой
      кнопки мыши — Выбрать «Все
      задачи»

      Выбрать «Передать
      зону с основного сервера»)

    5

    Проверка
    коммуникаций

    1. Проверка
      с помощью команды ping
      коммуникаций по коротким именам
      компьютеров (NetBIOS-имена)

    Выполните
    команду ping
    в таких вариантах:

    ping
    <имя вашего компьютера>

    ping
    <имя компьютера партнера в вашем
    домене>

    Если
    вы в компьютерном классе, то

    ping
    <имена компьютеров в других доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    minsk

    ping
    brest

    ping
    kiev

    ping
    berlin

    Обратите
    внимание
    на
    результаты работы команды ping,
    когда вы проверяете коммуникации в
    «своем» домене.

    1. Проверка
      с помощью команды ping
      коммуникаций по полным именам
      компьютеров (FQDN-имена)

    Выполните
    команду ping
    в таких вариантах:

    ping
    <имя вашего компьютера>

    ping
    <имя компьютера партнера в вашем
    домене>

    Если
    вы в компьютерном классе, то

    ping
    <имена компьютеров в других доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    minsk.belarus.world.ru

    ping
    brest.belarus.world.ru

    ping
    kiev.ukraine.world.ru

    ping
    berlin.germany.world.ru

    и
    т.д.

    6

    Настройка
    разрешения FQDN-имен через альтернативный
    DNS-сервер (только для занятий в
    компьютерном классе)

    1. Настройка
      протокола TCP/IP для использования
      альтернативного сервера DNS

    В
    свойствах TCP/IP укажите альтернативный
    сервер DNS — IP-адрес компьютера
    преподавателя

    1. Проверка
      с помощью команды ping
      коммуникаций по полным именам
      компьютеров (FQDN-имена)

    Выполните
    команду ping
    в таких вариантах:

    ping
    <имя вашего компьютера>

    ping
    <имя компьютера партнера в вашем
    домене>

    ping
    <имена компьютеров в других доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    minsk.belarus.world.ru

    ping
    brest.belarus.world.ru

    ping
    kiev.ukraine.world.ru

    ping
    berlin.germany.world.ru

    и
    т.д.

    7

    Настройка
    разрешения FQDN-имен через сервер-пересыльщик
    (только для занятий в компьютерном
    классе)

    1. Удаление
      использования альтернативного сервера
      DNS

    В
    свойствах TCP/IP удалите ссылку на
    альтернативный сервер DNS

    1. На
      первом
      компьютере
      вашей пары откройте консоль DNS, в
      свойствах сервера укажите ссылку на
      сервер-пересыльщик (forwarder)

    2. Проверка
      с помощью команды ping
      коммуникаций по полным именам
      компьютеров (FQDN-имена)

    Выполните
    команду ping
    в таких вариантах:

    ping
    <имя вашего компьютера>

    ping
    <имя компьютера партнера в вашем
    домене>

    ping
    <имена компьютеров в других доменах>

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping
    minsk.belarus.world.ru

    ping
    brest.belarus.world.ru

    ping
    kiev.ukraine.world.ru

    ping
    berlin.germany.world.ru

    и
    т.д.

    Упражнение 3. Создание зон обратного просмотра (reverse lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.

    Цель упражнения

    Изучить:

    • создание
      зон обратного просмотра

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server

    Результат

    Установленная
    служба DNS

    Созданные
    зоны обратного просмотра

    Предварительные
    навыки

    Знания
    и навыки, полученные после выполнения
    Упражнений 1-2

    Задания

    1

    Создание
    основной зоны обратного просмотра

    Данное
    упражнение выполняйте на первом
    компьютере
    в
    вашей паре

    1. Откройте консоль
      DNS

    2. Выберите
      раздел «Зоны
      обратного просмотра»

    3. Запустите
      мастер создания зоны (выбрать: тип
      зоны — «Основная»,
      динамические
      обновления — разрешить, остальные
      параметры — по умолчанию)

    4. В
      поле «Код
      сети (ID)»
      введите
      параметры идентификатора сети вашего
      класса из таблицы распределения
      IP-адресов и имен компьютеров

    Пример
    192.168.0

    2

    Тестирование
    регистрации узлов в зоне обратного
    просмотра

    Данное
    упражнение выполняйте на обоих
    компьютерах
    в
    вашей паре

    1. Выполните
      принудительную регистрацию вашего
      сервера в обратной зоне с помощью
      команды

    2. ipconfig
      /registerdns

    Проверьте,
    что имя вашего компьютера появилось
    в зоне обратного просмотра

    1. Протестируйте
      разрешение IP-адресов компьютеров
      вашей пары в имена компьютеров командой

    2. ping
      -а <IР-адрес компьютера>

    Упражнение 4. Диагностические утилиты для протокола tcp/ip: ipconfig, arp, ping, netstat, nbtstat, tracert, pathping

    Цель упражнения

    Изучить
    и приобрести навыки применения
    диагностических утилит для поиска
    неисправностей и неверных конфигураций
    протокола TCP/IP и службы DNS

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server

    Результат

    Результаты
    работы
    команд
    ipconfig,
    arp,
    ping,
    netstat,
    nbtstat,
    tracert,
    pathping

    Предварительные
    навыки

    Знания
    и навыки, полученные после выполнения
    Упражнений 1-3

    Задания

    1

    Команда ipconfig

    После
    изучения теоретического материала
    выполните команду ipconfig
    с
    параметрами:

    /all

    /flushdns

    /registerdns

    /displaydns

    2

    Команда arp

    После
    изучения теоретического материала
    выполните команду arp
    с
    параметром:

    3

    Команда ping

    После
    изучения теоретического материала
    выполните команду ping
    с
    параметрами:

    -t

    -n
    count

    -l
    size

    –w
    timeout

    Примеры
    (для компьютера minsk.belarus.world.ru):

    ping-a
    192.168.0.1

    ping-a
    192.168.0.2

    ping-a
    192.168.0.3

    4

    Команда netstat

    После
    изучения теоретического материала
    выполните команду netstat
    с параметрами:

    <без
    параметров>

    -an

    -аnо

    5

    Команда nbtstat

    После
    изучения теоретического материала
    выполните команду nbtstat
    с параметрами:

    -n

    -r

    6

    Команды tracert,
    pathping

    Если
    у вас есть другие сети, для которых
    существуют маршруты из сети компьютерного
    класса, то выполните команды:

    tracert
    -d <узел в удаленной 1Р-сети>

    pathping
    -n <узел в удаленной 1Р-сети>

    Изучите
    результаты работы данных команд,
    обсудите их с преподавателем.

    Примечания.

    • Команды
      netstat,
      nbtstat
      полезно повторить после изучения
      различных сетевых служб (служб каталогов,
      файлов и печати, DNS, DHCP, WINS). После
      прохождения соответствующих тем
      студенты/слушатели будут иметь более
      четкое представление об использовании
      таких понятий как IP-адрес и порт, а также
      понятий сеанс, соединение, слушающий
      порт, интерфейс NetBIOS и др.

    • Команды
      tracert
      и pathping
      имеет смысл изучать в сетях с более
      сложной конфигурацией, чем простая
      подсеть компьютерного класса. Если
      сеть компьютерного класса не имеет
      выхода в другие подсети, то задания с
      данными командами можно пропустить.

    Упражнение 5. Завершающие действия

    Цель упражнения

    Подготовить
    компьютеры для установки Active Directory

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server

    Результат

    Компьютер,
    подготовленный для установки Active
    Directory

    Предварительные
    навыки

    Знания
    и навыки, полученные после выполнения
    Упражнений 1-4

    Задания

    1

    Удаление зон

    Откройте
    консоль DNS. Удалите все
    зоны, которые
    были созданы в процессе выполнений
    предыдущих упражнений

    2

    Ссылки на
    серверы DNS в свойствах протокола TCP/IP

    В
    свойствах TCP/IP вашего компьютера
    сделайте такие ссылки на серверы DNS:

    • предпочитаемый
      сервер DNS — первый компьютер в вашей
      паре

    • альтернативные
      серверы DNS — второй компьютер в паре
      и компьютер преподавателя

    3

    Удаление
    DNS-суффикса

    1. Откройте
      «Мой
      компьютер»

      «Свойства»
      закладка «Имя
      компьютера»

      кнопка «Изменить»
      кнопка «Дополнительно»
      очистите значение поля «Основной
      DNS-суффикс компьютера»

    2. Перезагрузите
      компьютер

    6. Лекция: Служба каталогов Active Directory

    Данная
    лекция описывает основные понятия служб
    каталогов Active Directory. Даются практические
    примеры управления системой безопасности
    сети. Описан механизм групповых политик.
    Дается представление о задачах сетевого
    администратора при управлении
    инфраструктурой службы каталогов

    Современные сети
    часто состоят из множества различных
    программных платформ, большого
    разнообразия оборудования и программного
    обеспечения. Пользователи зачастую
    вынуждены запоминать большое количество
    паролей для доступа к различным сетевым
    ресурсам. Права доступа могут быть
    различными для одного и того же сотрудника
    в зависимости от того, с какими ресурсами
    он работает. Все это множество взаимосвязей
    требует от администратора и пользователя
    огромного количества времени на анализ,
    запоминание и обучение.

    Решение
    проблемы управления такой разнородной
    сетью было найдено с разработкой службы
    каталога. Службы каталога предоставляют
    возможности управления любыми ресурсами
    и сервисами из любой точки независимо
    от размеров сети, используемых операционных
    систем и сложности оборудования.
    Информация о пользователе, заносится
    единожды в службу каталога, и после
    этого становится доступной в пределах
    всей сети. Адреса электронной почты,
    принадлежность к группам, необходимые
    права доступа и учетные записи для
    работы с различными операционными
    системами — все это создается и
    поддерживается в актуальном виде
    автоматически. Любые изменения, занесенные
    в службу каталога администратором,
    сразу обновляются по всей сети.
    Администраторам уже не нужно беспокоиться
    об уволенных сотрудниках — просто
    удалив учетную запись пользователя из
    службы каталога, он сможет гарантировать
    автоматическое удаление всех прав
    доступа на ресурсы сети, предоставленные
    ранее этому сотруднику.

    В
    настоящее время большинство служб
    каталогов различных фирм базируются
    на стандарте X.500.
    Для доступа к информации, хранящейся в
    службах каталогов, обычно используется
    протокол Lightweight
    Directory Access Protocol

    (LDAP).
    В связи со стремительным развитием
    сетей TCP/IP, протокол LDAP становится
    стандартом для служб каталогов и
    приложений, ориентированных на
    использование службы каталога.

    Служба
    каталогов Active Directory является основой
    логической структуры корпоративных
    сетей, базирующихся на системе Windows.
    Термин «Каталог»
    в самом широком смысле означает
    «Справочник«,
    а служба каталогов корпоративной сети
    — это централизованный корпоративный
    справочник. Корпоративный каталог может
    содержать информацию об объектах
    различных типов. Служба каталогов Active
    Directory содержит в первую очередь объекты,
    на которых базируется система безопасности
    сетей Windows, — учетные записи пользователей,
    групп и компьютеров. Учетные записи
    организованы в логические структуры:
    домен, дерево, лес, организационные
    подразделения.

    С
    точки зрения изучения материала курса
    «Сетевое администрирование» вполне
    возможен следующий вариант прохождения
    учебного материала: сначала изучить
    первую часть данного раздела (от основных
    понятий до установки контроллеров
    домена), затем перейти к Разделу
    8 «Служба файлов и печати»
    ,
    а после изучения 8-го
    раздела

    вернуться к разделу
    6
    для
    изучения более сложных понятий служб
    каталогов.

    6.1 Основные термины
    и понятия (лес, дерево, домен, организационное
    подразделение). Планирование пространства
    имен AD. Установка контроллеров доменов

    Модели управления
    безопасностью: модель «Рабочая группа»
    и централизованная доменная модель

    Как
    уже говорилось выше, основное назначение
    служб каталогов — управление сетевой
    безопасностью. Основа сетевой безопасности
    — база данных учетных записей (accounts)
    пользователей, групп пользователей и
    компьютеров, с помощью которой
    осуществляется управление доступом к
    сетевым ресурсам. Прежде чем говорить
    о службе каталогов Active Directory, сравним
    две модели построения базы данных служб
    каталогов и управления доступом к
    ресурсам.

    Модель «Рабочая группа»

    Данная
    модель управления безопасностью
    корпоративной сети — самая примитивная.
    Она предназначена для использования в
    небольших одноранговых сетях (3–10
    компьютеров) и основана на том, что
    каждый компьютер в сети с операционными
    системами Windows NT/2000/XP/2003 имеет свою
    собственную локальную базу данных
    учетных записей и с помощью этой локальной
    БД осуществляется управление доступом
    к ресурсам данного компьютера. Локальная
    БД учетных записей называется база
    данных SAM
    (Security Account
    Manager
    ) и хранится
    в реестре операционной системы. Базы
    данных отдельных компьютеров полностью
    изолированы друг от друга и никак не
    связаны между собой.

    Пример
    управления доступом при использовании
    такой модели изображен на рис.
    6.1
    .

    Р

    ис.
    6.1

    В
    данном примере изображены два сервера
    (SRV-1 и SRV-2) и две рабочие станции (WS-1 и
    WS-2). Их базы данных SAM обозначены
    соответственно SAM-1, SAM-2, SAM-3 и SAM-4 (на
    рисунке базы SAM изображены в виде овала).
    В каждой БД есть учетные записи
    пользователей User1 и User2. Полное имя
    пользователя User1 на сервере SRV-1 будет
    выглядеть как «SRV-1User1», а полное
    имя пользователя User1 на рабочей станции
    WS-1 будет выглядеть как «WS-1User1».
    Представим, что на сервере SRV-1 создана
    папка Folder, к которой предоставлен доступ
    по сети пользователям User1 — на чтение
    (R), User2 — чтение и запись (RW). Главный
    момент в этой модели заключается в том,
    что компьютер SRV-1 ничего «не знает»
    об учетных записях компьютеров SRV-2,
    WS-1, WS-2, а также всех остальных компьютеров
    сети. Если пользователь с именем
    User1локально зарегистрируется в системе
    на компьютере, например, WS-2 (или, как еще
    говорят, «войдет в систему с локальным
    именем User1 на компьютере WS-2»), то при
    попытке получить доступ с этого компьютера
    по сети к папке Folder на сервере SRV-1 сервер
    запросит пользователя ввести имя и
    пароль (исключение составляет тот
    случай, если у пользователей с одинаковыми
    именами одинаковые пароли).

    Модель
    «Рабочая группа» более проста для
    изучения, здесь нет необходимости
    изучать сложные понятия Active Directory. Но
    при использовании в сети с большим
    количеством компьютеров и сетевых
    ресурсов становится очень сложным
    управлять именами пользователей и их
    паролями — приходится на каждом
    компьютере (который предоставляет свои
    ресурсы для совместного использования
    в сети) вручную создавать одни и те же
    учетные записи с одинаковыми паролями,
    что очень трудоемко, либо делать одну
    учетную запись на всех пользователей
    с одним на всех паролем (или вообще без
    пароля), что сильно снижает уровень
    защиты информации. Поэтому модель
    «Рабочая группа» рекомендуется
    только для сетей с числом компьютеров
    от 3 до 10 (а еще лучше — не более 5), при
    условии что среди всех компьютеров нет
    ни одного с системой Windows Server.

    Доменная модель

    В

    доменной модели существует единая база
    данных служб каталогов, доступная всем
    компьютерам сети. Для этого в сети
    устанавливаются специализированные
    серверы, называемые контроллерами
    домена
    , которые
    хранят на своих жестких дисках эту базу.
    На рис.
    6.2
    .
    изображена схема доменной модели.
    Серверы DC-1 и DC-2 — контроллеры домена,
    они хранят доменную базу данных учетных
    записей (каждый контроллер хранит у
    себя свою собственную копию БД, но все
    изменения, производимые в БД на одном
    из серверов, реплицируются на остальные
    контроллеры).

    Рис. 6.2

    В
    такой модели, если, например, на сервере
    SRV-1, являющемся членом домена, предоставлен
    общий доступ к папке Folder, то права доступа
    к данному ресурсу можно назначать не
    только для учетных записей локальной
    базы SAM данного сервера, но, самое главное,
    учетным записям, хранящимся в доменной
    БД. На рисунке для доступа к папке Folder
    даны права доступа одной локальной
    учетной записи компьютера SRV-1 и нескольким
    учетным записям домена (пользователя
    и группам пользователей). В доменной
    модели управления безопасностью
    пользователь регистрируется на компьютере
    («входит в систему») со своей доменной
    учетной записью

    и, независимо от компьютера, на котором
    была выполнена регистрация, получает
    доступ к необходимым сетевым ресурсам.
    И нет необходимости на каждом компьютере
    создавать большое количество локальных
    учетных записей, все записи созданы
    однократно в
    доменной БД
    .
    И с помощью доменной базы данных
    осуществляется централизованное
    управление доступом

    к сетевым ресурсам независимо
    от количества компьютеров в сети
    .

    Назначение службы каталогов Active Directory

    Каталог
    (справочник) может хранить различную
    информацию, относящуюся к пользователям,
    группам, компьютерам, сетевым принтерам,
    общим файловым ресурсам и так далее —
    будем называть все это объектами. Каталог
    хранит также информацию о самом объекте,
    или его свойства, называемые атрибутами.
    Например, атрибутами, хранимыми в
    каталоге о пользователе, может быть имя
    его руководителя, номер телефона, адрес,
    имя для входа в систему, пароль, группы,
    в которые он входит, и многое другое.
    Для того чтобы сделать хранилище каталога
    полезным для пользователей, должны
    существовать службы, которые будут
    взаимодействовать с каталогом. Например,
    можно использовать каталог как хранилище
    информации, по которой можно
    аутентифицировать пользователя, или
    как место, куда можно послать запрос
    для того, чтобы найти информацию об
    объекте.

    Active
    Directory отвечает не только за создание и
    организацию этих небольших объектов,
    но также и за большие объекты, такие как
    домены, OU (организационные подразделения)
    и сайты.

    Об
    основных терминах, используемых в
    контексте службы каталогов Active Directory,
    читайте ниже.

    Служба
    каталогов Active Directory (сокращенно — AD)
    обеспечивает эффективную работу сложной
    корпоративной среды, предоставляя
    следующие возможности:

    • Единая
      регистрация в сети
      ;
      Пользователи могут регистрироваться
      в сети с одним именем и паролем и получать
      при этом доступ ко всем сетевым ресурсам
      и службам (службы сетевой инфраструктуры,
      службы файлов и печати, серверы приложений
      и баз данных и т. д.);

    • Безопасность
      информации
      .
      Средства аутентификации и управления
      доступом к ресурсам, встроенные в службу
      Active Directory, обеспечивают централизованную
      защиту сети;

    • Централизованное
      управление
      .
      Администраторы могут централизованно
      управлять всеми корпоративными
      ресурсами;

    • Администрирование
      с использованием групповых политик
      .
      При загрузке компьютера или регистрации
      пользователя в системе выполняются
      требования групповых политик; их
      настройки хранятся в объектах групповых
      политик (GPO) и применяются ко всем учетным
      записям пользователей и компьютеров,
      расположенных в сайтах, доменах или
      организационных подразделениях;

    • Интеграция
      с DNS
      .
      Функционирование служб каталогов
      полностью зависит от работы службы
      DNS. В свою очередь серверы DNS могут
      хранить информацию о зонах в базе данных
      Active Directory;

    • Расширяемость
      каталога
      .
      Администраторы могут добавлять в схему
      каталога новые классы объектов или
      добавлять новые атрибуты к существующим
      классам;

    • Масштабируемость.
      Служба Active Directory может охватывать как
      один домен, так и множество доменов,
      объединенных в дерево доменов, а из
      нескольких деревьев доменов может быть
      построен лес;

    • Репликация
      информации
      .
      В службе Active Directory используется репликация
      служебной информации в схеме со многими
      ведущими (multi-master),
      что позволяет модифицировать БД Active
      Directory на любом контроллере домена.
      Наличие в домене нескольких контроллеров
      обеспечивает отказоустойчивость и
      возможность распределения сетевой
      нагрузки;

    • Гибкость
      запросов к каталогу
      .
      БД Active Directory может использоваться для
      быстрого поиска любого объекта AD,
      используя его свойства (например, имя
      пользователя или адрес его электронной
      почты, тип принтера или его местоположение
      и т. п.);

    • Стандартные
      интерфейсы программирования.

      Для разработчиков программного
      обеспечения служба каталогов предоставляет
      доступ ко всем возможностям (средствам)
      каталога и поддерживает принятые
      стандарты и интерфейсы программирования
      (API).

    В
    Active Directory может быть создан широкий круг
    различных объектов. Объект представляет
    собой уникальную сущность внутри
    Каталога и обычно обладает многими
    атрибутами, которые помогают описывать
    и распознавать его. Учетная запись
    пользователя является примером объекта.
    Этот тип объекта может иметь множество
    атрибутов, таких как имя, фамилия, пароль,
    номер телефона, адрес и многие другие.
    Таким же образом общий принтер тоже
    может быть объектом в Active Directory и его
    атрибутами являются его имя, местоположение
    и т.д. Атрибуты объекта не только помогают
    определить объект, но также позволяют
    вам искать объекты внутри Каталога.

    Терминология

    Служба
    каталогов системы Windows Server построена
    на общепринятых технологических
    стандартах. Изначально для служб
    каталогов был разработан стандарт
    X.500,
    который предназначался для построения
    иерархических древовидных масштабируемых
    справочников с возможностью расширения
    как классов объектов, так и наборов
    атрибутов (свойств) каждого отдельного
    класса. Однако практическая реализация
    этого стандарта оказалась неэффективной
    с точки зрения производительности.
    Тогда на базе стандарта X.500 была
    разработана упрощенная (облегченная)
    версия стандарта построения каталогов,
    получившая название LDAP
    (Lightweight Directory
    Access Protocol
    ).
    Протокол LDAP сохраняет все основные
    свойства X.500 (иерархическая система
    построения справочника, масштабируемость,
    расширяемость), но при этом позволяет
    достаточно эффективно реализовать
    данный стандарт на практике. Термин
    «lightweight»
    облегченный
    «) в названии
    LDAP отражает основную цель разработки
    протокола: создать инструментарий для
    построения службы каталогов, которая
    обладает достаточной функциональной
    мощью для решения базовых задач, но не
    перегружена сложными технологиями,
    делающими реализацию служб каталогов
    неэффективной. В настоящее время LDAP
    является стандартным методом доступа
    к информации сетевых каталогов и играет
    роль фундамента во множестве продуктов,
    таких как системы аутентификации,
    почтовые программы и приложения
    электронной коммерции. Сегодня на рынке
    присутствует более 60 коммерческих
    серверов LDAP, причем около 90% из них
    представляют собой самостоятельные
    серверы каталогов LDAP, а остальные
    предлагаются в качестве компонентов
    других приложений.

    Протокол
    LDAP четко определяет круг операций над
    каталогами, которые может выполнять
    клиентское приложение. Эти операции
    распадаются на пять групп:

    • установление
      связи с каталогом;

    • поиск в нем
      информации;

    • модификация его
      содержимого;

    • добавление объекта;

    • удаление объекта.

    Кроме
    протокола LDAP служба каталогов Active
    Directory использует также протокол
    аутентификации Kerberos
    и службу DNS для поиска в сети компонент
    служб каталогов (контроллеры доменов,
    серверы глобального каталога, службу
    Kerberos и др.).

    Домен

    Основной
    единицей системы безопасности Active
    Directory является домен.
    Домен формирует область административной
    ответственности. База данных домена
    содержит учетные записи пользователей,
    групп
    и компьютеров.
    Большая часть функций по управлению
    службой каталогов работает на уровне
    домена (аутентификация пользователей,
    управление доступом к ресурсам, управление
    службами, управление репликацией,
    политики безопасности).

    Имена
    доменов Active Directory формируются по той же
    схеме, что и имена в пространстве имен
    DNS. И это не случайно. Служба DNS является
    средством поиска компонент домена — в
    первую очередь контроллеров домена.

    Контроллеры
    домена

    специальные серверы, которые хранят
    соответствующую данному домену часть
    базы данных Active Directory. Основные функции
    контроллеров домена:

    • хранение
      БД Active Directory

      (организация доступа к информации,
      содержащейся в каталоге, включая
      управление этой информацией и ее
      модификацию);

    • синхронизация
      изменений в AD

      (изменения в базу данных AD могут быть
      внесены на любом из контроллеров домена,
      любые изменения, осуществляемые на
      одном из контроллеров, будут
      синхронизированы c копиями, хранящимися
      на других контроллерах);

    • аутентификация
      пользователей

      (любой из контроллеров домена осуществляет
      проверку полномочий пользователей,
      регистрирующихся на клиентских
      системах).

    Настоятельно
    рекомендуется в каждом домене устанавливать
    не менее двух контроллеров домена —
    во-первых, для защиты от потери БД Active
    Directory в случае выхода из строя какого-либо
    контроллера, во-вторых, для распределения
    нагрузки между контроллерами.

    Дерево

    Дерево
    является набором доменов, которые
    используют единое связанное пространство
    имен. В этом случае «дочерний» домен
    наследует свое имя от «родительского»
    домена. Дочерний домен автоматически
    устанавливает двухсторонние транзитивные
    доверительные отношения с родительским
    доменом. Доверительные отношения
    означают, что ресурсы одного из доменов
    могут быть доступны пользователям
    других доменов.

    Пример
    дерева Active Directory изображен на рис.
    6.3
    . В
    данном примере домен company.ru
    является доменом Active Directory верхнего
    уровня. От корневого домена отходят
    дочерние домены it.company.ru
    и fin.company.ru.
    Эти домены могут относиться соответственно
    к ИТ-службе компании и финансовой службе.
    У домена it.company.ru
    есть
    поддомен dev.it.company.ru,
    созданный для отдела разработчиков ПО
    ИТ-службы.

    Корпорация
    Microsoft рекомендует строить Active Directory в
    виде одного домена. Построение дерева,
    состоящего из многих доменов необходимо
    в следующих случаях:

    • для децентрализации
      администрирования служб каталогов
      (например, в случае, когда компания
      имеет филиалы, географически удаленные
      друг от друга, и централизованное
      управление затруднено по техническим
      причинам);

    • для повышения
      производительности (для компаний с
      большим количеством пользователей и
      серверов актуален вопрос повышения
      производительности работы контроллеров
      домена);

    • для более
      эффективного управления репликацией
      (если контроллеры доменов удалены друг
      от друга, то репликация в одном может
      потребовать больше времени и создавать
      проблемы с использованием
      несинхронизированных данных);

    • для применения
      различных политик безопасности для
      различных подразделений компании;

    • п

      ри
      большом количестве объектов в БД Active
      Directory.

    Рис. 6.3

    Лес

    Наиболее
    крупная структура в Active Directory. Лес
    объединяет деревья, которые поддерживают
    единую схему (схема
    Active Directory

    набор определений типов, или классов,
    объектов в БД Active Directory). В лесу между
    всеми доменами установлены двухсторонние
    транзитивными доверительными отношения,
    что позволяет пользователям любого
    домена получать доступ к ресурсам всех
    остальных доменов, если они имеют
    соответствующие разрешения на доступ.
    По умолчанию, первый домен, создаваемый
    в лесу, считается его корневым доменом,
    в корневом домене хранится схема AD.

    Новые
    деревья в лесу создаются в том случае,
    когда необходимо построить иерархию
    доменов с пространством имен, отличным
    от других пространств леса. В примере
    на рис.
    6.3

    российская компания могла открыть офис
    за рубежом и для своего зарубежного
    отделения создать дерево с доменом
    верхнего уровня company.com.
    При этом оба дерева являются частями
    одного леса с общим «виртуальным»
    корнем.

    При
    управлении деревьями и лесами нужно
    помнить два очень важных момента:

    • первое
      созданное в лесу доменов дерево является
      корневым деревом, первый созданный в
      дереве домен называется корневым
      доменом дерева

      (tree
      root domain
      );

    • первый
      домен, созданный в лесу доменов,
      называется корневым
      доменом леса

      (forest
      root domain
      ),
      данный домен не может быть удален (он
      хранит информацию о конфигурации леса
      и деревьях доменов, его образующих).

    Организационные
    подразделения (ОП).

    Организационные
    подразделения
    (Organizational
    Units
    , OU)
    — контейнеры внутри AD, которые создаются
    для объединения объектов в целях
    делегирования
    административных прав

    и применения
    групповых политик

    в домене. ОП существуют только
    внутри доменов

    и могут объединять только
    объекты из своего домена
    .
    ОП могут быть вложенными друг в друга,
    что позволяет строить внутри домена
    сложную древовидную иерархию из
    контейнеров и осуществлять более гибкий
    административный контроль. Кроме того,
    ОП могут создаваться для отражения
    административной иерархии и организационной
    структуры компании.

    Глобальный каталог

    Глобальный
    каталог

    является перечнем всех
    объектов
    ,
    которые существуют в лесу Active Directory. По
    умолчанию, контроллеры домена содержат
    только информацию об объектах своего
    домена. Сервер Глобального каталога
    является контроллером домена, в котором
    содержится информация о каждом объекте
    (хотя и не обо всех атрибутах этих
    объектов), находящемся в данном лесу.

    Именование объектов

    В
    службе каталогов должен быть механизм
    именования объектов, позволяющий
    однозначно идентифицировать любой
    объект каталога. В каталогах на базе
    протокола LDAP для
    идентификации объекта в масштабе всего
    леса
    используется
    механизм отличительных
    имен

    (Distinguished Name,
    DN
    ). В Active
    Directory учетная запись пользователя с
    именем User
    домена company.ru,
    размещенная в стандартном контейнере
    Users,
    будет иметь следующее отличительное
    имя: «DC=ru, DC=company, CN=Users, CN=User».

    Обозначения:

    • DC
      (Domain Component) — указатель на составную
      часть доменного имени;

    • OU
      (Organizational Unit) — указатель на организационное
      подразделение (ОП);

    • CN
      (Common Name) — указатель на общее имя.

    Если
    отличительное имя однозначно определяет
    объект в масштабе всего леса, то для
    идентификации объекта относительно
    контейнера, в котором данный объект
    хранится, существует относительное
    отличительное имя (Relative
    Distinguished Name, RDN
    ).
    Для пользователя User
    из предыдущего примера RDN-имя будет
    иметь вид «CN=User«.

    Кроме
    имен DN и RDN, используется основное
    имя
    объекта
    (User Principal Name,
    UPN
    ). Оно имеет
    формат <имя
    субъекта>@<суффикс домена>.
    Для того же пользователя из примера
    основное имя будет выглядеть как
    User@company.ru.

    Имена
    DN, RDN могут меняться, если объект
    перемещается из одного контейнера AD в
    другой. Для того чтобы не терять ссылки
    на объекты при их перемещении в лесу,
    всем объектам назначается глобально
    уникальный идентификатор

    (Globally Unique
    Identifier, GUID
    ),
    представляющий собой 128-битное число.

    Планирование пространства имен ad

    Планирование
    пространства имен и структуры AD — очень
    ответственный момент, от которого
    зависит эффективность функционирования
    будущей корпоративной системы
    безопасности. При этом надо иметь в
    виду, что созданную вначале структуру
    в процессе эксплуатации будет очень
    трудно изменить (например, в Windows 2000
    изменить имя домена верхнего уровня
    вообще невозможно, а в Windows 2003 решение
    этой задачи требует выполнения жестких
    условий и тщательной подготовки данной
    операции). При планировании AD необходимо
    учитывать следующие моменты:

    • тщательный выбор
      имен доменов верхнего уровня;

    • качество коммуникаций
      в компании (связь между отдельными
      подразделениями и филиалами);

    • организационная
      структура компании;

    • количество
      пользователей и компьютеров в момент
      планирования;

    • прогноз темпов
      роста количества пользователей и
      компьютеров.

    Рассмотрим
    вопрос пространства имен AD.

    При
    планировании имен доменов верхнего
    уровня можно использовать различные
    стратегии и правила. В первую очередь
    необходимо учитывать вопросы интеграции
    внутреннего пространства имен и
    пространства имен сети Интернет — т.к.
    пространство имен AD базируется на
    пространстве имен DNS, при неправильном
    планировании могут возникнуть проблемы
    с безопасностью, а также конфликты с
    внешними именами.

    Рассмотрим
    основные варианты.

    1. Один
      домен, одна зона DNS (рис.
      6.4
      ).

    Н

    а
    рисунке в левой части — внутренняя сеть
    компании, справа — сеть Интернет, две
    сети разделены маршрутизатором «R»
    (кроме маршрутизатора, на границе могут
    быть также прокси-сервер или межсетевой
    экран).

    Рис. 6.4

    В
    данном примере используется одна и та
    же зона DNS (company.ru)
    как для поддержки внутреннего домена
    AD с тем же именем (записи DC, SRV-1, SRV-2, WS-1),
    так и хранения ссылок на внешние ресурсы
    компании — веб-сайт, почтовый сервер
    (записи www,
    mail).

    Такой
    способ максимально упрощает работу
    системного администратора, но при этом
    DNS-сервер, доступный для всей сети
    Интернет, хранит зону company.ru и предоставляет
    доступ к записям этой зоны всем
    пользователям Интернета. Таким образом,
    внешние злоумышленники могут получить
    полный список внутренних узлов
    корпоративной сети. Даже если сеть
    надежно защищена межсетевым экраном и
    другими средствами защиты, предоставление
    потенциальным взломщикам информации
    о структуре внутренней сети — вещь
    очень рискованная, поэтому данный способ
    организации пространства имен AD не
    рекомендуется (хотя на практике
    встречается довольно часто).

    1. «Расщепление»
      пространства имен DNS — одно имя домена,
      две различные зоны DNS(рис.
      6.5
      ).

    Р

    ис.
    6.5

    В
    данном случае на различных серверах
    DNS создаются различные зоны с одним и
    тем же именем company.ru. На внутреннем
    DNS-сервере функционирует зона company.ru.для
    Active Directory, на внешнем DNS-сервере — зона
    с таким же именем, но для ссылок на
    внешние ресурсы. Важный момент — данные
    зоны никак между собой не связаны — ни
    механизмами репликации, ни ручной
    синхронизацией.

    Здесь
    во внешней зоне хранятся ссылки на
    внешние ресурсы, а во внутренней на
    внутренние ресурсы, используемые для
    работы Active Directory. Данный вариант несложно
    реализовать, но для сетевого администратора
    возникает нагрузка управления двумя
    разными доменами с одним именем.

    1. Поддомен
      в пространстве имен DNS для поддержки
      Active Directory (рис.
      6.6
      ).

    Р

    ис.
    6.6

    В
    данном примере корневой домен компании
    company.ru служит для хранения ссылок на
    внешние ресурсы. В домене company.ru
    настраивается делегирование управление
    поддоменом corp.company.ru на внутренний
    DNS-сервер, и именно на базе домена
    corp.company.ru создается домен Active Directory. В
    этом случае во внешней зоне хранятся
    ссылки на внешние ресурсы, а также ссылка
    на делегирование управления поддоменом
    на внутренний DNS-сервер. Таким образом,
    пользователям Интернета доступен
    минимум информации о внутренней сети.
    Такой вариант организации пространства
    имен довольно часто используется
    компаниями.

    1. Д

      ва
      различных домена DNS для внешних ресурсов
      и для Active Directory (рис.
      6.7
      .).

    Рис. 6.7

    В
    этом сценарии компания регистрирует в
    Интернет-органах два доменных имени:
    одно для публикации внешних ресурсов,
    другое — для развертывания Active Directory.

    Данный
    сценарий планирования пространства
    имен самый оптимальный. Во-первых, имя
    внешнего домена никак не связано с
    именем внутреннего домена, и не возникает
    никаких проблем с возможность показа
    в Интернет внутренней структуры.
    Во-вторых, регистрация (покупка)
    внутреннего имени гарантирует отсутствие
    потенциальных конфликтов, вызванных
    тем, что какая-то другая компания может
    зарегистрировать в Интернете имя,
    совпадающее с внутренним именем вашей
    компании.

    1. Домен
      с именем типа company.local.

    Во
    многих учебных пособиях и статьях
    используются примеры с доменными именами
    вида company.local. Такая схема вполне
    работоспособна и также часто применяется
    на практике. Однако в материалах
    разработчика системы Windows, корпорации
    Microsoft, нет прямых рекомендаций об
    использовании данного варианта.

    Установка контроллеров доменов

    Теперь
    перейдем к описанию процедур установки
    контроллеров доменов Active Directory.

    Разберем
    установку самого первого контроллера
    самого первого домена самого первого
    леса в структуре AD.

    Установка
    начинается с запуска из командной строки
    мастера установки Active Directory — dcpromo
    (рис.
    6.8
    ).

    Р

    ис.
    6.8

    Н

    ажимаем
    кнопку «ОК» и видим стартовую
    страницу мастера (рис.
    6.9
    ):

    Рис. 6.9

    Д

    алее
    идет предупреждение, что операционные
    системы Windows 95, Windows NT 4.0 SP3 и более ранние
    не смогут функционировать в доменах
    Windows 2003 (рис.
    6.10
    ).
    Заметим, что в доменах на базе Windows 2000
    такой проблемы нет (да и в доменах на
    базе windows 2003 эта проблема решаема).

    Рис. 6.10

    Затем
    выбираем варианты установки контроллера
    домена в новом домене (рис.
    6.11
    ) и
    создания нового домена в новом лесу
    (рис.
    6.12
    ):

    Р

    ис.
    6.11

    Рис. 6.12

    С

    ледующий
    шаг — выбор имени домена (для Active
    Directory это будет корневой домен). В нашем
    примере выберем имя world.ru
    (рис.
    6.13
    ):

    Рис. 6.13

    Зададим
    NetBIOS-имя домена (по умолчанию, будет
    предложена левая часть полного имени
    домена, выбранного на предыдущем шаге).
    В нашем примере — WORLD (рис.
    6.14
    .):

    Р

    ис.
    6.14

    Д

    алее
    мастер предложит выбрать место на
    жестких дисках для размещения базы
    данных Active Directory, журнала транзакций
    этой БД (рис.
    6.15
    ) и
    папки системного тома SYSVOL (рис.
    6.16
    ).
    Системный том обязательно должен быть
    размещен на разделе с файловой системой
    NTFS.

    Р

    ис.
    6.15

    Рис. 6.16

    После
    этого мастер установки на основе
    параметров сетевой конфигурации сервера
    ищет в сети DNS-сервер, на котором имеется
    зона с указанным нами именем домена,
    причем в данной зоне должны быть разрешены
    динамические обновления. Если такой
    сервер DNS в сети не найден, то мастер
    предложит установить службу DNS на данном
    сервере и создать соответствующую зону
    (рис.
    6.17
    ):

    Р

    ис.
    6.17

    Д

    алее
    предлагается выбрать уровень разрешений
    создаваемого домена (рис.
    6.18
    ).
    Заметим, что если мы выберем наиболее
    высокий уровень, то в таком домене не
    смогут существовать компьютеры с
    операционными системами, более ранними,
    чем Windows 2000.

    Рис. 6.18

    З

    атем
    задаем пароль администратора при запуске
    системы в режиме восстановления служб
    каталогов (рис.
    6.19
    ).
    данный режим используется для
    восстановления БД Active Directory из резервной
    копии.

    Рис. 6.19

    Затем
    следует экран со сводкой информации о
    создаваемом домене и параметрах
    контроллера домена (рис.
    6.20
    ). На
    этом шаге в случае обнаруженной ошибки
    в конфигурации можно вернуться назад
    и исправить ошибку.

    Р

    ис.
    6.20

    П

    осле
    этого начинается работа по созданию
    базы данных AD и наполнению ее нужными
    записями (рис.
    6.21
    ).

    Рис. 6.21

    Последний
    шаг — нажать кнопку «Готово» и
    перезагрузить сервер (рис.
    6.22
    ).

    Рис. 6.22

    Важное
    замечание.

    Если при создании первого контроллера
    в домене перед запуском мастера в
    локальной базе SAM данного сервера были
    какие-либо учетные записи пользователей
    и групп, то все они импортируются в
    созданную БД Active Directory с сохранением
    своих имен и паролей, в том числе и
    учетная запись администратора сервера,
    которая становится учетной записью
    администратора домена (а если самый
    первый домен в лесу, то и администратором
    предприятия и администратором схемы).

    Кратко
    опишем процесс установки дополнительного
    контроллера в уже созданном домене.

    Если
    у нас есть второй сервер, который мы
    хотим сделать дополнительным контроллером
    домена, то вначале желательно включить
    его в домен в качестве сервера–члена
    домена. Кнопка «Пуск» — Панель
    управления — Система — Закладка «Имя
    компьютера» — Кнопка «Изменить».
    Далее в поле «Является членом домена»
    ввести имя домена, нажать ОК, ввести имя
    и пароль администратора домена, снова
    нажать ОК и перезагрузить сервер (

    рис.
    6.23
    ).

    Рис. 6.23

    П

    осле
    перезагрузки входим в систему с учетной
    записью администратора домена и запускаем
    мастер установки Active Directory — команда
    dcpromo. Выбираем вариант «Добавочный
    контроллер в существующем домене»
    (рис.
    6.24
    ).

    Рис. 6.24

    Указываем
    учетные данные администратора домена
    (рис.
    6.25
    ):

    Рис. 6.25

    С

    нова
    указываем имя домена — world.ru. Начинается
    процесс импорта БД Active Directory на создаваемый
    контроллер (рис.
    6.26
    ):

    Рис. 6.26

    По
    окончании процесса — снова нажать
    кнопку «Готово» и перезагрузить
    сервер.

    Важное
    замечание.

    При добавлении дополнительного
    контроллера в домене существовавшая
    на сервере локальная база SAM с сервера
    удаляется.

    Опишем
    процесс установки дополнительного
    контроллера домена из резервной копии
    AD существующего контроллера.

    С

    начала
    создадим резервную копию AD. Запустим
    на существующем контроллере домена
    утилиту ntbackup, выберем архивацию состояния
    системы (System State), укажем путь для создания
    файла с резервной копией и нажмем кнопку
    «Архивировать» (рис.
    6.27
    ):

    Рис. 6.27

    На
    следующем шаге — нажать кнопку
    «Дополнительно» (рис.
    6.28
    ):

    Рис. 6.28

    В
    открывшейся панели — убрать галочку у
    поля «Автоматически архивировать
    защищенные системные файлы вместе с
    состоянием системы» (рис.
    6.29
    ):

    Р

    ис.
    6.29

    П

    осле
    создания резервной копии AD файл с
    резервной копией желательно скопировать
    на жесткий диск того сервера, который
    будет преобразовываться в контроллер
    домена. Затем надо разархивировать
    резервную копию утилитой ntbackup. При этом
    обязательно надо указать, что
    восстанавливать данные надо в
    альтернативное размещение и указать
    папку для размещения восстановленных
    данных (рис.
    6.30
    ):

    Рис. 6.30

    Т

    еперь
    на сервере, который преобразуем из
    простого сервера в контроллер домена,
    запускаем утилиту dcpromo с параметром
    «/adv» (рис.
    6.31
    ):

    Рис. 6.31

    На
    этапе выбора источника БД Active Directory —
    выбрать вариант «используя файлы из
    архива» и указать путь к папке, в
    которую разархивировали резервную
    копию (рис.
    6.32
    ):

    Р

    ис.
    6.32

    По
    окончании процесса — перезагрузить
    сервер.

    6.2 Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций Логическая структура Active Directory

    Служба
    каталогов Active Directory организована в виде
    иерархической структуры, построенной
    из различных компонентов, которые
    представляют элементы корпоративной
    сети. В этой структуре есть, например,
    пользовательские объекты, компьютерные
    объекты, и различные контейнеры. Способ
    организации этих элементов представляет
    собой логическую структуру Active Directory в
    корпоративной сети. Логическая структура
    Active Directory включает в себя леса, деревья,
    домены и Организационные подразделения
    (ОП). Каждый из элементов логической
    структуры описан ниже.

    Домен
    — логическая группа пользователей и
    компьютеров, которая поддерживает
    централизованное администрирование и
    управление безопасностью. Домен является
    единицей безопасности – это означает,
    что администратор для одного домена,
    по умолчанию, не может управлять другим
    доменом. Домен также является основной
    единицей для репликации — все контроллеры
    одного домена должны участвовать в
    репликации друг с другом. Домены в одном
    лесу имеют автоматически настроенные
    доверительные отношения, что позволяет
    пользователям из одного домена получать
    доступ к ресурсам в другом. Необходимо
    также знать, что можно создавать
    доверительные отношения с внешними
    доменами, не входящими в лес.

    Д

    ерево
    является набором доменов, которые
    связаны отношениями «дочерний»/»родительский»,
    а также используют связанные (смежные,
    или прилегающие) пространства имен. При
    этом дочерний домен получает имя от
    родительского. Например, можно создать
    дочерний домен, называемый it,
    в домене company.com,
    тогда его полное имя будет it.company.com
    (рис.
    6.33
    ).
    Между доменами автоматически
    устанавливаются двухсторонние
    транзитивные доверительные отношения
    (домен it.company.com доверяет своему
    «родительскому» домену, который в
    свою очередь «доверяет» домену
    sales.company.com – таким образом, домен
    it.company.com
    доверяет домену sales.company.com,
    и наоборот). Это означает, что доверительные
    отношения могут быть использованы всеми
    другими доменами данного леса для
    доступа к ресурсам данного домена.
    Заметим, что домен it.company.com продолжает
    оставаться самостоятельным доменом, в
    том смысле, что он остается единицей
    для управления системой безопасности
    и процессом репликации. Поэтому, например,
    администраторы из домена sales.company.com не
    могут администрировать домен it.company.com
    до тех пор, пока им явно не будет дано
    такое право.

    Рис. 6.33

    Лес
    — это одно или несколько деревьев,
    которые разделяют общую схему,
    серверы Глобального
    каталога
    и
    конфигурационную
    информацию
    .
    В лесу все домены объединены транзитивными
    двухсторонними доверительными
    отношениями.

    Каждая
    конкретная инсталляция Active Directory является
    лесом,
    даже если состоит всего из одного домена.

    Организационное
    подразделение (ОП)

    является контейнером, который помогает
    группировать объекты для целей
    администрирования или применения
    групповых политик. ОП могут быть созданы
    для организации объектов в соответствии
    с их функциями, местоположением, ресурсами
    и так далее. Примером объектов, которые
    могут быть объединены в ОП, могут служить
    учетные записи пользователей, компьютеров,
    групп и т.д. Напомним, что ОП может
    содержать только объекты из того домена,
    в котором они расположены.

    Подводя
    итог, можно сказать, что логическая
    структура

    Active Directory позволяет организовать ресурсы
    корпоративной сети таким образом, чтобы
    они отражали структуру самой компании.

    Физическая структура Active Directory

    Физическая
    структура Active Directory служит для связи
    между логической структурой AD и топологией
    корпоративной сети.

    Основные
    элементы физической структуры Active
    Directory — контроллеры
    домена
    и сайты.

    Контроллеры
    домена были подробно описаны в предыдущем
    разделе.

    Сайт
    — группа IP-сетей, соединенных быстрыми
    и надежными коммуникациями. Назначение
    сайтов — управление процессом репликации
    между контроллерами доменов и процессом
    аутентификации пользователей. Понятие
    «быстрые коммуникации» очень
    относительное, оно зависит не только
    от качества линий связи, но и от объема
    данных, передаваемых по этим линиям.
    Считается, что быстрый канал — это не
    менее 128 Кбит/с (хотя Microsoft рекомендует
    считать быстрыми каналы с пропускной
    способностью не менее 512 Кбит/с).

    С

    труктура
    сайтов никак не зависит от структуры
    доменов. Один домен может быть размещен
    в нескольких сайтах, и в одном сайте
    могут находиться несколько доменов
    (рис.
    6.34
    ).

    Рис. 6.34

    Поскольку
    сайты соединяются друг с другом медленными
    линиями связи, механизмы репликации
    изменений в AD внутри сайта и между
    сайтами различные. Внутри сайта
    контроллеры домена соединены линиями
    с высокой пропускной способностью.
    Поэтому репликация между контроллерами
    производится каждые 5 минут, данные при
    передаче не сжимаются, для взаимодействия
    между серверами используется технология
    вызова удаленных процедур (RPC). Для
    репликации между сайтами кроме RPC может
    использоваться также протокол SMTP, данные
    при передаче сжимаются (в результате
    сетевой трафик составляет от 10 до 40% от
    первоначального значения), передача
    изменений происходит по определенному
    расписанию. Если имеется несколько
    маршрутов передачи данных, то система
    выбирает маршрут с наименьшей стоимостью.

    Кроме
    управления репликацией, сайты используются
    при аутентификации пользователей в
    домене. Процесс аутентификации может
    вызвать заметный трафик, особенно если
    в сети имеется большое количество
    пользователей (особенно в начале рабочего
    дня, когда пользователи включают
    компьютеры и регистрируются в домене).
    При входе пользователя в сеть его
    аутентификация осуществляется ближайшим
    контроллером домена
    .
    В процессе поиска «ближайшего»
    контроллера в первую очередь используется
    информация о сайте, к которому принадлежит
    компьютер, на котором регистрируется
    пользователь. Ближайшим считается
    контроллер, расположенный в том же
    сайте, что и регистрирующийся пользователь.
    Поэтому рекомендуется в каждом сайте
    установить как минимум один контроллер
    домена.

    В
    процессе аутентификации большую роль
    играет также сервер глобального каталога
    (при использовании универсальных групп).
    Поэтому в каждом сайте необходимо также
    размещать как минимум один сервер
    глобального каталога (или на одном из
    контроллеров домена в каждом сайте
    настроить кэширование членства в
    универсальных группах). Пользователи
    сети (в том числе компьютеры и сетевые
    службы) используют серверы глобального
    каталога для поиска объектов. В случае,
    если доступ к серверу глобального
    каталога осуществляется через линии
    связи с низкой пропускной способностью,
    многие операции службы каталога будут
    выполняться медленно. Это обстоятельство
    также стимулирует установку сервера
    глобального каталога в каждом сайте
    (более подробно о серверах глобального
    каталога будет рассказано ниже).

    В
    самом начале создания леса автоматически
    создается сайт по умолчанию с именем
    Default-First-site-Name.
    В дальнейшем сетевой администратор
    должен сам планировать и создавать
    новые сайты и определять входящие в них
    подсети, а также перемещать в сайты
    соответствующие контроллеры доменов.
    При создания нового
    контроллера на основании выделенного
    ему IP-адреса служба каталога автоматически
    отнесет его к соответствующему сайту.

    Репликация, управление топологией репликации

    Рассмотрим
    сам процесс репликации изменений в AD
    как внутри сайта, так и между сайтами.

    Репликация внутри сайта

    Репликация
    изменений в AD между контроллерами домена
    происходит автоматически, каждые 5
    минут. Топологию репликации, т.е. порядок,
    в котором серверы опрашивают друг друга
    для получения изменений в базе данных,
    серверы строят автоматически (эту задачу
    выполняет компонента служб каталогов,
    называемая Knowledge
    Consistency Checker
    ,
    или KCC,
    вариант перевода данного термина —
    «наблюдатель
    показаний целостности
    «).
    При достаточно большом количестве
    контроллеров KCC строит кольцевую
    топологию репликации, причем для
    надежности образует несколько колец,
    по которым контроллеры передают данные
    репликации. Наглядно увидеть топологию
    репликации можно с помощью административной
    консоли «Active
    Directory — сайты и службы
    «.
    Если в этой консоли раскрыть последовательно
    контейнеры Sites,
    Defauit-First-site-Name,
    Servers,
    далее — конкретный сервер (например,
    DC1) и установить на узле NTDS
    Settings
    , то в
    правой половине окна видно, что сервер
    DC1 запрашивает изменения с сервера DC2
    (рис.
    6.35
    ):

    Р

    ис.
    6.35

    В

    озможностей
    управления репликацией у администратора
    сети в данном случае немного. Можно лишь
    вызвать принудительную репликацию в
    той же консоли «Active
    Directory — сайты и службы
    «.
    Если в правой части того же окна консоли,
    изображенного на рис.
    6.35
    ,
    щелкнуть правой кнопкой мыши на имени
    DC2 и выбрать вариант «Реплицировать
    сейчас
    «, то
    контроллер DC1 получит изменения в базе
    данных AD с контроллера DC2 (рис.
    6.36
    ):

    Рис. 6.36

    Репликация между сайтами

    Разбивать
    большую корпоративную сеть на отдельные
    сайты необходимо по следующим причинам:
    отдельные подсети корпоративной сети,
    расположенные в удаленных офисах, могут
    быть подключены друг к другу медленными
    каналами связи, которые сильно загружены
    в течение рабочего дня; поэтому возникает
    необходимость осуществления репликации
    в те часы, когда сетевой трафик минимален,
    и передавать данные репликации со
    сжатием.

    Вернемся
    к сетевой структуре, изображенной на
    рис.
    6.34
    , и
    обсудим понятия и термины, играющие
    важную роль в управлении репликацией
    между сайтами.

    В
    этой конфигурации топология репликации
    также строится системной компонентой
    KCC.
    KCC выбирает контроллеры, которые
    осуществляют репликацию между сайтами,
    проверяет их работоспособность и, в
    случае недоступности какого-либо
    сервера, назначает для репликации другой
    доступный сервер.

    Для
    репликации между сайтами используется
    тот или иной межсайтовый
    транспорт

    это либо IP
    (RPC),
    либо SMTP.
    Для каждого вида межсайтового транспорта
    определяется «соединение
    сайтов
    »
    (site link),
    с помощью которого строится управление
    репликацией между двумя и более сайтами.
    Именно для соединения («линка»)
    задаются такие параметры как «Расписание
    репликации
    »
    и «Стоимость«.
    На рис.
    6.34
    .
    соединение Link-1
    связывает в единую цепочку сайты Сайт-1,
    Сайт-3,
    Сайт-4
    и Сайт-2,
    соединение Link-2
    связывает два сайта — Сайт-1
    и Сайт-2.
    В данном примере репликация между
    сайтами Сайт-1
    и Сайт-2
    будет проходить либо по соединению
    Link-1,
    либо по соединению Link-2
    — в зависимости от расписания, стоимости
    соединения и его доступности (при
    доступности обоих соединений преимущество
    будет иметь соединение с более низкой
    стоимостью). На рис.
    6.37

    изображено созданное автоматически
    соединение для транспорта IP
    (RPC)
    DEFAULTIPSITELINK.
    Если открыть Свойства
    этого соединения (рис.
    6.38
    ), то
    можно управлять списком сайтов,
    относящихся к этому соединению, назначать
    стоимость соединения (значение по
    умолчанию — 100), интервал репликации
    (по умолчанию — каждые 3 часа), а если
    нажать кнопку «Изменить
    расписание
    «,
    то можно более тонко определить дни и
    часы, в которые будет производиться
    репликация.

    К

    онтейнер
    Subnets
    консоли «Active
    Directory — сайты и службы
    »
    служит для описания подсетей, входящих
    в тот или иной сайт.

    Рис. 6.37

    Рис. 6.38

    Функциональные уровни домена и леса

    Набор
    возможностей, предоставляемых службой
    каталогов Active Directory, зависит от того, на
    каком уровне (или в каком режиме)
    функционируют отдельный домен или весь
    лес в целом.

    Для
    Windows 2003 имеются 4 уровня функционирования
    (в Windows 2000 — 2 уровня):

    Windows
    2000 смешанный (Windows 2000 mixed)

    В
    данном режиме в домене могут существовать
    резервные контроллеры домена под
    управлением системы Windows NT Server. Этот
    режим рассматривается как переходный
    в процессе модернизации служб каталогов
    с Windows NT на Windows 2000/2003. В этом режиме
    отсутствует ряд возможностей Active
    Directory — универсальные группы, вложенность
    групп. Кроме того, наличие контроллеров
    домена под управлением Windows NT накладывает
    ограничение на размер БД Active Directory (40
    мегабайт).

    После
    установки системы и создания первого
    контроллера домена домен всегда работает
    именно в смешанном режиме.

    Windows
    2000 основной (Windows 2000 native)

    В
    данном режиме контроллерами домена
    могут быть серверы под управлением
    Windows 2000 и Windows 2003. В данном режиме появляется
    возможность использования универсальных
    групп, вложенность групп, и ликвидируется
    ограничение на размер БД Active Directory.

    Windows
    2003 промежуточный (Windows 2003 interim)

    Данный
    уровень возможен только в том случае,
    когда контроллеры домена работают под
    управлением Windows NT и Windows 2003 (не может
    быть контроллеров с системой Windows 2000).
    Этот уровень доступен только тогда,
    когда производится установка Windows 2003
    поверх контроллеров домена с Windows NT.
    Ограничения этого режима аналогичны
    смешанному режиму.

    Windows
    2003

    Это
    наивысший уровень функционирования
    домена, в котором есть контроллеры с
    Windows 2003, причем все контроллеры обязаны
    быть с системой Windows 2003.

    И

    зменять
    уровень функционирования домена можно
    только в сторону
    его повышения
    .
    Сделать это можно с помощью административных
    консолей «Active
    Directory – домены и доверие
    »
    или «Active
    Directory – пользователи и компьютеры
    «.
    Если в какой-либо из этих консолей
    щелкнуть правой кнопкой мыши на имени
    домена и выбрать в контекстном меню
    пункт «Изменение
    режима работы домена
    «,
    то появится панель, изображенная на
    рис.
    6.39
    :

    Рис. 6.39

    Для
    повышения уровня надо выбрать необходимый
    уровень и нажать кнопку «Изменить«.
    После репликации данного изменения на
    все контроллеры в данном домене станут
    доступны специфичные для данного уровня
    возможности. Заметим, что произведенные
    изменения необратимы.

    Для
    всего леса в целом также можно определять
    функциональные уровни. Это делается с
    помощью консоли «Active
    Directory – домены и доверие
    «.
    Только правой кнопкой мыши надо щелкнуть
    не на имени домена, а на надписи «Active
    Directory – домены и доверие
    «.

    Существуют
    3 уровня функционирования леса:

    • Windows 2000 (с
      контроллерами под управлением Windows NT,
      2000 и 2003);

    • Windows 2003 interim (с
      контроллерами под управлением только
      Windows NT и 2003);

    • Windows
      2003 (все
      домены всего леса

      — с контроллерами под управлением
      только
      Windows 2003).

    Самый
    высокий уровень функционирования леса
    позволяет выполнять две очень важные
    задачи:

    • переименование
      доменов;

    • установление
      доверительных отношений между двумя
      не
      связанными друг с другом

      лесами с использованием Kerberos в качестве
      протокола аутентификации (без такого
      режима доверительные отношения могут
      устанавливаться только между отдельными
      доменами, а не целыми лесами, при этом
      будет использоваться менее защищенный
      протокол аутентификации NTLM).

    Серверы Глобального каталога и Хозяева операций

    Большинство
    операций с записями БД Active Directory
    администратор может выполнять,
    подключившись с помощью соответствующей
    консоли к любому из контроллеров домена.
    Однако, во избежание несогласованности,
    некоторые действия должны быть
    скоординированы и выполнены специально
    выделенными для данной цели серверами.
    Такие контроллеры домена называются
    Хозяевами
    операций

    (Operations Masters),
    или исполнителями
    специализированных ролей

    (Flexible Single-Master
    Operations
    , сокращенно
    FSMO).

    Всего
    имеется пять специализированных ролей:

    1. Schema
      Master (хозяин схемы)
      :
      контролирует возникающие изменения
      Схемы базы данных Active Directory (добавление
      и удаление классов объектов, модификация
      набора атрибутов). Один
      контроллер домена в
      масштабе всего леса

      выполняет эту роль (по умолчанию —
      самый первый контроллер в лесу).

    2. Domain
      Naming Master (хозяин именования доменов)
      :
      контролирует процесс добавления или
      удаления доменов в лесу. Один
      контроллер домена в
      масштабе всего леса

      выполняет эту роль (по умолчанию —
      самый первый контроллер в лесу).

    3. PDC
      Emulator (эмулятор PDC)
      :
      действует как PDC (главный контроллер
      домена) для BDC (резервный контроллер
      домена) под управлением Windows NT, когда
      домен находится в смешанном режиме;
      управляет изменениями паролей (изменение
      пароля учетной записи в первую очередь
      реплицируется на эмулятор PDC); является
      предпочтительным сервером (в Windows 2000 —
      единственный сервер) для редактирования
      групповых политик; является сервером
      времени для остальных контроллеров
      данного домена (контроллеры домена
      синхронизируют свои системные часы с
      эмулятором PDC). Один
      контроллер в
      домене

      выполняет эту роль (по умолчанию —
      самый первый контроллер в домене).

    4. RID
      Master (хозяин RID, распределитель
      идентификаторов учетных записей)
      :
      выделяет контроллерам домена пулы
      относительных идентификаторов (RID,
      которые являются уникальной частью
      идентификаторов безопасности SID). Один
      контроллер в
      домене

      выполняет эту роль (по умолчанию —
      самый первый контроллер в домене).

    5. Infrastructure
      Master (хозяин инфраструктуры)
      :
      отвечает за обновление связей
      «пользователи — группы» между
      доменами. Эта роль не должна храниться
      на контроллере домена, который также
      является сервером Глобального Каталога
      – хозяин инфраструктуры не будет
      работать в данном сценарии (за исключением
      случая, когда в домене всего один
      контроллер). Один
      контроллер в
      домене

      выполняет эту роль (по умолчанию —
      самый первый контроллер в домене).

    Просмотреть
    текущих владельцев ролей и передать ту
    или иную роль на другой контролер можно
    с помощью административных консолей:

    • роль
      Хозяина
      Схемы

      — с помощью консоли «Active
      Directory Schema
      »
      (чтобы запустить эту консоль, надо
      сначала зарегистрировать соответствующую
      программную компоненту в командной
      строке: regsvr32
      schmmgmt.dll,
      а затем запустить саму консоль тоже в
      командной строке — schmmgmt.msc);

    • роль
      Хозяина
      именования доменов

      — с помощью консоли «Active
      Directory – домены и доверие
      «;

    • р

      оли
      эмулятора
      PDC
      ,
      хозяина
      RID

      и хозяина
      инфраструктуры

      — с помощью консоли «Active
      Directory – пользователи и компьютеры
      »
      (пример можно увидеть на рис.
      6.40
      ).

    Рис. 6.40

    Необходимо
    знать, кто из пользователей имеет право
    менять роли хозяев операций:

    • эмулятор
      PDC — члены группы «Администраторы
      домена
      «;

    • хозяин
      RID — члены группы «Администраторы
      домена
      «;

    • хозяин
      инфраструктуры — члены группы
      «Администраторы
      домена
      «;

    • хозяин
      именования доменов — члены группы
      «Администраторы
      предприятия
      «;

    • хозяин
      схемы — члены группы «Администраторы
      Схемы
      »
      или группы «Администратор
      предприятия
      «.

    Если
    контроллер домена, которому принадлежит
    роль хозяина операции, выходит из строя
    (вследствие повреждения оборудования
    или программного обеспечения), причем
    нет возможности восстановить данную
    систему из резервной копии, то с помощью
    административных консолей передать
    роли работоспособным серверам нет
    возможности. Восстановить функционирование
    определенной роли хозяина операций
    можно только путем захвата данной роли
    с помощью утилиты командной строки
    ntdsutil.

    Сервер глобального каталога

    Напомним,
    что Глобальный
    каталог
    (global
    catalog
    ) — это
    перечень всех
    объектов
    леса
    Active Directory. По умолчанию, контроллеры
    домена содержат только информацию об
    объектах своего домена. Сервер Глобального
    каталога является контроллером домена,
    в котором содержится информация о
    каждом объекте

    (хотя и не обо всех атрибутах этих
    объектов), находящемся в данном лесу.

    Сервер
    глобального каталога выполняет две
    очень важные функции:

    • поиск объектов в
      масштабах всего леса (клиенты могут
      обращаться к глобальному каталогу с
      запросами на поиск объектов по
      определенным значениям атрибутов;
      использование сервера глобального
      каталога — единственный способ
      осуществлять поиск объектов по всему
      лесу);

    • аутентификация
      пользователей (сервер глобального
      каталога предоставляет информацию о
      членстве пользователя в универсальных
      группах
      ,
      universal
      groups
      ;
      поскольку универсальные группы со
      списками входящих в них пользователей
      хранятся только на серверах глобального
      каталога, аутентификация пользователей,
      входящих в такие группы, возможна только
      при участии сервера глобального
      каталога).

    П

    о
    умолчанию самый первый контроллер
    домена в лесу является сервером
    глобального каталога. Однако администратор
    сети может назначить любой контроллер
    домена сервером глобального каталога.
    Это делается с помощью административной
    консоли «Active
    Directory – сайты и службы
    «,
    в свойствах узла «NTDS
    Settings
    »
    выбранного контроллера (рис.
    6.41
    ):

    Рис. 6.41

    Д

    ля
    эффективной работы службы каталогов
    Active Directory необходимо, чтобы в каждом
    сайте AD был либо сервер глобального
    каталога, либо контроллер домена,
    кэширующий у себя списки членов
    универсальных групп. Кэширование
    универсальных групп также настраивается
    в консоли «Active
    Directory – сайты и службы
    »
    в свойствах узла «NTDS
    Settings
    » для
    каждого сайта Active Directory. Для включения
    кэширования нужно поставить галочку у
    поля «Разрешить
    кэширование членства в универсальных
    группах
    » и
    указать, из какого сайта данный сайт
    будет получать списки универсальных
    групп в поле «Обновлять
    кэш из:
    »
    (рис.
    6.42
    ):

    Рис. 6.42

    6.3 Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики Управление пользователями и группами

    Учетные
    записи

    (accounts)
    пользователей, компьютеров и групп —
    один из главных элементов управления
    доступом к сетевым ресурсам, а значит,
    и всей системы безопасности сети в
    целом.

    В
    среде Windows 2003 Active Directory существует 3
    главных типа пользовательских учетных
    записей:

    • Локальные
      учетные записи пользователей
      .
      Эти учетные записи существуют в локальной
      базе данных SAM
      (Security
      Accounts Manager
      )
      на каждой системе, работающей под
      управлением Windows 2003. Эти учетные записи
      создаются с использованием инструмента
      Local
      Users and Groups

      (Локальные
      пользователи и группы
      )
      консоли Computer
      Management

      (Управление
      компьютером
      ).
      Заметим, что для входа в систему по
      локальной учетной записи, эта учетная
      запись обязательно должна присутствовать
      в базе данных SAM на системе, в которую
      вы пытаетесь войти. Это делает локальные
      учетные записи непрактичными для
      больших сетей, вследствие больших
      накладных расходов по их администрированию.

    • Учетные
      записи пользователей домена
      .
      Эти учетные записи хранятся в Active
      Directory и могут использоваться для входа
      в систему и доступа к ресурсам по всему
      лесу AD. Учетные записи этого типа
      создаются централизованно при помощи
      консоли «Active
      Directory Users and Computers
      »
      Active
      Directory – пользователи и компьютеры
      «).

    • Встроенные
      учетные записи
      .
      Эти учетные записи создаются самой
      системой и не могут быть удалены. По
      умолчанию любая система, будь то
      изолированная (отдельно стоящая) или
      входящая в домен, создает две учетные
      записи – Administrator
      (Администратор)
      и Guest
      (Гость).
      По умолчанию учетная запись Гость
      отключена.

    Сосредоточим
    свое внимание на учетных записях
    пользователей домена. Эти учетные записи
    хранятся на контроллерах домена, хранящих
    копию базы данных Active Directory.

    Существуют
    различные форматы, в которых могут быть
    представлены имена для входа пользователей
    в систему, потому что они могут отличаться
    для целей совместимости с клиентами,
    работающими под управлением более
    ранних версий Windows (такими как 95, 98, NT).
    Два основных вида имен входа — это с
    использованием суффикса User
    Principal Name

    (основного
    имени пользователя
    )
    и имя входа пользователя в системах
    пред-Windows 2000.

    Основное
    имя пользователя (UPN,
    User Principle Name)
    имеет такой же формат, как и электронный
    адрес. Он включает в себя имя входа
    пользователя, затем значок «@»
    и имя домена. По умолчанию доменное имя
    корневого домена выделено в выпадающем
    окне меню, независимо от того, в каком
    домене учетная запись была создана
    (выпадающий список будет также содержать
    имя домена, в котором вы создали эту
    учетную запись).

    Также
    можно создавать дополнительные доменные
    суффиксы (та часть имени, которая стоит
    после знака @),
    которые будут появляться в выпадающем
    списке и могут быть использованы при
    образовании UPN, если вы их выберете (это
    делается при помощи консоли «Active
    Directory – домены и доверие
    »
    Active Directory
    Domain and Trusts
    «).

    Существует
    только одно обязательное условие при
    этом — все UPN в лесу должны быть уникальными
    (т.е. не повторяться). Если учетная запись
    входа пользователя использует UPN для
    входа в систему Windows 2003, вам необходимо
    только указать UPN и пароль — более нет
    нужды помнить и указывать доменное имя.
    Другое преимущество данной системы
    именования состоит в том, что UPN часто
    соответствует электронному адресу
    пользователя, что опять уменьшает
    количество информации о пользователе,
    которую необходимо запоминать.

    Локальные учетные записи

    Каждый
    компьютер с операционными системами
    Windows NT/2000/XP/2003 (если это не сервер,
    являющийся контроллером домена) имеет
    локальную базу данных учетных записей,
    называемую базой данных SAM. Эти БД
    обсуждались при описании модели
    безопасности «Рабочая группа».
    Локальные пользователи и особенно
    группы используются при назначении
    прав доступа к ресурсам конкретного
    компьютера даже в доменной модели
    безопасности. Общие правила использования
    локальных и доменных групп для управления
    доступом будут описаны ниже.

    Управление доменными учетными записями пользователей

    Доменные
    учетные записи пользователей (а также
    компьютеров и групп) хранятся в специальных
    контейнерах AD. Это могут быть либо
    стандартные контейнеры Users
    для пользователей и Computers
    для компьютеров, либо созданное
    администратором Организационное
    подразделение (ОП). Исключение составляют
    учетные записи контроллеров домена,
    они всегда хранятся в ОП с названием
    Domain Controllers.

    Рассмотрим
    на примерах процесс создания учетных
    записей пользователей в БД Active Directory и
    разберем основные свойства доменных
    учетных записей. Учетные записи для
    компьютеров создаются в процессе
    включения компьютера в домен.

    Создание доменной учетной записи

    1. Откроем
      административную консоль «Active
      Directory – пользователи и компьютеры
      «.

    2. Щелкнем
      правой кнопкой мыши на контейнере, в
      котором будем создавать учетную запись,
      выберем в меню команду «Создать»
      и далее — «Пользователь«.

    3. Заполним
      поля «Имя«,
      «Фамилия«,
      например, «Иван»
      и «Иванов»
      (в английской версии — First
      Name
      ,
      Last
      Name
      ),
      поле «Полное
      имя
      »
      (Full
      Name
      )
      заполнится само.

    4. Введем
      «Имя
      входа пользователя
      »
      (User
      logon name
      ),
      например, User1.
      К этому имени автоматически приписывается
      часть вида «@<имя
      домена>»,
      в нашем примере — «@world.ru»
      (полученное имя должно быть уникальным
      в масштабах леса).

    5. В

      процессе формирования имени входа
      автоматически заполняется «Имя
      входа пользователя (пред-Windows 2000)
      »
      (User
      logon name (pre- Windows 2000)
      ),
      создаваемое для совместимости с прежними
      версиями Windows (данное имя должно быть
      уникально в масштабе домена). В каждой
      организации должны быть разработаны
      схемы именования пользователей (по
      имени, фамилии, инициалам, должности,
      подразделению и т.д.) В нашем примере
      получится имя «WORLDUser1«.
      Нажмем кнопку «Далее»
      (рис.
      6.43
      ):

    Рис. 6.43

    1. Вводим пароль
      пользователя (два раза, для подтверждения).

    2. Укажем начальные
      требования к паролю:

      • Требовать смену
        пароля при следующем входе в систему
        (полезно в случае, когда администратор
        назначает пользователю начальный
        пароль, а затем пользователь сам
        выбирает пароль, известный только
        ему);

      • Запретить смену
        пароля пользователем (полезно и даже
        необходимо для учетных записей различных
        системных служб);

      • Срок действия
        пароля не ограничен (тоже используется
        для паролей учетных записей служб,
        чтобы политики домена не повлияли на
        функционирование этих служб, данный
        параметр имеет более высокий приоритет
        по сравнению с политиками безопасности);

      • Отключить учетную
        запись.

    Н

    ажмем
    кнопку «Далее»
    (рис.
    6.44
    ):

    Рис. 6.44

    1. Получаем
      итоговую сводку для создаваемого
      объекта и нажимаем кнопку «Готово«.

    Внимание!
    В упражнениях лабораторных работ дается
    задание настроить политики, которые
    сильно понижают уровень требований к
    паролям и полномочиям пользователей:

    • отключается
      требование сложности паролей,

    • устанавливается
      минимальная длина пароля, равная 0 (т.е.
      пароль может быть пустым),

    • устанавливается
      минимальный срок действия паролей 0
      дней (т.е. пользователь может в любой
      момент сменить пароль),

    • устанавливается
      история хранения паролей, равная 0 (т.е.
      при смене пароля система не проверяет
      историю ранее используемых паролей),

    • группе «Пользователи»
      дается право локального входа на
      контроллеры домена.

    Данные
    политики устанавливаются исключительно
    для удобства выполнения упражнений,
    которые необходимо выполнять с правами
    простых пользователей на серверах-контроллерах
    домена. В реальной практике администрирования
    такие слабые параметры безопасности
    ни в коем случае устанавливать нельзя,
    требования к паролям и правам пользователей
    должны быть очень жесткими (политики
    безопасности обсуждаются далее в этом
    разделе).

    Правила
    выбора символов для создания пароля:

    • длина пароля —
      не менее 7 символов;

    • пароль не должен
      совпадать с именем пользователя для
      входа в систему, а также с его обычным
      именем, фамилией, именами его родственников,
      друзей и т.д.;

    • пароль не должен
      состоять из какого-либо слова (чтобы
      исключить возможность подбора пароля
      по словарю);

    • пароль не должен
      совпадать с номером телефона пользователя
      (обычного или мобильного), номером его
      автомобиля, паспорта, водительского
      удостоверения или другого документа;

    • пароль
      должен быть комбинацией букв в верхнем
      и нижнем регистрах, цифр и спецсимволов
      (типа @#$%^*&()_+
      и т.д.).

    И
    еще одно правило безопасности —
    регулярная смена пароля (частота смены
    зависит от требований безопасности в
    каждой конкретной компании или
    организации). В доменах Windows существует
    политика, определяющая срок действия
    паролей пользователей.

    Обзор свойств учетных записей пользователей

    Свойства
    учетной записи пользователя содержат
    большой набор различных параметров,
    размещенных на нескольких закладках
    при просмотре в консоли «Active
    Directory – пользователи и компьютеры
    «,
    причем при установке различных программных
    продуктов набор свойств может расширяться.

    Рассмотрим
    наиболее важные с точки зрения
    администрирования свойства.

    Откроем
    консоль «Active
    Directory – пользователи и компьютеры
    »
    и посмотрим свойства только что созданного
    нами пользователя.

    Закладка
    «Общие«.
    На данной закладке содержатся в основном
    справочные данные, которые могут быть
    очень полезны при поиске пользователей
    в лесу AD. Наиболее интересные из них:

    • «Имя«

    • «Фамилия«

    • «Выводимое
      имя
      «

    • «Описание«

    • «Номер
      телефона
      «

    • «Электронная
      почта
      «

    Закладка
    «Адрес»
    — справочная информация для поиска в
    AD.

    Закладка
    «Учетная
    запись
    » —
    очень важный набор параметров (параметры
    «Имя входа
    пользователя
    »
    и «Имя входа
    пользователя (пред-Windows 2000)
    »
    обсуждались выше при создании
    пользователя):

    • кнопка
      «Время
      входа
      »
      — дни и часы, когда пользователь может
      войти в домен;

    • кнопка
      «Вход
      на…
      »
      — список компьютеров, с которых
      пользователь может входить в систему
      (регистрироваться в домене);

    • Поле
      типа чек-бокс «Заблокировать
      учетную запись
      »
      — этот параметр недоступен, пока учетная
      запись не заблокируется после
      определенного политиками некоторого
      количества неудачных попыток входа в
      систему (попытки с неверным паролем),
      служит для защиты от взлома пароля
      чужой учетной записи методом перебора
      вариантов; если будет сделано определенное
      количество неудачных попыток, то учетная
      запись пользователя автоматически
      заблокируется, поле станет доступным
      и в нем будет установлена галочка, снять
      которую администратор может вручную,
      либо она снимется автоматически после
      интервала, заданного политиками паролей;

    • «Параметры
      учетной записи
      »
      (первые три параметра обсуждались
      выше):

      • «Требовать
        смену пароля при следующем входе в
        систему
        «

      • «Запретить
        смену пароля пользователем
        «

      • «Срок
        действия пароля не ограничен
        «

      • «Отключить
        учетную запись
        »
        — принудительное отключение учетной
        записи (пользователь не сможет войти
        в домен);

      • «Для
        интерактивного входа в сеть нужна
        смарт-карта
        »
        — вход в домен будет осуществляться
        не при помощи пароля, а при помощи
        смарт-карты (для этого на компьютере
        пользователя должно быть устройство
        для считывания смарт-карт, смарт-карты
        должны содержать сертификаты, созданные
        Центром выдачи сертификатов);

    • «Срок
      действия учетной записи
      »
      — устанавливает дату, с которой данная
      учетная запись не будет действовать
      при регистрации в домене (этот параметр
      целесообразно задавать для сотрудников,
      принятых на временную работу, людей,
      приехавших в компанию в командировку,
      студентов, проходящих практику в
      организации и т.д.)

    Закладки
    «Телефоны«,
    «Организация»
    — справочная информация о пользователе
    для поиска в AD.

    Закладка
    «Профиль«

    Профиль
    (profile)
    — это настройки рабочей среды пользователя.
    Профиль содержит: настройки рабочего
    стола (цвет, разрешение экрана, фоновый
    рисунок), настройки просмотра папок
    компьютера, настройки обозревателя
    Интернета и других программ (например,
    размещение папок для программ семейства
    Microsoft Office). Профиль автоматически
    создается для каждого пользователя при
    первом входе на компьютер. Различают
    следующие виды профилей:

    • локальные
      — хранятся в папке «Documents
      and Settings
      »
      на том разделе диска, где установлена
      операционная система;

    • перемещаемые
      (сетевые, или roaming)
      — хранятся на сервере в папке общего
      доступа, загружаются в сеанс пользователя
      на любом компьютере, с которого
      пользователь вошел (зарегистрировался)
      в домен, давая возможность пользователю
      иметь одинаковую рабочую среду на любом
      компьютере (путь к папке с профилем
      указывается на данной закладке в виде
      адреса \servershare%username%,
      где server
      — имя сервера, share
      — имя папки общего доступа, %username%

      имя папки с профилем; использование
      переменной среды системы Windows с названием
      %username%
      позволяет задавать имя папки с профилем,
      совпадающее с именем пользователя);

    • обязательные
      (mandatory)
      — настройки данного типа профиля
      пользователь может изменить только в
      текущем сеансе работы в Windows, при выходе
      из системы изменения не сохраняются.

    Параметр
    «Сценарий входа» определяет
    исполняемый файл, который при входе
    пользователя в систему загружается на
    компьютер и исполняется. Исполняемым
    файлом может быть пакетный файл (.bat,
    .cmd),
    исполняемая программа (.exe, .com), файл
    сценария (.vbs, js).

    Закладка
    «Член групп»
    — позволяет управлять списком групп,
    в которые входит данный пользователь.

    Закладка
    «Входящие
    звонки
    «.

    Управление
    доступом пользователя в корпоративную
    систему через средства удаленного
    доступа системы Windows Server (например, через
    модем или VPN-соединение). В смешанном
    режиме
    домена
    Windows доступны только варианты «Разрешить
    доступ
    » и
    «Запретить
    доступ
    «, а
    также параметры обратного дозвона
    Ответный
    вызов сервера
    «).
    В режимах «Windows
    2000 основной
    »
    и «Windows 2003»
    доступом можно управлять с помощью
    политик сервера удаленного доступа (не
    надо путать с групповыми политиками).
    Подробнее данный вопрос обсуждается в
    разделе, посвященном средствам удаленного
    доступа.

    Закладки
    «Профиль
    служб терминалов
    «,
    «Среда«,
    «Сеансы«,
    «Удаленное
    управление
    »
    — данные закладки управляют параметрами
    работы пользователя на сервере терминалов:

    • управление
      разрешением пользователя работать на
      сервере терминалов;

    • размещение профиля
      при работе в терминальной сессии,

    • настройка среды
      пользователя в терминальной сессии
      (запуск определенной программы или
      режим рабочего стола, подключение
      локальных дисков и принтеров пользователя
      в терминальную сессию);

    • управление сеансом
      пользователя на сервере терминалов
      (длительность сессии, тайм-аут бездействия
      сессии, параметры повторного подключения
      к отключенной сессии);

    • разрешение
      администратору подключаться к
      терминальной сессии пользователя.

    Управление группами

    Учетные
    записи групп, как и учетные записи
    пользователей, могут быть созданы либо
    в локальной базе SAM компьютера (сервера
    или рабочей станции), либо в доменной
    базе данных Active Directory.

    Локальные
    группы простого сервера-члена домена
    или рабочей станции могут включать в
    себя и локальные учетные записи данного
    компьютера, и глобальные учетные записи
    любого пользователя или компьютера
    всего леса, а также доменные локальные
    группы «своего» домена и глобальные
    и универсальные группы всего леса.

    Рассмотрим
    подробнее, какие группы могут создаваться
    в Active Directory.

    В
    Active Directory группы различаются по типу
    (группы безопасности и группы
    распространения) и по области действия
    (локальные в домене, глобальные и
    универсальные).

    Типы
    групп

    • Группы
      безопасности — каждая группа данного
      типа, так же как и каждая учетная запись
      пользователя, имеет идентификатор
      безопасности

      (Security
      Identifier
      ,
      или SID),
      поэтому группы безопасности используются
      для назначения разрешений при определении
      прав доступа к различным сетевым
      ресурсам.

    • Группы распространения
      — группы этого типа не имеют идентификатора
      безопасности, поэтому не могут
      использоваться для назначения прав
      доступа, их главное назначение —
      организация списков рассылки для
      почтовых программ (например, для
      Microsoft Exchange Server).

    Область
    действия групп

    • Локальные
      в домене

      могут содержать — глобальные группы
      из любого домена, универсальные группы,
      глобальные учетные записи пользователей
      из любого домена леса, используются —
      при назначении прав доступа только к
      ресурсам «своего» домена;

    • Глобальные
      могут содержать — только глобальные
      учетные записи пользователей «своего»
      домена, используются — при назначении
      прав доступа к ресурсам любого домена
      в лесу;

    • Универсальные
      могут содержать — другие универсальные
      группы всего леса, глобальные группы
      всего леса, глобальные учетные записи
      пользователей из любого домена леса,
      используются — при назначении прав
      доступа к ресурсам любого домена в
      лесу.

    В
    смешанном режиме домена универсальные
    группы недоступны для использования.
    В основном режиме или режиме Windows 2003
    можно создавать и использовать
    универсальные группы. Кроме того, в
    основном режиме и режиме Windows 2003 глобальные
    группы могут включаться в другие
    глобальные группы, а доменные локальные
    группы могут включаться в другие доменные
    локальные.

    Специфика
    универсальных групп заключается в том,
    что эти группы хранятся в Глобальном
    каталоге. Поэтому, если пользователь
    является членом универсальной группы,
    то при регистрации в домене ему обязательно
    должен быть доступен контроллер домена,
    являющийся сервером глобального
    каталога, в противном случае пользователь
    не сможет войти в сеть. Репликация между
    простыми контроллерами домена и серверами
    глобального каталога происходит
    достаточно медленно, поэтому любое
    изменение в составе универсальной
    группы требует больше времени для
    репликации, чем при изменении состава
    групп с другими областями действия.

    Маркер
    доступа.

    При
    регистрации в домене пользователю
    передается в его сессию на компьютере
    т.н. маркер
    доступа
    (Access
    Token
    ), называемый
    иногда маркером безопасности. Маркер
    доступа состоит из набора идентификаторов
    безопасности — идентификатора
    безопасности (SID) самого пользователя
    и идентификаторов безопасности тех
    групп, членом которых он является.
    Впоследствии этот маркер доступа
    используется при проверке разрешений
    пользователя на доступ к различным
    ресурсам домена.

    Стратегия
    создания и использования групп.

    При
    создании и использовании групп следует
    придерживаться следующих правил:

    1. Включать
      глобальные учетные записи пользователей
      (Accounts)
      в глобальные группы (Global
      groups). Глобальные группы формируются
      обычно по
      функциональным обязанностям сотрудников
      .

    2. Включать
      глобальные группы в доменные локальные
      или локальные на простом сервере или
      рабочей станции (Local
      groups). Локальные группы формируются на
      основе разрешений для доступа к
      конкретным ресурсам
      .

    3. Давать
      разрешения (Permissions)
      на доступ к ресурсам локальным группам.

    По
    первым буквам английских слов эту
    стратегию часто обозначают сокращенно
    AGLP.
    В основном режиме и режиме Windows 2003 с
    использованием универсальных (Universal)
    групп эта стратегия может быть в более
    общем виде представлена как аббревиатура
    AGG…GULL…LP.
    Такой подход облегчает управление
    доступом к ресурсам по сравнению с
    назначением разрешений напрямую учетным
    записям пользователей. Например, при
    переходе сотрудника с одной должности
    на другую или из одного подразделения
    в другое достаточно соответствующим
    образом поменять его членство в различных
    группах, и разрешения на доступ к сетевым
    ресурсам автоматически будут назначены
    уже исходя из его новой должности.

    Встроенные
    и динамически формируемые группы.

    Кроме
    тех групп, которые создает администратор,
    на компьютерах локально или во всем
    домене существуют встроенные
    группы
    ,
    созданные во время установки системы
    или создания домена. Кроме встроенных
    групп в процессе работы системы
    формируются динамические
    группы
    , состав
    которых меняется в зависимости от
    ситуации.

    Перечислим
    наиболее часто используемые на практике
    встроенные и динамические группы.

    Встроенные
    локальные группы (на рабочей станции
    или простом сервере).

    Название группы

    Описание

    Администраторы

    Могут
    выполнять все административные задачи
    на данном компьютере. Встроенная
    учетная запись Администратор,
    которая создается при установке
    системы, является членом этой группы.
    Если компьютер является членом домена,
    то в эту группу включается глобальная
    группа Администраторы
    домена
    .

    Операторы
    резервного копирования

    Члены группы
    могут выполнять вход на данный
    компьютер, выполнять резервное
    копирование и восстановление данных
    на этом компьютере, а также завершать
    работу этого компьютера.

    Администраторы
    DHCP
    (создается
    при установке службы DHCP Server)

    Члены этой группы
    могут администрировать службу DHCP
    Server.

    Операторы
    сетевой конфигурации

    Члены группы
    могут изменять настройки TCP/IP, а также
    обновлять и освобождать IP-адреса,
    назначаемые автоматически.

    Пользователи
    монитора производительности

    Члены группы
    могут следить за счетчиками
    производительности на конкретном
    сервере локально или удаленным образом.

    Пользователи
    журнала производительности

    Члены группы
    могут администрировать журналы
    производительности, счетчики и
    оповещения на конкретном сервере
    локально или удаленным образом.

    Опытные
    пользователи

    Члены
    группы могут создавать и модифицировать
    учетные записи пользователей, а также
    устанавливать программы на локальном
    компьютере, но не могут просматривать
    файлы других пользователей. Члены
    группы могут создавать и удалять
    локальные группы, а также добавлять
    и удалять пользователей в группах,
    которые они создали. Члены группы
    могут добавлять и удалять пользователей
    в группах Опытные
    пользователи
    ,
    Пользователи
    и Гости.

    Операторы
    печати

    Члены группы
    могут управлять принтерами и очередями
    печати на конкретном сервере.

    Пользователи
    удаленного рабочего стола

    Членам группы
    разрешается выполнять подключение к
    удаленному рабочему столу компьютера.

    Пользователи

    Члены
    этой группы могут локально входить в
    систему на данном компьютере, работать
    с программами, сохранять документы и
    завершать работу данного компьютера.
    Они не могут устанавливать программы
    или вносить изменения в систему. Если
    компьютер является членом домена, то
    в эту группу включается глобальная
    группа Пользователи
    домена
    .
    В эту группу также включаются
    динамические группы Интерактивные
    и Прошедшие
    проверку
    .

    Встроенные
    доменные локальные группы.

    Название группы

    Описание

    Администраторы

    Членам
    группы предоставляются права
    администратора на всех контроллерах
    домена и в самом домене. Учетная запись
    Администратор,
    группы Администраторы
    предприятия

    и Администраторы
    домена

    являются членами данной группы.

    Операторы
    учетных записей

    Члены
    группы могут создавать, удалять и
    управлять учетными записями пользователей
    и группами. Они не могут модифицировать
    группу Администраторы,
    Администраторы
    домена
    ,
    Контроллеры
    домена

    или любую из групп Операторы.

    Операторы
    резервного копирования

    Члены группы
    могут выполнять резервное копирование
    и восстановление данных на всех
    контроллерах домена, а также могут
    выполнять вход на контроллеры домена
    и завершать их работу.

    Администраторы
    DNS

    (создается при установке службы DNS)

    Члены группы
    имеют административный доступ к
    серверам DNS.

    Операторы
    сетевой конфигурации

    Члены группы
    могут изменять настройки TCP/IP на
    контроллерах доменов.

    Пользователи
    монитора производительности

    Члены группы
    могут следить за счетчиками
    производительности на контроллерах
    домена.

    Пользователи
    журнала производительности

    Члены группы
    могут управлять журналами
    производительности, счетчиками и
    оповещениями на контроллерах домена.

    Операторы
    печати

    Члены группы
    могут управлять работой принтеров
    домена

    Операторы
    сервера

    Члены группы
    могут выполнять большинство
    административных задач на контроллерах
    домена, за исключением изменения
    параметров безопасности.

    Пользователи

    Члены
    этой группы локально могут входить в
    систему на данном компьютере, работать
    с программами, сохранять документы и
    завершать работу данного компьютера.
    Они не могут устанавливать программы
    или вносить изменения в систему. Группа
    Пользователи
    домена

    является по умолчанию членом данной
    группы.

    Встроенные
    глобальные группы.

    Название группы

    Описание

    Администраторы
    домена

    Эта
    группа автоматически включается в
    локальную в домене группу Администраторы,
    поэтому члены группы Администраторы
    домена

    могут выполнять административные
    задачи на любом компьютере данного
    домена. Учетная запись Администратор
    включается в эту группу по умолчанию.

    Компьютеры
    домена

    Все контроллеры,
    серверы и рабочие станции домена
    являются членами этой группы.

    Контроллеры
    домена

    Все контроллеры
    домена являются членами этой группы.

    Пользователи
    домена

    Все
    глобальные учетные записи домена и
    входят в эту группу. Эта группа
    автоматически включается в локальную
    доменную группу Пользователи.

    Администраторы
    предприятия

    (создается только в корневом домене
    леса)

    Эта
    группа предназначена для пользователей,
    которые должны иметь права администратора
    в масштабах всего леса. Администраторы
    предприятия

    автоматически включается в группу
    Администраторы
    на всех контроллерах домена в данном
    лесу.

    Администраторы
    схемы

    (создается только в корневом домене
    леса)

    Члены этой группы
    могут изменять схему Active Directory.

    Динамические
    группы.

    Название группы

    Описание

    Интерактивные

    В эту группу
    включается учетная запись любого
    пользователя, который локально вошел
    в систему на данном компьютере.

    Прошедшие
    проверку

    Любой пользователь,
    зарегистрировавшийся в данном домене
    или домене, имеющим с данным доменом
    доверительные отношения.

    Все

    Любая учетная
    запись, включая те, которые не прошли
    проверку на контроллерах доменов.

    Управление Организационными подразделениями, делегирование полномочий

    Назначение
    Организационных
    подразделений

    (ОП,
    Organizational Units,
    OU)
    — организация иерархической структуры
    объектов AD внутри домена. Как правило,
    иерархия ОП в домене отражает
    организационную структуру компании.

    На
    практике использование ОП (кроме
    иерархической организации объектов)
    сводится к двум задачам:

    • делегирование
      административных полномочий на
      управление объектами ОП какому-либо
      пользователю или группе пользователей;

    • применение
      групповых политик к объектам, входящим
      в ОП.

    Делегирование
    административных полномочий на управление
    объектами ОП какому-либо пользователю
    или группе позволяет в больших организациях
    распределить нагрузку по администрированию
    учетными записями между различными
    сотрудниками, не увеличивая при этом
    количество пользователей, имеющих
    административные права на уровне всего
    домена.

    Рассмотрим
    на примере процедуру предоставления
    какому-либо пользователю административных
    прав на управление ОП.

    1. Откроем
      консоль «Active
      Directory – пользователи и компьютеры
      «.

    2. Создадим в домене
      подразделение, скажем, с именем OU-1,
      переместим в это ОП несколько имеющихся
      в домене учетных записей (или создадим
      новые).

    3. Щелкнем
      правой кнопкой мыши на подразделении
      OU-1 и выберем пункт меню «Делегирование
      управления…
      «.
      Запустится «Мастер
      делегирования управления
      «

    4. В

      ыберем
      пользователя (или группу), которому
      будем делегировать управление данным
      ОП. Пусть это будет пользователь User1
      (рис.
      6.45
      ).
      Нажмем «Далее«.

    Рис. 6.45

    1. Выберем
      набор административных задач, которые
      делегируются данному пользователю
      (рис.
      6.46
      ):

    Рис. 6.46

    1. По
      завершении мастера — нажмем кнопку
      «Готово«.

    Если
    теперь войти в систему на контроллере
    домена с учетной записью User1 (при условии,
    что у пользователя User1 есть права
    локального входа в систему на контроллере
    домена), запустить консоль «Active
    Directory – пользователи и компьютеры
    «,
    то пользователь User1 сможет выполнять
    любые операции с объектами организационного
    подразделения OU-1.

    Кроме
    удобных консолей с графическим интерфейсом
    система Windows 2003 оснащена мощным набором
    утилит командной строки для управления
    объектами Active Directory:

    • dsadd
      — добавляет объекты в каталог;

    • dsget
      — отображает свойства объектов в
      каталоге;

    • dsmod
      — изменяет указанные атрибуты
      существующего объекта в каталоге;

    • dsquery
      — находит объекты в каталоге,
      удовлетворяющие указанным критериям
      поиска;

    • dsmove
      — перемещает объект из текущего
      местоположения в новое родительское
      место;

    • dsrm
      — удаляет объект или все поддерево
      ниже объекта в каталоге.

    Примеры.

    1. Создание
      подразделения OU-New
      в домене world.ru:

    dsadd
    ou «ou=OU-New,dc=world,dc=ru»

    1. Создание
      пользователя User-New
      в подразделении OU-New
      в домене world.ru:

    dsadd
    user «cn=User-New,ou=OU-New,dc=world,dc=ru»

    1. Модификация
      параметра «Номер
      телефона
      »
      у пользователя User-New:

    dsmod
    user «cn=User-New,ou=OU-New,dc=world,dc=ru» –tel
    123-45-67

    1. Получение
      списка пользователей домена, у которых
      имя начинается с символа «u»:

    dsquery
    user -name u*

    Далее
    рассмотрим применение групповых политик
    (как для отдельных ОП, так и для других
    структур Active Directory).

    Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, оп), применение политик и права доступа, наследование и блокировка применения

    Управление
    рабочими станциями, серверами,
    пользователями в большой организации
    — очень трудоемкая задача. Механизм
    Групповых
    политик
    (Group
    Policy
    ) позволяет
    автоматизировать данный процесс
    управления. С помощью групповых политик
    (ГП)
    можно настраивать различные параметры
    компьютеров и пользовательской рабочей
    среды сразу в масштабах сайта AD, домена,
    организационного подразделения
    (детализацию настроек можно проводить
    вплоть до отдельного компьютера или
    пользователя). Настраивать можно широкий
    набор параметров — сценарии входа в
    систему и завершения сеанса работы в
    системе, параметры Рабочего
    стола
    и Панели
    управления
    ,
    размещения личных папок пользователя,
    настройки безопасности системы (политики
    паролей, управления учетными записями,
    аудита доступа к сетевым ресурсам,
    управления сертификатами и т.д.),
    развертывания приложений и управления
    их жизненным циклом.

    Каждый
    объект групповых
    политик
    (GPO,
    Group Policy Object)
    состоит из двух частей: контейнера
    групповых политик

    (GPC, Group Policy
    Container
    ) хранящегося
    в БД Active Directory, и шаблона
    групповых политик

    (GPT,
    Group Policy Template),
    хранящегося в файловой системе контроллера
    домена, в подпапках папки SYSVOL. Место, в
    котором хранятся шаблоны политик, —
    это папка %systemroot%SYSVOLsysvol<имя
    домена>Policies,
    и имя папки шаблона совпадает с глобальным
    уникальным идентификатором (GUID) объекта
    Групповая политика.

    Каждый
    объект политик содержит два раздела:
    конфигурация компьютера и конфигурация
    пользователя. Параметры этих разделов
    применяются соответственно либо к
    настройкам компьютера, либо к настройкам
    среды пользователя.

    Задание
    параметров групповых политик производится
    Редактором групповых политик, который
    можно открыть в консоли управления
    соответствующим объектом AD.

    Каждый
    объект политик может быть привязан к
    тому или иному объекту AD — сайту, домену
    или организационному подразделению (а
    также к нескольким объектам одновременно).

    Задание
    параметров групповых политик производится
    Редактором групповых политик, который
    можно открыть в консоли управления
    соответствующим объектом AD («Active
    Directory – сайты и службы
    «,
    «Active Directory
    – пользователи и компьютеры
    «,
    локальная политика компьютера
    редактируется консолью gpedit.msc,
    запускаемой из командной строки). На
    рис.
    6.47

    показана закладка «Групповые
    политики
    »
    свойств домена world.ru.
    На данной закладке можно выполнить
    следующие действия:

    • кнопка
      «Создать»
      — создать новый объект ГП;

    • кнопка
      «Добавить»
      — привязать к данному объекту AD
      существующий объект ГП;

    • кнопка
      «Изменить»
      — открыть редактор групповых политик
      для выбранного объекта ГП;

    • кнопка
      «Параметры»
      — запретить перекрывание (поле «Не
      перекрывать
      «)
      параметров данной объекта ГП другими
      политиками или блокировку на более
      низком уровне иерархии AD или отключить
      (поле «Отключить«)
      данный объект ГП;

    • кнопка
      «Удалить»
      — удалить совсем выбранный объект ГП
      или удалить привязку объекта ГП к
      данному уровню AD;

    • кнопка
      «Свойства»
      — отключить компьютерный или
      пользовательский разделы политики или
      настроить разрешения на использование
      данного объекта ГП;

    • поле
      «Блокировать
      наследование политики
      »
      — запретить применение политик,
      привязанных к более высоким уровням
      иерархии AD;

    • к

      нопки
      «Вверх»
      и «Вниз»
      — управление порядком применения
      политик на данном уровне AD (политики,
      расположенные в списке выше, имеют
      более высокий приоритет).

    Рис. 6.47

    При
    загрузке компьютера и аутентификации
    в домене к нему применяются компьютерные
    разделы всех привязанных политик. При
    входе пользователя в систему к пользователю
    применяется пользовательский раздел
    всех групповых политик. Политики,
    привязанные к некоторому уровню иерархии
    объектов AD (сайта, домена, подразделения)
    наследуются всеми объектами AD, находящимися
    на более низких уровнях. Порядок
    применения политик:

    • локальная политика;

    • политики сайта
      Active Directory;

    • политики домена;

    • политики
      организационных подразделений.

    Если
    в процессе применения политик какие-либо
    параметры определяются в различных
    политиках, то действующими значениями
    параметров будут значения, определенные
    позднее.

    Имеются
    следующие методы управления применением
    групповых политик (см. рис.
    6.47
    ):

    • блокировка
      наследования политик на каком либо
      уровне иерархии AD;

    • запрет блокировки
      конкретного объекта групповых политик;

    • управление
      приоритетом применения политик на
      конкретном уровне AD (кнопками «Вверх»
      и «Вниз«);

    • разрешение
      на применение политик (чтобы политики
      какого-либо объекта ГП применялись к
      пользователю или компьютеру, данный
      пользователь или компьютер должен
      иметь разрешения на этот объект ГП
      «Чтение»
      и «Применение
      групповой политики
      «).

    Кроме
    применения политик в момент загрузки
    компьютера или входа пользователя в
    систему, каждый компьютер постоянно
    запрашивает обновленные политики на
    контроллерах домена, загружает их и
    применяет обновленные параметры (и к
    пользователю, и к компьютеру). Рабочие
    станции домена и простые серверы
    запрашивают обновления каждые 90 ± 30
    минут, контроллеры домена обновляют
    свои политики каждые 5 минут. Обновить
    набор политик на компьютере можно
    принудительно из командной строки
    командой gpupdate
    (на компьютерах с системами Windows XP/2003)
    или командами «secedit
    /refreshpolicy machine_policy»
    и «secedit
    /refreshpolicy user_policy»
    (на компьютерах с системой Windows 2000).

    Н

    а
    практических занятиях необходимо
    изучить работу редактора групповых
    политик, ознакомиться с набором параметров
    стандартных политик домена и выполнить
    задания по настройке рабочей среды
    пользователей с помощью групповых
    политик.

    Управление приложениями

    Рассмотрим
    немного подробнее использование
    групповых политик для развертывания
    приложений в сетях под управлением
    Active Directory.

    Групповые
    политики могут использоваться для
    установки прикладных программ в масштабах
    всего домена или отдельного организационного
    подразделения.

    Используются
    следующие способы управления установкой
    приложений:

    • назначение
      приложений компьютерам

      (при данном способе приложение,
      назначенное компьютеру, автоматически
      устанавливается при загрузке компьютера);

    • назначение
      приложений пользователям

      (приложение устанавливается при первом
      вызове данного приложения — при открытия
      ярлычка приложения или файла,
      соответствующего данному приложению);

    • публикация
      приложений пользователям

      (название приложения добавляется к
      списку доступных для установки программ
      в окне «Установка
      и удаление программ
      »
      в Панели
      управления
      ).

    С
    помощью политик можно управлять
    установкой приложений, которые
    устанавливаются с помощью компоненты
    Windows Installer,
    т.е. для них установочный пакет должен
    быть создан в формате файла с расширением
    «.msi».
    Если приложение можно установить только
    с помощью установочной программы типа
    setup.exe
    или install.exe,
    то такие приложения могут
    быть опубликованы

    (но не назначены) после создания файла
    типа «.zap»,
    в котором заданны соответствующие
    параметры, необходимые для публикации
    средствами ГП.

    Рассмотрим
    на примерах процессы назначения и
    публикации приложений.

    Пример
    1. Назначение пакета Group
    Policy Management Console

    Консоль
    управления групповыми политиками
    «)
    всем компьютерам домена world.ru.

    1. О

      ткроем
      закладку «Групповые
      политики
      »
      свойств домена. Создадим новый объект
      ГП с именем «GPMC»
      (рис.
      6.48
      ).

    Рис. 6.48

    1. О

      ткроем
      редактор политик для политики GPMC,
      откроем «Конфигурация
      компьютера
      «,
      «Конфигурация
      программ
      «,
      на параметре «Установка
      программ
      »
      щелкнем правой кнопкой мыши и выберем
      «Создать
      — Пакет
      »
      (рис.
      6.49
      ):

    Рис. 6.49

    1. Укажем
      сетевой путь к пакету «\DC1SoftGPMCgpmc.msi».
      Выберем метод развертывания «Назначенный«,
      нажмем «ОК«.
      В окне редактора политик появится
      значение параметра (рис.
      6.50
      ):

    Рис. 6.50

    1. П

      ри
      загрузке компьютера в домене в процессе
      применения политик будет установлен
      данный программный пакет (рис.
      6.51
      ):

    Рис. 6.51

    Пример
    2. Публикация пакета Microsoft
    Office 2003
    всем
    пользователям домена world.ru.

    1. Откроем
      закладку «Групповые
      политики
      »
      свойств домена. Создадим новый объект
      ГП с именем «MS
      Office 2003
      «.

    2. Откроем
      редактор политик для политики MS
      Office 2003
      ,
      откроем «Конфигурация
      пользователя
      «,
      «Конфигурация
      программ
      «,
      на параметре «Установка
      программ
      »
      щелкнем правой кнопкой мыши и выберем
      «Создать
      — Пакет
      «.

    3. Укажем
      сетевой путь к пакету «\DC1SoftOffice
      2003PRO11.msi».
      Выберем метод развертывания «Публичный«,
      нажмем «ОК«.

    4. П

      осле
      применения политик откроем Панель
      управления
      ,
      выберем «Установка
      и удаление программ
      «,
      нажмем кнопку «Установка
      программ
      «,
      в окне доступных для установки программ
      появится название пакета «Microsoft
      Office 2003
      »
      (рис.
      6.52
      ).

    Рис. 6.52

    Group Policy Management
    Console

    В
    качестве примера установки пакета с
    помощью назначения мы выбрали пакет MS
    Group Policy Management Console

    (Консоль
    управления групповыми политиками
    ).
    Установочный комплект можно найти в
    Центре загрузка сайта корпорации
    Microsoft (пакет распространяется бесплатно).

    Рассмотрим
    теперь подробнее, как работает этот
    пакет.

    Во-первых,
    установить его можно на компьютер с
    системам Windows XP/2003. При этом управлять
    политиками пакет может и в доменах под
    управлением Windows 2000.

    В

    о-вторых,
    при просмотре свойств какого либо домена
    или ОП закладка «Групповые политики»
    после установки GPMC выглядит по-другому
    (рис.
    6.53
    ):

    Рис. 6.53

    На
    этой закладке вместо списка политик и
    множества кнопок теперь всего одна
    кнопка «Open»
    Открыть«).

    Отметим
    основные преимущества этой консоли по
    сравнению с базовыми возможностями
    системы.

    1. Наглядное
      отображение иерархии внутри домена со
      всеми объектами ГП, привязанными к
      разным уровням иерархии ОП (рис.
      6.54
      ):

    Р

    ис.
    6.54

    На
    рисунке хорошо видна вся иерархия
    подразделений внутри домена world.ru.
    Причем на каждом уровне отображается
    список политик, привязанных к данному
    уровню. Например, на уровне домена
    привязаны политики: стандартная политика
    домена, политика GPMC
    (назначение пакета GPMC) и политика MS
    Office 2003

    (публикация пакета MS Office). На уровне
    подразделения OU-1 включено блокирование
    наследования

    политик (синий значок с восклицательным
    знаком). Стандартная политика домена
    Default Domain Policy имеет свойство «Не
    перекрывать
    »
    (небольшой значок справа от стрелки на
    пиктограмме объекта ГП). Включение
    параметра «Не
    перекрывать
    »
    в этой консоли делается так: щелкнуть
    правой кнопкой мыши на объекте ГП и в
    контекстном меню выбрать пункт «Enforce«.

    В
    контейнере «Group
    Policy Objects
    »
    приведен полный список всех объектов
    ГП.

    Для
    вызова редактора политик нужно щелкнуть
    правой кнопкой мыши на объекте ГП и в
    контекстном меню выбрать пункт «Edit«.

    В

    разделе «Group
    Policy Modeling
    »
    можно определить, какой набор политики
    будет применяться на том или ином уровне
    иерархии AD (на рис.
    6.55

    выведен список политик, примененных к
    подразделению OU-1):

    Рис. 6.55

    В

    разделе «Group
    Policy Results
    »
    можно определить набор параметров,
    примененных к определенному пользователю
    или компьютеру в результате наложения
    всех политик (рис.
    6.56
    ,
    список политик для пользователя
    Администратор):

    Рис. 6.56

    6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos

    Протокол
    Kerberos
    был создан более десяти лет назад в
    Массачусетском технологическом институте
    в рамках проекта Athena.
    Однако общедоступным этот протокол
    стал, начиная с версии 4. После того, как
    специалисты изучили новый протокол,
    авторы разработали и предложили очередную
    версию — Kerberos 5, которая была принята в
    качестве стандарта IETF. Требования
    реализации протокола изложены в документе
    RFC 1510, кроме того, в спецификации RFC 1964
    описывается механизм и формат передачи
    жетонов безопасности в сообщениях
    Kerberos.

    Протокол
    Kerberos предлагает механизм взаимной
    аутентификации клиента и сервера перед
    установлением связи между ними, причём
    в протоколе учтён тот факт, что начальный
    обмен информацией между клиентом и
    сервером происходит в незащищённой
    среде, а передаваемые пакеты могут быть
    перехвачены и модифицированы. Другими
    словами, протокол идеально подходит
    для применения в Интернет и аналогичных
    сетях.

    Основная
    концепция протокола Kerberos очень проста
    — если есть секрет, известный только
    двоим, то любой из его хранителей может
    с лёгкостью удостовериться, что имеет
    дело со своим напарником. Для этого ему
    достаточно проверить, знает ли его
    собеседник общий секрет.

    Протокол
    Kerberos решает эту проблему средствами
    криптографии с секретным ключом. Вместо
    того, чтобы сообщать друг другу пароль,
    участники сеанса связи обмениваются
    криптографическим ключом, знание
    которого подтверждает личность
    собеседника. Но чтобы такая технология
    оказалась работоспособной, необходимо,
    чтобы общий ключ был симметричным, т.е.,
    он должен обеспечивать как шифрование,
    так и дешифрование информации. Тогда
    один из участников использует его для
    шифрования данных, а другой с помощью
    этого ключа извлекает их.

    Простой
    протокол аутентификации с секретным
    ключом вступает в действие, когда кто-то
    стучится в сетевую дверь и просит
    впустить его. Чтобы доказать своё право
    на вход, пользователь предъявляет
    аутентификатор
    (authenticator)
    в виде набора данных, зашифрованного
    секретным ключом. Получив аутенитификатор,
    «привратник» расшифровывает его
    и проверяет полученную информацию,
    чтобы убедиться в успешности дешифрования.
    Разумеется, содержание набора данных
    должно постоянно меняться, иначе
    злоумышленник может просто перехватить
    пакет и воспользоваться его содержимым
    для входа в систему. Если проверка прошла
    успешно, то это значит, что посетителю
    известен секретный код, а так как этот
    код знает только он и привратник,
    следовательно, пришелец на самом деле
    тот, за кого себя выдаёт.

    При
    использовании простых протоколов, типа
    описанного выше, возникает одна важная
    проблема. Если каждому клиенту для
    поддержания связи с каждой службой
    требуется индивидуальный ключ, и такой
    же ключ нужен каждой службе для каждого
    клиента, то проблема обмена ключами
    быстро приобретает предельную остроту.
    Необходимость хранения и защиты такого
    множества ключей на огромном количестве
    компьютеров создаёт невероятный риск
    для всей системы безопасности.

    Само
    название протокола Kerberos говорит о том,
    как здесь решена проблема управления
    ключами. Цербер
    (или Кербер)
    — персонаж греческой мифологии. Этот
    свирепый пёс о трёх головах, по поверьям
    греков, охраняет врата подземного
    царства мёртвых. Трём головам Цербера
    в протоколе Kerberos соответствуют три
    участника безопасной связи:

    • Клиент
      — система (пользователь), делающий
      запрос;

    • Сервер
      — система, которая обеспечивает сервис
      для систем, чью подлинность нужно
      подтвердить.

    • Центр
      распределения ключей

      (Key
      Distribution Center
      ,
      KDC)
      — сторонний посредник между клиентом
      и сервером, который ручается за
      подлинность клиента. В среде Windows ,
      начиная с Windows 2000, в роли KDC выступает
      контроллер домена со службой каталогов
      Active Directory.

    В
    среде Kerberos для входа в систему пользователь
    должен предоставить свое имя пользователя,
    пароль и имя домена (часто упоминаемое
    как Realm,
    или «Сфера«,
    в словаре Kerberos), в который он хочет войти.
    Эта информация посылается KDC, который
    устанавливает подлинность пользователя.
    Если пользователь подлинный, ему
    предоставляется нечто, называемое
    «билет на
    получение билета
    »
    (ticket-granting
    ticket
    , TGT).

    Однако,
    если вам необходим доступ к конкретному
    серверу, вам также необходим билет для
    этого сервера или вы не сможете создать
    сеанс связи с ним.

    Когда
    вы хотите получить доступ к серверу, вы
    сначала должны обратиться к KDC, предъявить
    свой билет TGT, как подтверждение своей
    подлинности, а затем уже запросить
    «билет
    сеанса
    » для
    сервера, с которым вам необходим контакт.
    Если вы аутентифицированы, вы сможете
    получить доступ к серверу в соответствии
    с правами, которыми обладаете. Билет
    сеанса и TGT, которые вы получаете, имеют
    ограниченное время действия, которое
    может настраиваться в групповой политике.
    Значения по умолчанию составляют для
    TGT (также упоминаемого как билет
    пользователя) — 7 дней, а для билета
    сеанса (также упоминаемого как билет
    службы) — 10 часов.

    В
    среде с одним доменом аутентификация
    Kerberos осуществляется очень просто. Однако
    в среде со многими доменами, этот процесс
    происходит в несколько этапов. Причина
    в том, что когда вы пытаетесь получить
    билет сессии для сервера, он должен быть
    получен от KDC того домена, в котором
    расположен сервер. Поэтому вы должны
    будете получить несколько билетов
    сессии, для прохождения цепочки
    доверительных отношений по пути к KDC, к
    которому вам нужно получить доступ.

    Пример,
    приведенный ниже, демонстрирует шаги,
    необходимые для того, чтобы клиент,
    расположенный в домене it.company.ru,
    получил доступ к серверу в домене
    sales.company.ru:

    • клиент
      входит в систему как пользователь в
      домене it.company.ru
      и получает соответствующий TGT;

    • клиент
      хочет взаимодействовать с сервером в
      домене sales.company.ru,
      он контактирует с KDC в домене it.company.ru
      и запрашивает билет сеанса для KDC в
      домене company.ru;

    • после
      получения этого билета он контактирует
      с KDC в домене company.ru
      и запрашивает билет сеанса для KDC в
      домене sales.company.ru;

    • после
      получения этого билета он контактирует
      с KDC в домене sales.company.ru
      и запрашивает билет для сервера, к
      которому ему необходим доступ;

    • получив билет
      сессии для доступа к серверу, клиент
      имеет доступ к нему в соответствии с
      имеющимися у него разрешениями.

    Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

    Управлению
    безопасностью в сетях Microsoft Windows посвящено
    немало учебных курсов и хороших книг.
    В предыдущих разделах мы уже касались
    политик безопасности, относящихся к
    учетным записям пользователей (параметры
    длины и сложности пароля, параметры
    блокировки учетных записей) и параметрам
    прав пользователей (в частности, локальный
    вход в систему на сервере для выполнения
    лабораторных работ в компьютерном
    классе).

    Оставим
    подробное изучение безопасности сетей
    Microsoft за рамками данного курса, но при
    этом рассмотрим работу с очень полезными
    оснастками, которые могут помочь
    начинающему сетевому администратору
    ознакомиться с некоторыми стандартными
    шаблонами политик безопасности, которые
    имеются в самой системе Windows Server, и
    проводить анализ и текущих настроек
    сервера в сравнении со этими стандартными
    шаблонами.

    1. Сначала
      откроем чистую консоль mmc.

    Кнопка
    «Пуск»
    — «Выполнить»
    — mmc
    — кнопка «ОК«.

    1. Добавим
      в новую консоль оснастки «Шаблоны
      безопасности
      »
      и «Анализ
      и настройка безопасности
      «.

    М

    еню
    «Консоль»
    — «Добавить
    или удалить оснастку
    »
    — кнопка «Добавить»
    — выбрать оснастку «Анализ
    и настройка безопасности
    »
    — кнопка «Добавить»
    — выбрать оснастку «Шаблоны
    безопасности
    »
    — кнопка «Добавить»
    — кнопка «Закрыть»
    — кнопка «ОК»
    (рис.
    6.57
    ).

    Рис. 6.57

    В
    полученной консоли (ее можно будет
    сохранить и использовать в дальнейшем
    неоднократно) можно делать следующее:

    • изучить параметры
      стандартных шаблонов безопасности
      (оснастка «Шаблоны безопасности»)
      и даже попробовать сконструировать
      собственные шаблоны на основе стандартных
      (можно сохранить какой-либо шаблон с
      другим именем и изменить какие-либо
      параметры шаблона);

    • провести
      анализ (сравнение) текущих параметров
      безопасности сервера (оснастка «Анализ
      и настройка безопасности
      «).

    Приведем
    краткие характеристики стандартных
    шаблонов безопасности:

    • DC
      security

      — используемые по умолчанию параметры
      безопасности контроллера домена;

    • securedc
      — защищенный контроллер домена (более
      высокие требования к безопасности по
      сравнению с шаблоном DC
      security
      ,
      отключается использование метода
      аутентификации LanManager);

    • hisecdc
      — контроллер домена с высоким уровнем
      защиты (более высокие требования к
      безопасности по сравнению с шаблоном
      securedc,
      отключается метод аутентификации NTLM,
      включается требование цифровой подписи
      пакетов SMB);

    • compatws
      — совместимая рабочая станция или
      совместимый сервер (ослабляет используемые
      по умолчанию разрешения доступ группы
      «Пользователи» к реестру и к
      системным файлам для того, чтобы
      приложения, не сертифицированные для
      использования в данной системе, могли
      работать в ней);

    • securews
      — защищенная рабочая станция или
      защищенный сервер (аналогичен шаблону
      securedc,
      но предназначен для применения к рабочим
      станциям и простым серверам);

    • hisecws
      — рабочая станция или защищенный сервер
      с высоким уровнем защиты (аналогичен
      шаблону hisecdc,
      но предназначен для применения к рабочим
      станциям и простым серверам);

    • setup
      security

      — первоначальные настройки по умолчанию
      (параметры, устанавливаемые во время
      инсталляции системы);

    • rootsec
      — установка стандартных (назначаемых
      во время инсталляции системы)
      NTFS-разрешений для папки, в которую
      установлена операционная система;

    Теперь
    на примере рассмотрим, как проводить
    анализ настроек безопасности.

    1. Откроем базу
      данных, в которой будут сохраняться
      настройки проводимого нами анализа.

    Щ

    елкнем
    правой кнопкой мыши на значке оснастки
    «Анализ и
    настройка безопасности
    «,
    выберем «Открыть
    базу данных
    «,
    укажем путь и название БД (по умолчанию
    БД создается в папках профиля того
    администратора, который проводит
    анализ), нажмем кнопку «Открыть«,
    выберем нужный нам шаблон (например,
    hisecdc)
    и нажмем «ОК»
    (рис.
    6.58
    ):

    Рис. 6.58

    1. Выполним анализ
      настроек безопасности.

    Щ

    елкнем
    правой кнопкой мыши на значке оснастки
    «Анализ и
    настройка безопасности
    «,
    выберем «Анализ
    компьютера
    «,
    укажем путь и название файла с журналом
    ошибок (т.е. протоколом проведения
    анализа), нажмем «ОК», будет выполнено
    сравнение текущих настроек с параметрами
    шаблона (рис.
    6.59
    ):

    Рис. 6.59

    1. Теперь можно
      провести уже настоящий анализ настроек
      безопасности.

    Откроем
    любой раздел оснастки (например, «Политики
    паролей
    «,
    рис.
    6.60
    ):

    На
    рисунке сразу видны расхождения между
    настройками нашего сервера (столбец
    «Параметр
    компьютера
    «)
    и настройками шаблона (столбец «Параметр
    базы данных
    «)
    — видно, как мы понизили настройке
    безопасности для проведения практических
    занятий.

    Аналогично
    проводится анализ всех остальных
    разделов политик безопасности.

    Этой
    же оснасткой можно одним действием
    привести настройки нашего компьютера
    в соответствии с параметрами шаблона
    (щелкнуть правой кнопкой мыши на значке
    оснастки «Анализ
    и настройка безопасности
    «,
    выбрать «Настроить
    компьютер
    «).
    Не рекомендуем это делать, не изучив в
    деталях, какие последствия это может
    повлечь для всей сети. Высокие требования
    к параметрам безопасности препятствуют
    работе в домене Active Directory компьютеров
    с системами Windows 95/98/ME/NT. Например, данные
    системы поддерживают уровень аутентификации
    NTLM версии 2 (который назначается шаблонами
    hisecdc
    и hisecws)
    только при проведении определенных
    настроек на компьютерах со старыми
    системами. Поэтому, прежде чем принимать
    решение об установке более высоких
    параметров безопасности в сети, необходимо
    тщательно изучить состав сети, какие
    требования к серверам и рабочим станциям
    предъявляют те или иные шаблоны
    безопасности, предварительно установить
    нужные обновления и настроить нужные
    параметры на «старых» системах и
    только после этого применять к серверам
    и рабочим станциям Windows 2000/XP/2003 шаблоны
    с высокими уровнями сетевой безопасности.

    З

    аметим
    дополнительно, что данные оснастки
    имеются не только на серверах, но и на
    рабочих станциях под управлением Windows
    2000/XP Professional, и они позволяют производить
    аналогичный анализ и настройки на
    рабочих местах пользователей.

    Рис. 6.60

    7. Лабораторная работа: Служба каталогов Active Directory

    Достаточно
    подробно раскрыт процесс установки
    контроллера домена. Представлены приемы
    управления пользователями и группами
    в домене. В лабораторной работе
    рассматриваются способы управления
    групповыми политиками. Рассматриваются
    приемы управления приложениями с помощью
    групповых политик

    Упражнение 1. Установка первого контроллера в домене (лесе).

    Цель упражнения

    Получить
    практический навык установки первого
    контроллера в домене (лесе)

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server.
    Обязательно должны быть выполнены
    завершающие действия после изучения
    Темы 3. Данное упражнение полностью
    выполняется
    на первом
    компьютере
    каждой
    пары

    Результат

    Созданный
    домен с установленным контроллером
    домена

    Предварительные
    навыки

    Знание
    основных понятий функционирования
    протокола TCP/IP и службы DNS

    Задания

    1

    Проверка
    настройки параметров протокола TCP/IP

    У
    первого компьютера в каждой паре
    должны быть такие настройки параметров
    TCP/IP:

    1. IP-адрес
      и маска подсети — из таблицы распределения
      адресов и имен компьютеров

    2. Предпочитаемый
      сервер DNS — ссылка на самого себя

    3. Альтернативный
      сервер DNS — ссылка на второй компьютер
      в паре и компьютер преподавателя
      (если вы занимаетесь в компьютерном
      классе)

    2

    Проверка
    настройки службы DNS

    У
    первого компьютера в каждой паре
    должны быть такие настройки службы
    DNS

    1. Зоны прямого
      просмотра — отсутствуют

    2. Зоны обратного
      просмотра — зона для IP-сети компьютерного
      класса (стандартная основная,
      динамические обновления разрешены)

    3. Сервер-пересыльщик
      (если вы занимаетесь в компьютерном
      классе) — компьютер преподавателя

    3

    Запуск мастера
    создания контроллера домена

    1. Запустите мастер
      создания контроллера домена:

    Кнопка
    «Пуск»
    «Выполнить»
    — ввести команду dcpromo

    1. Нажмите
      «Далее»

    2. Появится
      предупреждение, что некоторые
      операционные системы не удовлетворяют
      требованиям безопасности, установленным
      в Windows 2003. Нажмите «Далее»

    3. Выбор типа
      контроллера домена:

      • Контроллер
        домена в новом домене

      • Добавочный
        контроллер в существующем домене

    Выберите
    первый вариант: «Контроллер
    домена в новом домене»

    1. Варианты создания
      нового домена:

      • Новый домен в
        новом лесу

      • Новый дочерний
        домен в существующем доменном дереве

      • Новое доменное
        дерево в существующем лесу

    Если
    вы работаете в классе с единым деревом
    доменов, то выберите второй вариант:
    «Новый
    дочерний домен в существующем доменном
    дереве»

    Если
    вы работаете в классе с изолированными
    лесами или изучаете курс самостоятельно,
    то выберите первый вариант: «Новый
    домен в новом лесу»

    1. Новое имя домена

    Введите
    полное имя вашего домена (из таблицы
    распределения адресов и имен компьютеров)

    Пример:
    world.ru

    1. NetBIOS-имя домена

    Введите
    NetBIOS-имя вашего домена

    Пример:
    WORLD

    1. Размещение базы
      данных Active Directory

    Укажите
    папки для размещения файлов БД и
    журналов транзакций AD

    1. Размещение
      системного тома

    Укажите
    папку для размещения системного тома
    (обязательно раздел с файловой системой
    NTFS)

    1. Тестирование
      службы DNS

    Мастер
    установки DNS не обнаружил сервера DNS,
    отвечающего необходимым требованиям
    и предлагает три варианты решения
    проблемы.

    Выберите
    второй вариант:

    «Установить
    и настроить DNS-сервер на этом компьютере
    и выбрать этот DNS-сервер в качестве
    предпочитаемого DNS-сервера»

    1. Уровень разрешений
      на доступ к контроллеру домена

    Выберите
    первый вариант: «Разрешения,
    совместимые с серверами предWindows 2000»

    1. Пароль
      администратора для режима восстановления

    Введите
    пароль администратора для входа в
    систему при работе в режиме восстановления
    служб каталогов

    1. Итоговая сводка

    Изучите
    сводку выбранных вами параметров
    установки контроллера домена.

    Если
    что-то задано неверно, то можно вернуться
    к соответствующему шагу и сделать
    нужные исправления.

    Если
    все верно, нажмите кнопку «Далее»

    Мастер
    начнет создавать на компьютере
    контроллер домена.

    1. Завершение
      работы мастера

    Перезагрузите
    компьютер по окончании работы мастера

    4

    Преобразование
    DNS-зон, созданных первым контроллером
    домена

    Преобразуйте
    DNS-зону, соответствующую вашему домену
    AD, из AD интегрированной в стандартную
    основную

    1. Откройте
      консоль DNS.

    2. Откройте
      Свойства
      созданных
      на вашем DNS-сервере зон (зоны вида
      world.ru
      и _msdcs.world.ru).

    3. На
      странице Свойств
      для
      каждой зоны нажмите кнопку «Изменить»
      для параметра «Тип»,
      убрать галочку в поле «Хранить
      зону в Active Directory»
      ,
      нажать «ОК»
      два раза.

    4. Снова
      откройте Свойства
      зон,
      для параметра «Динамические
      обновления»

      задайте значение «Небезопасные
      и безопасные»
      ,
      нажмите «ОК»,
      закройте консоль DNS.

    5

    Отключение
    строгих политик учетных записей
    (выполняется на первом созданном
    контроллере домена)

    Внимание!
    В реальной рабочей системе ни в коем
    случае не отключайте строгие политики
    доступа. В упражнении это делается
    только для изучения соответствующего
    материала.

    Отключите
    строгие политики учетных записей

    1. Запустите
      консоль «Политика
      безопасности домена»

    2. Раскрыть
      «Параметры
      безопасности
      »
      — «Политики
      учетных записей
      »
      — «Политика
      паролей
      »

    3. Установить
      значения параметров:

      • «Мин.
        длина пароля»

        — 0 символов

      • «Мин.
        срок действия пароля»

        — 0 дней

      • «Пароли
        должны отвечать требованиям сложности»

        — Отключен

      • «Требовать
        неповторяемости паролей»

        — 0 хранимых паролей

    4. Примените
      политики безопасности: в командной
      строке ввести команду gpupdate

    6

    Разрешение
    локального входа в систему простым
    пользователям домена

    Внимание!
    В реальной рабочей системе ни в коем
    случае не отключайте строгие политики
    доступа. В упражнении это делается
    только для изучения соответствующего
    материала.

    Разрешите
    локальный вход в систему группе
    «Пользователи
    домена
    «

    1. Запустите
      консоль «Политика
      безопасности контроллеров домена»

    2. Далее:

    «Параметры
    безопасности»

    «Локальные
    политики»

    «Настройка
    прав пользователей»

    «Локальный
    вход в систему»

    1. Добавьте
      группу «Пользователи
      домена
      «

    2. Закройте все
      окна

    3. Примените
      политики безопасности

    Упражнение 2. Установка второго контроллера домена с помощью репликации бд Active Directory с первого контроллера домена.

    Цель упражнения

    Получить
    практический навык установки добавочного
    контроллера домена

    Исходная
    конфигурация компьютера

    Компьютер
    с операционной системой Windows 2003 Server.
    Обязательно должны быть выполнены
    завершающие действия после изучения
    Темы 3. Данное упражнение полностью
    выполняется
    на втором
    компьютере
    каждой
    пары

    Результат

    Установленный
    второй контроллер домена

    Предварительные
    навыки

    Знание
    основных понятий функционирования
    протокола TCP/IP и службы DNS

    Задания

    1

    Проверка
    настройки параметров протокола TCP/IP

    У
    второго компьютера в каждой паре
    должны быть такие настройки параметров
    TCP/IP:

    1. IP-адрес и маска
      подсети — из таблицы распределения
      адресов и имен компьютеров

    2. Предпочитаемый
      сервер DNS — ссылка на первый компьютер
      в паре

    3. Альтернативный
      сервер DNS — ссылка на самого себя и
      компьютер преподавателя (если вы
      занимаетесь в компьютерном классе)

    2

    Проверка
    настройки службы DNS

    У
    второго компьютера в каждой паре
    должны быть такие настройки службы
    DNS

    1. Зоны прямого
      просмотра — отсутствуют

    2. Зоны обратного
      просмотра — зона для IP-сети компьютерного
      класса (стандартная дополнительная,
      мастер-первый компьютер в паре)

    3. Сервер-пересыльщик
      (если вы занимаетесь в компьютерном
      классе) — компьютер преподавателя

    3

    Включение
    второго сервера в домен

    Включите
    компьютер в домен, созданный на первом
    компьютере вашей пары

    1. «Мой
      компьютер»

      «Свойства»
      «Имя
      компьютера»

      — Кнопка «Изменить»
      — Выбрать вариант «Является
      членом домена»

      — Ввести имя домена — «ОК»

    2. Система
      спросит имя и пароль учетной записи,
      имеющей права на добавление компьютеров
      в домен — Введите имя и пароль
      администратора созданного домена —
      «ОК»

    3. Система
      выдаст приглашение «Добро
      пожаловать в домен <Имя вашего
      домена>»

      «ОК»

    4. Перезагрузите
      компьютер

    4

    Запуск мастера
    создания контроллера домена

    1. После перезагрузки
      компьютера обязательно зарегистрируйтесь
      в системе с учетной записью администратора
      домена.

    2. Запустите мастер
      создания контроллера домена:

    Кнопка
    «Пуск»
    «Выполнить»
    — ввести команду

    dcpromo

    Нажмите
    «Далее»

    1. Появится
      предупреждение, что некоторые
      операционные системы не удовлетворяют
      требованиям безопасности, установленным
      в Windows 2003. Нажмите «Далее»

    2. Выбор типа
      контроллера домена:

      • Контроллер
        домена в новом домене

      • Добавочный
        контроллер в существующем домене

      • Выберите
        второй вариант: «Добавочный
        контроллер в существующем домене»

    3. Ввод имени
      пользователя, обладающего правами
      установки Active Directory

    Введите:

    • Пользователь
      — имя администратора вашего домена

    • Пароль —
      соответствующий пароль

    • Домен — название
      вашего домена

    Нажмите
    «Далее»

    1. Выбор домена,
      для которого устанавливается контроллер

    Оставьте
    предлагаемую информацию без изменений

    Нажмите
    «Далее»

    1. Размещение базы
      данных Active Directory

    Укажите
    папки для размещения файлов БД и
    журналов транзакций AD

    1. Размещение
      системного тома

    Укажите
    папку для размещения системного тома
    (обязательно раздел с файловой системой
    NTFS)

    1. Пароль
      администратора для режима восстановления

    Введите
    пароль администратора для входа в
    систему при работе в режиме восстановления
    служб каталогов

    1. Итоговая сводка

    Изучите
    сводку выбранных вами параметров
    установки контроллера домена. Если
    что-то задано неверно, то можно вернуться
    к соответствующему шагу и сделать
    нужные исправления. Если все верно,
    нажмите кнопку «Далее»
    Мастер начнет
    создавать на компьютере контроллер
    домена.

    1. Завершение
      работы мастера

    Перезагрузите
    компьютер по окончании работы мастера

    Упражнение 3. Установка второго контроллера домена из резервной копии бд Active Directory первого контроллера домена.

    Цель упражнения

    Получить
    практический навык установки добавочного
    контроллера домена из резервной копии
    БД Active Directory

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Часть
    заданий данного упражнения выполняются
    на первом
    компьютере,
    часть
    заданий — на втором
    компьютере
    каждой
    пары

    Результат

    Второй
    контроллер домена, установленный из
    резервной копии AD с первого контроллера

    Предварительные
    навыки

    Знание
    основных понятий функционирования
    протокола TCP/IP и службы DNS

    Задания

    1

    Понижение роли
    второго контроллера домена до уровня
    простого сервера (выполняется на
    втором компьютере)

    Выполните
    понижение роли контроллера домена на
    втором компьютере до уровня простого
    сервера

    1. Запустите мастер
      создания контроллера домена:

    Кнопка
    «Пуск»
    «Выполнить»
    — ввести команду

    dcpromo

    Нажмите
    «Далее»

    Снова
    «Далее»

    1. Укажите пароль
      для вновь создаваемой учетной записи
      локального администратора данного
      сервера

    Нажмите
    «Далее»

    1. Просмотр итоговой
      сводки, говорящей, что сервер станет
      простым сервером в том же домене

    Нажмите
    «Далее»

    1. Запускается
      процесс понижения роли сервера

    2. По
      окончании работы мастера нажмите
      «Готово»
      и перезагрузите сервер

    2

    Создание
    резервной копии БД Active Directory на первом
    контроллере (выполняется параллельно
    на первом компьютере)

    1. Запустите
      программу архивации

    «Пуск»
    «Все
    программы»

    «Стандартные»
    «Служебные»
    «Архивация
    данных»

    или

    «Пуск»
    «Выполнить»
    — ntbackup

    Кнопка
    «ОК»

    На
    открывшейся панели убрать галочку у
    поля «Всегда
    запускать в режиме мастера»

    — Кнопка «Отмена»

    1. Снова запустите
      программу архивации

    «Пуск»
    «Все
    программы»

    «Стандартные»
    «Служебные»
    «Архивация
    данных»

    или

    «Пуск»
    «Выполнить»
    — ntbackup

    Кнопка
    «ОК»

    1. В
      окне программы архивации перейти на
      закладку «Архивация»

    2. Выбрать
      архивацию состояния системы «System
      State»

      и указать путь для сохранения файла
      резервной копии

    Укажите
    путь к папке, которая открыта для
    совместного использования в сети,
    чтобы можно было впоследствии загрузить
    резервную копии AD на второй компьютер

    1. Нажать
      кнопку «Архивировать»

    2. В
      появившейся диалоговой панели нажать
      кнопку «Дополнительно»

    3. Убрать
      галочку у пункта «Автоматически
      архивировать защищенные системные
      файлы вместе с состоянием системы«
      «ОК»

    4. Нажать
      кнопку «Архивировать»

    5. Запускается
      процесс архивации

    6. По
      окончании работы закройте программу

    3

    Запуск мастера
    создания контроллера домена из
    резервной копии AD (выполняется на
    втором компьютере)

    1. После перезагрузки
      компьютера обязательно зарегистрируйтесь
      в системе с учетной записью администратора
      домена. Перед запуском мастера создания
      контроллера домена скопируйте с
      первого компьютера из сетевой папки
      файл с резервной копией состояния
      системы

    2. Запустите
      программу архивации

    «Пуск»
    «Все
    программы»

    «Стандартные»
    «Служебные»
    «Архивация
    данных»

    или

    «Пуск»
    «Выполнить»
    — ntbackup
    — Кнопка «ОК»
    — На открывшейся панели убрать галочку
    у поля «Всегда
    запускать в режиме мастера»

    Кнопка
    «Отмена»

    1. Снова запустите
      программу архивации

    «Пуск»
    «Все
    программы»

    «Стандартные»
    «Служебные»
    «Архивация
    данных»

    или

    «Пуск»
    «Выполнить»
    — ntbackup
    Кнопка «ОК»

    1. В
      меню «Сервис»
      выберите пункт «Каталогизировать
      архивный файл»
      и
      укажите путь к скопированной резервной
      копии

    2. На
      закладке «Восстановление
      и управление носителем»
      выберите
      в восстанавливаемом файле «System
      state»
      и
      обязательно «Альтернативное
      размещение»
      для
      восстанавливаемой информации

    Укажите
    папку, в которой будете размещать
    восстанавливаемые данные. Нажмите
    кнопку «Восстановить»
    Начнется
    процесс восстановления информации

    По
    окончании данного процесса закройте
    программу архивации

    1. Запустите
      мастер создания контроллера домена
      с параметром /adv:
      Кнопка «Пуск»
      «Выполнить»
      — ввести команду

    dcpromo
    /adv

    Кнопка
    «Далее»

    1. Появится
      предупреждение, что некоторые
      операционные системы не удовлетворяют
      требованиям безопасности, установленным
      в Windows 2003.

    Кнопка
    «Далее»

    1. Выбор типа
      контроллера домена:

      • Контроллер
        домена в новом домене

      • Добавочный
        контроллер в существующем домене


    Выберите второй вариант: «Добавочный
    контроллер в существующем домене»

    1. Появляется
      запрос о выборе источника базы данных
      Active Directory.

    Выберите
    второй вариант «используя
    файлы из архива»
    и
    укажите путь к папке, в которой
    восстановили информацию из резервной
    копии AD с первого компьютера

    1. Появится вопрос
      о назначении данного контроллера
      домена сервером глобального каталога

    Выберите
    вариант «Нет»
    Кнопка
    «Далее»

    1. Ввод имени
      пользователя, обладающего правами
      установки Active

    Directory
    Введите: Пользователь — имя администратора
    вашего домена Пароль — соответствующий
    пароль Домен — название вашего домена
    Кнопка «Далее»

    1. Размещение базы
      данных Active Directory Укажите папки для
      размещения файлов БД и журналов
      транзакций AD

    2. Размещение
      системного тома

    Укажите
    папку для размещения системного тома
    (обязательно раздел с файловой системой
    NTFS)

    1. Пароль
      администратора для режима восстановления

    Введите
    пароль администратора для входа в
    систему при работе в режиме восстановления
    служб каталогов

    1. Итоговая сводка

    Изучите
    сводку выбранных вами параметров
    установки контроллера домена.

    Если
    что-то задано неверно, то можно вернуться
    к соответствующему шагу и сделать
    нужные исправления.

    Если
    все верно, нажмите кнопку «Далее»
    Мастер начнет
    создавать на компьютере контроллер
    домена.

    1. Завершение
      работы мастера

    Перезагрузите
    компьютер по окончании работы мастера

    Упражнение 4. Управление пользователями и группами; режимы функционирования домена

    Цель упражнения

    Изучить
    процессы управления пользователями
    и группами: создание пользователей и
    групп пользователей, модификация
    свойств пользователей и групп (как с
    помощью административных консолей,
    так и с помощью утилит командной
    строки). Изучить процесс повышения
    режима функционирования домена Изучить
    управление настройками безопасности
    системы с помощью оснасток «Шаблоны
    безопасности»
    и
    «Анализ и
    настройка безопасности»
    Внимание!
    В данном и
    во всех последующих упражнениях
    параметр N
    в имени пользователя или группы равен
    1
    для первого
    компьютера пары и 2
    — для второго
    компьютера пары.

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Созданные
    пользователи и группы пользователей,
    измененные свойства пользователей и
    групп пользователей

    Предварительные
    навыки

    Общие
    сведения об управлении пользователями
    и группами

    Задания

    1

    Создание
    пользователей, модификация свойств
    пользователей

    1. Откройте
      консоль «Active
      Directory -пользователи и компьютеры»

    2. Создайте
      учетные записи пользователей User1-N,
      User2-N
      (или воспользуйтесь учетными записями,
      созданными в предыдущих темах)

    3. Изучите
      свойства учетных записей

    Создание групп
    пользователей, модификация свойств
    групп

    1. Откройте
      консоль «Active
      Directory -пользователи и компьютеры»

    2. Создайте
      группы пользователей Group1-N,
      Group2-N
      (или воспользуйтесь группами, созданными
      в предыдущих темах)

    3. Изучите свойства
      групп

    4. Модифицируйте
      свойства групп: Область
      действия группы

      (Локальная
      в домене
      ,
      Глобальная,
      Универсальная)
      и Тип
      группы

      (безопасность,
      Группа
      распространения
      )

    3

    Повышение
    уровня функционирования домена

    Выполните
    повышение уровня функционирования
    домена:

    1. Откройте
      консоль «Active
      Directory -пользователи и компьютеры»

    2. Щелкните правой
      кнопкой мыши на имени домена

    3. Выберите
      пункт «Изменение
      режима работы домена»

    4. Проверьте
      текущий режим работы домена — должен
      быть «Смешанный
      режим»

    5. «Выберите
      режим работы домена«
      — выберите режим работы «Windows
      2000 (основной режим)»

    6. Нажмите
      кнопку «Изменить»

    4

    Модификация
    свойств групп

    1. Откройте
      консоль «Active
      Directory -пользователи и компьютеры»

    2. Модифицируйте
      свойства групп: Область
      действия группы

      (Локальная
      в домене
      ,
      Глобальная,
      Универсальная)
      и Тип
      группы

      (безопасность,
      Группа
      распространения
      )

    Упражнение 5. Структура службы каталогов Active Directory, управление репликацией, хозяева операций

    Цель упражнения

    Изучить
    логическую и физическую структуру
    AD, роли хозяев операций, получить
    навыки управления репликацией
    контроллеров домена.

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Умение
    определять специфические роли
    контроллеров домена, управлять
    процессом репликации, менять уровень
    функционирования домена

    Предварительные
    навыки

    Общие
    сведения об управлении службой
    каталогов Active Directory: логической и
    физической структурах AD, репликации,
    серверах Глобального каталога, хозяевах
    операций

    Задания

    1

    Изучение ролей
    хозяев операций

    1. Откройте консоли:

    «Active
    Directory —
    сайты
    и
    службы«,

    «Active
    Directory — пользователи и компьютеры»
    ,

    «Active
    Directory — домены и доверия»

    1. Определите,
      какой из контроллеров выполняет
      функции:

      • Глобальный
        каталог

      • Мастер именования
        доменов

      • PDC-эмулятор

      • Мастер
        инфраструктуры

      • RID-мастер

      • Мастер
        схемы

    2

    Осуществление
    принудительной репликации контроллеров
    домена

    1. Синхронизируйте
      контроллеры домена:

    Консоль
    «Active
    Directory —
    сайты
    и
    службы«

    Раскрыть
    списки
    «Sites»
    «Default-First-Site-Name»

    «Servers»
    «<имя
    сервера>»

    Установить
    указатель мыши на «NTDS
    Settings»

    В
    правой части окна щелкнуть правой
    кнопкой мыши на контроллере домена –
    Выбрать пункт «Реплицировать
    сейчас»

    Упражнение 6. Организационные подразделения (оп), делегирование административных полномочий

    Цель упражнения

    Изучить
    процесс создания Организационных
    подразделений, размещения в ОП
    пользователей и групп, делегирования
    полномочий на управление Организационными
    подразделениями.

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Созданные
    ОП, настроенные административные
    полномочия для управления ОП

    Предварительные
    навыки

    Общие
    сведения об управлении Организационными
    подразделениями

    Задания

    1

    Создание
    Организационных подразделений,
    размещение в ОП пользователей и групп

    1. Создайте
      Организационное подразделение (ОП)
      с именем OU-1-N:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени домена щелкнуть правой кнопкой
    мыши –

    Выбрать
    пункт «Создать»

    Выбрать
    из списка «Подразделение»

    Ввести
    имя подразделения –

    Кнопка
    «ОК«

    1. Переместите
      в OU-1-N
      пользователя User1-N

    2. В
      подразделении OU-1-N
      создайте подразделение OU-2-N:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени подразделения OU-1-N
    щелкнуть правой кнопкой мыши –

    Выбрать
    пункт «Создать»

    Выбрать
    из списка «Подразделение»

    Ввести
    имя подразделения –

    Кнопка
    «ОК«

    1. Переместите
      в OU-2-N
      пользователя User2-N

    2. Переместите
      в подразделение OU-1-N
      группы Group1-N,
      Group2-N

    2

    Делегирование
    административных полномочий

    1. Предоставьте
      административные права на OU-1-N
      пользователю User1-N:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени подразделения OU-1-N
    щелкнуть правой кнопкой мыши —

    Выбрать
    «Делегирование
    управления»

    Кнопка
    «Далее»

    Кнопка
    «Добавить»

    Выбрать
    пользователя User1-N

    Кнопка
    «Далее»

    Выбрать
    «Делегировать
    следующие обычные задачи»

    Поставить
    галочки у всех пунктов списка —

    Кнопка
    «Далее»

    Кнопка
    «Готово»

    1. Войдите
      в систему как User1-N,
      попробуйте изменить свойства
      пользователей в OU-1-N
      и OU-2-N,
      создать в них новых пользователей
      или группы пользователей

    2. Попробуйте
      сделать то же самое в домене за
      пределами этих подразделений

    Упражнение 7. Организационные подразделения (оп), групповые политики (гп)

    Цель упражнения

    Изучить
    процесс создания и привязки объектов
    групповых политик (ГП), настройки
    параметров ГП, прав доступа к объекту
    ГП, правила наследования ГП, блокировки
    наследования и принудительного
    применения ГП.

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Созданные
    объекты групповых политик, настроенные
    параметры ГП, настроенное наследование
    применения ГП, настроенная блокировка
    наследования, настроенное принудительное
    применение ГП

    Предварительные
    навыки

    Общие
    сведения о групповых политиках

    Задания

    1

    Создание объекта
    групповой политики, настройка параметров
    ГП (ограничение интерфейса пользователя),
    изучение наследования применения ГП

    1. Создайте
      Групповую политику для ОП OU-1-N,
      назначьте в этой политике ограничения
      интерфейса для пользователей:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени ОП OU-1-N
    щелкнуть правой кнопкой мыши –

    Свойства
    — Закладка «Групповая
    политика»

    Кнопка
    «Создать»

    Ввести
    имя политики (например, GP-1-N)

    Кнопка
    «Изменить»

    Включить
    параметры:

    «Конфигурация
    пользователя«/
    «Административные
    шаблоны«/
    «Компоненты
    Windows«/
    «Проводник«/«Удалить
    меню «Файл«
    из проводника Windows«

    «Конфигурация
    пользователя«/«Административные
    шаблоны«/«Компоненты
    Windows«/«Проводник«/«Удалить
    кнопку «Поиск«
    из проводника Windows«

    «Конфигурация
    пользователя«/«Административные
    шаблоны«/«Панель
    задач и меню «Пуск«»/«Удалить
    меню «Найти«
    из главного меню«

    «Конфигурация
    пользователя«/«Административные
    шаблоны«/«Панель
    задач и меню «Пуск«»/«Удалить
    команду «Выполнить«
    из меню «Пуск«»

    «Конфигурация
    пользователя«/«Административные
    шаблоны«/«Рабочий
    стол«/«Удалить
    значок «Мои
    документы«
    с рабочего стола«

    «Конфигурация
    пользователя«/«Административные
    шаблоны«/«Рабочий
    стол«/«Удалить
    значок «Мой
    компьютер«
    с рабочего стола«

    «Конфигурация
    пользователя«/«Административные
    шаблоны«/«Рабочий
    стол«/«Не
    показывать значок Internet Explorer«

    1. Синхронизируйте
      контроллеры домена

    2. Войдите
      в систему как User1-N,
      User2-N,
      проанализируйте изменения интерфейса

    2

    Ограничение
    прав доступа к объекту ГП

    1. Войдите
      в систему как Администратор, запретите
      чтение и применение объекта ГП
      подразделения OU-1-N
      для пользователя User1-N:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени ОП OU-1-N
    щелкнуть правой кнопкой мыши —

    Свойства

    Закладка
    «Групповая
    политика»

    Выбрать
    политику GP-1-N

    Кнопка
    «Свойства»

    Закладка
    «Безопасность»

    Кнопка
    «Добавить»

    Выбрать
    пользователя User1-N

    В
    окне «Разрешения
    для
    User1-N«
    поставить галочки в столбце «Запретить»
    для разрешений «Чтение»
    и «Применение
    групповой политики«

    Кнопка
    «ОК»
    – 2 раза

    1. Синхронизируйте
      контроллеры домена

    2. Войдите
      в систему как User1-N,
      User2-N,
      проанализируйте изменения интерфейса

    3. Войдите
      в систему как Администратор, верните
      исходные значения разрешений для
      политики GP-1-N

    3

    Блокировка
    наследования групповых политик

    1. Войдите
      в систему как User1-N,
      установите блокирование групповых
      политик для OU-2-N:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени ОП OU-2-N
    щелкнуть правой кнопкой мыши —

    Свойства

    Закладка
    «Групповая
    политика»

    Поставить
    галочку у поля «Блокировать
    наследование политики»

    1. Войдите в систему
      как Администратор, синхронизируйте
      контроллеры домена

    2. Войдите
      в систему как User1-N,
      User2-N,
      проанализируйте изменения интерфейса

    4

    Принудительное
    применение групповых политик

    1. Войдите
      в систему как Администратор, запретите
      блокировку политик на уровне OU-1-N:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени ОП OU-1-N
    щелкнуть правой кнопкой мыши —

    Свойства

    Закладка
    «Групповая
    политика»

    Кнопка
    «Параметры«

    Поставить
    галочку у поля «Не
    перекрывать: другие объекты групповой
    политики не могут перекрывать параметры
    этой политики»

    1. Синхронизируйте
      контроллеры домена

    2. Войдите
      в систему как User1-N,
      User2-N,
      проанализируйте изменения интерфейса

    Упражнение 8. Управление приложениями с помощью групповых политик

    Цель упражнения

    Изучить
    процесс развертывания приложений в
    корпоративной среде с помощью групповых
    политик

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Созданные
    объекты групповых политик, настроенные
    для назначения и публикации программных
    пакетов

    Предварительные
    навыки

    Общие
    сведения об управлении приложениями
    с помощью групповых политик

    Задания

    1

    Создание объекта
    групповой политики для назначенного
    пакета программного обеспечения

    Выполните
    данное упражнение на
    первом компьютере
    вашей
    пары

    1. Создайте
      Групповую политику для вашего домена,
      настройте параметры для установки
      пакета ПО (пакет GPMC — Group Policy Management
      Console):

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени домена щелкнуть правой кнопкой
    мыши —

    Свойства

    Закладка
    «Групповая
    политика»

    Кнопка
    «Создать»

    Ввести
    имя политики (например, GPMC)

    Кнопка
    «Изменить»

    Откройте
    раздел

    «Конфигурация
    компьютера«/«
    Конфигурация программ«/«Установка
    программ«

    Щелкнуть
    правой кнопкой мыши —

    Выбрать
    «Создать»

    «Пакет»

    Указать
    путь к пакету (например,
    «\SERVERsoftgpmcgpmc.msi»)

    Режим
    «Назначенный»

    Кнопка
    «ОК«

    Закрыть
    окно редактирования ГП Примечание На
    одном из серверов домена в папке с
    общим доступом предварительно должен
    быть размещен установочный пакет

    1. Синхронизируйте
      контроллеры домена

    2. Перезагрузить
      сервер

    В
    процессе загрузки системы и применения
    политик произойдет установка пакета
    GPMC

    2

    Создание объекта
    групповой политики для публичного
    пакета программного обеспечения

    Выполните
    данное упражнение на
    втором компьютере
    вашей
    пары

    1. Создайте Групповую
      политику для вашего домена, настройте
      параметры для установки пакета ПО
      (пакет MS Office 2003 Professional):

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени домена щелкнуть правой кнопкой
    мыши —

    Свойства

    Закладка
    «Групповая
    политика»

    Кнопка
    «Создать»

    Ввести
    имя политики (например, Office-2003)

    Кнопка
    «Изменить»

    Откройте
    раздел

    «Конфигурация
    пользователя«/«
    Конфигурация программ«/«Установка
    программ«

    Щелкнуть
    правой кнопкой мыши —

    Выбрать
    «Создать»

    «Пакет»

    Указать
    путь к пакету (например,
    «\SERVERsoftOFFICEPRO2003PRO11.MSI»)

    Режим
    «Публичный»

    Кнопка
    «ОК«

    Закрыть
    окно редактирования ГП

    Примечание

    На
    одном из серверов домена в папке с
    общим доступом предварительно должен
    быть размещен установочный пакет

    1. Синхронизируйте
      контроллеры домена

    2. Примените
      политики: в командной строке ввести
      команду gpupdate

    3. Проверьте, что
      пакет MS Office 2003 доступен для установки:

    Откройте
    Панель
    управления

    «Установка
    и удаление программ»

    Кнопка
    «Установка
    программ»

    В
    окне «Добавление
    программ из вашей сети»

    должен появиться доступный для
    установки пакет MS Office 2003

    Примечание.

    В
    упражнении 8 в качестве пакета ПО для
    установки можно использовать любой
    программный продукт, для которого
    имеется установочный файл в формате
    «.msi»

    Упражнение 9. Консоль управления групповыми политиками — Group Policy Management Console

    Цель упражнения

    Изучить
    процесс управления групповыми
    политиками с помощью консоли Group Policy
    Management Console

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Созданные
    и настроенные объекты групповых
    политик с помощью консоли Group Policy
    Management Console

    Предварительные
    навыки

    Общие
    сведения об управлении групповыми
    политиками

    Задания

    1

    Управление
    групповыми политиками с помощью
    консоли Group Policy Management Console

    1. Откройте консоль
      GPMC:

    Консоль
    «Active
    Directory -пользователи и компьютеры»

    На
    имени домена щелкнуть правой кнопкой
    мыши —

    Свойства

    Закладка
    «Групповая
    политика»

    Кнопка
    «Открыть»
    (Open)

    1. Изучите управление
      политиками с помощью данной консоли:

      • установите
        указатель мыши на различных объектах
        AD (домен, Организационные подразделения),
        просмотрите списки объектов ГП,
        привязанных к выбранным объектам
        AD;

      • раскройте
        контейнер Group
        Policy Objects
        ,
        просмотрите полный список ГП в вашем
        домене;

      • в
        этом же списке откройте какой-либо
        объект ГП для редактирования (щелкнуть
        правой кнопкой мыши на объекте ГП,
        выбрать Edit);

      • создайте
        резервную копию объекта ГП на жестком
        диске (щелкнуть правой кнопкой мыши
        на объекте ГП, выбрать Back
        Up
        ,
        нажать кнопку «Обзор»
        (Browse),
        выбрать папку для сохранения резервной
        копии ГП, кнопка «ОК»,
        кнопка Back
        Up
        ,
        кнопка «ОК»,
        откройте данную папку, просмотрите
        файл с резервной копией объекта ГП

      • файл
        manifest.xml)

    2. Закройте
      консоль GPMC

    Упражнение 10. Управление объектами Active Directory утилитами командной строки

    Цель упражнения

    Изучить
    применение утилит командной строки
    для операций с объектами Active Directory.

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Созданные
    из командной строки объекты AD, объекты
    с модифицированными свойствами,
    выполнение команд с перенаправлением
    ввода/вывода данных

    Предварительные
    навыки

    Общие
    сведения об утилитах командной строки

    Задания

    1

    Самостоятельное
    изучение команд управления объектами
    Active Directory

    Запустите
    «Центр
    справки и поддержки»
    ,
    изучите описание команд:

    dsadd

    dsmod

    dsget

    dsmove

    dsrm

    dsquery

    2

    Создание
    объектов Active Directory

    Создайте
    Организационное подразделение с
    именем OU-New-N:

    1. Введите команду

    dsadd
    ou «ou=OU-New-N,dc=…»

    Пример.

    Для
    домена world.ru
    команда будет иметь вид:

    dsadd
    ou «ou=OU-New,dc=world,dc=ru»

    1. Проверьте
      результат в консоли «Active
      Directory – пользователи и компьютеры»

    Создайте
    учетную запись пользователя с именем
    User-New-N
    в только что созданном подразделении
    OU-New-N:

    1. Введите команду

    dsadd
    user «cn=User-New-N,ou=OU-New-N,dc=…»

    Пример.

    Для
    домена world.ru
    команда будет иметь вид:

    dsadd
    user «cn=User-New,ou=OU-New,dc=world,dc=ru»

    1. Проверьте
      результат в консоли «Active
      Directory – пользователи и компьютеры»

    3

    Модификация
    свойств объекта Active Directory

    Измените
    свойство «Номер
    телефона»

    у созданного объекта User-New-N
    в подразделении OU-New-N:

    1. Введите команду

    dsmod
    user «cn=User-New-N,ou=OU-New-N, dc=…» –tel
    123-45-67

    Пример.

    Для
    домена world.ru
    команда будет иметь вид:

    dsmod
    user «cn=User-New,ou=OU-New,dc=world,dc=ru» –tel
    123-45-67

    1. Проверьте
      результат в консоли «Active
      Directory – пользователи и компьютеры»

    4

    Получение
    списка объектов по запросу

    Выполните
    запрос для получения списка пользователей
    домена, у которых имя начинается с
    символа «u»:

    1. Введите команду

    dsquery
    user -name u*

    5

    Перенаправление
    вывода одной команды на ввод другой
    команды

    Получите
    значение параметра UPN для всех
    пользователей, у которых имя начинается
    с символа «u»:

    1. Введите команду

    dsquery
    user -name u* | dsget user -upn

    Упражнение 11. Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

    Цель упражнения

    Изучить
    применение оснасток «Шаблоны
    безопасности»
    ,
    «Анализ и
    настройка безопасности»

    для анализа и настройки параметров
    безопасности сервера.

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Проведенный
    анализ настроек безопасности, сравнение
    с одним из стандартных шаблонов

    Предварительные
    навыки

    Общие
    сведения о настройках параметров
    безопасности

    Задания

    1

    Создание консоли
    с оснастками «Шаблоны безопасности»,
    «Анализ и настройка безопасности»

    1. Откройте
      новую консоль mmc Кнопка «Пуск»

    «Выполнить»

    Введите
    «mmc»

    Кнопка
    «ОК»

    1. Добавьте
      оснастки Меню «Консоль«

    Выберите
    «Добавить
    или удалить оснастку»

    Кнопка
    «Добавить»

    Выберите
    «Шаблоны
    безопасности»

    Кнопка
    «Добавить»

    Выберите
    «Анализ и
    настройка безопасности»

    Кнопка
    «Добавить»

    Кнопка
    «Закрыть»

    Кнопка
    «ОК»

    2

    Изучение
    стандартных шаблонов безопасности

    1. Откройте
      оснастку «Шаблоны
      безопасности»

    2. Изучите имеющиеся
      в системе стандартные шаблоны Обратите
      внимание на шаблоны:

    3. hisecdc

    4. securedc

    setupsecurity

    1. Изучите в шаблонах
      разделы:

      • Политики
        учетных записей

        • Политика
          паролей

        • Политика
          блокировки учетной записи

      • Локальные
        политики

        • Политика
          аудита

        • Назначение
          прав пользователя

        • Параметры
          безопасности

      • Журнал
        событий

    3

    Создание базы
    данных для анализа и настройки
    безопасности

    Создайте
    новую базу данных:

    1. В
      левой части окна новой консоли выберите
      оснастку «Анализ
      и настройка безопасности»

    2. Меню
      «Действие»

    Выберите
    «Открыть
    базу данных»

    Укажите
    имя базы данных (например, db-1)
    и путь для сохранения базы (например,
    X:)

    Кнопка
    «Открыть»

    Выберите
    шаблон для импорта (выберите шаблон
    hisecdc.inf

    шаблон
    контроллера домена с высоким уровнем
    безопасности) —

    Кнопка
    «Открыть»

    4

    Проведение
    анализа настроек безопасности

    Проведите
    анализ настроек системы безопасности
    вашего компьютера:

    1. В
      левой части окна новой консоли выберите
      оснастку «Анализ
      и настройка безопасности»

    2. Меню
      «Действие»

    Выберите
    «Анализ
    компьютера»

    Укажите
    путь к файлу журнала ошибок (например,
    X:)

    Кнопка
    «ОК»

    1. Изучите результаты
      анализа настроек безопасности:

    В
    оснастке «Анализ
    и настройка безопасности»

    просмотрите разделы

    • Политики
      учетных записей

      • Политика
        паролей

      • Политика
        блокировки учетной записи

    • Локальные
      политики

      • Политика
        аудита

      • Назначение
        прав пользователя

      • Параметры
        безопасности

    • Журнал
      событий

    В
    каждом разделе сравните значения
    параметров базы данных (т.е. выбранного
    вами стандартного шаблона безопасности)
    и значения соответствующих параметров
    вашего компьютера.

    Найдите
    различия в настройках.

    1. Закройте
      консоль

    8. Лекция: Служба файлов и печати

    Эта
    лекция подробно знакомит читателей со
    службами файлов и службами печати
    операционной системы Microsoft Windows Server
    2003. Вы узнаете, как разрешать пользователям
    использовать общие ресурсы, как разрешать
    использовать общие принтеры. Рассмотрены
    возможности разграничения прав, и
    приоритетов. Даются краткие сведения
    о файловых системах используемых в
    Windows 2003 Server

    Служба
    предоставления совместного доступа к
    файлам и печати — одна из наиболее
    интенсивно используемых служб в
    корпоративных сетях. Сотрудникам
    компаний и организаций необходим доступ
    к документам самых различным типов —
    текстовым документам, электронным
    таблицам, презентациям, файлам
    файл-серверных баз данных многое другое.

    Хранение
    и обработка документов на файловом
    сервере имеет ряд преимуществ по
    сравнению с хранением и обработкой
    документов на каждом рабочем месте по
    отдельности: централизованное управление
    доступом к файловым ресурсам,
    централизованное управление созданием
    резервных копий, централизованная
    антивирусная защита.

    Управление
    совместным использованием принтеров
    — также типичная задача сетевого
    администратора. Использование сетевых
    принтеров позволяет наиболее эффективно
    расходовать ресурсы на печать документов.
    И здесь также возникает потребность в
    управлении доступом, настройкой службы
    печати для наиболее высокой
    производительности.

    8.1 Базовые и динамические диски, тома. Файловые системы fat16, fat32, ntfs

    Сначала
    рассмотрим, как система Windows Server управляет
    дисковыми подсистемами и как создаются
    на дисках разделы, логические диски и
    тома. Затем разберем особенности
    использования на разделах и томах
    различных файловых систем — FAT16, FAT32 и
    NTFS.

    Базовые и динамические диски, тома Базовые (основные) диски

    Базовые,
    или основные,
    диски
    — это термин, обозначающий дисковые
    конфигурации, использовавшиеся в
    системах корпорации Microsoft до появления
    Windows 2000. После выхода Windows данные технологии
    приобрели название «базовый (основной)»
    диск (basic disk)
    для того, чтобы отличить их от новых
    технологий управления дисками, которые
    стали называть «динамическими»
    (dynamic disks).

    В
    системах с DOS-ядром (MS DOS, Windows 3/95/98/ME)
    базовый диск мог состоять из одного или
    двух разделов. Если разделов два, то
    первый называется «основным»
    разделом (primary partition), а второй —
    «дополнительным»
    (secondary partition).
    Дополнительный раздел в свою очередь
    может быть разбит на несколько логических
    дисков
    (logical
    disks
    ). В системах
    с ядром Windows NT (Windows NT/2000/XP/2003) на жестком
    диске может быть до четырех разделов.
    При этом все разделы могут быть основными
    либо один из них — дополнительный
    (который можно опять же разбить на
    логические диски).

    Каждому
    основному разделу или логическому диску
    в системе может быть назначена буква
    диска
    (C:,
    D:
    и т.д.). В системе Windows 2003, если нет
    флоппи-дисков, то буквы для разделов и
    логических дисков можно назначать,
    начиная с A:.

    Нулевой
    сектор базового жесткого диска состоит
    из двух частей. Начало сектора — ссылка
    на загрузчик операционной системы,
    конец сектора — т.н. таблица
    разделов

    (partition table),
    содержащая адреса начальных секторов
    разделов диска (основных и дополнительного).

    Разбиение
    жесткого диска на разделы и логические
    диски производится оснасткой «Управление
    дисками
    »
    (обычно эта оснастка запускается из
    консоли «Управление
    компьютером
    «).

    Типичная
    картина разбиения жесткого диска на
    разделы представлена на рис.
    8.1
    .

    Рис. 8.1

    Основные
    разделы (в данном примере — разделы с
    буквами C:
    и D:)
    обозначены на рисунке синим цветом,
    логические диски на дополнительном
    разделе (E:
    и F:)
    — голубым цветом, сам дополнительный
    раздел — в виде фона зеленого цвета,
    нераспределенное пространство на
    жестком диске — черным цветом.

    Рассмотрим
    на примере процесс создания раздела на
    жестком диске.

    1. В
      оснастке «Управление
      дисками
      »
      щелкнем правой кнопкой мыши на
      нераспределенном пространстве жесткого
      диска, выберем пункт меню «Создать
      раздел
      »
      (рис.
      8.2
      ):

    Рис. 8.2

    1. В
      открывшемся Мастере
      создания разделов

      нажмем кнопку «Далее«.
      Выберем тип раздела — основной или
      дополнительный, нажмем «Далее»
      (рис.
      8.3
      ):

    Рис. 8.3

    1. Укажем размер
      раздела.

    2. Назначим букву
      диска (здесь можно выбрать вариант
      подключения нового раздела или
      логического диска в виде ссылки из
      пустой папки, расположенной на другом
      разделе с файловой системой NTFS, или
      вообще не назначать букву).

    3. Отформатируем
      раздел под какую-либо файловую систему
      (FAT или NTFS), зададим метку тома (рис.
      8.4
      ):

    Рис. 8.4

    1. Нажмем
      кнопку «Готово«.
      Система создаст раздел (рис.
      8.5
      ):

    Рис. 8.5

    Теперь
    разберем процесс создания логического
    диска на дополнительном разделе.

    1. В
      оснастке «Управление
      дисками
      »
      щелкнем правой кнопкой мыши на
      нераспределенном пространстве
      дополнительного раздела, выберем пункт
      меню «Создать
      логический диск
      »
      (рис.
      8.6
      ):

    Рис. 8.6

    1. Укажем размер
      логического диска, назначим букву диска
      и отформатируем.

    2. Нажмем
      кнопку «Готово«.
      Система создаст логический диск (рис.
      8.7
      ):

    Рис. 8.7

    Аналогично
    в этой же оснастке можно удалять имеющиеся
    разделы и логические диски, форматировать
    под различные файловые системы, менять
    назначенные им буквы или монтировать
    разделы и логические диски в пустые
    папки на других разделах или логических
    дисках.

    Одно
    из достоинств базовых дисков заключается
    в том, что на любом основном разделе или
    логическом диске одного и того же
    физического диска можно установить
    отдельный экземпляр операционной
    системы из семейства Windows NT/2000/XP/2003.

    Динамические диски

    Динамические
    диски — это технология управления
    жесткими дисками, позволяющая создавать
    на базе обычных жестких дисков компьютера
    более производительные или отказоустойчивые
    конфигурации.

    Технологии
    создания производительных или
    отказоустойчивых конфигураций дисков
    имеют общее название RAID.

    Технология
    RAID
    (дисковый
    массив RAID — Redundant
    Array of Inexpensive Disks
    ,
    избыточный
    массив недорогих дисков
    )
    была впервые разработана в 1987 году
    сотрудниками Калифорнийского университета
    в Беркли.

    Технология
    RAID предполагает использование наборов
    (два и более) жестких дисков, доступных
    операционной системе как один том.
    Данные распределяются по набору дисков
    определенным способом, соответствующим
    одному из уровней RAID. В случае отказов
    отдельных дисков массив содержит
    дополнительную (избыточную) емкость,
    обеспечивающую возможность восстановления
    данных. Технология имеет набор спецификаций
    устройств хранения данных, связанных
    с «Уровнями RAID», определяющими
    способы распределения на дисковом
    массиве, их резервирования и восстановления.

    Несмотря
    на общее название, архитектура RAID имеет
    существенные различия, определяющие
    различные способы объединения нескольких
    жестких дисков в единую систему так,
    чтобы она функционировала как один
    диск. В системах семейства Windows Server
    реализованы следующие виды RAID: RAID-0(тома
    с чередованием информации), RAID-1(зеркальные
    тома) и RAID-5.

    RAID-0
    дисковый массив без дополнительной
    отказоустойчивости: поток данных
    разбивается на блоки, которые
    последовательно записываются на диски.
    Основные достоинства: простота конструкции
    и изготовления, высокая производительность.
    За счет того, что файлы записываются
    блоками на два и более дисков, скорость
    передачи данных дисковой подсистемы
    резко возрастает. Количество дисков —
    от 2 до 32. Коэффициент использования
    дискового пространства (отношение
    объема полезных данных к суммарному
    объему дискового массива) равен 1.
    Недостатком является низкая
    отказоустойчивость. Выход из строя
    одного из дисков приводит к потере всех
    данных, хранящихся на всем дисковом
    массиве. Схема записи данных на том с
    конфигурацией RAID-0 для пяти физических
    дисков приведена на рис.
    8.8
    .

    Рис. 8.8

    RAID-1
    дисковый массив с зеркалированием
    данных: блок данных записывается в двух
    экземплярах на отдельные диски.
    Достоинства: скорость записи та же, что
    и для одного диска, высокая скорость
    восстановления данных, простота
    конструкции, единственный вид
    RAID-массивов, позволяющий получить
    отказоустойчивую дисковую подсистему
    на двух дисках. Недостаток: низкий
    коэффициент использования дискового
    пространства, равный 0,5. Схема записи
    данных на том с конфигурацией RAID-1
    приведена на рис.
    8.9
    .

    Рис. 8.9

    RAID-5
    — дисковый
    массив с чередованием данных и вычислением
    контрольных сумм для записываемых
    данных: блоки данных последовательно
    записываются на диски, контрольная
    сумма для блоков одного ряда вычисляется
    во время записи, контрольные суммы
    размещаются последовательно по всем
    дискам. Количество дисков — от 3 до 32.
    При выходе из строя одного из физических
    дисков информация остается доступной
    для обработки.

    Достоинства:
    высокая скорость чтения и записи данных,
    высокий коэффициент использования
    дискового пространства. Недостатки:
    выход из строя одного из дисков оказывает
    заметное влияние на производительность.
    Схема записи данных на том с конфигурацией
    RAID-5 для пяти физических дисков приведена
    на рис.
    8.10
    .

    Рис. 8.10

    Базовый
    диск легко преобразуется в динамический
    с сохранением
    всей информации
    .
    Для этого в оснастке «Управление
    дисками
    »
    надо щелкнуть правой кнопкой мыши на
    значке самого диска, выбрать в меню
    пункт «Преобразовать
    в динамический диск
    »
    (рис.
    8.11
    ),
    выбрать, какой именно диск надо
    преобразовать (можно выбрать несколько
    дисков одновременно), нажать кнопку
    «ОК»
    и кнопку «Преобразовать»
    для подтверждения действий (рис.
    8.12
    ),
    снова нажать «Да«.для
    подтверждения, после чего система
    преобразует диск (при необходимости
    сервер будет перезагружен).

    Рис. 8.11

    Рис. 8.12

    Обратное
    преобразование из динамического диска
    в базовый производится также достаточно
    просто, но предварительно все
    тома на динамическом диске должны быть
    удалены
    .

    Заметим
    также, что если мы преобразовали базовый
    диск в динамический, то этот диск будет
    доступен только в операционных системах
    Windows 2000/XP/2003, но не в более ранних.

    И
    еще одно замечание. На каждом динамическом
    диске может быть установлена только
    одна операционная система.

    На
    динамических дисках основной единицей,
    на которые разбиваются диски, является
    том
    (volume).
    В системе Windows Server имеются следующие
    виды томов:

    • простой
      том

      (simple
      volume
      );

    • составной
      том

      (spanned
      volume
      );

    • зеркальный
      том

      (mirrored
      volume
      );

    • чередующийся
      том

      (striped
      volume
      );

    • том
      RAID-5

      (RAID-5
      volume
      ).

    Простой
    том
    — это
    аналог основного раздела или логического
    диска на базовых дисках. Например, после
    преобразования в динамический диск
    диска, изображенного на рис.
    8.1
    ,
    получится следующая дисковая конфигурация
    (рис.
    8.13
    ):

    Рис. 8.13

    На
    рисунке видно, что основные разделы и
    логические диски преобразовались в
    простые тома (обозначены оливковым
    цветом).

    Одно
    из преимуществ динамических дисков
    заключается в том, что, если после
    последнего простого тома на диске есть
    нераспределенное пространство, то этот
    последний том можно расширить без потери
    информации. В данном примере можно
    щелкнуть правой кнопкой мыши на томе
    F: и выбрать в меню пункт «Расширить
    том
    «, затем
    указать размер добавляемого пространства,
    и том будет увеличен на заданную величину.

    Еще
    одно преимущество динамических дисков
    — диски, установленные и сконфигурированные
    на одной системе, могут быть перенесены
    на другой сервер, и данная конфигурация,
    состоящая из нескольких дисков, будет
    по-прежнему работоспособна. При установке
    в сервер дискового массива с другого
    сервера нужно в оснастке «Управление
    дисками
    »
    выбрать в меню «Действие»
    пункты «Обновить»
    (Refresh)
    или «Повторить
    сканирование дисков
    »
    (Rescan disks),
    после чего установленный дисковый
    массив станет работоспособным.

    Составной
    том

    конфигурация, позволяющая увеличить
    размер тома за счет несмежных участков
    нераспределенного пространства, причем
    свободные участки для расширения тома
    можно выбирать на других динамических
    дисках сервера. В нашем примере мы можем
    расширить том с буквой E:
    следующим образом:

    1. Щелкнем
      правой кнопкой мыши на томе, выберем
      пункт меню «Расширить
      том
      »
      (рис.
      8.14
      ):

    Рис. 8.14

    1. В
      запустившемся Мастере
      расширения тома

      указать физические диски, на которые
      будет расширяться данный том, и размер
      добавляемого пространства. Выберем в
      примере диски 0 и 2 и укажем для каждого
      диска размер пространства, которое на
      данном диске будет добавлено к тому E:
      (рис.
      8.15
      ):

    Рис. 8.15

    1. После
      нажатия кнопок «Далее»
      и «Готово»
      получим конфигурацию, изображенную на
      рис.
      8.16

      (составной том обозначен сиреневым
      цветом):

    Рис. 8.16

    Основной
    недостаток составных томов — при выходе
    из строя любого
    из жестких дисков, на которых размещен
    составной том, будет потеряна вся
    информация, хранящаяся на данном томе
    .
    Поэтому мы рекомендуем использовать
    данный вариант расширения пространства
    тома только как экстренный, причем в
    течение ограниченного времени, либо
    регулярно делать резервные копии
    информации на данном томе.

    Зеркальный
    том
    (известный
    также как массив RAID-1) — состоит из двух
    частей одинакового размера, расположенных
    на различных физических дисках. Каждая
    такая часть содержит точную копию другой
    части зеркала. При выходе из строя любого
    из жестких дисков, на которых расположен
    зеркальный том, информация, хранящаяся
    на томе, остается доступной для
    использования.

    Зеркальный
    том можно создать как новый, на
    нераспределенном пространстве жестких
    дисков, так и путем добавления зеркала
    к уже имеющемуся простому
    тому.

    Рассмотрим
    пример добавления зеркала к тому, на
    котором установлена операционная
    система:

    1. В
      оснастке «Управление
      дисками
      »
      щелкнем правой кнопкой мыши на томе с
      операционной системой и выберем в меню
      пункт «Добавить
      зеркало
      »
      (рис.
      8.17
      ):

    Рис. 8.17

    1. Выберем
      диск, на котором будем создавать зеркало
      (в примере — Диск
      1
      ,
      рис.
      8.18
      ):

    Рис. 8.18

    1. Начнется
      процесс ресинхронизации
      зеркального тома (рис.
      8.19
      ):

    Рис. 8.19

    1. По окончании
      процесса ресинхронизации зеркальный
      том будет полностью готов к использованию.

    Использование
    зеркального тома — самый простой и
    самый надежный способ обеспечения
    сохранности данных средствами системы
    Windows Server. И это единственный
    способ
    защиты
    от сбоев, применимый к тому с операционной
    системой. В рассматриваемом примере,
    если из строя выйдет Диск
    0
    , с которого
    загружается операционная система, то
    с помощью заранее заготовленной дискеты
    мы сможем загрузить сервер с зеркальной
    копии, хранящейся на Диске
    1
    . Дискету
    нужно подготовить следующим образом:

    1. Отформатировать
      в системе Windows Server (желательно в той же
      версии, на которой создан зеркальный
      том).

    2. Скопировать
      с загрузочного тома сервера (обычно
      это диск C:)
      файлы boot.ini,
      ntldr,
      ntdetect.com
      и ntbotdd.sys
      (если таковой файл имеется).

    3. Отредактировать
      файл boot.ini
      (в котором хранится меню начальной
      загрузки системы с указанием дисков и
      томов, в которых установлены экземпляры
      имеющихся на компьютере операционных
      систем), чтобы загрузка выполнялась с
      Диска
      1

      зеркального тома. В нашем примере
      содержимое отредактированного файла
      boot.ini
      может выглядеть так:

    [boot
    loader]

    timeout=30

    default=multi(0)disk(0)rdisk(1)partition(1)WINDOWS

    [operating
    systems]

    multi(0)disk(0)rdisk(1)partition(1)WINDOWS=

    «Windows
    Server 2003 «/fastdetect/noexecute=optout

    В
    случае выхода из строя одного из дисков
    необходимо сначала удалить зеркальный
    том (в оснастке «Управление
    дисками
    »
    щелкнуть правой кнопкой мыши на доступной
    части зеркального тома и выбрать пункт
    меню «Удалить
    зеркало
    «),
    удалить с сервера неисправный диск,
    заменить его новым, а затем в оснастке
    «Управление
    дисками
    »
    снова создать зеркальный том.

    Чередующийся том

    Чередующийся
    том
    (известный
    также как массив RAID-0). Технология работы
    с массивом RAID-0 описана выше. Главное
    назначение чередующихся томов —
    повышение скорости доступа к данным с
    помощью распределения потока данных
    на несколько жестких дисков. Наибольший
    выигрыш достигается при подключении
    дисков к различным дисковым контроллерам.
    Но даже при подключении нескольких
    дисков к одному контроллеру
    производительность может повыситься
    за счет более быстрого позиционирования
    магнитных головок жестких дисков.

    Подчеркнем
    еще раз, что чередующийся том не
    обеспечивает отказоустойчивости
    хранения данных. Выход из строя одного
    из дисков, входящих в том, приводит к
    потере всех данных этого тома, и при
    использовании данной технологии
    необходимо регулярно делать резервные
    копии данных.

    Рассмотрим
    на примере процесс создания чередующегося
    тома.

    1. Откроем
      оснастку «Управление
      дисками
      «,
      щелкнем правой кнопкой мыши на
      нераспределенном пространстве, выберем
      пункт меню «Создать
      том
      »
      (рис.
      8.20
      ).

    Рис. 8.20

    1. Выбираем
      тип тома — чередующийся том (рис.
      8.21
      ):

    Рис. 8.21

    1. Добавляем
      диски в список дисков, на которых будет
      размещен создаваемый том, и указываем
      размер пространства, выделяемого для
      тома на каждом диске (рис.
      8.22
      ):

    Рис. 8.22

    1. Назначаем
      букву диска, выбираем файловую систему
      и нажимаем кнопку «Готово«.
      По завершении работы мастера получаем
      такую картину (рис.
      8.23
      ):

    Рис. 8.23

    Созданный
    том будет обозначен серо-зеленым цветом.

    Том RAID-5

    Технология
    функционирования тома RAID-5 описана выше.
    Данная технология обеспечивает работу
    тома при выходе из строя одного
    из жестких дисков. Напомним еще раз, что
    для создания такого тома нужно от 3 до
    32 жестких дисков. Рассмотрим на примере,
    как создается том RAID-5.

    1. Откроем
      оснастку «Управление
      дисками
      «,
      щелкнем правой кнопкой мыши на
      нераспределенном пространстве, выберем
      пункт меню «Создать
      том
      «.

    2. Выбираем тип тома
      — том RAID-5:

    3. Добавляем
      диски в список дисков, на которых будет
      размещен создаваемый том, и указываем
      размер пространства, выделяемого для
      тома на каждом диске (рис.
      8.24
      ):

    Рис. 8.24

    Обратите
    внимание, что «Общий
    размер тома
    «,
    доступный для хранения данных, в данном
    примере будет 10000 МБ, хотя на
    каждом из трех дисков

    было выделено по 5000 МБ и суммарное
    дисковое пространство, занятое томом,
    будет 15000 МБ.

    1. Назначаем
      букву диска, выбираем файловую систему
      и нажимаем кнопку «Готово«.
      По завершении работы мастера получим,
      обозначенный голубым цветом (рис.
      8.25
      ):

    Рис. 8.25

    В
    случае выхода из строя одного из дисков
    необходимо удалить с сервера неисправный
    диск, заменить его новым, в оснастке
    «Управление
    дисками
    »
    на томе RAID-5 щелкнуть правой кнопкой
    мыши и выбрать пункт меню «Восстановить
    том
    «.

    И
    последнее замечание относительно
    использования различных томов. На
    системах Windows 2000 Professional и XP Professional
    доступны только простые и составные
    тома. Зеркальный, чередующийся тома и
    том RAID-5 функционируют только на серверных
    редакциях операционных систем.

    Файловые системы fat16, fat32, ntfs

    Файловая
    система (ФС) — это система организации
    и хранения информации на жестком диске
    или других носителях, программные
    алгоритмы операционной системы для
    управления данной системой организации
    информации, и, наконец, на бытовом уровне
    — это совокупность всех файлов и папок
    на диске.

    Задачи файловой системы

    Основные
    функции любой файловой системы нацелены
    на решение следующих задач:

    • именование файлов;

    • программный
      интерфейс работы с файлами для приложений;

    • отображения
      логической модели файловой системы на
      физическую организацию хранилища
      данных;

    • устойчивость
      файловой системы к сбоям питания,
      ошибкам аппаратных и программных
      средств;

    • защита файлов от
      несанкционированного доступа.

    ФС
    позволяет оперировать не нулями и
    единицами, а более удобными и понятными
    объектами — файлами. Ради удобства в
    работе с файлами используются их
    символьные идентификаторы — имена.
    Само содержимое файлов записано в
    кластеры
    (clusters)
    — мельчайшие единицы данных, которыми
    оперирует файловая система, размер их
    кратен 512 байтам (512 байт — размер сектора
    жесткого диска, минимальной единицы
    данных, которая считывается с диска или
    записывается на диск). Для организации
    информации кроме имени файла используются
    также каталоги (или папки), как некая
    абстракция, позволяющая группировать
    файлы по определенному критерию. По
    свой сути каталог — это файл, содержащий
    информацию о как бы вложенных в него
    каталогах и файлах.

    Вся
    информация о файлах хранится в особых
    областях раздела (тома) — файловых
    справочниках. Структура этих справочников
    зависит от типа файловой системы.
    Справочник файлов позволяет ассоциировать
    числовые идентификаторы файлов и
    дополнительную информацию о них (дата
    изменения, права доступа, имя и т.д.) с
    непосредственным содержимым файла,
    хранящимся в другой области раздела
    (тома).

    На
    жестких дисках компьютеров под управлением
    систем семейства Windows используются два
    типа файловых систем: FAT
    (FAT16 и FAT32) и NTFS.

    Файловая система fat

    Том
    с файловой системой FAT имеет следующую
    структуру (рис.
    8.26
    ):

    Рис. 8.26

    Запись
    каталога для каждого файла содержит
    набор свойств, или атрибутов,
    описывающих файл на томе. Перечислим
    наиболее важные атрибуты:

    • полное имя файла;

    • имя файла в формате
      «8.3» (8 символов для имени и 3 — для
      расширения, или типа, файла) для
      совместимости с системой MS-DOS;

    • атрибуты
      «скрытый»
      (hidden),
      «системный»
      (system),
      «только
      для чтения
      »
      (read-only),
      «готовый
      к архивированию
      »
      (archive);

    • номер начального
      кластера в цепочке кластеров, образующих
      файл.

    Полный
    список кластеров, занимаемых файлом на
    диске, содержится в таблице
    размещения файлов

    (File Allocation Table,
    сокращенно FAT).
    От названия этой таблицы произошло и
    название самой файловой системы. На
    диске хранятся две идентичные копии
    FAT (на случай защиты от сбоя).

    Каждый
    элемент таблицы FAT может иметь следующие
    значения:

    • номер следующего
      кластера, занимаемого файлом;

    • указание, что
      данный кластер — последний кластер
      файла (комбинация шестнадцатиричных
      цифр 0xFFFF);

    • указание, что
      кластер свободен, т.е. не использован
      ни одним файлом (0x0000);

    • указание, что
      кластер содержит один или несколько
      секторов с физическими дефектами и не
      должен использоваться.

    На
    рис.
    8.27

    приведен пример фрагмента каталога для
    нескольких файлов с указанием первого
    кластера данного файла:

    Рис. 8.27

    На
    рис.
    8.28

    приведен фрагмент таблицы FAT для
    перечисленных в данном каталоге файлов:

    Рис. 8.28

    В
    данном примере видно, что файл
    «Document-1.doc»
    занимает последовательные кластеры с
    адресами с 0005 по 0007, файл «Document-2.doc»
    — кластеры 0008, 0009 и 0011, файл «Table-1.xls»
    — кластеры 0012–0013, а файл «New.ppt»
    — кластеры 0010, 0014–0015. разрывы в цепочках
    кластеров обусловлены тем, что при
    удалении файлов образуются свободные
    места, и вновь создаваемые файлы будут
    заполнять эти освободившиеся кластеры.
    Данное явление называется фрагментацией
    файлов
    и
    снижает производительность операций
    чтения/записи файлов.

    Наиболее
    существенное отличие версий FAT16 и FAT32
    состоит в том, что в FAT16 указатель на
    номер кластера занимает 16 бит, а в FAT32 —
    32 бита. Максимальный размер кластера
    файловых систем FAT в системах Windows
    2000/XP/2003 — 64 килобайта. Отсюда можно
    вычислить, что максимальный размер тома
    с файловой системой FAT16 — 4 гигабайта.
    Максимальный размер тома с FAT32 теоретически
    — 8 терабайт, но на практике он ограничен
    размером 32 гигабайта (хотя Windows 2000/XP/2003
    поддерживают тома большего размера,
    созданные в других ОС, например, в Windows
    95 SR2 или Windows 98).

    В
    табл.
    8.1
    приведены сведения о
    соответствии размера тома и размера
    кластера на данном томе для FAT16 и FAT32:

    Таблица 8.1.

    Размер тома

    Размер кластера
    для FAT16

    Размер кластера
    для FAT32

    До 32 Мбайт
    включительно

    512 байт (1 сектор)

    Не поддерживается

    33–64 МБ

    1 КБ (2 сектора)

    512 байт (1 сектор)

    65–128 МБ

    2 КБ (4 сектора)

    1 КБ (2 сектора)

    129–256 МБ

    4 КБ (8 секторов)

    2 КБ (4 сектора)

    257–512 МБ

    8 КБ (16 секторов)

    4 КБ (8 секторов)

    513 МБ–1 ГБ

    16 КБ (32 сектора)

    4 КБ (8 секторов)

    1 ГБ–2 ГБ

    32 КБ (64 сектора)

    4 КБ (8 секторов)

    2 ГБ–4 ГБ

    64 КБ (128 секторов)

    4 КБ (8 секторов)

    4 ГБ–8 ГБ

    Не поддерживается

    4 КБ (8 секторов)

    8 ГБ–16 ГБ

    Не поддерживается

    8 КБ (16 секторов)

    16 ГБ–32 ГБ

    Не поддерживается

    16 КБ (32 сектора)

    Заметим,
    что каждый файл занимает целое
    число кластеров. Это означает, что
    последний кластер заполнен не целиком
    (в среднем — наполовину). Это второй
    вид фрагментации

    — потеря дискового пространства по
    причине неполного заполнения последнего
    кластера файла, причем, чем больше размер
    раздела и, соответственно, размер
    кластера, тем больше потери дискового
    пространства из-за данного вида
    фрагментации. Файловая система FAT32 с
    более медленным ростом размера кластера
    в зависимости от размера тома более
    эффективно расходует пространство на
    диске.

    Когда
    какое-либо приложение отправляет запрос
    к операционной системе с запросом на
    открытие файла, ОС сначала последовательно
    просматривает записи каталога, пока не
    найдет запись для нужного файла, затем
    в найденной записи извлекает адрес
    первого кластера этого файла. После
    этого ОС обращается к элементу FAT для
    данного кластера, чтобы найти следующий
    кластер в цепочке. Повторяя этот процесс,
    пока не обнаружит последний кластер
    файла, ОС точно определяет, какие кластеры
    принадлежат данному файлу и в какой
    последовательности. Таким путем система
    может предоставить программе любую
    часть запрашиваемого ею файла.

    Файловая система ntfs

    NTFS
    была разработана специально для систем,
    базирующихся на технологиях Windows NT. Она
    имеет рад серьезных преимуществ по
    сравнению с файловыми системами типа
    FAT:

    • отказоустойчивость
      (способность к восстановлению; все
      операции с файлами обрабатываются как
      транзакции
      — любое действие с файлом либо завершается
      до конца, либо, в случае сбоя, файл
      возвращается в исходное состояние);

    • управление доступом
      к папкам (каталогам) и файлам;

    • аудит доступа к
      файловым ресурсам;

    • сжатие и разреженные
      файлы;

    • квоты на дисковое
      пространство;

    • шифрование.

    В
    отличие от FAT, в NTFS нет специальных
    разделов на томе, в которых отражается
    файловая структура данного тома. В NTFS
    все данные
    хранятся в файлах
    ,
    в том числе и информация
    о файлах и папках
    .

    На
    томе NTFS есть несколько файлов, они скрыты
    от администратора, в которых описана
    файловая структура тома. Основной файл,
    в котором отражена файловая структура,
    Главная
    файловая таблица

    (master file table,
    MFT).
    Имена файлов, описывающих том NTFS,
    начинаются с символа $
    . Перечислим некоторые из них:

    • $Mft
      — таблица MFT;

    • $MftMirr
      — зеркальная копия MFT;

    • $LogFile
      — журнал транзакций;

    • $Bitmap
      —карта распределения кластеров тома;

    • $Quota
      — файл пользовательских квот тома.

    В
    NTFS нет разделения на атрибуты (свойства)
    файла и данные. Вся информация, связанная
    с файлом, хранится в тех или иных
    атрибутах. Содержимое файла является
    одним из атрибутов этого файла. Например,
    имя файла хранится в атрибуте $FILE_NAME,
    данные — в атрибуте $DATA.

    Таблица
    MFT состоит из записей о файлах, размер
    записи — 1 КБ, каждый файл в MFT — набор
    атрибутов. Маленькие файлы (до 1 КБ)
    целиком помещаются в одной записи MFT.
    Для больших файлов в записи MFT содержатся
    ссылки на кластеры, находящиеся за
    пределами MFT. Первые 16 записей являются
    служебными, а с семнадцатой записи и
    далее идет описание прочих файлов тома.
    Для большей отказоустойчивости
    спецификацией предусмотрены копии MFT
    и сектора начальной загрузки.

    Структура
    MFT показана в табл.
    8.2
    :

    Таблица 8.2.

    записи

    Содержимое

    0

    $Mft

    1

    $MftMirr

    2

    3

    ,,,

    15

    16

    File1
    (attr1, attr2, …, attrn)

    17

    File2
    (attr1, attr2, …, attrn)

    18

    File3
    (attr1, attr2, …, attrn)

    ,,,

    Первые
    две записи MFT содержат ссылки на саму
    MFT и ее зеркальную копию. Начиная с 17-й
    записи, идет информация о файлах. Атрибуты
    файла, хранящиеся в MFT, называются
    резидентными.
    Если файл имеет размер более 1КБ, то в
    соответствующей данному файлу записи
    в таблице MFT содержатся ссылки на кластеры
    тома, в которых размещены остальные
    атрибуты файла.

    Каталог
    (папка с файлами) содержит не просто
    линейный список файлов, а индекс, в
    котором имена файлов упорядочены и
    организованы в виде B-дерева. Таким
    образом, поиск файла на больших томах
    (разделах) в NTFS осуществляется намного
    быстрее, чем на томах с FAT.

    Размер
    кластера в NTFS вместе с размером тома
    растет гораздо медленнее, чем в системах
    FAT, что приводит к меньшим потерям
    дискового пространства. В табл.
    8.3
    приводятся данные о
    размере кластера на томе NTFS в зависимости
    от размера тома (для сравнения приведены
    аналогичные данные для системы FAT32):

    Таблица 8.3.

    Размер тома

    Размер кластера
    для NTFS

    Размер кластера
    для FAT32

    До 32 Мбайт
    включительно

    512 байт (1 сектор)

    Не поддерживается

    33–64 МБ

    512 байт (1 сектор)

    512 байт (1 сектор)

    65–128 МБ

    512 байт (1 сектор)

    1 КБ (2 сектора)

    129–256 МБ

    512 байт (1 сектор)

    2 КБ (4 сектора)

    257–512 МБ

    512 байт (1 сектор)

    4 КБ (8 секторов)

    513 МБ–1 ГБ

    1 КБ (2 сектора)

    4 КБ (8 секторов)

    1 ГБ–2 ГБ

    2 КБ (4 сектора)

    4 КБ (8 секторов)

    2 ГБ–4 ГБ

    4 КБ (8 секторов)

    4 КБ (8 секторов)

    4 ГБ–8 ГБ

    4 КБ (8 секторов)

    4 КБ (8 секторов)

    8 ГБ–16 ГБ

    4 КБ (8 секторов)

    8 КБ (16 секторов)

    16 ГБ–32 ГБ

    4 КБ (8 секторов)

    16 КБ (32 сектора)

    Более 32 ГБ

    4 КБ (8 секторов)

    Не поддерживается

    Из
    таблицы видно, что, начиная с томов
    размером более 2 ГБ, размер кластера
    равен 4 КБ. Отметим особо, что на томах
    с размером кластера более 4 КБ не
    поддерживается

    технология сжатия данных и дефрагментация
    тома (дефрагментация не поддерживается
    в Windows 2000). Поэтому при форматировании
    больших разделов размер кластера всегда
    по умолчанию равен 4 КБ. Если для более
    эффективной работы с файлами для каких-то
    задач необходимо, чтобы размер кластера
    был более 4 КБ, то при форматировании
    раздела надо специально указать требуемый
    размер кластера.

    8.2 Права доступа, наследование прав доступа, взятие во владение, аудит доступа к ресурсам Права доступа, наследование прав доступа, взятие во владение

    Определение
    прав доступа к файловым ресурсам
    осуществляется на основе разрешений
    (permissions).
    При определении разрешений к ресурсам,
    предоставленным в совместный доступ в
    сети, используются два типа разрешений:
    сетевые
    разрешения

    (shared folder
    permissions
    ) и
    разрешения,
    заданные в файловой системе NTFS

    (NTFS-permissions).

    Рассмотрим
    сначала сетевые разрешения. Данный вид
    разрешений не зависит от типа файловой
    системы. Сетевые
    разрешения применяются только при
    доступе к ресурсам через сеть
    .
    Если пользователь локально вошел в
    систему (локально зарегистрировался в
    системе), то, какие бы ни были назначены
    сетевые разрешения для определенной
    папки, эти разрешения не будут применяться
    ни к самой папке, ни к размещенным в ней
    файлам. В случае локальной регистрации
    пользователя, если данные размещены на
    томе с системой FAT, пользователь имеет
    полный доступ
    к этим данным, если данные размещены на
    томе NTFS, права доступа будут определяться
    разрешениями NTFS.

    Предоставление общего доступа к папке

    Предоставить
    папку на жестком диске в общее пользование
    можно двумя основными способами.

    1. Открыть
      Свойства
      папки, закладку «Доступ«,
      выбрать пункт «Открыть
      общий доступ к этой папке
      »
      (рис.
      8.29
      ):

    Рис. 8.29

    1. Открыть
      оснастку «Общие
      папки
      »
      в консоли «Управление
      компьютером
      «,
      выбрать раздел «Общие
      ресурсы
      «,
      щелкнуть правой кнопкой мыши и выбрать
      пункт «Новый
      общий ресурс
      »
      (рис.
      8.30
      ):

    Рис. 8.30

    Будет
    запущен «Мастер
    создания общих ресурсов
    »
    (рис.
    8.31
    ):

    Рис. 8.31

    Нужно
    указать путь к папке (ввести с клавиатуры
    или найти с помощью кнопки «Обзор«),
    дать название общему ресурсу (по умолчанию
    это название совпадает с именем папки,
    хотя надо иметь в виду, что не все
    приложения могут воспринимать длинные
    сетевые имена с символами не из английской
    раскладки; рис.
    8.32
    ):

    Рис. 8.32

    Далее
    нужно задать сетевые
    разрешения

    на доступ к информации, хранящейся в
    данной папке. По умолчанию назначаются
    разрешения «Чтение»
    группе «Все«.

    Могут
    быть назначены сетевые разрешения трех
    видов:

    • Чтение
      (Read)
      — чтение списка файлов и папок, чтение
      данных и запуск программ;

    • Изменение
      (Change)
      — кроме чтения данных позволяет также
      создавать новые файлы и папки, удалять
      файлы и папки, изменять данные;

    • Полный
      доступ

      (Full
      control
      )
      — в добавление к перечисленным выше
      разрешениям можно также изменять
      NTFS-разрешения (если общая папка хранится
      на томе NTFS) и получать статус владельца
      папки или файла (тоже для томов NTFS).

    Определение суммарных сетевых разрешений

    Напомним,
    что при регистрации пользователя домена
    на каком-либо компьютере контроллер
    домена выдает пользователю т.н. маркер
    доступа
    (см.
    Раздел 4), который состоит из набора
    идентификаторов безопасности (SID)
    пользователя и групп, членом которых
    он является. Именно этот маркер доступа
    и определяет, какой именно доступ получит
    пользователь к сетевому ресурсу. В том
    случае, если некий пользователь имеет
    разрешение на доступ к папке по сети, а
    также доступ определен для каких-либо
    групп, членом которых он является, то
    определение суммарных разрешений
    производится по следующей схеме:

    • сначала проверяется,
      нет ли запретов на тот или иной вид
      доступа для пользователя и групп, в
      которые он входит, если в сетевых
      разрешениях имеются запреты для
      пользователя или хотя бы одной из групп,
      в которые он входит, то данные виды
      доступа пользователю не будут
      предоставлены;

    • если на какие-либо
      виды доступа запретов нет, то действующим
      разрешением будет наибольшее разрешение,
      выданное пользователю или какой-либо
      группе, членом которой он является.

    Например,
    в ситуации, изображенной на рис.
    8.33

    имеются следующие разрешения:

    • группа
      «Все»
      — «Чтение»;

    • пользователь
      User1
      — «Чтение»;

    • группа
      Group-1
      (в которую входит пользователь User1) —
      «Изменение».

    В
    данной ситуации пользователь User1 получит
    разрешение на «Изменение» данных
    в папке и файлах.

    Рис. 8.33

    Оснастка
    «Общие папки»
    позволяет также просматривать, кто из
    пользователей и какие именно файлы и
    папки использует в настоящий момент.
    На рис.
    8.34

    показан пример использования оснастки
    «Общие папки»
    для просмотра открытых сетевых ресурсов:

    Рис. 8.34

    Подключение
    к сетевым ресурсам

    Есть
    несколько способов подключения
    пользователей к сетевым файловым
    ресурсам:

    • самый
      любимый пользователями, но не самый
      эффективный с точки зрения системы, —
      найти сначала сервер, а затем ресурс с
      помощью просмотра «Сетевого
      окружения
      «;

    • то же
      самое можно сделать, если в командной
      строке ввести т.н. UNC-имя
      сетевого ресурса (UNC
      — Universal Naming Convention
      ,
      способ именования сетевых ресурсов),
      для этого нужно нажать кнопку «Пуск»
      — выбрать пункт меню «Выполнить»
      — ввести UNC-имя в виде \<имя
      сервера><имя сетевого ресурса>
      (например, \DC1Folder1);

    • назначить
      букву диска к сетевому ресурсу; это
      можно сделать в командной строке
      командой вида «net
      use <буква диска> <UNC-имя >»
      (например, «net
      use X: \DC1Folder1»)
      либо же, открыв окно «Мой
      компьютер
      »
      можно назначить букву диска для сетевого
      ресурса с помощью мастера подключения
      сетевого диска (меню «Сервис»
      — выбрать пункт меню «Подключение
      сетевого диска
      «).

    Специальные сетевые ресурсы

    В
    любой системе на базе технологий Windows
    NT существуют специальные сетевые
    ресурсы. Имена некоторых ресурсов
    заканчиваются символом $,
    такие сетевые ресурсы через «Сетевое
    окружение
    »
    или при открытии ресурсов сервера с
    помощью команды «\<имя
    сервера>»
    не будут видны. Однако, если указать
    полное UNC-имя сетевого ресурса, то можно
    увидеть данные, размещенные в нем.

    Перечислим
    эти ресурсы:

    • ресурс
      вида «\<имя
      сервера>admin$»
      (например, \DC1admin$)
      — предназначен для удаленного
      администрирования компьютера; путь
      всегда соответствует местоположению
      папки, в которой установлена система
      Windows; к этому ресурсу могут подключаться
      только члены групп Администраторы,
      Операторы
      архива

      и Операторы
      сервера
      ;

    • ресурс
      вида «\<имя
      сервера>< буква диска>$»
      (например, \DC1C$)
      — корневая папка указанного диска;. к
      сетевым ресурсам такого типа на сервере
      Windows могут подключаться только члены
      групп Администраторы,
      Операторы
      архива

      и Операторы
      сервера
      ;
      на компьютерах с Windows XP Professional и Windows
      2000 Professional к таким ресурсам могут
      подключаться члены групп Администраторы
      и Операторы
      архива
      ;

    • ресурс
      «\<имя
      сервера>IРС$»
      (например, \DC1IP$)
      — используется для удаленного
      администрирования;

    • ресурс
      «\<имя
      сервера>NETLOGON»
      (например, \DC1NETLOGON)
      — используется только на контроллерах
      домена, в данной сетевой папке хранятся
      скрипты (сценарии) для входа пользователей
      в систему, совместимые с предыдущими
      версиями операционных систем Microsoft;

    • ресурс
      «\<имя
      сервера>SYSVOL»
      — используется только на контроллерах
      домена, в данной сетевой папке хранится
      файловая часть групповых политик;

    • ресурс
      «\<имя
      сервера>PRINT$»
      — ресурс, который поддерживает совместно
      используемые принтеры, в частности, в
      данной папке хранятся драйверы для
      совместно используемых принтеров.

    Просмотреть
    полный список ресурсов, предоставляемых
    данным сервером для совместного
    использования, можно в оснастке «Общие
    папки
    «, в
    разделе «Общие
    ресурсы
    »
    (рис.
    8.35
    ):

    Рис. 8.35

    В
    этом же разделе данной оснастки можно
    отключать ресурсы от совместного
    использования в сети, менять сетевые
    разрешения, создавать новые сетевые
    ресурсы.

    Кроме
    специальных сетевых ресурсов с символом
    $
    в конце названия ресурса, предоставленных
    группам с высокими полномочиями, с этим
    символом можно предоставить доступ к
    любому другому ресурсу, которые
    предоставляется в сетевой доступ самим
    администратором. В этом случае сетевой
    ресурс также будет скрыт при обычном
    просмотре сети, но будет доступен при
    указании полного UNC-имени, причем доступ
    можно разрешить тем группам пользователей,
    которым нужен данный ресурс.

    Разрешения ntfs

    Еще
    раз подчеркнем, что сетевые разрешения
    действуют только при доступе к ресурсам
    через сеть. Если пользователь вошел в
    систему локально, то теперь управлять
    доступом можно только с помощью разрешений
    NTFS. На томе (разделе) с системой FAT
    пользователь будет иметь полный доступ
    к информации данного тома.

    Разрешения
    NTFS можно установить, открыв Свойства
    папки или файла и перейдя на закладку
    «Безопасность»
    (Security).
    Как видно на рис.
    8.36
    , набор
    видов NTFS-разрешений намного богаче, чем
    набор сетевых разрешений.

    Рис. 8.36

    На
    томе NTFS можно назначать следующие виды
    разрешений для папок:

    • Полный
      доступ
      ;

    • Изменить;

    • Чтение
      и выполнение
      ;

    • Список
      содержимого папки
      ;

    • Чтение;

    • Запись;

    • Особые
      разрешения
      .

    Для
    файлов отсутствует вид «Чтение
    содержимого папки
    «.

    Если
    на закладке разрешений нажать кнопку
    «Дополнительно«,
    то можно осуществлять более тонкую
    настройку разрешений.

    Разрешения
    NTFS могут быть явными
    или унаследованными.
    По умолчанию все папки или файлы наследуют
    разрешения того объекта-контейнера
    (родительского
    объекта
    ), в
    котором они создаются. Использование
    унаследованных разрешений облегчает
    работу по управлению доступом. Если
    администратору нужно изменить права
    доступа для какой-то папки и всего ее
    содержимого, то достаточно сделать это
    для самой папки и изменения будут
    автоматически действовать на всю
    иерархию вложенных папок и документов.
    На рис.
    8.36
    .
    видно, что группа «Администраторы»
    имеет унаследованные разрешения типа
    «Полный
    доступ
    » для
    папки Folder1.
    А на рис.
    8.37
    .
    показано, что группа «Пользователи»
    имеет набор явно назначенных разрешений:

    Рис. 8.37

    Изменить
    унаследованные разрешения нельзя. Если
    нажать на кнопку «Дополнительно«,
    то можно отменить наследование разрешений
    от родительского объекта. при этом
    система предложит два варианта отмены
    наследования: либо скопировать прежние
    унаследованные разрешения в виде явных
    разрешений, либо удалить их совсем.

    Механизм применения разрешений

    В
    пункте 8.1 было сказано, что каждый файл
    представляет собой набор атрибутов.
    Атрибут, который содержит информацию
    об NTFS-разрешения, называется списком
    управления доступом

    (ACL, Access Control
    List
    ). Структура
    ACL приведена в табл.
    8.4
    . Каждая
    запись в ACL называется элементом
    управления доступом

    (ACE, Access Control
    Entry
    ).

    Таблица 8.4.

    ACL

    Идентификаторы
    безопасности

    Разрешения

    ACE1

    SID1

    Разрешения для
    SID1

    ACE2

    SID2

    Разрешения для
    SID2

    ACE3

    SID3

    Разрешения для
    SID3

    ,,,

    ,,,

    ,,,

    ACEn

    SIDn

    Разрешения для
    SIDn

    В
    таблице перечислены идентификаторы
    безопасности учетных записей пользователей,
    групп или компьютеров (SID) и соответствующие
    разрешения для них. На рисунках 8.36 или
    8.37 вместо SID-ов показаны имена занесенных
    в ACL пользователей и групп. В разделе 4
    говорилось, что при входе пользователя
    в сеть (при его регистрации в домене) в
    текущую сессию пользователя на компьютере
    контроллер домена пересылает маркер
    доступа, содержащий SID-ы самого пользователя
    и групп, членом которых он является.
    Когда пользователь пытается выполнить
    какое-либо действие с папкой или файлом
    (и при этом запрашивает определенный
    вид доступа к объекту), система сопоставляет
    идентификаторы безопасности в маркере
    доступа пользователя и идентификаторы
    безопасности, содержащиеся в ACL объекта.
    При совпадении тех или иных SID-ов
    пользователю предоставляются
    соответствующие разрешения на доступ
    к папке или файлу.

    Заметим,
    что когда администратор изменяет
    членство пользователя в группах (включает
    пользователя в новую группу или удаляет
    из какой-либо группы), то маркер доступа
    пользователя при этом автоматически
    НЕ изменяется. Для получения нового
    маркера доступа пользователь должен
    выйти из системы и снова войти в нее.
    Тогда он получит от контроллера домена
    новый маркер доступа, отражающий смену
    членства пользователя в группах

    Порядок применения разрешений

    Принцип
    применения NTFS-разрешений на доступ к
    файлу или папке тот же, что и для сетевых
    разрешений:

    • сначала проверяются
      запреты на какие-либо виды доступа
      (если есть запреты, то данный вид доступа
      не разрешается);

    • затем проверяется
      набор разрешений (если есть разные виды
      разрешений для какого-либо пользователя
      и групп, в которые входит данный
      пользователь, то применяется суммарный
      набор разрешений).

    Но
    для разрешений NTFS схема немного
    усложняется. Разрешения применяются в
    следующем порядке:

    • явные запреты;

    • явные разрешения;

    • унаследованные
      запреты;

    • унаследованные
      разрешения.

    Если
    SID пользователя или SID-ы групп, членом
    которых является данный пользователь,
    не указаны ни в явных, ни в унаследованных
    разрешениях, то доступ пользователю
    будет запрещен.

    Владение папкой или файлом

    Пользователь,
    создавший папку или файл, является
    Владельцем
    данного объекта. Владелец объекта
    обладает
    правами изменения NTFS-разрешений

    для этого объекта, даже если ему запрещены
    другие виды доступа. Текущего владельца
    объекта можно увидеть, открыв Свойства
    объекта, затем закладку «Безопасность«,
    затем нажав кнопку «Дополнительно»
    и перейдя на закладку «Владелец»
    (рис.
    8.38
    ):

    Рис. 8.38

    Внимание!
    Администратор системы может
    сменить владельца

    объекта, выбрав нового владельца из
    предлагаемого в данном окне списка или
    из полного списка пользователей (нажав
    кнопку «Иные
    пользователи или группы
    «).
    Эта возможность предоставлена
    администраторам для того, чтобы
    восстановить доступ к объекту в случае
    утери доступа по причине неправильно
    назначенных разрешений или удаления
    учетной записи, имевшей исключительный
    доступ к данному объекту (например,
    уволился единственный сотрудник, имевший
    доступ к файлу, администратор удалил
    его учетную запись, вследствие этого
    был полностью потерян доступ к файлу,
    восстановить доступ можно единственным
    способом — передача владения файла
    администратору или новому сотруднику,
    исполняющему обязанности уволившего
    сотрудника).

    Совместное использование сетевых разрешений и разрешений ntfs

    При
    доступе по сети к файловым ресурсам,
    размещенным на томе NTFS, к пользователю
    применяется комбинация сетевых разрешений
    и разрешений NTFS.

    При
    доступе через сеть сначала вычисляются
    сетевые разрешения (путем суммирования
    разрешений для пользователя и групп, в
    которые входит пользователь). Затем
    также путем суммирования вычисляются
    разрешения NTFS. Итоговые действующие
    разрешения, предоставляемые к данному
    конкретному объекту, будут представлять
    собой минимум
    из вычисленных сетевых и NTFS-разрешений.

    Управление доступом с помощью групп

    Группы
    пользователей созданы специально для
    того, чтобы более эффективно управлять
    доступом к ресурсам. Если назначать
    права доступа к каждому ресурсу для
    каждого отдельного пользователя, то,
    во-первых, это очень трудоемкая работа,
    и во-вторых, затрудняется отслеживание
    изменений в правах доступа при смене
    каким-либо пользователем своей должности
    в подразделении или переходе в другое
    подразделение.

    Повторим
    материал из раздела 4. Для более
    эффективного управления доступом
    рекомендуется следующая схема организации
    предоставления доступа:

    1. учетные
      записи пользователей (accounts)
      включаются в глобальные доменные группы
      (global
      groups
      )
      в соответствии со штатной структурой
      компании/организации и выполняемыми
      обязанностями;

    2. глобальные
      группы включаются в доменные локальные
      группы или локальные группы на каком-либо
      сервере (domain
      local groups
      ,
      local
      groups
      )
      в соответствии с требуемыми правами
      доступа для того или иного ресурса;

    3. соответствующим
      локальным группам назначаются необходимые
      разрешения (permissions)
      к конкретным ресурсам.

    Данная
    схема по первым буквам используемых
    объектов получила сокращенное название
    AGLP
    (Accounts


    Global
    groups

    Local
    groups

    Permissions).
    При такой схеме, если пользователь
    повышается или понижается в должности
    или переходит в другое подразделение,
    то нет необходимости просматривать
    все сетевые ресурсы
    ,
    доступ к которым необходимо изменить
    для данного пользователя. Достаточно
    изменить соответствующим образом
    членство
    пользователя в глобальных группах
    ,
    и права доступа к сетевым ресурсам для
    данного пользователя изменятся
    автоматически
    .

    Добавим,
    что в основном режиме функционирования
    домена Active Directory (режимы «Windows
    2000 основной
    »
    или «Windows
    2003
    «) с
    появлением вложенности групп и
    универсальных групп схема AGLP
    модифицируется в схему AGG…GULL…LP.

    Аудит доступа к ресурсам

    Файловая
    система NTFS позволяет осуществлять аудит
    доступа к файловым ресурсам
    ,
    т.е. отслеживать и регистрировать
    события, связанные с получением или
    неполучением доступа к тому или иному
    объекту.

    Для
    того, чтобы включить аудит, необходимо
    выполнить два действия:

    • включить политику
      аудита доступа к объектам в домене или
      том ОП, в котором размещен файловый
      сервер;

    • после применения
      политики включить аудит доступа на
      самом объекте — папке или файле.

    Первое
    действие выполняется с помощью редактора
    групповых политик:

    • откроем раздел
      «Параметры безопасности» в политике
      для соответствующего ОП, далее —
      «Локальные политики» и «Политика
      аудита»;

    • откроем параметр
      «Аудит доступа к объектам»;

    • включим
      механизм аудита для успешного доступа
      и отказа предоставления доступа (рис.
      8.39
      ).

    Рис. 8.39

    Второе
    действие выполняется на закладке «Аудит»
    после нажатия кнопки «Дополнительно»
    в параметрах безопасности объекта.
    Нужно добавить списки пользователей и
    групп, попытки доступа которых будут
    отслеживаться для данной папки или
    файла, указав при этом, какие именно
    виды доступа надо регистрировать. На
    рис.
    8.40

    показано, что будет регистрироваться
    доступ к папке Folder1группы
    «Пользователи
    домена
    «, на
    рис.
    8.41

    показаны виды доступа, которые будут
    регистрироваться для данной папки. Для
    того, чтобы можно было регистрировать
    попытки несанкционированного доступа
    к файловым ресурсам, необходимо включить
    в процесс регистрации и удачные, и
    неудачные попытки доступа.

    Рис. 8.40

    Рис. 8.41

    После
    включения механизма аудита все события
    доступа, перечисленные в настройках
    аудита, будут регистрироваться в журнале
    безопасности данного сервера (оснастка
    «Просмотр
    событий
    «,
    журнал «Безопасность«,
    категория «Доступ
    к объектам
    «).
    На рис.
    8.42

    показан пример одной из записей журнала,
    регистрирующей доступ к файлу в папке
    Folder1.
    В данном примере показано событие
    успешного
    доступа
    к
    файлу Text.txt
    пользователя Администратор:

    Рис. 8.42

    В
    заключении данного пункта отметим, что
    включать аудит большого количества
    файловых ресурсов следует с большой
    осторожностью. При большом количестве
    пользователей и обрабатываемых ими
    файлов, если включить аудит доступа к
    файлам, в журнале безопасности будет
    создаваться очень много событий. В
    случае какого-либо инцидента, например,
    при несанкционированном доступе к
    закрытой информации, найти нужную запись
    будет очень трудно. Поэтому, прежде чем
    включить аудит доступа, его необходимо
    очень тщательно спланировать. Необходимо
    определить:

    • доступ к какой
      информации необходимо отслеживать;

    • какие
      виды доступа (Чтение,
      Модификация,
      Удаление,
      Изменение
      разрешений

      и т.д.);

    • типы
      событий (успешный
      и неуспешный
      доступ);

    • для каких
      пользователей необходимо отслеживать
      доступ;

    • как часто будет
      просматриваться журнал безопасности;

    • по какой схеме
      будут удаляться «старые» события
      из журнала.

    8.3 Сжатие и шифрование информации. Квоты. Дефрагментация Сжатие и шифрование информации Сжатие информации

    Для
    экономии дискового пространства можно
    какие-либо папки или файлы сделать
    сжатыми. Процесс сжатия выполняется
    драйвером файловой системы NTFS. При
    открытии файла в программе файловая
    система распаковывает файл, после
    внесения изменений в файл при сохранении
    на диск файл снова сжимается. Делается
    это совершенно прозрачно для пользователя
    и не доставляет пользователю никаких
    хлопот.

    Для
    того, чтобы сделать папку или файл
    сжатым, необходимо открыть страницу
    Свойств
    соответствующей папки или файла, нажать
    кнопку «Другие»
    и поставить галочку у параметра «Сжимать
    содержимое для экономии места на диске
    »
    (рис.
    8.43
    ):

    Рис. 8.43

    Сжимать
    целесообразно файлы, которые при сжатии
    сильно уменьшаются в размере (например,
    документы, созданные программами из
    пакета MS Office). Не следует сжимать данные,
    которые по своей природе являются
    сжатыми — например, файлы графических
    изображений в формате JPEG, видеофайлы в
    формате MPEG-4, файлы, упакованные
    программами-архиваторами (ZIP, RAR, ARJ и
    другие).

    Ни
    в коем случае не рекомендуется сжимать
    папки с файл-серверными базами данных,
    т.к. такие БД содержат большое количество
    файлов и при их совместном использовании
    многими пользователями могут возникать
    ощутимые задержки, неизбежные при
    распаковке открываемых и сжатии
    сохраняемых файлов.

    Шифрование информации

    Системы
    семейства Windows 2000/XP/2003 и более поздние
    позволяют шифровать данные, хранящиеся
    на томе с системой NTFS. Шифрование данные
    осуществляется так же легко, как и их
    сжатие. В примере на рис.
    8.43
    можно
    вместо поля «Сжимать
    содержимое…
    »
    отметить галочкой поле «Шифровать
    содержимое для защиты данных
    »
    (заметим, что эти два параметра являются
    взаимоисключающими — можно в данный
    момент времени либо сжать данные, либо
    их зашифровать). Шифрование является
    надежным средством предотвращения
    несанкционированного доступа к
    информации, даже если будет похищен
    компьютер с этой информацией или жесткий
    диск из компьютера. Если данные
    зашифрованы, то доступ к ним имеет (с
    небольшим исключением) только тот
    пользователь, который выполнил шифрование,
    независимо от установленных разрешений
    NTFS. Шифрование производится компонентой
    «Шифрованная
    файловая система
    »
    (EFS, Encrypted File System), являющейся составной
    частью файловой системой NTFS.

    Процесс
    шифрования производится по следующей
    схеме:

    • при
      назначении файлу атрибута «Зашифрованный»
      драйвер системы EFS генерирует «Ключ
      шифрования файла
      »
      (FEK, File Encryption Key);

    • блоки данных файла
      последовательно шифруются по симметричной
      схеме (одним из алгоритмов симметричного
      шифрования, встроенных в систему);

    • ключ
      шифрования файла (FEK) шифруется по
      асимметричной схеме открытым ключом
      агента
      восстановления

      (RA,
      Recovery Agent
      );

    • зашифрованный
      ключ шифрования файла сохраняется в
      атрибуте файла, называемом «Поле
      восстановления данных
      »
      (DRF,
      Data Recovery Field
      ).

    Поле
    восстановления данных необходимо для
    защиты от потери доступа к зашифрованной
    информации в том случае, если будет
    удалена (вместе с ключом шифрования
    данных) учетная запись пользователя,
    зашифровавшего эти данные. Агент
    восстановления — это специальная
    учетная запись, для которой EFS создает
    т.н. «сертификат
    агента восстановления
    «,
    в состав которого входят открытый и
    закрытый ключи этого агента. особенность
    асимметричного шифрования заключается
    в том, что для шифрования и дешифрования
    данных используются два ключа — одним
    ключом данные шифруются, другим
    дешифруются. Открытый ключ агента
    восстановления доступен любому
    пользователю, поэтому, если пользователь
    шифрует данные, то в зашифрованных
    файлах всегда присутствует поле
    восстановления данных. Закрытый ключ
    агента восстановления доступен только
    учетной записи этого агента. Если войти
    в систему с учетной записью агента
    восстановления зашифрованных данных,
    то при открытии зашифрованного файла
    сначала расшифровывается закрытым
    ключом агента восстановления хранящийся
    в DRF ключ шифрования данных, а затем уже
    извлеченным ключом шифрования дешифруются
    сами данные.

    По
    умолчанию агентом восстановления на
    каждом отдельно взятом компьютере
    является локальная учетная запись
    Администратор
    данного компьютера. В масштабах домена
    можно установить службу сертификатов,
    сгенерировать для определенных доменных
    учетных записей соответствующие
    сертификаты, назначить эти учетные
    записи агентами восстановления (с
    помощью групповых политик) и установить
    эти сертификаты на тех файловых серверах,
    на которых необходимо шифровать данные.
    При использовании в масштабах корпоративной
    сети технологии шифрования данных
    следует предварительно спланировать
    все эти действия (развертывание служб
    сертификатов, выдача и хранение
    сертификатов, назначение агентов
    восстановления, процедуры восстановления
    данных в случае удаления учетной записи,
    с помощью которой данные были зашифрованы).

    Кроме
    того, во многих ситуациях необходимо
    также учитывать требования законодательства
    РФ об использовании только разрешенных
    на территории России алгоритмов
    шифрования данных. В таких случаях может
    потребоваться приобрести соответствующие
    разрешенные модули шифрования и встроить
    их в систему.

    Следует
    также помнить, что данные хранятся в
    зашифрованном виде только на жестком
    диске. При передаче по сети данные
    передаются с сервера на ПК пользователя
    в открытом виде (если не включены политики
    IPSec).

    Квоты

    Квоты
    — это механизм ограничения доступного
    пользователям пространства на файловом
    сервере. Если в файловых хранилищах
    отсутствует механизм квот, то пользователи
    очень быстро засоряют доступное дисковое
    пространство файлами, не имеющими
    отношения к работе, или различными
    версиями и копиями одних и тех же
    документов.

    В
    системах Windows Server используется механизм
    квотирования «На
    том/На пользователя
    »
    (Per volume/Per user).
    Т.е нельзя установить квоты на отдельные
    папки тома или для групп пользователей.
    Размер использованного пользователем
    места на диске вычисляется по атрибуту
    «Владелец
    файла
    «.

    Механизм
    квот включается на закладке «Квота»
    Свойств
    тома. Если отметить галочкой поле
    «»Включить
    управление квотами
    «,
    то включается самый «мягкий» режим
    управления квотами. В этом режиме не
    включается запрет на использование
    дискового пространства сверх установленной
    квоты, не устанавливаются сами размеры
    квот, не регистрируются события, связанные
    с превышением пользователями квот (рис.
    8.44
    ).

    Рис. 8.44

    Если
    на этой закладке нажать кнопку «Записи
    квот
    «, то
    можно получить информацию о том, какой
    объем дискового пространства использовал
    в данный момент каждый пользователь
    (рис.
    8.45
    ).

    Рис. 8.45

    Если
    включить самый жесткий механизм квот
    (рис.
    8.46
    ), то
    будет установлен запрет на превышение
    установленной квоты, в системных журналах
    будут регистрироваться предупреждения
    о превышении определенного порога, а
    также события, отражающие достижение
    пользователем допустимого предела.

    Рис. 8.46

    В
    этом режиме страница записей квот будет
    выглядеть следующим образом (рис.
    8.47
    ):

    Рис. 8.47

    Если
    на этой странице щелкнуть двойным
    щелчком мыши на какой-либо записи квот,
    то для соответствующего пользователя
    можно установить индивидуальную квоту,
    отличную от общих установок (рис.
    8.48
    ):

    Рис. 8.48

    Если
    пользователь в процессе сохранения
    информации на том, управляемый квотами,
    превысит допустимый размер, то ему будет
    выдано сообщение (рис.
    8.49
    ):

    Рис. 8.49

    При
    этом в системном журнале данного сервера
    для источника данных «ntfs»
    и категории «Диск»
    появится соответствующая запись (рис.
    8.50
    ):

    Рис. 8.50

    А
    страница записей квот будет иметь теперь
    такой вид (рис.
    8.51
    ):

    Рис. 8.51

    Дефрагментация

    В
    процессе использования файловых ресурсов
    возникает фрагментация дискового
    пространства. Возникает она из-за того,
    что при удалении файлов в образовавшееся
    свободное место записываются новые
    файлы. Если в освободившемся месте новый
    файл целиком не помещается, то файловая
    система выделяет файлу кластеры в другом
    свободном участке. Считывание такого
    фрагментированного файла с диска требует
    большего времени. При длительном
    использовании тома/раздела степень
    фрагментации увеличивается,
    производительность службы доступа к
    файлам снижается, поэтому время от
    времени требуется производить
    дефрагментацию
    тома/раздела, которая заключается в
    том, что кластеры, выделенные файлам,
    перераспределяются на томе так, чтобы
    каждый файл занимал смежные кластеры.

    Файловые
    системы семейства FAT сильнее подвержены
    фрагментации, т.к. вновь создаваемому
    файлу всегда выделяется первые найденные
    свободные кластеры (а в процессе удаления
    файлов, на томе создается много свободных
    фрагментов небольшого размера). В
    файловой системе NTFS новым файлам
    выделяются в первую очередь участки со
    смежными кластерами, и только в том
    случае, когда на томе нет непрерывного
    участка дискового пространства
    необходимого размера, тогда файлу
    выделяются не смежные кластеры.

    Для
    осуществления дефрагментации дискового
    пространства используется оснастка
    «Дефрагментация
    диска
    »
    (которая запускается нажатием кнопки
    «Выполнить
    дефрагментацию
    »
    на закладке «Сервис«,
    доступной в окне Свойств
    тома/раздела, рис.
    8.52
    ) или
    утилита командной строки defrag.exe.

    Рис. 8.52

    Оснастка
    «Дефрагментация
    диска
    »
    выполняет две операции: анализ степени
    фрагментации тома и сам процесс
    дефрагментации.

    Для
    проведения анализа необходимо нажать
    кнопку «Анализ»
    в оснастке. В результате анализа будет
    выведен краткий отчет (рис.
    8.53
    ) о
    степени фрагментации. При нажатии кнопки
    «Вывести
    отчет
    » будет
    выведен подробный отчет со списком
    фрагментированных файлов (рис.
    8.54
    ).

    Рис. 8.53

    Рис. 8.54

    Результат
    анализа очень наглядно показан также
    в графическом виде (рис.
    8.55
    ):

    Рис. 8.55

    На
    картинке используются следующие цветовые
    обозначения:

    • красный
      цвет

      — участки с фрагментированными файлами;

    • синий
      цвет

      — нефрагментированные файлы;

    • зеленый
      цвет

      — неперемещаемые файлы (это участки с
      системными файлами, которые нельзя
      перемещать в процессе дефрагментации,
      например, файл подкачки);

    • белый
      цвет

      — свободное пространство на томе.

    При
    нажатии на кнопку «Дефрагментация»
    начнется процесс дефрагментации, его
    длительность зависит от размера тома,
    степени его фрагментированности, степени
    загруженности сервера. Очень рекомендуется
    производить дефрагментацию в нерабочее
    время, т.к. фрагментация требует
    значительных ресурсов сервера и замедляет
    работу службы предоставления файлов в
    общее пользование. По окончании процесса
    фрагментации картинка в оснастке
    «Дефрагментация
    диска
    » будет
    выглядеть следующим образом (рис.
    8.56
    ):

    Рис. 8.56

    На
    рисунке очень хорошо показана стратегия
    файловой системы NTFS — размещать файлы
    в непрерывных
    свободных участках тома. Здесь видно,
    что большие фрагментированные файлы,
    находившиеся примерно в середине тома,
    были перемещены в свободный участок в
    конце тома.

    Выше
    уже говорилось, что в системе Windows 2000 не
    осуществляется дефрагментация томов
    с размером кластера более 4 Кбайт (эту
    задачу могут выполнять программы
    дефрагментации сторонних разработчиков).
    В Windows 2000 также отсутствует утилита
    дефрагментации defrag.exe,
    которая запускается в командной строке
    и не требует интерактивного взаимодействия
    в графическом режиме (что позволяет
    запускать эту утилиту по расписанию в
    Назначенных
    заданиях
    и
    проводить дефрагментацию в ночное время
    и выходные дни).

    8.4 Термины и понятия сетевой печати. Установка драйверов, настройка принтеров. Протокол ipp (Internet Printing Protocol)

    Системы
    семейства Windows Server предоставляют богатые
    возможности совместного использования
    принтеров, а также средства управления
    данным процессом.

    В
    системе Windows Server имеются следующие
    основные возможности управления печатью:

    • предоставление
      совместного доступа к принтерам;

    • публикация
      принтеров в Active Directory для быстрого
      поиска имеющихся в сети принтеров;

    • автоматическая
      загрузка клиентом с сервера печати
      драйвера принтера со всеми настройками
      данного принтера;

    • перенаправление
      порта принтера на другое устройство
      печати (позволяет быстро восстановить
      возможности печати при выходе одного
      из устройств печати из строя);

    • создание пула
      принтеров (привязка одного принтера к
      нескольким устройствам печати для
      повышения быстродействия печати);

    • привязка нескольких
      принтеров к одному устройству печати
      (для более гибкого управления доступом
      к принтерам);

    • печать
      через
      Интернет
      (Internet Printing Protocol).

    Термины и понятия сетевой печати

    Определим
    сначала основные термины, используемые
    в данном пункте.

    • Устройство
      печати

      (Print
      device
      )
      — физическое устройство, на котором
      осуществляется вывод информации на
      бумагу или иные виды носителей;

    • Принтер
      (Printer)
      — объект операционной системы
      (программный интерфейс между системой
      и портом);

    • Порт
      (Port)
      — объект системы, связывающий принтер
      и устройство
      печати
      ;

    • Драйвер
      принтера

      (Printer
      driver
      )
      — программная компонента, преобразующая
      информацию из компьютера в набор команд,
      соответствующий данной модели устройства
      печати
      ;

    • Сервер
      печати

      (Print
      server
      )
      — компьютер, получающий от приложений,
      работающих на компьютерах в сети,
      задания на печать документов;

    • Очередь
      печати

      (Print
      queue
      )
      — очередь документов, ожидающих вывода
      на устройство
      печати
      ;

    • Спулер
      (Spooler)
      — компонента системы, которая временно
      сохраняет на жестком диске сервера
      документы, содержащиеся в очереди
      печати
      .

    Такая
    терминология и соответствующая
    организация управления печатью позволяет
    очень эффективно использовать сетевые
    принтеры, быстро восстанавливать
    функционирование принтера при выходе
    из строя устройства печати, создавать
    пулы принтеров, гибко управлять доступом
    к принтерам для различных пользователей.

    Следует
    иметь в виду, что все эти термины относятся
    не только к серверным редакциям системы
    Windows, но и к Windows 2000/XP Professional, которые
    содержат в себе службы файлов и печати,
    но с ограничением на 10 одновременных
    клиентских подключений.

    Установка драйверов, настройка принтеров

    Рассмотрим
    на примерах и обсудим как общие, так и
    частные вопросы установки и настройки
    различных компонент сетевой службы
    печати:

    • установка и
      настройка принтера, предоставление
      общего доступа к принтеру по сети;

    • настройка сервера
      печати;

    • подключение
      клиентского ПК к серверу печати, загрузка
      драйверов;

    • перенаправление
      портов;

    • создание пула
      принтеров;

    • привязка нескольких
      принтеров к одному устройству печати
      и управление доступом к принтерам.

    Напомним,
    что в нашей учебной конфигурации имеется
    домен world.ru,
    в котором установлены два сервера (оба
    являются контроллерами домена) — DC1
    и DC2.

    Установка принтера на сервере

    1. Запустим
      мастер установки принтера на сервере
      DC1: кнопка «Пуск»
      — «Принтеры
      и факсы
      »
      — «Установка
      принтера
      »
      — кнопка «Далее«.

    2. Выберем
      тип принтера — «Локальный»
      (если принтер подключен к какому-либо
      физическому порту сервера и система
      Windows может определить этот принтер с
      помощью технологии «Plug and Play», то
      нужно отметить галочкой соответствующее
      поле), нажмем кнопку «Далее»
      (рис.
      8.57
      ):

    Рис. 8.57

    Если
    выбираем вариант «Сетевой
    принтер
    «,
    то нужно будет либо найти принтер в
    Active Directory, либо указать точный UNC-путь к
    принтеру в формате «\serverprinter»,
    либо указать путь к принтеру в Интернете,
    рис.
    8.58
    :

    Рис. 8.58

    1. Продолжим
      установку локального принтера. Выберем
      порт LPT1 (рис.
      8.59
      ):

    Рис. 8.59

    На
    данном этапе можно создать новый
    локальный порт и выбрать, например, порт
    TCP/IP. Таким образом, на данном сервере
    будет считаться локальным принтер,
    имеющий свой сетевой адаптер и подключенный
    к сети по протоколу TCP/IP.

    1. Если
      принтер автоматически не определился
      системой, то выберем модель принтера
      из списка, например, HP LaserJet 5Si (можно
      указать путь к драйверу принтера, нажав
      кнопку «Установить
      с диска
      «),
      нажмем кнопку «Далее»
      (рис.
      8.60
      ):

    Рис. 8.60

    1. Введем
      имя принтера, например, «Printer1»,
      нажмем «Далее»
      (рис.
      8.61
      ):

    Рис. 8.61

    1. Разрешим
      сетевой доступ к этому принтеру, нажмем
      «Далее»
      (рис.
      8.62
      ):

    Рис. 8.62

    1. Далее
      можно заполнить необязательные поля
      «Размещение»
      и «Комментарий«,
      которые могут оказаться очень полезными,
      когда на сервере установлено несколько
      принтеров, нажмем «Далее«.

    2. Затем
      система предложит напечатать пробную
      страницу (мы этот шаг пропустим). Кнопка
      «Далее»
      (система при этом скопирует из дистрибутива
      в системные папки драйвер принтера),
      кнопка «Готово«.

    Выполним
    аналогичную последовательность действий
    на сервере DC2, выбрав для принтера имя
    Printer2.

    Подключение к сетевому принтеру с клиентского пк

    В
    качестве клиента будем использовать
    компьютер DC1. Подключимся с сервера DC1
    к принтеру, установленному на сервере
    DC2. Можно это сделать с помощью того же
    мастера установки принтера, указав в
    нужном месте UNC-путь к принтеру в виде
    «\DC2Printer2»,
    а можно просто открыть в командной
    строке ресурсы сервера DC2 («Пуск»
    — «Выполнить»
    — «\DC2»)
    и подключиться к установленному на
    сервере принтеру (рис.
    8.63
    ).

    Рис. 8.63

    Еще
    один вариант — найти в Active Directory принтер,
    установленный на сервере DC2 и подключиться
    к нему. Откроем «Пуск»
    — «Поиск«,
    выберем поиск принтеров, найдем все
    принтеры в сети и подключимся к принтеру
    Printer2
    (рис.
    8.64
    ).

    Рис. 8.64

    В
    процессе установки клиентская часть
    системы выполнит все необходимые
    подключения и, самое главное, автоматически
    загрузит с сервера драйвер принтера

    (если он не был установлен на клиентском
    компьютере). Все
    операционные системы на базе технологий
    Windows NT

    автоматически загружают драйверы
    принтера с сервера при подключении к
    принтеру. Кроме того, при каждом новом
    подключении, например, при отправке
    задания на печать, клиент проверяет, не
    обновилась ли версия драйвера на сервере,
    и в случае обновления также автоматически
    загружает к себе обновленный драйвер.
    Те драйверы, которые содержатся в базе
    данных драйверов Windows Server 2003, работают
    только в системах Windows 2000/XP/2003. Драйверы
    для более ранних систем на базе Windows NT,
    то их нужно установить на сервере с
    дискеты или CD, поставляемых производителем
    принтера.

    Общие параметры сервера печати

    Откроем
    папку «Принтеры
    и факсы
    «,
    выберем в меню «Файл»
    пункт «Свойства
    сервера
    «.

    Закладка
    «Порты«.
    На данной закладке можно изменить
    настройки какого-либо порта, удалить
    ненужный порт или добавить новый порт,
    например, локальный TCP/IP-порт. Заметим,
    что в качестве локального порта можно
    указать порт в виде UNC-имени «\serverprinter»
    (рис.
    8.65
    ).

    Рис. 8.65

    Закладка
    «Драйверы«.
    На данной закладке можно добавить,
    обновить или удалить драйвер для
    какого-либо принтера.

    Закладка
    «Дополнительные
    параметры
    «.
    На данной закладке можно указать путь
    к папке очереди
    печати
    (файлу
    спулинга
    ),
    отличный от пути по умолчанию. Это
    целесообразно делать в том случае, если
    сервер печати предназначен для печати
    большого объема документов. Не
    рекомендуется размещать файл спулинга
    специализированного и очень нагруженного
    сервера печати на том же жестком диске,
    что и операционная система и файл
    подкачки.

    Свойства принтера

    Выберем
    в папке «Принтеры
    и факсы
    »
    нужный принтер, откроем его Свойства.

    Закладка
    «Общие«.
    Кнопка «Настройка
    печати
    » —
    настройка параметров печати (лотки с
    подачей бумаги, разрешение печати и
    др.); кнопка «Пробная
    печать
    » —
    печать пробной страницы.

    Закладка
    «Доступ«.
    Управление доступом к принтеру по сети
    — предоставление или отмена общего
    доступа, публикация принтера в Active
    Directory. Кнопка «Дополнительные
    драйверы
    »
    — установка на сервере дополнительных
    драйверов для различных операционных
    систем на базе Windows NT.

    Закладка
    «Порты«.
    На этой закладке можно переназначить
    принтер на другой порт (фактически —
    на другое устройство печати), если
    текущее используемое устройство печати
    вышло из строя. Если отметить поле
    «Разрешить
    группировку принтеров в пул
    «,
    то можно выбрать для данного принтера
    одновременно несколько портов; в этом
    случае конкретные документы будут
    выводиться на печать на том устройстве,
    которое будет свободно.

    Закладка
    «Дополнительно«.
    Здесь можно настроить расписание, в
    которое доступен данный принтер (по
    умолчанию принтер доступен круглые
    сутки). Если, например, создать на сервере
    различные объекты принтеров, привязать
    их к одному и тому же устройству печати,
    назначить им различное расписание
    доступности, а на закладке «Безопасность»
    дать доступ различным группам
    пользователей, то одно и то же устройство
    печати будет доступно различным группам
    пользователей в различное время.

    На
    этой же закладке есть настройки
    использования очереди печати (файла
    спулинга), рекомендуем оставить данные
    настройки без изменений, в системе
    выбран наиболее оптимальный вариант.
    Если отметить поле «Сохранять
    документы после печати
    «,
    то напечатанные документы не будут
    удаляться из очереди (их нужно будет
    удалять вручную). Данный параметр может
    быть полезен в том случае, если требуется
    время от времени делать повторную печать
    документов (без запуска соответствующих
    приложений) или необходимо ежедневно
    контролировать, какие документы
    печатаются на принтере.

    Кнопка
    «Страница-разделитель»
    позволяет вставлять между документами
    специальные страницы, которые разделяют
    документы и, кроме того, позволяют менять
    режим работы принтера. Шаблоны
    страниц-разделителей хранятся в файлах
    с расширением «.sep».
    В системе имеются 4 стандартных
    страницы-разделителя:

    • pcl.sep
      — переключает принтер в режим печати
      PCL и печатает страницу-разделитель
      перед каждым документом;

    • pscript.sep
      — переключает принтер в режим печати
      PostScript, не печатает страницу-разделитель
      перед документами;

    • sysprint.sep
      — переключает принтер в режим печати
      PostScript и печатает страницу-разделитель
      перед каждым документом;

    • sysprtj.sep
      — печатает страницу-разделитель перед
      каждым документом с указанием параметров
      задачи.

    Использование
    страниц-разделителей целесообразно
    тогда, когда необходимо разделять
    задания, отправленные разными
    пользователями, или в случае, когда
    необходимо переключать режим работы
    принтера для различных документов.

    Закладка
    «Безопасность»
    — управление разрешениями на доступ к
    принтеру.

    Закладка
    «параметры
    устройства
    »
    — настройка параметров устройства
    печати.

    Управление очередью печати

    Откроем
    конкретный принтер в папке «Принтеры
    и факсы
    «,
    например, Printer1.
    В окне принтера будут видны задания,
    стоящие в очереди печати (рис.
    8.66
    ). На
    рисунке показаны названия документов,
    состояние документа в очереди, имя
    пользователя, печатающего данный
    документ, количество страниц, размер
    документа, дата и время отправки задания
    на печать.

    Рис. 8.66

    Раздел
    меню «Принтер«,
    кроме настроек принтера, рассмотренных
    ранее, позволяет выполнять следующие
    действия с очередью печати:

    • «Приостановить
      печать
      »
      — приостановка процесса печати, данное
      действие может оказаться необходимым
      для каких-либо действий с устройством
      печати (например, заправка бумаги);

    • «Очистить
      очередь печати
      »
      — удалить все здания из очереди печати.

    Раздел
    меню «Документ»
    позволяет выполнить такие операции с
    документами в очереди:

    • «Приостановить»
      — приостановить процесс печати
      документа;

    • «Продолжить»
      — продолжить печатать документ, печать
      которого была приостановлена;

    • «Перезапустить»
      — повторный запуск документа на печать;

    • «Отменить»
      — отменить печать документа.

    Если
    щелкнуть двойным щелчком мыши на
    документе в очереди, то откроется окно
    свойств печатаемого документа, из
    которых наиболее важное — «Приоритет«,
    задаваемый в диапазоне от 1 до 99. Если
    повысить приоритет задания, то оно будет
    печататься раньше, чем задания с более
    низким приоритетом (рис.
    8.67
    ).

    Рис. 8.67

    Замечание.
    При управлении очередью печати бывают
    случаи, когда документ «зависает»
    в очереди и не удаляется из нее, особенно
    если возникли какие-либо ошибки во время
    печати (рис.
    8.68
    ).

    Рис. 8.68

    Чтобы
    очистить очередь от таких «зависших»
    документов, необходимо перезапустить
    службу «Диспетчер
    очереди печати
    »
    (Spooler).

    Протокол ipp (Internet Printing Protocol)

    Системы
    семейства Windows Server поддерживают протокол
    печати через Интернет

    (IPP,
    Internet Printing
    Protocol
    ), работающий
    поверх протокола HTTP и позволяющий
    пользователям подключаться к принтерам,
    размещенным в сетях Интернет/интранет.
    Поддержка данной технологии актуальна
    в больших корпоративных сетях, состоящих
    из большого числа IP-сетей, в которых не
    всегда эффективно работают стандартное
    взаимодействие между пользователем и
    сервером через вызовы
    удаленных процедур

    (RPC,
    Remote Procedure call).

    Установка службы печати через Интернет

    Служба
    печати через Интернет устанавливается
    достаточно просто, как и большинство
    других компонент системы Windows Server.

    1. Нажмем
      кнопку «Пуск«,
      далее — «Панель
      управления
      »
      — «Установка
      и удаление программ
      »
      — кнопка «Установка
      компонентов Windows
      «.

    2. Выберем
      в списке строку «Сервер
      приложений
      «,
      но не будем ставить галочку для этой
      строки, а нажмем кнопку «Состав»
      (рис.
      8.69
      ):

    Рис. 8.69

    1. Выберем
      «Службы
      IIS
      «,
      не ставя галочку, также нажимаем кнопку
      «Состав«,
      отмечаем поле «Печать
      через Интернет
      »
      (рис.
      8.70
      ),
      все необходимые компоненты система
      добавит автоматически. Далее нажимаем
      нужное количество раз кнопки «ОК«,
      «Далее»
      и «Готово«.

    Рис. 8.70

    Подключение клиента

    Подключение
    пользователя и управление заданиями —
    все эти операции выполняются через
    Обозреватель Интернета.

    1. Для
      подключения к серверу печати необходимо
      в строке адреса Обозревателя ввести
      адрес в формате «http://<server>/printers«.
      В нашей учебной сети это будет выглядеть
      как «http://dc1.world.ru/printers»
      или «http://dc2.world.ru/printers«.
      После подключения увидим веб-страницу
      сервера печати (рис.
      8.71
      ):

    Рис. 8.71

    1. Щелкнем
      мышью на ссылке, указывающей на нужный
      принтер (в примере — Printer2), затем щелкнем
      по ссылке «Подключить»
      (эта ссылка выделена жирным шрифтом),
      система произведет подключение к
      принтеру, причем драйвер принтера
      автоматически загрузится и установится
      на клиентский ПК (рис.
      8.72
      ):

    Рис. 8.72

    Теперь
    принтер подключен на клиентском ПК, и
    им можно пользоваться для печати
    документов из любого приложения.

    Управление очередью печати

    Управление
    документами в очереди также осуществляется
    в Обозревателе Интернета. Отправим на
    печать несколько документов и проверим
    состояние очереди (рис.
    8.73
    ):

    Рис. 8.73

    В
    окне Обозревателя мы можем приостанавливать
    и продолжать печать выбранного документа,
    отменять печать документа, очищать
    очередь печати.

    9. Лабораторная работа: Служба файлов и печати

    Лабораторная
    работа освещает вопросы работы с
    файловыми системами операционной
    системы Windows Server 2003. Раскрыты темы
    управления правами доступа к файловым
    ресурсам, квотирования дискового
    пространства, аудита доступа к файлам,
    сжатия и шифрования файлов в файловой
    системе NTFS. Приведено пошаговое описание
    установки принтеров в системе Windows
    Server 2003

    Упражнение 1. Подготовка контроллеров домена для упражнений с дисками и файловыми системами.

    Цель упражнения

    Ослабить
    политики безопасности домена и
    контроллеров домена для локальной
    работы обычных пользователей.

    Получить
    начальные навыки управления
    пользователями и группами

    Внимание!
    В данном и во всех последующих
    упражнениях параметр N в имени
    пользователя или группы равен 1
    для первого
    компьютера
    пары и 2
    — для второго
    компьютера пары.

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Домен и контроллеры
    домена с ослабленными политиками
    безопасности. Несколько пользователей
    и групп в домене.

    Предварительные
    навыки

    Общие сведения
    об управлении службой каталогов Active
    Directory

    Задания

    1

    Отключение
    строгих политик учетных записей
    (выполняется на одном из контроллеров
    домена)

    Внимание!
    В реальной рабочей системе ни в коем
    случае не отключайте строгие политики
    учетных записей. В упражнении это
    делается только для облегчения
    переключения сеансов пользователей.

    Отключите
    строгие политики учетных записей

    1. Запустите
      консоль «Политика
      безопасности домена»

    2. Раскрыть
      «Параметры
      безопасности» — «Политики учетных
      записей» —

    «Политика
    паролей»

    Установить
    значения параметров:

    «Мин.
    длина пароля» —
    0
    символов

    «Мин.
    срок действия пароля» —
    0
    дней

    «Пароли
    должны отвечать требованиям сложности»
    Отключен

    «Требовать
    неповторяемости паролей» —
    0
    хранимых паролей

    1. Закройте все
      окна

    2. Синхронизируйте
      контроллеры домена:

    Консоль
    «Active
    Directory-
    сайты
    и
    службы»

    Раскрыть
    списки
    «Sites»
    — «Default-First-Site-Name» — «Servers» —
    «<имя
    сервера>»-

    Установить
    указатель мыши на «NTDS
    Settings»

    В
    правой части окна щелкнуть правой
    кнопкой мыши на контроллере домена —

    Выбрать
    пункт «Реплицировать
    сейчас»

    1. Примените
      политики безопасности:

    в
    командной строке ввести команду

    gpupdate

    2

    Разрешение
    локального входа в систему простым
    пользователям домена (выполняется на
    одном из контроллеров домена)

    Внимание!
    В реальной рабочей системе ни в коем
    случае не разрешайте локальный вход
    на серверы простым пользователям. В
    упражнении это делается только для
    облегчения переключения сеансов
    пользователей.

    Разрешите
    локальный вход в систему группе
    «Пользователи
    домена»

    1. Запустите
      консоль «Политика
      безопасности контроллеров домена»

    2. Далее:

    «Параметры
    безопасности» — «Локальные
    политики» — «Настройка прав
    пользователей» — «Локальный вход
    в систему»

    1. Добавьте
      группу «Пользователи
      домена»

    2. Закройте все
      окна

    3. Синхронизируйте
      контроллеры домена

    4. Примените
      политики безопасности

    3

    Создание
    пользователей в домене (выполняется
    на обоих контроллерах домена)

    Создать
    в домене пользователей User1-N,
    User2-N

    1. Запустите
      консоль «Active
      Directory — пользователи и компьютеры».

    2. Откройте
      контейнер «Users».

    3. Создайте
      пользователей с именами User1-N,
      User2-N.

    4. Создайте
      группы с именами Group1-N
      и Group2-N,
      включите в них пользователей User1-N
      и User2-N.

    5. Изучите свойства
      учётной записи пользователя.

    6. Проверьте
      локальный вход в систему для
      пользователей User1-N,
      User2-N.

    Упражнение 2. Управление дисками.

    Цель упражнения

    Получить навыки
    управления разделами на жестких дисках
    сервера

    Исходная
    конфигурация компьютера

    Компьютеры
    с операционной системой Windows 2003 Server с
    созданными контроллерами домена

    На
    жестком диске — неразмеченная область
    не менее 1 ГБ

    Результат

    Предварительные
    навыки

    Общие сведения
    об управлении дисками

    Задания

    1

    Создание раздела
    на жестком диске

    1. Создайте раздел
      (логический диск) в неразмеченной
      области жесткого диска (если на диске
      отсутствует дополнительный раздел,
      то сначала создайте дополнительный
      раздел в неразмеченной области).

    2. Запустите
      консоль «Управление
      компьютером»

    3. Выберите
      «Управление
      дисками»

    4. На свободном
      месте дополнительного раздела создайте
      логический диск размером 100-200 МБ.

    5. Назначьте
      логическому диску букву из имеющихся
      свободных букв (например, X.)

    6. Отформатируйте
      логический диск под файловую систему
      FAT32.

    2

    Создание папки
    и проверка локальных прав доступа

    1. На
      новом логическом диске создайте папку
      (с именем, например, Folder)

    2. Откройте
      Свойства
      данной
      папки. Проверьте наличие закладки
      «Безопасность»

    3

    Преобразование
    файловой системы FAT32 в систему NTFS

    1. Преобразуйте
      файловую систему на разделе X:
      из FAT32 в NTFS: в командной строке

    convert
    X: /fs:ntfs

    1. Откройте
      Свойства
      папки
      Folder.
      Проверьте наличие закладки
      «Безопасность».

    4

    Монтирование
    раздела (тома) в пустую папку

    1. Смонтируйте
      созданный логический диск в пустую
      папку на другом разделе

    Создайте
    папку с именем «Disk»
    на разделе с файловой системой NTFS
    (раздел С:
    или D:)

    1. Запустите
      консоль «Управление
      компьютером»

    2. Выберите
      «Управление
      дисками»

    3. Щелкните
      правой кнопкой мыши на разделе X:

    Выберите
    «Изменить
    букву диска или путь к диску» —

    Выберите
    букву X:,
    нажмите кнопку «Удалить»

    Щелкните
    правой кнопкой мыши на разделе —

    Выберите
    «Изменить
    букву диска или путь к диску» —

    Нажмите
    кнопку «Добавить»
    — «Подключить том как пустую
    NTFS-папку» —
    Кнопка
    «Обзор»
    Найдите
    папку Disk

    1. Изучите
      свойства папки Disk

    5

    Изменение буквы
    у раздела (тома)

    Снова
    назначьте букву X:
    для раздела, который смонтировали в
    пустую папку

    1. Запустите
      консоль «Управление
      компьютером»

    2. Выберите
      «Управление
      дисками»

    3. Щелкните правой
      кнопкой мыши на смонтированном разделе

    Выберите
    «Изменить
    букву диска или путь к диску» —

    Выберите
    путь к папке Disk, нажмите кнопку «Удалить»

    Щелкните
    правой кнопкой мыши на разделе —

    Выберите
    «Изменить
    букву диска или путь к диску» —
    Нажмите
    кнопку «Добавить»
    — «Назначить букву диска (A-Z)»-
    Выберите
    букву X:

    Упражнение 3. Управление доступом к файловым ресурсам (сетевые права доступа, локальные права доступа, взятие во владение).

    Цель упражнения

    Получить навыки
    управления доступом к файловым ресурсам
    (локальные права доступа, сетевые
    права доступа, взятие во владение)

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Предварительные
    навыки

    Общие сведения
    об управлении доступом (локально и по
    сети)

    Задания

    1

    Локальные права
    доступа с запретом доступа (разрешения
    NTFS)

    1. Создайте
      папку на разделе NTFS (например, папку
      Folder
      на разделе X:).Разместите
      в ней различные документы (файлы).

    2. Назначьте
      локальные права доступа к папке
      Folder:

    Группа
    «Все»
    Полный доступ

    Группа
    Group1-N
    Запрет
    доступа

    1. Проверьте
      доступ к папке для пользователя
      User1-N:

    войдите
    в систему как пользователь User1-N;

    попытайтесь
    открыть папку Folder и размещенные в ней
    документы.

    list>

    2

    Локальные права
    доступа (разрешения NTFS)

    1. Назначьте
      локальные права доступа к папке
      Folder:

    Удалить
    группу «Все»

    Группа
    Group1-N
    Чтение
    Группа
    Group2-N
    Изменение

    1. Проверьте
      доступ для пользователя User1-N

    войдите
    в систему как пользователь User1-N;

    попытайтесь
    открыть папку Folder и размещенные в ней
    документы; попытайтесь изменить
    имеющиеся документы; попытайтесь
    создать новые документы.

    3

    Сетевые и
    локальные права доступа

    1. Откройте сетевой
      доступ к папке Folder

    Сетевые
    разрешения:

    Группа
    «Все»
    Чтение

    1. Сравните
      доступ к папке и её содержимому при
      доступе через сеть (например,
      \SERVERFolder)
      и
      локально (например, X:Folder)

    4

    Взятие во
    владение файловых ресурсов

    1. Войдите
      в систему как пользователь User1-N

    2. Создайте папку

    3. Откройте
      Свойства
      папки

    4. Перейдите
      на закладку «Безопасность»

    нажмите
    кнопку «Дополнительно»

    уберите
    галочку у поля «Разрешить
    наследование разрешений от родительского
    объекта к этому объекту …»

    в
    появившейся панели нажмите кнопку
    «Удалить»

    далее
    кнопка «ОК’
    — на вопрос
    «Хотите
    продолжить»
    кнопка
    «Да»

    нажмите
    кнопку «Добавить»
    и добавьте
    пользователя User1-N

    назначьте
    права доступа «Полный
    доступ»

    кнопка
    «ОК’

    1. Войдите в систему
      как Администратор

    2. Попытайтесь
      открыть созданную пользователем
      User1-N
      папку и

    3. размещенные в
      ней документы

    4. Откройте
      Свойства
      папки

    5. Перейдите
      на закладку «Безопасность»

    нажмите
    кнопку «Дополнительно»

    откройте
    закладку «Владелец»

    выберите
    в списке группу «Администраторы»

    поставьте
    галочку у поля «Заменить
    владельца подконтейнеров и объектов»

    Кнопка
    «ОК’ —

    Кнопка
    «Да»

    1. В появившемся
      списке доступа к папке добавьте группу

    «Администраторы»

    назначьте
    права доступа этой группе «Полный
    доступ»

    кнопка
    «OK»

    1. Снова
      попытайтесь открыть данную папку и
      расположенные в ней документы.

    Упражнение 4. Дефрагментация раздела.

    Цель упражнения

    Получить навыки
    выполнения дефрагментации раздела
    жесткого диска

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Дефрагментированный
    раздел

    Предварительные
    навыки

    Общие сведения
    о дефрагментации

    Задания

    1

    Анализ
    фрагментации раздела диска, выполнение
    дефрагментации

    1. Создайте
      раздел X:
      на жёстком диске размером 300 МБ с
      файловой системой NTFS

    2. Скопируйте на
      него какую-либо информацию (100-200 МБ)

    3. Проанализируйте
      степень фрагментации

    Консоль
    «Управление
    компьютером» —

    «Дефрагментация
    диска» —

    Кнопка
    «Анализ»
    — Кнопка
    «Вывести
    отчет» —

    Изучите
    степень фрагментации жесткого диска

    Примечание

    В
    качестве раздела для анализа можно
    выбрать раздел, на котором установлена
    операционная система Windows Server

    1. Выполните
      дефрагментацию раздела

    Кнопка
    «Дефрагментация»

    Проследите
    ход выполнения дефрагментации

    1. Выполните
      повторный анализ фрагментации,
      сравните с исходной информацией

    Упражнение 5. Управление квотами.

    Цель упражнения

    Получить навыки
    управления квотами на дисковое
    пространство

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Раздел с
    настроенными квотами для пользователей

    Предварительные
    навыки

    Общие сведения
    об управлении квотами

    Задания

    1

    Назначение
    квот для раздела жесткого диска

    1. Установите
      квоты для раздела X:
      объемом 20 МБ с запретом выделения
      пространства при превышении квоты и
      регистрацией событий в системных
      журналах: Открыть Свойства
      раздела
      жесткого диска — Закладка «Квота»

      Выбрать «Включить
      управление квотами» —

      Выбрать «Не
      выделять место на диске при превышении
      квоты» —

      Назначить квоты по умолчанию

    «Выделять
    на диске не более» — 20 МБ

    «Порог
    выдачи предупреждений» -10 МБ

    Протоколирование
    превышения квоты — выбрать оба пункта

    Кнопка
    «Применить»

    1. Изучите новые
      записи квот:

    Кнопка
    «Записи
    квот»

    2

    Изучение
    функционирования механизма квот

    1. Войдите
      в систему как User1-N

    2. Проверьте
      объем свободного пространства на
      разделе X:

    3. Скопируйте
      большой объём данных на раздел X:

    4. Проанализируйте
      сообщения системы

    5. Выполните
      аналогичные действия для пользователя
      User2-N

    6. Войдите
      в систему как Администратор и изучите
      записи квот для пользователей на
      разделе X:

    7. Изучите записи
      в системных журналах событий

    8. Откройте
      записи квот для раздела X:,
      измените размер квоты для пользователя
      User2-N

    9. Проверьте
      размер свободного пространства для
      пользователей User1-N
      и User2-N

    Упражнение 6. Сжатие и шифрование файлов.

    Цель упражнения

    Получить навыки
    сжатия и шифрования информации

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Предварительные
    навыки

    Общие сведения
    о сжатии и шифровании информации,
    особенности управления шифрованием
    данных

    Задания

    1

    Сжатие данных
    на диске

    1. Войдите в систему
      как Администратор

    2. Откройте
      Свойства папки «X:Folder»

    3. На
      закладке «Общие»
      нажмите
      кнопку «Другие»

    4. В
      разделе «Атрибуты
      сжатия и шифрования»
      поставьте
      галочку у поля

    «Сжимать
    содержимое для экономии места на
    диске»

    1. Снова
      откройте Свойства папки, сравните
      поля «Размер»
      и
      «На
      диске»

    2

    Шифрование
    данных

    1. Откройте
      Свойства папки «X:
      Folder»

    2. На
      закладке «Общие»
      нажмите
      кнопку «Другие»

    3. В
      разделе «Атрибуты
      сжатия и шифрования»
      поставьте
      галочку у поля «Шифровать
      содержимое для защиты данных»

    4. Войдите
      в систему как User1-N

    5. Попытайтесь
      открыть папку и размещенные в ней
      документы.

    6. Войдите в систему
      как Администратор

    7. Отключите
      шифрование папки

    3

    Шифрование
    данных (изучение работы агента
    восстановления зашифрованных данных)

    1. Войдите
      в систему как User1-N

    2. Откройте
      Свойства папки «X:Folder»

    3. Включите
      шифрование папки

    4. Войдите в систему
      как Администратор

    5. Попытайтесь
      открыть папку и размещенные в ней
      документы.

    6. Сравните
      результаты попытки на обоих контроллерах
      домена

    7. Объясните
      различие в результатах

    Упражнение 7. Аудит доступа к файловым ресурсам.

    Цель упражнения

    Получить навыки
    управления аудитом доступа к файловым
    ресурсам

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Настроенный
    аудит доступа к файловым ресурсам

    Предварительные
    навыки

    Общие сведения
    о настройке аудита

    Задания

    1

    Включение
    политики аудита

    • Войдите в систему
      как Администратор

    • Запустите
      консоль «Политика
      безопасности контроллеров домена»

    • Далее:

    «Параметры
    безопасности» — «Локальные
    политики» — «Политика аудита»
    Откройте
    параметр «Аудит
    доступа к объектам»

    Поставьте галочки у обоих полей «Успех»
    и «Отказ»

    2

    Включение
    аудита доступа к файлам для конкретной
    папки

    1. Откройте
      Свойства папки «X:Folder»

    2. Далее:

    Закладка
    «Безопасность»

    Кнопка
    «Дополнительно»

    Закладка«Аудит»

    Кнопка
    «Добавить»

    Добавьте
    группу «Пользователи»

    Кнопка
    «ОК»

    Поставьте
    галочки в столбцах «Успех»
    и «Отказ»
    для строк
    «Чтение
    данных», «Удаление папок и файлов»

    нажмите
    кнопку «ОК»
    нужное число
    раз

    Тестирование
    аудита доступа к файлам

    1. Войдите
      в систему как Администратор и как
      User1-N

    2. Откройте
      папку «X:Folder»

    3. Попытайтесь
      открывать размещенные в папке файлы

    4. Попытайтесь
      удалить размещенные в папке файлы

    5. Войдите в систему
      как Администратор

    6. Откройте
      консоль «Просмотр
      событий»

    7. Откройте
      журнал «Безопасность»

    8. Изучите
      записи журнала из категории «Доступ
      к объектам»

    Упражнение 8. Автономные файлы.

    Цель упражнения

    Получить навыки
    управления автономными файлами для
    мобильных пользователей

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена

    Результат

    Включенный и
    настроенный механизм автономных
    файлов

    Предварительные
    навыки

    Общие сведения
    об управлении автономными файлами

    Задания

    1

    Включение
    клиентской компоненты Автономных
    файлов в системе Windows 2003 Server

    Включите
    клиентскую часть Автономных
    файлов

    1. Откройте
      «Мой
      компьютер»

    2. Далее:

    Меню
    «Сервис»

    «Свойства
    папки»

    Закладка
    «Автономные
    файлы»

    Поставить
    галочку у поля «Использовать
    автономные файлы»

    Поставить
    галочку у поля «Создать
    ярлык папки автономных файлов на
    рабочем столе»

    Кнопка «ОК»

    2

    Настройка
    свойств сетевой папки на сервере для
    автоматического кэширования документов

    1. Откройте
      Свойства папки «X:Folder»

    2. Далее:

    Закладка
    «Доступ»

    Выбрать
    «Открыть
    общий доступ к этой папке»

    Установить
    разрешения «Изменение»
    для группы
    «Все»

    Кнопка
    «Настройка»

    Изучите
    стандартные настройки для автономных
    файлов —

    Нажмите
    2 раза кнопку «ОК»

    3

    Настройка
    кэширования автономных файлов на
    клиентском компьютере

    На другом
    компьютере вашей пары серверов
    выполните действия:

    1. Откройте через
      сеть сервер с открытым доступом к
      папке:

    Кнопка
    «Пуск»

    «Выполнить»

    ввести
    командную строку \<сервер>

    Кнопка
    «ОК»

    1. В
      открывшемся окне настроить кэширование
      для сетевой папки Folder.

    Щелкнуть
    правой кнопкой мыши на папке —

    Выбрать
    «Сделать
    доступными автономно»

    В мастере автономных файлов — Кнопка
    «Далее»
    (2 раза) —
    Кнопка «Готово»

    4

    Создание и
    редактирование документов в сетевой
    папке

    1. Откройте
      сетевую папку \<cepвep>Folder

    2. Разместите в
      папке различные документы.

    3. Внесите
      в документы изменения, сохраните
      документы.

    5

    Имитация
    автономной работы

    1. Откройте
      Свойства «Сетевого
      окружения»

    2. Запретите
      активное сетевое подключение

    3. Откройте
      автономные файлы сетевой папки:

    Ярлык
    на рабочем столе «Ярлык
    к автономным файлам»

    1. В открывшемся
      окне откройте документы, внесите в
      них изменения, сохраните документы.

    2. Разрешите
      активное сетевое подключение

    3. Откройте папку
      с автономными файлами

    4. Синхронизируйте
      изменения:

    Меню
    «Сервис»

    «Синхронизировать»
    (уберите
    галочку у поля «Моя текущая домашняя
    страница») —

    Кнопка
    «Синхронизация»

    6

    Завершение
    упражнения (отключение клиентской
    компоненты Автономных файлов)

    Отключите
    клиентскую часть Автономных файлов

    1. Откройте
      «Мой
      компьютер»

    2. Далее:

    Меню
    «Сервис»

    «Свойства
    папки»

    Закладка
    «Автономные
    файлы»

    Убрать
    галочку у поля «Создать
    ярлык папки автономных файлов на
    рабочем столе»

    Кнопка
    «Применить»

    Убрать
    галочку у поля «Использовать
    автономные файлы»

    Кнопка
    «ОК»

    Упражнение 9. Установка принтера, настройка свойств и параметров печати. Настройка протокола ipp.

    Цель упражнения

    Изучить процесс
    установки принтеров в системе Windows
    2003 Server, настройки параметров принтера
    и печати, установки и настройки
    протокола IPP

    Исходная
    конфигурация компьютера

    Компьютеры с
    операционной системой Windows 2003 Server с
    созданными контроллерами домена.

    Результат

    Установленные
    и настроенные принтере в системе
    Wndows 2003 Server для работы в локальной сети
    и по протоколу IPP

    Предварительные
    навыки

    Общие сведения
    об управлении печатью

    Задания

    1

    Установка
    принтера

    Установите
    в системе принтер:

    Кнопка
    «Пуск»

    «Принтеры
    и факсы»

    «Установка
    принтера»

    Кнопка
    «Далее»

    Выбрать
    «Локальный
    принтер»
    (убрать
    галочку у поля «Автоматическое
    определение и установка принтера…»)

    Кнопка
    «Далее»

    Кнопка
    «Далее»

    Выбрать
    изготовителя (компания «HP’)

    Выбрать
    модель «HP
    LaserJet 5SP’

    Кнопка «Далее»

    Имя
    принтера (введите «Printer»)
    — Кнопка
    «Далее»

    Имя
    общего ресурса (оставьте имя «Printer»)
    — Кнопка
    «Далее»

    Размещение
    и комментарий (размещение — введите
    название вашего домена, комментарий
    — введите имя вашего сервера) — Кнопка
    «Далее»

    Напечатать
    пробную страницу (выберите «Нет»)
    — Кнопка
    «Далее»

    Кнопка
    «Готово»

    2

    Изучение
    параметров сервера печати

    Изучите
    параметры сервера печати:

    Кнопка
    «Пуск»

    «Принтеры
    и факсы»

    Выберите
    установленный принтер —

    В
    меню «Файл» выберите «свойства
    сервера» —

    Проверьте
    параметры сервера печати —

    • порты

    • драйверы

    • дополнительные
      параметры

    3

    Изучение
    параметров и свойств принтера и
    настроек печати

    Изучите
    параметры принтера и настройки печати:

    Кнопка
    «Пуск»

    «Принтеры
    и факсы»

    Выберите
    установленный принтер —

    Щелкнуть
    правой кнопкой мыши —

    Выбрать
    «Свойства»

    Изучите
    следующие параметры и свойства —

    • Закладка
      «Общие»

      • «Настройка
        печати»

    • Закладка
      «Доступ»

      • «Дополнительные
        драйверы»

    • Закладка
      «Порты»

      • «Группировка
        принтеров в пул»

    • Закладка
      «Дополнительно»

      • Расписание
        работы принтера

      • Управление
        очередью печати

      • Настройка
        страницы-разделителя

    • Закладка
      «Безопасность»

      • Управление
        доступом к принтеру

    4

    Поиск принтера
    в Active Directory

    Выведите
    список принтеров в вашем лесе:

    Кнопка
    «Пуск»

    «Поиск»

    «Другие
    параметры поиска»

    «Принтеры,
    компьютеры или людей»

    «Принтер
    в сети»

    Кнопка
    «Найти»

    5

    Установка и
    настройка печати по протоколу IPP

    1. Установите
      поддержку протокола IPP:

    Кнопка
    «Пуск»

    «Панель
    управления»

    «Установка
    и удаление программ»

    Кнопка
    «Установка компонентов Windows» —

    Выберите
    «Север
    приложений»

    Кнопка «Состав»

    Выберите
    «Службы
    IIS»

    Кнопка «Состав»

    Выберите
    «Печать
    через Интернет»

    Кнопка «ОК»

    Кнопка
    «ОК’ (2
    раза) —

    Кнопка
    «Далее»
    (если
    необходимо, укажите путь к дистрибутиву
    системы) —

    Кнопка
    «Готово»

    1. Удалите
      конфигурацию усиленной безопасности
      обозревателя

    Интернета
    Internet Explorer.

    Кнопка
    «Пуск»

    «Панель
    управления»

    «Установка
    и удаление программ»

    Кнопка
    «Установка компонентов Windows» —

    Уберите
    галочку у параметра «Конфигурация
    усиленной безопасности Internet Explorer»

    Кнопка
    «Далее»
    (если
    необходимо, укажите путь к дистрибутиву
    системы) —

    Кнопка
    «Готово»

    1. Подключитесь к
      серверу печати по протоколу IPP:

    Откройте
    «Обозреватель Интернета» —

    Введите
    в адресной строке
    «http://<server>/printers»(<server>
    — имя сервера-партнера в вашем домене)

    На
    открывшейся странице щелкните по
    ссылке на принтер —

    Откройте
    ссылку «Подключить»
    (будет
    установлен драйвер принтера и сделано
    подключение к принтеру) —

    Откройте
    какой-либо документ, отправьте его на
    печать —

    Проделайте
    различные манипуляции с очередью
    документов в окне обозревателя
    Интернета (Приостановить
    печать,
    Продолжить
    печать,
    Отмена печати)

    6

    Завершающие
    действия

    Удалите все
    принтеры, установленные на вашем
    сервере

    10. Лекция: Сетевые протоколы и службы

    Данная
    лекция посвящена ознакомлению с наиболее
    часто используемыми, кроме TCP/IP, сетевыми
    протоколами и основными инфраструктурными
    сетевыми службами — DHCP, WINS, RRAS

    Основу современных
    корпоративных сетей составляет стек
    протоколов TCP/IP. Поэтому в данном курсе
    этому стеку посвящена отдельная глава.
    Однако во многих сетях со старых времен
    остались другие сетевые протоколы.
    Наиболее часто используемые среди них
    — NetBEUI, IPX/SPX.

    Основная
    инфраструктурная сетевая служба — это
    служба разрешения имен DNS, которая также
    составляет основу инфраструктуры
    современных сетей. Кроме этой службы,
    очень важную роль в сетевой инфраструктуре
    играет также служба DHCP, предназначенная
    для автоматизации управления конфигурацией
    протокола TCP/IP сетевых узлов.

    Служба
    WINS, предназначенная для разрешения имен
    узлов в пространстве имен NetBIOS, сейчас
    играет все меньшую роль в сетевой
    корпоративной инфраструктуре, но
    по-прежнему используется достаточно
    широко.

    Служба
    маршрутизации и удаленного доступа
    RRAS предоставляет возможность доступа
    в корпоративную сеть мобильным
    пользователям через различные средства
    коммуникаций — коммутируемые телефонные
    линии, сети Frame Relay и X.25, создание защищенных
    виртуальных частных сетей при доступе
    через публичные сети, а также выполняет
    функцию маршрутизации сетевых пакетов
    по протоколам TCP/IP и IPX/SPX в сетях, состоящих
    из множества подсетей.

    10.1 Обзор сетевых протоколов NetBeui, ipx/spx; служб dhcp, wins, rras Сетевые протоколы ipx/spx, NetBeui

    Существует
    достаточно много стеков протоколов,
    широко применяемых в сетях. Это и стеки,
    являющиеся международными и национальными
    стандартами, и фирменные стеки, получившие
    распространение благодаря распространенности
    оборудования той или иной фирмы. Примерами
    популярных стеков протоколов могут
    служить: стек IPX/SPX фирмы Novell, стек TCP/IP,
    используемый в сети Internet и во многих
    сетях на основе операционной системы
    UNIX, стек OSI международной организации
    по стандартизации и некоторые другие.

    Протокол NetBeui

    Протокол
    NetBEUI
    (NetBIOS
    Extended User Interface
    )
    ведет свою историю от сетевого программного
    интерфейса NetBIOS
    (Network
    Basic Input/Output System
    ),
    появившегося в 1984 году как сетевое
    расширение стандартных функций базовой
    системы ввода/вывода (BIOS) IBM PC для сетевой
    программы PC Network фирмы IBM.

    Протокол
    NetBEUI разрабатывался как эффективный
    протокол, потребляющий немного ресурсов,
    для использования в сетях, насчитывающих
    не более 200 рабочих станций. Этот протокол
    содержит много полезных сетевых функций,
    которые можно отнести к сетевому,
    транспортному и сеансовому уровням
    модели OSI, однако с его помощью невозможна
    маршрутизация пакетов. Это ограничивает
    применение протокола NetBEUI локальными
    сетями, не разделенными на подсети, и
    делает невозможным его использование
    в составных сетях. Некоторые ограничения
    NetBEUI снимаются реализацией этого
    протокола NBF (NetBEUI Frame), которая включена
    в операционную систему Microsoft Windows NT.

    В
    настоящее время в операционных системах
    семейства Windows 2000 данный протокол уже
    практически не используется, а в системах
    Windows XP/2003 отсутствует даже возможность
    добавления данного протокола в Свойствах
    сетевого подключения системы (хотя,
    если необходима совместимость с
    какими-либо приложениями, унаследованными
    от старых систем и работающих только
    по протоколу NetBEUI, в дистрибутивах систем
    Windows XP/2003 имеются установочные файлы
    для добавления данного протокола).

    Стек протоколов ipx/spx

    Этот
    стек является оригинальным стеком
    протоколов фирмы Novell, разработанным
    для сетевой операционной системы NetWare
    еще в начале 80-х годов. Протоколы сетевого
    и сеансового уровня Internetwork Packet Exchange
    (IPX) и Sequenced Packet Exchange (SPX), которые дали
    название стеку, являются прямой адаптацией
    протоколов XNS фирмы Xerox, распространенных
    в гораздо меньшей степени, чем стек
    IPX/SPX. Популярность стека IPX/SPX непосредственно
    связана с операционной системой Novell
    NetWare.

    Многие
    особенности стека IPX/SPX обусловлены
    ориентацией ранних версий ОС NetWare (до
    версии 4.0) на работу в локальных сетях
    небольших размеров, состоящих из
    персональных компьютеров со скромными
    ресурсами. Понятно, что для таких
    компьютеров Novell нужны были протоколы,
    на реализацию которых требовалось бы
    минимальное количество оперативной
    памяти и которые бы быстро работали на
    процессорах небольшой вычислительной
    мощности. В результате протоколы стека
    IPX/SPX до недавнего времени хорошо работали
    в локальных сетях и не очень — в больших
    корпоративных сетях, так как они слишком
    перегружали медленные глобальные связи
    широковещательными пакетами, которые
    интенсивно используются несколькими
    протоколами этого стека (например, для
    установления связи между клиентами и
    серверами). Это обстоятельство, а также
    тот факт, что стек IPX/SPX является
    собственностью фирмы Novell, и на его
    реализацию нужно получать у нее лицензию,
    долгое время ограничивали распространенность
    его только сетями NetWare. С момента выпуска
    версии NetWare 4.0 Novell внесла и продолжает
    вносить в свои протоколы серьезные
    изменения, направленные на приспособление
    их для работы в корпоративных сетях.
    Сейчас стек IPX/SPX реализован не только
    в NetWare, но и в нескольких других популярных
    сетевых ОС, например, Microsoft Windows NT. Начиная
    с версии 5.0 фирма Novell в качестве основного
    протокола своей серверной операционной
    системы стала использовать протокол
    TCP/IP, и с тех пор практическое применение
    IPX/SPX стало неуклонно снижаться.

    Как
    уже говорилось выше, стек протоколов
    IPX/SPX является фирменным запатентованным
    стеком компании Novell. Реализация данного
    протокола в операционных системах
    Microsoft называется NWLink (или IPX/SPX-совместимый
    протокол). Добавить данный протокол
    можно через Свойства
    «Подключения
    по локальной сети
    »
    (кнопка «Установить«,
    выбрать «Протокол«,
    кнопка «Добавить«,
    выбрать «NWLink«,
    кнопка «ОК«;
    рис.
    10.1).

    Рис. 10.1

    Для
    того, чтобы из сети под управлением
    систем семейства Windows получить доступ
    в сеть под управлением служб каталогов
    Novell, кроме NWLink, необходимо установить
    также клиента сетей Novell (Свойства
    «Подключения
    по локальной сети
    «,
    кнопка «Установить«,
    выбрать «Клиент«,
    кнопка «Добавить«,
    выбрать «Клиент
    для сетей NetWare
    «,
    кнопка «ОК«;
    рис.
    10.2).

    Рис. 10.2

    В
    серверных системах Windows (до Windows 2000
    включительно) имелась также служба под
    названием «Шлюз
    для сетей NetWare
    «,
    позволявшая клиентам сетей Microsoft без
    установки клиента сетей NetWare получать
    доступ к ресурсам серверов под управлением
    Novell NetWare (через шлюз, установленный на
    сервере Windows NT/2000). В системе Windows 2003
    служба шлюза отсутствует.

    Служба dhcp

    Служба
    DHCP
    (Dynamic
    Host Configuration Protocol
    )
    — это одна из служб поддержки протокола
    TCP/IP, разработанная для упрощения
    администрирования IP-сети за счет
    использования специально настроенного
    сервера для централизованного управления
    IP-адресами и другими параметрами
    протокола TCP/IP, необходимыми сетевым
    узлам. Сервер DHCP избавляет сетевого
    администратора от необходимости ручного
    выполнения таких операций, как:

    • автоматическое
      назначение сетевым узлам IP-адресов и
      прочих параметров протокола TCP/IP
      (например, маска подсети, адрес основного
      шлюза подсети, адреса серверов DNS и
      WINS);

    • недопущение
      дублирования IP-адресов, назначаемых
      различным узлам сети;

    • освобождение
      IP-адресов узлов, удаленных из сети;

    • ведение
      централизованной БД выданных IP-адресов.

    Особенности
    службы DHCP в системах семейства Windows
    Server:

    • Интеграция с
      DNS

      DHCP-серверы могут осуществлять динамическую
      регистрацию выдаваемых IP-адресов и
      FQDN-имен сетевых узлов в базе данных
      DNS-сервера (это особенно актуально для
      сетевых клиентов, которые не поддерживают
      динамическую регистрацию на сервере
      DNS, например, Windows 95/98/NT4);

    • Авторизация
      сервера DHCP в Active Directory

      — если сетевой администратор установит
      службу DHCP на сервере Windows 2000/2003, то сервер
      не будет функционировать, пока не будет
      авторизован в AD (это обеспечивает защиту
      от установки несанкционированных
      DHCP-серверов);

    • Резервное
      копирование базы данных DHCP

      — Созданная резервная копия может
      использоваться впоследствии для
      восстановления работоспособности
      DHCP-сервера.

    Определим
    основные термины, относящиеся к службе
    DHCP

    • Клиент DHCP
      — сетевой узел с динамическим IP-адресом,
      полученным от сервера DHCP;

    • Период аренды
      — срок, на который клиенту предоставляется
      IP-адрес;

    • Область
      — это полный последовательный диапазон
      допустимых IP-адресов в сети (чаще всего
      области определяют отдельную физическую
      подсеть, для которой предоставляются
      услуги DHCP);

    • Исключаемый
      диапазон

      это ограниченная последовательность
      IP-адресов в области, которая исключается
      из числа адресов, предлагаемых службой
      DHCP (исключаемые диапазоны гарантируют,
      что сервер не предложит ни один адрес
      из этих диапазонов DHCP-клиентам в сети);

    • Доступный пул
      адресов
      в
      области — адреса, оставшиеся после
      определения области DHCP и исключаемых
      диапазонов (адреса из пула могут быть
      динамически назначены сервером
      DHCP-клиентам в сети);

    • Резервирование
      — назначение DHCP-сервером определенному
      сетевому узлу постоянного IP-адреса
      (резервирования гарантируют, что
      указанный сетевой узел будет всегда
      использовать один и тот же IP-адрес).

    Рассмотрим
    технологию предоставления IP-адресов
    DHCP-сервером DHCP-клиентам

    При
    загрузке компьютера, настроенного на
    автоматическое
    получение IP-адреса
    ,
    или при смене статической настройки
    IP-конфигурации на динамическую, а также
    при обновлении IP-конфигурации сетевого
    узла происходят следующие действия:

    1. компьютер посылает
      широковещательный запрос
      на аренду IP-адреса

      (точнее, на
      обнаружение доступного DHCP-сервера
      ,
      DHCP Discover);

    2. DHCP-серверы,
      получившие данный запрос, посылают
      данному сетевому узлу свои предложения
      IP-адреса

      (DHCP Offer);

    3. клиент отвечает
      на предложение, полученное первым,
      соответствующему серверу запросом на
      выбор
      арендуемого IP-адреса

      (DHCP Request);

    4. DHCP-сервер
      регистрирует в своей БД выданную
      IP-конфигурацию (вместе с именем компьютера
      и физическим адресом его сетевого
      адаптера) и посылает клиенту подтверждение
      на аренду
      IP-адреса

      (DHCP
      Acknowledgement
      ).

    Данный
    процесс изображен на рис.
    10.3:

    Рис. 10.3

    Планирование серверов dhcp

    При
    планировании серверов DHCP необходимо
    учитывать в первую очередь требования
    производительности и отказоустойчивости
    (доступности) данной службы. Поэтому
    основные рекомендации при развертывании
    службы DHCP в корпоративной сети будут
    следующими:

    • желательно в
      каждой IP-сети установить отдельный
      DHCP-сервер;

    • если нет возможности
      установить свой сервер в каждой IP-сети,
      необходимо на маршрутизаторах,
      объединяющих IP-сети, запустить и
      настроить агент
      ретрансляции DHCP-запросов

      (DHCP Relay Agent)
      таким образом, чтобы он пересылал
      широковещательные запросы DHCP из подсети,
      в которой нет DHCP-сервера, на соответствующий
      DHCP-сервер, а на самом DHCP-сервере создать
      области для всех обслуживаемых IP-сетей;

    • для повышения
      отказоустойчивости следует установить
      несколько серверов DHCP, при этом на
      каждом DHCP-сервере, кроме областей для
      «своих» IP-сетей, необходимо создать
      области для других подсетей (при этом
      диапазоны IP-адресов в таких резервных
      областях не должны пересекаться с
      основными областями, созданными на
      серверах DHCP в «своих» подсетях);

    • в больших IP-сетях
      DHCP-серверы должны иметь мощные процессоры,
      достаточно большие объемы оперативной
      памяти и быстродействующие дисковые
      подсистемы, т.к. обслуживание большого
      количества клиентов требует интенсивной
      работы с базой данных DHCP-сервера.

    Установка и авторизация сервера dhcp

    Установка
    службы DHCP выполняется так же, как и
    установка любой другой компоненты
    Windows Server: «Пуск»
    — «Панель
    управления
    »
    — «Установки
    и удаление программ
    »
    — «Установки
    компонентов Windows
    »
    — «Сетевые
    службы
    »
    — кнопка «Состав»
    — выбрать пункт «DHCP»
    — кнопки «ОК«,
    «Далее»
    и «Готово»
    (если потребуется, то указать путь к
    дистрибутиву системы).

    Для
    авторизации
    сервера DHCP в БД Active Directory необходимо
    запустить появившуюся в разделе
    «Администрирование»
    консоль управления службой DHCP. Консоль
    обязательно следует запустить с учетной
    записью пользователя, являющегося
    членом группы «Администраторы
    предприятия
    «.
    Если ваша текущая рабочая учетная запись
    не входит в эту группу, то для запуска
    консоли с соответствующими полномочиями
    необходимо щелкнуть правой
    кнопкой

    мыши на ярлыке консоли и выбрать пункт
    меню «Запуск
    от имени…
    »
    (рис.
    10.4),
    после чего указать имя пользователя,
    являющегося членом группы «Администраторы
    предприятия
    »
    и ввести его пароль (рис.
    10.5).

    Рис. 10.4

    Рис. 10.5

    Для
    авторизации сервера необходимо консоли
    DHCP выбрать сервер, щелкнуть на имени
    сервера правой кнопкой мыши и выбрать
    пункт меню «Авторизовать»
    (рис.
    10.6).
    Когда авторизация будет завершена,
    значок у имени сервера изменится —
    вместо красной стрелки, направленной
    вниз, появится зеленая стрелка,
    направленная вверх.

    Рис. 10.6

    Заметим,
    что дальнейшие операции с DHCP-сервером
    не потребуют от администратора членства
    в группе «Администраторы
    предприятия
    «,
    достаточно быть локальным администратором
    данного сервера или членом группы
    «Администраторы
    DHCP
    «.

    Настройка параметров dhcp-сервера Создание области и настройка ее параметров

    Создать
    область можно, щелкнув правой кнопкой
    мыши на имени сервера и выбрав пункт
    меню «Создать
    область
    »
    (или выбрав аналогичный пункт в меню
    «Действие»
    консоли DHCP). Консоль запустит «Мастер
    создания области
    «,
    который позволяет по шагам определить
    все необходимые параметры:

    1. Имя и описание
      области. В больших сетях именование
      областей и задание их краткого описания
      облегчает работу администратора за
      счет более наглядного отображения в
      консоли всех созданных областей (рис.
      10.7).

    Рис. 10.7

    1. Определение
      диапазона IP-адресов и маски подсети
      (рис.
      10.8):

    Рис. 10.8

    1. Добавление
      исключений. На данном шаге задаются
      диапазоны IP-адресов, который будут
      исключены из процесса выдачи адресов
      клиентам.

    2. Срок действия
      аренды. Стандартный срок действия — 8
      дней. Если в вашей сети редко происходят
      изменения (добавление или удаление
      сетевых узлов, перемещение сетевых
      узлов из одной подсети в другую), то
      срок действия можно увеличить, это
      сократит количество запросов на
      обновление аренды. Если же ваша сеть
      более динамичная, то срок аренды можно
      сократить, это позволит быстрее
      возвращать в пул свободных те IP-адреса,
      которые принадлежали компьютерам, уже
      удаленным из данной подсети.

    3. Далее мастер
      предложит настроить параметры,
      специфичные для узлов IP-сети, относящихся
      к данной области:

      • маршрутизатор
        (основной шлюз; рис.
        10.9);

    Рис. 10.9

    • адрес DNS-сервера
      (можно назначить несколько адресов;
      рис.
      10.10);

    Рис. 10.10

    • адрес WINS-сервера
      (аналогично серверу DNS; можно также
      назначить несколько адресов);

  • Like this post? Please share to your friends:
  • Какие важные обновления для windows 7 x64 нужно установить
  • Какие важнейшие приложения содержит windows 95
  • Какие бывают учетные записи windows 10
  • Какие бывают типы окон в windows бывают
  • Какие бывают операционные системы для компьютера кроме windows