Замечания по
автоматической установке операционной
системы Windows Server.
Вопросы
автоматической установки системы не
входят в данный учебный курс. Для
получения начальной информации по этой
теме рекомендуем ознакомиться с
материалами, имеющимися на установочном
компакт-диске. На этом CD есть папка
SUPPORTTOOLS,
в которой среди прочих имеется файл
DEPLOY.CAB.
В данном файле содержится ряд утилит,
которые помогают автоматизировать
процедуру установки системы и подготовить
сценарии для тиражирования установки
на большое количество серверов. Это в
первую очередь программа установки
winnt32.exe
(и ее 16-битный собрат winnt.exe),
которая в комбинации с различными
ключами и параметрами может намного
ускорить процесс установки. А также
программы setupmgr.exe
и sysprep.exe.
В файле DEPLOY.CAB
имеется также файл deploy.chm,
в котором содержится подробное описание
использование всех данных утилит.
С
дистрибутивного компакт-диска можно
установить комплект ресурсов Windows Server
2003 Support Tools. Средства поддержки — это
универсальный набор утилит для выполнения
любых сервисных задач от диагностики
системы до сетевого мониторинга.
Есть
много способов администрирования систем
Windows Server 2003. Чаще всего применяются
следующие.
-
Панель управления
— набор средств для управления
конфигурацией системы Windows Server 2003. В
классическом меню Пуск (Start) доступ к
этим средствам открывает подменю
Настройка (Settings), в упрощенном меню
Пуск (Start) команда Панель управления
(Control Panel) доступна сразу. -
Графические
средства администрирования — ключевые
средства для управления компьютерами
в сети и их ресурсами. Доступ к
необходимому средству можно получить,
щелкнув его значок в подменю
Администрирование (Administrative Tools). -
Мастера
администрирования — средства
автоматизации ключевых административных
задач. В отличие от Windows NT мастера не
сосредоточены в центральном месте —
доступ к ним происходит посредством
выбора соответствующих параметров
меню и других средств администрирования. -
Функции командной
строки. Большинство административных
действий можно выполнять из командной
строки.
В этом
упражнении вы освоите установку
операционных систем семейства Windows 2003
Server
Упражнение
1. Установка операционной системы Windows
2003 Server (редакция Standard или Enterprise)
Цель упражнения |
Освоить технологию |
Исходная |
Компьютер |
Результат |
Компьютер с |
Предварительные |
Практические |
Задания |
|
1 |
Установка |
Вариант
Вариант
Вариант
Процесс Текстовый
«Чтобы
Нажмите
Пример: Неразмеченная С Создать Ввод Выбрать Форматировать
Графический
Язык
Введите Имя: Организация.
Введите
Задайте «Нa
Введите Пример Имя Пароль
Установите
Установите Выберите: «Особые Свойства
Оставьте
В Если Если
В
Протокол Значение
Выберите
Если Если
По
Завершить
Зарегистрируйтесь Настройте
Сделайте |
4. Лекция: Протокол tcp/ip, служба dns:
Работа
сетевых компонент операционных систем
семейства Windows Server базируется на протоколе
TCP/IP, а функционирование службы каталогов
Active Directory полностью зависит от службы
DNS. По этой причине описание протокола
TCP/IP и службы DNS вынесено в отдельный
раздел, предваряющий изучение остальных
служб и компонент. В лекции 1 были кратко
описаны протоколы и приложения, образующие
стек TCP/IP, поэтому в данном разделе
подробно рассматриваются правила
адресации узлов IP-сетей и алгоритмы
взаимодействия узлов, а также работа
службы доменных имен DNS.
4.1 Основы функционирования протокола tcp/ip (ip-адрес, маска подсети, основной шлюз; деление на подсети с помощью маски подсети; введение в ip-маршрутизацию). Адресация узлов в ip-сетях
В
сетях TCP/IP принято различать адреса
сетевых узлов трех уровней
-
физический (или
локальный) адрес узла (МАС-адрес сетевого
адаптера или порта маршрутизатора);
эти адреса назначаются производителями
сетевого оборудования; -
IP-адрес
узла (например, 192.168.0.1),
данные адреса назначаются сетевыми
администраторами или Интернет-провайдерами; -
символьное имя
(например, www.microsoft.com); эти имена также
назначаются сетевыми администраторами
компаний или Интернет-провайдерами.
Рассмотрим
подробнее IP-адресацию.
Компьютеры
или другие сложные сетевые устройства,
подсоединенные к нескольким физическим
сетям, имеют несколько IP-адресов — по
одному на каждый сетевой интерфейс.
Схема адресации позволяет проводить
единичную, широковещательную и групповую
адресацию. Таким образом, выделяют 3
типа IP-адресов.
-
Unicast-адрес (единичная
адресация конкретному узлу) — используется
в коммуникациях «один-к-одному». -
Broadcast-адрес
(широковещательный адрес, относящийся
ко всем адресам подсети) — используется
в коммуникациях «один-ко-всем». В
этих адресах поле идентификатора
устройства заполнено единицами.
IP-адресация допускает широковещательную
передачу, но не гарантирует ее — эта
возможность зависит от конкретной
физической сети. Например, в сетях
Ethernet широковещательная передача
выполняется с той же эффективностью,
что и обычная передача данных, но есть
сети, которые вообще не поддерживают
такой тип передачи или поддерживают
весьма ограничено. -
Multicast-адрес
(групповой адрес для многоадресной
отправки пакетов) — используется в
коммуникациях «один-ко-многим».
Поддержка групповой адресации
используется во многих приложениях,
например, приложениях интерактивных
конференций. Для групповой передачи
рабочие станции и маршрутизаторы
используют протокол IGMP, который
предоставляет информацию о принадлежности
устройств определенным группам.
Unicast-адреса.
Каждый
сетевой интерфейс на каждом узле сети
должен иметь уникальный unicast-адрес.
IP-адрес имеет длину 4 байта (или 32 бита).
Для удобства чтения адресов 32-битные
числа разбивают на октеты по 8 бит, каждый
октет переводят в десятичную систему
счисления и при записи разделяют точками.
Например, IP-адрес 11000000101010000000000000000001
записывается как 192.168.0.1.
I
P-адрес
состоит из двух частей — идентификатор
сети (префикс сети, Network ID) и идентификатор
узла (номер устройства, Host ID). Такая схема
приводит к двухуровневой адресной
иерархии. Структура IP-адреса изображена
на рис.
4.1.
Рис. 4.1
Идентификатор
сети идентифицирует все узлы, расположенные
на одном физическом или логическом
сегменте сети, ограниченном
IP-маршрутизаторами. Все узлы, находящиеся
в одном сегменте должны иметь одинаковый
идентификатор сети.
Идентификатор
узла идентифицирует конкретный сетевой
узел (сетевой адаптер рабочей станции
или сервера, порт маршрутизатора).
Идентификатор узла должен быть уникален
для каждого узла внутри IP-сети, имеющей
один идентификатор сети.
Таким
образом, в целом IP-адрес будет уникален
для каждого сетевого интерфейса всей
сети TCP/IP.
Соотношение
между идентификатором сети и идентификатором
узла в IP-адресе определяется с помощью
маски подсети (Network mask), которая имеет
длину также 4 байта и также записывается
в десятичной форме по 4 октета, разделенных
точками. Старшие биты маски подсети,
состоящие из 1,
определяют, какие разряды IP-адреса
относятся к идентификатору сети. Младшие
биты маски, состоящие из 0,
определяют, какие разряды IP-адреса
относятся к идентификатору узла.
IP-адрес
и маска подсети — минимальный набор
параметров для конфигурирования
протокола TCP/IP на сетевом узле.
Для
обеспечения гибкости в присваивании
адресов компьютерным сетям разработчики
протокола определили, что адресное
пространство IP должно быть разделено
на три различных класса — А, В и С.
В
дополнение к этим трем классам выделяют
еще два класса. D — этот класс используется
для групповой передачи данных. Е —
класс, зарезервированный для проведения
экспериментов.
IP-адреса
класса А.
С
тарший
бит любого IP-адреса в сети класса А
всегда равен 0. Идентификатор сети
состоит из 8 бит, идентификатор узла —
24 бита. Маска подсети для узлов сетей
класса A — 255.0.0.0.
Структура IP-адресов класса А приведена
на рис.
4.2.
Рис. 4.2
IP-адреса
класса B.
Д
ва
старших бита любого IP-адреса в сети
класса B всегда равны 10. Идентификатор
сети состоит из 16 бит, идентификатор
узла — 16 бит. Маска подсети для узлов
сетей класса B — 255.255.0.0.
Структура IP-адресов класса B приведена
на рис.
4.3.
Рис. 4.3
IP-адреса
класса C.
Т
ри
старших разряда любого IP-адреса в сети
класса C всегда равны 110.
Идентификатор сети состоит из 24 разрядов,
идентификатор узла — из 8 разрядов.
Маска подсети для узлов сетей класса C
— 255.255.255.0.
Структура IP-адресов класса C приведена
на рис.
4.4.
Рис. 4.4
Класс
D
IP-адреса
класса D используются для групповых
адресов (multicast-адреса). Четыре старших
разряда любого IP-адреса в сети класса
D всегда равны 1110.
Оставшиеся 28 бит используются для
назначения группового адреса.
Класс
E
Пять
старших разрядов любого IP-адреса в сети
класса E равны 11110.
Адреса данного класса зарезервированы
для будущего использования (и не
поддерживаются системой Windows Server).
Правила
назначения идентификаторов сети (Network
ID)
-
первый
октет идентификатора сети не может
быть равен 127
(адреса вида 127.x.y.z
предназначены для отправки узлом
пакетов самому себе и используются как
правило для отладки сетевых приложений,
такие адреса называются loopback-адресами,
или адресами обратной связи); -
все
разряды идентификатора сети не могут
состоять из одних 1
(IP-адреса, все биты идентификаторов
сети которых установлены в 1, используются
при широковещательной передаче
информации); -
все
разряды идентификатора сети не могут
состоять из одних 0
(в IP-адресах все биты, установленные в
ноль, соответствуют либо данному
устройству, либо данной сети); -
идентификатор
каждой конкретной сети должен быть
уникальным среди подсетей, объединенных
в одну сеть с помощью маршрутизаторов.
Диапазоны
возможных идентификаторов сети приведены
в табл.
4.1.
Таблица 4.1. |
|||
Класс сети |
Наименьший |
Наибольший |
Количество |
Класс A |
1.0.0.0 |
126.0.0.0 |
126 |
Класс B |
128.0.0.0 |
191.255.0.0 |
16384 |
Класс C |
192.0.0.0 |
223.255.255.0 |
2097152 |
Правила
назначения идентификаторов узла (Host
ID)
-
все
разряды идентификатора узла не могут
состоять из одних 1
(идентификатор узла, состоящий из одних
1,
используется для широковещательных
адресов, или broadcast-адресов); -
все
разряды идентификатора сети не могут
состоять из одних 0
(если разряды идентификатора узла равны
0,
то такой адрес обозначает всю подсеть,
например, адрес 192.168.1.0
с маской подсети 255.255.255.0
обозначает всю подсеть с идентификатором
сети 192.168.1; -
идентификатор
узла должен быть уникальным среди узлов
одной подсети.
Диапазоны
возможных идентификаторов узла приведены
в табл.
4.2.
Таблица 4.2. |
|||
Класс сети |
Наименьший |
Наибольший |
Количество |
Класс A |
w.0.0.1 |
w.255.255.254 |
16777214 |
Класс B |
w.x.0.1 |
w.x.255.254 |
65534 |
Класс C |
w.x.y.1 |
w.x.y.254 |
254 |
Другим
способом обозначения сети, более удобным
и более кратким, является обозначение
сети с сетевым префиксом. Такое обозначение
имеет вид «/число бит маски подсети».
Например, подсеть 192.168.1.0
с маской подсети 255.255.255.0
можно более кратко записать в виде
192.168.1.0/24,
где число 24
длина маски подсети в битах.
Публичные и приватные (частные) ip-адреса
Все
пространство IP-адресов разделено на 2
части: публичные адреса, которые
распределяются между Интернет-провайдерами
и компаниями международной организацией
Internet Assigned Numbers Authority (сокращенно IANA), и
приватные адреса, которые не контролируются
IANA и могут назначаться внутрикорпоративным
узлам по усмотрению сетевых администраторов.
Если какая-либо компания приобрела
IP-адреса в публичной сети, то ее сетевые
узлы могут напрямую маршрутизировать
сетевой трафик в сеть Интернет и могут
быть прозрачно доступны из Интернета.
Если внутрикорпоративные узлы имеют
адреса из приватной сети, то они могут
получать доступ в Интернет с помощью
протокола трансляции сетевых адресов
(NAT, Network Address Translation) или с помощью
прокси-сервера. В простейшем случае с
помощью NAT возможно организовать работу
всей компании с использованием
единственного зарегистрированного
IP-адреса.
Механизм
трансляции адресов NAT преобразует
IP-адреса из частного адресного пространства
IP (эти адреса еще называют «внутренние»,
или «серые IP») в зарегистрированное
открытое адресное пространство IP. Обычно
эти функции (NAT) выполняет либо
маршрутизатор, либо межсетевой экран
(firewall) — эти устройства подменяют адреса
в заголовках проходящих через них
IP-пакетов.
На
практике обычно компании получают через
Интернет-провайдеров небольшие сети в
пространстве публичных адресов для
размещения своих внешних ресурсов —
web-сайтов или почтовых серверов. А для
внутрикорпоративных узлов используют
приватные IP-сети.
Пространство
приватных IP-адресов состоит из трех
блоков:
-
10.0.0.0/8
(одна сеть класса A); -
172.16.0.0/12
(диапазон адресов, состоящий из 16 сетей
класса B — от 172.16.0.0/16
до 172.31.0.0/16); -
192.168.0.0/16(диапазон
адресов, состоящий из 256 сетей класса
C — от 192.168.0.0/24
до
192.168.255.0/16).
Кроме
данных трех блоков имеется еще блок
адресов, используемых для автоматической
IP-адресации (APIPA, Automatic Private IP Addressing).
Автоматическая IP-адресация применяется
в том случае, когда сетевой интерфейс
настраивается для автоматической
настройки IP-конфигурации, но при этом
в сети отсутствует сервер DHCP. Диапазон
адресов для APIPA — сеть класса B
169.254.0.0/16.
Отображение ip-адресов на физические адреса
Каждый
сетевой адаптер имеет свой уникальный
физический адрес (или MAC-адрес). За
отображение IP-адресов адаптеров на их
физические адреса отвечает протокол
ARP (Address Resolution Protocol). Необходимость
протокола ARP продиктована тем
обстоятельством, что IP-адреса устройств
в сети назначаются независимо от их
физических адресов. Поэтому для доставки
сообщений по сети необходимо определить
соответствие между физическим адресом
устройства и его IP-адресом — это
называется разрешением адресов. В
большинстве случаев прикладные программы
используют именно IP-адреса. А так как
схемы физической адресации устройств
весьма разнообразны, то необходим
специальный, универсальный протокол.
Протокол разрешения адресов ARP был
разработан таким образом, чтобы его
можно было использовать для разрешения
адресов в различных сетях. Фактически
ARP можно использовать с произвольными
физическими адресами и сетевыми
протоколами. Протокол ARP предполагает,
что каждое устройство знает как свой
IP-адрес, так и свой физический адрес.
ARP динамически связывает их и заносит
в специальную таблицу, где хранятся
пары «IP-адрес — физический адрес»
(обычно каждая запись в ARP-таблице имеет
время жизни 10 мин.). Эта таблица хранится
в памяти компьютера и называется кэш
протокола ARP (ARP-cache).
Работа
протокола ARP заключается в отправке
сообщений между сетевыми узлами:
-
ARP Request (запрос
ARP) — широковещательный запрос,
отправляемый на физическом уровне
модели TCP/IP, для определения MAC-адреса
узла, имеющего конкретный IP-адрес; -
ARP Reply (ответ ARP) —
узел, IP-адрес которого содержится в
ARP-запросе, отправляет узлу, пославшему
ARP-запрос, информацию о своем MAC-адресе; -
RARP Request, или Reverse
ARP Request (обратный ARP-запрос) — запрос на
определение IP-адреса по известному
MAC-адресу; -
RARP Reply, или Reverse
ARP Reply (обратный ARP-ответ) — ответ узла
на обратный ARP-запрос.
Разбиение сетей на подсети с помощью маски подсети
Для
более эффективного использования
пространства адресов IP-сети с помощью
маски подсети могут быть разбиты на
более мелкие подсети (subnetting) или объединены
в более крупные сети (supernetting).
Рассмотрим
на примере разбиение сети 192.168.1.0/24
(сеть класса C) на более мелкие подсети.
В исходной сети в IP-адресе 24 бита относятся
к идентификатору сети и 8 бит — к
идентификатору узла. Используем маску
подсети из 27 бит, или, в десятичном
обозначении, — 255.255.255.224,
в двоичном обозначении — 11111111
11111111 11111111 11100000. Получим
следующее разбиение на подсети:
Таблица 4.3. |
||
Подсеть |
Диапазон |
Широковещательный |
192.168.1.0/27 |
192.168.1.1–192.168.1.30 |
192.168.1.31 |
192.168.1.32/27 |
192.168.1.33–192.168.1.62 |
192.168.1.63 |
192.168.1.64/27 |
192.168.1.65–192.168.1.94 |
192.168.1.95 |
192.168.1.96/27 |
192.168.1.97–192.168.1.126 |
192.168.1.127 |
192.168.1.128/27 |
192.168.1.129–192.168.1.158 |
192.168.1.159 |
192.168.1.160/27 |
192.168.1.161–192.168.1.190 |
192.168.1.191 |
192.168.1.192/27 |
192.168.1.193–192.168.1.222 |
192.168.1.223 |
192.168.1.224/27 |
192.168.1.225–192.168.1.254 |
192.168.1.255 |
Таким
образом, мы получили 8 подсетей, в каждой
из которых может быть до 30 узлов. Напомним,
что идентификатор узла, состоящий из
нулей, обозначает всю подсеть, а
идентификатор узла, состоящий из одних
единиц, означает широковещательный
адрес (пакет, отправленный на такой
адрес, будет доставлен всем узлам
подсети).
IP-адреса
в данных подсетях будут иметь структуру:
Отметим
очень важный момент. С использованием
такой маски узлы с такими, например,
IP-адресами, как 192.168.1.48
и 192.168.1.72,
находятся в различных подсетях, и для
взаимодействия данных узлов необходимы
маршрутизаторы, пересылающие пакеты
между подсетями192.168.1.32/27
и 192.168.1.64/27.
Примечание.
Согласно стандартам протокола TCP/IP для
данного примера не должно существовать
подсетей 192.168.1.0/27
и 192.168.1.224/27
(т.е. первая и последняя подсети). На
практике большинство операционных
систем (в т.ч. системы семейства Microsoft
Windows) и маршрутизаторов поддерживают
работу с такими сетями.
А
налогично,
можно с помощью маски подсети объединить
мелкие сети в более крупные.
Например,
IP-адреса сети 192.168.0.0/21
будут иметь следующую структуру:
Диапазон
IP-адресов данной сети: 192.168.0.1–192.168.7.254
(всего — 2046 узлов), широковещательный
адрес подсети — 192.168.7.255.
Преимущества
подсетей внутри частной сети:
-
разбиение больших
IP-сетей на подсети (subnetting) позволяет
снизить объем широковещательного
трафика (маршрутизаторы не пропускают
широковещательные пакеты); -
объединение
небольших сетей в более крупные сети
(supernetting) позволяет увеличить адресное
пространство с помощью сетей более
низкого класса; -
изменение топологии
частной сети не влияет на таблицы
маршрутизации в сети Интернет (хранят
только маршрут с общим номером сети); -
размер глобальных
таблиц маршрутизации в сети Интернет
не растет; -
администратор
может создавать новые подсети без
необходимости получения новых номеров
сетей.
Старшие
биты IP-адреса используются рабочими
станциями и маршрутизаторами для
определения класса адреса. После того
как класс определен, устройство может
однозначно вычислить границу между
битами, использующимися для идентификации
номера сети, и битами номера устройства
в этой сети. Однако при разбиении сетей
на подсети или при объединении сетей
для определения границ битов,
идентифицирующих номер подсети, такая
схема не подходит. Для этого как раз и
используется 32-битная маска подсети,
которая помогает однозначно определить
требуемую границу. Напомним, что для
стандартных классов сетей маски имеют
следующие значения:
-
255.0.0.0
– маска для сети класса А; -
255.255.0.0
— маска для сети класса В; -
255.255.255.0
— маска для сети класса С.
Для
администратора сети чрезвычайно важно
знать четкие ответы на следующие вопросы:
-
Сколько подсетей
требуется организации сегодня? -
Сколько подсетей
может потребоваться организации в
будущем? -
Сколько устройств
в наибольшей подсети организации
сегодня? -
Сколько устройств
будет в самой большой подсети организации
в будущем?
Отказ
от использования только стандартных
классов IP-сетей (A, B, и C) называется
бесклассовой междоменной маршрутизацией
(Classless Inter-Domain Routing, CIDR).
Введение в ip-маршрутизацию
Для
начала уточним некоторые понятия:
-
сетевой узел
(node) — любое сетевое устройство с
протоколом TCP/IP; -
хост (host) — сетевой
узел, не обладающий возможностями
маршрутизации пакетов; -
маршрутизатор
(router) — сетевой узел, обладающий
возможностями маршрутизации пакетов
IP-маршрутизация
— это процесс пересылки unicast-трафика
от узла-отправителя к узлу–получателю
в IP-сети с произвольной топологией.
Когда
один узел IP-сети отправляет пакет другому
узлу, в заголовке IP-пакета указываются
IP-адрес узла отправителя и IP-адрес
узла-получателя. Отправка пакета
происходит следующим образом:
-
Узел-отправитель
определяет, находится ли узел-получатель
в той же самой IP-сети, что и отправитель
(в локальной сети), или в другой IP-сети
(в удаленной сети). Для этого узел-отправитель
производит поразрядное логическое
умножение своего IP-адреса на маску
подсети, затем поразрядное логическое
умножение IP-адреса узла получателя
также на свою маску подсети. Если
результаты совпадают, значит, оба узла
находятся в одной подсети. Если результаты
различны, то узлы находятся в разных
подсетях. -
Если оба сетевых
узла расположены в одной IP-сети, то
узел-отправитель сначала проверяет
ARP-кэш на наличие в ARP-таблице MAC-адреса
узла-получателя. Если нужная запись в
таблице имеется, то дальше отправка
пакетов производится напрямую
узлу-получателю на канальном уровне.
Если же в ARP-таблице нужной записи нет,
то узел-отправитель посылает ARP-запрос
для IP-адреса узла-получателя, ответ
помещает в ARP-таблицу и после этого
передача пакета также производится на
канальном уровне (между сетевыми
адаптерами компьютеров). -
Если узел-отправитель
и узел-получатель расположены в разных
IP-сетях, то узел-отправитель посылает
данный пакет сетевому узлу, который в
конфигурации отправителя указан как
«Основной шлюз» (default gateway). Основной
шлюз всегда находится в той же IP-сети,
что и узел-отправитель, поэтому
взаимодействие происходит на канальном
уровне (после выполнения ARP-запроса).
Основной шлюз — это маршрутизатор,
который отвечает за отправку пакетов
в другие подсети (либо напрямую, либо
через другие маршрутизаторы).
Р
ассмотрим
пример, изображенный на рис.
4.5.
Рис. 4.5
В
данном примере 2 подсети: 192.168.0.0/24
и 192.168.1.0/24.
Подсети объединены в одну сеть
маршрутизатором. Интерфейс маршрутизатора
в первой подсети имеет IP-адрес 192.168.0.1,
во второй подсети — 192.168.1.1.
В первой подсети имеются 2 узла: узел A
(192.168.0.5)
и узел B (192.168.0.7).
Во второй подсети имеется узел C с
IP-адресом 192.168.1.10.
Если
узел A будет отправлять пакет узлу B, то
сначала он вычислит, что узел B находится
в той же подсети, что и узел A (т.е. в
локальной подсети), затем узел A выполнит
ARP-запрос для IP-адреса 192.168.0.7.
После этого содержимое IP-пакета будет
передано на канальный уровень, и
информация будет передана сетевым
адаптером узла A сетевому адаптеру узла
B. Это пример прямой доставки данных
(или прямой маршрутизации, direct delivery).
Если
узел A будет отправлять пакет узлу C, то
сначала он вычислит, что узел C находится
в другой подсети (т.е. в удаленной
подсети). После этого узел A отправит
пакет узлу, который в его конфигурации
указан в качестве основного шлюза (в
данном случае это интерфейс маршрутизатора
с IP-адресом 192.168.0.1).
Затем маршрутизатор с интерфейса
192.168.1.1
выполнит прямую доставку узлу C. Это
пример непрямой доставки (или косвенной
маршрутизации, indirect delivery) пакета от узла
A узлу C. В данном случае процесс косвенной
маршрутизации состоит из двух операций
прямой маршрутизации.
В
целом процесс IP-маршрутизации представляет
собой серии отдельных операций прямой
или косвенной маршрутизации пакетов.
Каждый
сетевой узел принимает решение о
маршрутизации пакета на основе таблицы
маршрутизации, которая хранится в
оперативной памяти данного узла. Таблицы
маршрутизации существуют не только у
маршрутизаторов с несколькими
интерфейсами, но и у рабочих станций,
подключаемых к сети через сетевой
адаптер. Таблицу маршрутизации в системе
Windows можно посмотреть по команде route
print.
Каждая таблица маршрутизации содержит
набор записей. Записи могут формироваться
различными способами:
-
записи, созданные
автоматически системой на основе
конфигурации протокола TCP/IP на каждом
из сетевых адаптеров; -
статические
записи, созданные командой route
add
или в консоли службы Routing
and Remote Access Service; -
динамические
записи, созданные различными протоколами
маршрутизации (RIP или OSPF).
Рассмотрим
два примера: таблицу маршрутизации
типичной рабочей станции, расположенной
в локальной сети компании, и таблицу
маршрутизации сервера, имеющего несколько
сетевых интерфейсов.
Рабочая
станция.
В
данном примере имеется рабочая станция
с системой Windows XP, с одним сетевым
адаптером и такими настройками протокола
TCP/IP: IP-адрес — 192.168.1.10,
маска подсети — 255.255.255.0,
основной шлюз — 192.168.1.1.
Введем
в командной строке системы Windows команду
route
print,
результатом работы команды будет
следующий экран (рис.
4.6; в
скобках приведен текст для английской
версии системы):
Р
ис.
4.6
Список
интерфейсов
— список сетевых адаптеров, установленных
в компьютере. Интерфейс MS
TCP Loopback interface
присутствует всегда и предназначен для
обращения узла к самому себе. Интерфейс
Realtek
RTL8139 Family PCI Fast Ethernet NIC
— сетевая
карта.
Далее
идет сама таблица маршрутов. Каждая
строка таблицы — это маршрут для
какой-либо IP-сети. Ее столбцы:
Сетевой
адрес —
диапазон IP-адресов, которые достижимы
с помощью данного маршрута.
Маска
сети — маска
подсети, в которую отправляется пакет
с помощью данного маршрута.
Адрес
шлюза —
IP-адрес узла, на который пересылаются
пакеты, соответствующие данному маршруту.
Интерфейс
— обозначение сетевого интерфейса
данного компьютера, на который пересылаются
пакеты, соответствующие маршруту.
Метрика
— условная стоимость маршрута. Если
для одной и той же сети есть несколько
маршрутов, то выбирается маршрут с
минимальной стоимостью. Как правило,
метрика — это количество маршрутизаторов,
которые должен пройти пакет, чтобы
попасть в нужную сеть.
Проанализируем
некоторые строки таблицы.
Первая
строка таблицы соответствует значению
основного шлюза в конфигурации TCP/IP
данной станции. Сеть с адресом «0.0.0.0»
обозначает «все остальные сети, не
соответствующие другим строкам данной
таблицы маршрутизации».
Вторая
строка — маршрут для отправки пакетов
от узла самому себе.
Третья
строка (сеть 192.168.1.0
с маской 255.255.255.0)
— маршрут для отправки пакетов в
локальной IP-сети (т.е. той сети, в которой
расположена данная рабочая станция).
Последняя
строка — широковещательный адрес для
всех узлов локальной IP-сети.
Последняя
строка на рис.
4.6 —
список постоянных маршрутов рабочей
станции. Это статические маршруты,
которые созданы командой route
print.
В данном примере нет ни одного такого
статического маршрута.
Сервер.
Теперь
рассмотрим сервер с системой Windows 2003
Server, с тремя сетевыми адаптерами:
-
Адаптер
1 — расположен во внутренней сети
компании (IP-адрес — 192.168.1.10,
маска подсети — 255.255.255.0); -
Адаптер
2 — расположен во внешней сети
Интернет-провайдера ISP-1 (IP-адрес —
213.10.11.2,
маска подсети — 255.255.255.248,
ближайший интерфейс в сети провайдера
— 213.10.11.1); -
Адаптер
3 — расположен во внешней сети
Интернет-провайдера ISP-2 (IP-адрес —
217.1.1.34,
маска подсети — 255.255.255.248,
ближайший интерфейс в сети провайдера
— 217.1.1.33).
IP-сети
провайдеров — условные, IP-адреса выбраны
лишь для иллюстрации (хотя вполне
возможно случайное совпадение с
какой-либо существующей сетью).
Кроме
того, на сервере установлена Служба
маршрутизации и удаленного доступа для
управления маршрутизацией пакетов
между IP-сетями и доступа в сеть компании
через модемный пул.
В
данном случае команда route
print
выдаст таблицу маршрутизации, изображенную
на рис.
4.7.
Р
ис.
4.7
В
таблице в списке интерфейсов отображены
три сетевых адаптера разных моделей,
адаптер обратной связи (MS TCP Loopback
interface) и WAN
(PPP/SLIP) Interface —
интерфейс для доступа в сеть через
модемный пул.
Отметим
особенности таблицы маршрутов сервера
с несколькими сетевыми интерфейсами.
Первая
строка похожа на первую строку в таблице
рабочей станции. Она также соответствует
значению основного шлюза в конфигурации
TCP/IP данной станции. Заметим, что только
на одном интерфейсе можно задавать
параметр «Основной шлюз». В данном
случае этот параметр был задан на одном
из внешних интерфейсов (это же значение
отражено и в конце таблицы в строке
«Основной шлюз»).
Как
и в рабочей станции, для каждого интерфейса
есть маршруты как для unicast-пакетов, так
и для широковещательных (broadcast) для
каждой подсети.
Во
второй строке содержится статический
маршрут, сконфигурированный в консоли
Службы
маршрутизации и удаленного доступа,
для пересылки пакетов в сеть 196.15.20.16/24.
Поддержка
таблиц маршрутизации.
Есть
два способа поддержки актуального
состояния таблиц маршрутизации: ручной
и автоматический.
Ручной
способ подходит для небольших сетей. В
этом случае в таблицы маршрутизации
вручную заносятся статические записи
для маршрутов. Записи создаются либо
командой route
add,
либо в консоли Службы
маршрутизации и удаленного доступа.
В
больших сетях ручной способ становится
слишком трудоемким и чреват ошибками.
Автоматическое построение и модификация
таблиц маршрутизации производится так
называемыми «динамическими
маршрутизаторами».
Динамические маршрутизаторы отслеживают
изменения в топологии сети, вносят
необходимые изменения в таблицы маршрутов
и обмениваются данной информацией с
другими маршрутизаторами, работающими
по тем же протоколам маршрутизации. В
Windows Server реализована динамическая
маршрутизация в Службе
маршрутизации и удаленного доступа.
В данной службе реализованы наиболее
распространенные протоколы маршрутизации
— протокол RIP версий 1 и 2 и протокол
OSPF.
4.2 Служба dns (домены, зоны; зоны прямого и обратного просмотра; основные и дополнительные зоны; рекурсивный и итеративный запросы на разрешение имен).
Историческая
справка:
Систему доменных имен разработал в 1983
году Пол Мокапетрис. Тогда же было
проведено первое успешное тестирование
DNS, ставшей позже одним из базовых
компонентов сети Internet. С помощью DNS стало
возможным реализовать масштабируемый
распределенный механизм, устанавливающий
соответствие между иерархическими
именами сайтов и числовыми IP-адресами.
В
1983 году Пол Мокапетрис работал научным
сотрудником института информатики
(Information Sciences Institute, ISI), входящего в состав
инженерной школы университета Южной
Калифорнии (USC). Его руководитель, Джон
Постел, предложил Полу придумать новый
механизм, устанавливающий связи между
именами компьютеров и адресами Internet, —
взамен использовавшемуся тогда
централизованному каталогу имен и
адресов хостов, который поддерживала
калифорнийская компания SRI International.
«Все
понимали, что старая схема не сможет
работать вечно, — вспоминает Мокапетрис.
— Рост Internet становился лавинообразным.
К сети, возникшей на основе проекта
ARPANET, инициированного Пентагоном,
присоединялись все новые и новые компании
и исследовательские институты».
Предложенное
Мокапетрисом решение — DNS — представляло
собой распределенную базу данных,
которая позволяла организациям,
присоединившимся к Internet, получить свой
домен.
«Как
только организация подключалась к сети,
она могла использовать сколь угодно
много компьютеров и сама назначать им
имена», — подчеркнул Мокапетрис.
Названия доменов компаний получили
суффикс .com,
университетов — .edu
и так далее.
Первоначально
DNS была рассчитана на поддержку 50 млн.
записей и допускала безопасное расширение
до нескольких сотен миллионов записей.
По оценкам Мокапетриса, сейчас
насчитывается около 1 млрд. имен DNS, в
том числе почти 20 млн. общедоступных
имен. Остальные принадлежат системам,
расположенным за межсетевыми экранами.
Их имена неизвестны обычным
Internet-пользователям.
Новая
система внедрялась постепенно, в течение
нескольких лет. В это время ряд
исследователей экспериментировали с
ее возможностями, а Мокапетрис занимался
в ISI обслуживанием и поддержанием
стабильной работы «корневого сервера»,
построенного на мэйнфреймах компании
Digital Equipment. Копии таблиц хостов хранились
на каждом компьютере, подключенном к
Internet, еще примерно до 1986 года. Затем
начался массовый переход на использование
DNS.
Необходимость отображения имен сетевых узлов в ip-адреса
Компьютеры
и другие сетевые устройства, отправляя
друг другу пакеты по сети, используют
IP-адреса. Однако пользователю (человеку)
гораздо проще и удобнее запомнить
некоторое символические имена сетевых
узлов, чем четыре бессодержательных
для него числа. Однако, если люди в своих
операциях с сетевыми ресурсами будут
использовать имена узлов, а не IP-адреса,
тогда должен существовать механизм,
сопоставляющий именам узлов их IP-адреса.
Есть
два таких механизма — локальный для
каждого компьютера файл hosts и
централизованная иерархическая служба
имен DNS.
Использование локального файла hosts и системы доменных имен dns для разрешения имен сетевых узлов
На
начальном этапе развития сетей, когда
количество узлов в каждой сети было
небольшое, достаточно было на каждом
компьютере хранить и поддерживать
актуальное состояние простого текстового
файла, в котором содержался список
сетевых узлов данной сети. Список устроен
очень просто — в каждой строке текстового
файла содержится пара «IP-адрес — имя
сетевого узла». В системах семейства
Windows данный файл расположен в папке
%system
root%system32driversetc
(где %system
root%
обозначает папку, в которой установлена
операционная система). Сразу после
установки системы Windows создается файл
hosts
с одной записью 127.0.0.1
localhost.
С
ростом сетей поддерживать актуальность
и точность информации в файле hosts
становится все труднее. Для этого надо
постоянно обновлять содержимое этого
файла на всех узлах сети. Кроме того,
такая простая технология не позволяет
организовать пространство имен в
какую-либо структуру. Поэтому появилась
необходимость в централизованной базе
данных имен, позволяющей производить
преобразование имен в IP-адреса без
хранения списка соответствия на каждом
компьютере. Такой базой стала DNS (Domain
Name System) — система именования доменов,
которая начала массовую работу в 1987
году.
Заметим,
что с появлением службы DNS актуальность
использования файла host совсем не исчезла,
в ряде случаев использование этого
файла оказывается очень эффективным.
Служба dns: пространство имен, домены
DNS
— это иерархическая база данных,
сопоставляющая имена сетевых узлов и
их сетевых служб IP-адресам узлов.
Содержимое этой базы, с одной стороны,
распределено по большому количеству
серверов службы DNS, а с другой стороны,
является централизованно управляемым.
В основе иерархической структуры базы
данных DNS лежит доменное пространство
имен (domain namespace), основной структурной
единицей которого является домен,
объединяющий сетевые узлы (хосты), а
также поддомены. Процесс поиска в БД
службы DNS имени некоего сетевого узла
и сопоставления этому имени IP-адреса
называется «разрешением имени узла
в пространстве имен DNS».
Служба
DNS состоит из трех основных компонент:
-
Пространство
имен DNS и соответствующие ресурсные
записи (RR, resource record)
— это сама распределенная база данных
DNS; -
Серверы
имен DNS
— компьютеры, хранящие базу данных DNS и
отвечающие на запросы DNS-клиентов; -
DNS-клиенты
(DNS-clients, DNS-resolvers)
-компьютеры, посылающие запросы серверам
DNS для получения ресурсных записей.
Пространство
имен.
П
ространство
имен DNS — иерархическая древовидная
структура, начинающаяся с корня, не
имеющего имени и обозначаемого точкой
«.». Схему построения пространства
имен DNS лучше всего проиллюстрировать
на примере сети Интернет (рис.
4.8).
Рис. 4.8
Для
доменов 1-го уровня различают 3 категории
имен:
-
ARPA
— специальное имя, используемое для
обратного разрешения DNS (из IP-адреса в
полное имя узла); -
Общие
(generic) имена 1-го уровня
— 16 (на данный момент) имен, назначение
которых приведено в табл.
4.4; -
Двухбуквенные
имена для стран
— имена для доменов, зарегистрированных
в соответствующих странах (например,
ru
— для России, ua
— для Украины, uk
— для Великобритании и т.д.).
Таблица 4.4. |
|
Имя домена |
Назначение |
aero |
Сообщества |
biz |
Компании (без |
com |
Коммерческие |
coop |
Кооперативы |
edu |
Образовательные |
gov |
Правительственные |
info |
Домен для |
int |
международные |
mil |
Военные ведомства |
museum |
Музеи |
name |
Глобальный домен |
net |
Домен для |
org |
Некоммерческие |
pro |
Домен для |
job |
Кадровые агентства |
travel |
Туроператоры |
Для
непосредственного отображения
пространства имен в пространство
IP-адресов служат т.н. ресурсные записи
(RR, resource record). Каждый сервер DNS содержит
ресурсные записи для той части пространства
имен, за которую он несет ответственность
(authoritative). табл.
4.5
содержит описание наиболее часто
используемых типов ресурсных записей.
Таблица 4.5. |
||
Тип ресурсной |
Функция записи |
Описание |
A |
Host Address Адрес |
Отображает |
CNAME |
Canonical Name (alias) |
Отображает одно |
MX |
Mail Exchanger Обмен |
Управляет |
NS |
Name Server Сервер |
Указывает на |
PTR |
Pointer Указатель |
Используется |
SOA |
Start of Authority |
Используется |
SRV |
Service Locator Указатель |
Используется |
Полное
имя узла (FQDN, fully qualified domain name) состоит из
нескольких имен, называемых метками
(label) и разделенных точкой. Самая левая
метка относится непосредственно к узлу,
остальные метки — список доменов от
домена первого уровня до того домена,
в котором находится узел (данный список
просматривается справа налево).
Серверы
имен DNS.
Серверы
имен DNS (или DNS-серверы) — это компьютеры,
на которых хранятся те части БД
пространства имен DNS, за которые данные
серверы отвечают, и функционирует
программное обеспечение, которое
обрабатывает запросы DNS-клиентов на
разрешение имен и выдает ответы на
полученные запросы.
DNS-клиенты.
DNS-клиент
— это любой сетевой узел, который обратился
к DNS-серверу для разрешения имени узла
в IP-адрес или, обратно, IP-адреса в имя
узла.
Служба dns: домены и зоны
Как
уже говорилось выше, каждый DNS-сервер
отвечает за обслуживание определенной
части пространства имен DNS. Информация
о доменах, хранящаяся в БД сервера DNS,
организуется в особые единицы, называемые
зонами (zones). Зона — основная единица
репликации данных между серверами DNS.
Каждая зона содержит определенное
количество ресурсных записей для
соответствующего домена и, быть может,
его поддоменов.
Системы
семейства Windows Server поддерживают следующие
типы зон:
-
Стандартная
основная (standard primary)
— главная копия стандартной зоны; только
в данном экземпляре зоны допускается
производить какие-либо изменения,
которые затем реплицируются на серверы,
хранящие дополнительные зоны; -
Стандартная
дополнительная (standard secondary)
— копия основной зоны, доступная в режиме
«только-чтение», предназначена
для повышения отказоустойчивости и
распределения нагрузки между серверами,
отвечающими за определенную зону;
процесс репликации изменений в записях
зон называется «передачей зоны»
(zone
transfer)
(информация в стандартных зонах хранится
в текстовых файлах, файлы создаются в
папке «%system root%system32dns», имя файла,
как правило, образуется из имени зоны
с добавлением расширения файла «.dns»;
термин «стандартная» используется
только в системах семейства Windows); -
Интегрированная
в Active Directory (Active Directory–integrated)
— вся информация о зоне хранится в виде
одной записи в базе данных Active Directory
(такие типы зон могут существовать
только на серверах Windows, являющихся
контроллерами доменов Active Directory; в
интегрированных зонах можно более
жестко управлять правами доступа к
записям зоны; изменения в записях зоны
между разными экземплярами интегрированной
зоны производятся не по технологии
передачи зоны службой DNS, а механизмами
репликации службы Active Directory); -
Зона-заглушка
(stub;
только в Windows 2003) — особый тип зоны,
которая для данной части пространства
имен DNS содержит самый минимальный
набор ресурсных записей (начальная
запись зоны SOA, список серверов имен,
отвечающих за данную зону, и несколько
записей типа A для ссылок на серверы
имен для данной зоны).
Р
ассмотрим
на примере соотношение между понятиями
домена и зоны. Проанализируем информацию,
представленную на рис.
4.9.
Рис. 4.9
В
данном примере пространство имен DNS
начинается с домена microsoft.com,
который содержит 3 поддомена:
sales.microsoft.com,
it.microsoft.com
и edu.microsoft.com
(домены на рисунке обозначены маленькими
горизонтальными овалами). Домен — понятие
чисто логическое, относящееся только
к распределению имен. Понятие домена
никак не связано с технологией хранения
информации о домене. Зона — это способ
представления информации о домене и
его поддоменах в хранилище тех серверов
DNS, которые отвечают за данный домен и
поддомены. В данной ситуации, если для
хранения выбрана технология стандартных
зон, то размещение информации о доменах
может быть реализовано следующим
образом:
-
записи,
относящиеся к доменам microsoft.com
и edu.microsoft.com,
хранятся в одной зоне в файле
«microsoft.com.dns»
(на рисунке зона обозначена большим
наклонным овалом); -
управление
доменами sales.microsoft.com
и it.microsoft.com
делегировано другим серверам DNS, для
этих доменов на других серверах созданы
соответствующие файлы «sales.microsoft.com.dns»
и «it.microsoft.com.dns»
(данные зоны обозначены большими
вертикальными овалами).
Делегирование
управления — передача ответственности
за часть пространства имен другим
серверам DNS.
Зоны прямого и обратного просмотра
Зоны,
рассмотренные в предыдущем примере,
являются зонами
прямого просмотра (forward lookup zones).
Данные зоны служат для разрешения имен
узлов в IP-адреса. Наиболее часто
используемые для этого типы записей:
A,
CNAME,
SRV.
Для
определения имени узла по его IP-адресу
служат зоны обратного просмотра (reverse
lookup zones), основной тип записи в «обратных»
зонах — PTR. Для решения данной задачи
создан специальный домен с именем
in-addr.arpa.
Для каждой IP-сети в таком домене создаются
соответствующие поддомены, образованные
из идентификатора сети, записанного в
обратном порядке. Записи в такой зоне
будут сопоставлять идентификатору узла
полное FQDN-имя данного узла. Например,
для IP-сети 192.168.0.0/24
необходимо создать зону с именем
«0.168.192.in-addr.arpa».
Для узла с IP-адресом 192.168.0.10
и именем host.company.ru
в данной зоне должна быть создана запись
«10
PTR host.company.ru».
Алгоритмы работы итеративных и рекурсивных запросов dns
Все
запросы, отправляемые DNS-клиентом
DNS-серверу для разрешения имен, делятся
на два типа:
-
итеративные
запросы (клиент посылает серверу DNS
запрос, в котором требует дать наилучший
ответ без обращений к другим DNS-серверам); -
рекурсивные
запросы (клиент посылает серверу DNS
запрос, в котором требует дать
окончательный ответ даже если DNS-серверу
придется отправить запросы другим
DNS-серверам; посылаемые в этом случае
другим DNS-серверам запросы будут
итеративными).
Обычные
DNS-клиенты (например, рабочие станции
пользователей), как правило, посылают
рекурсивные запросы.
Рассмотрим
на примерах, как происходит взаимодействие
DNS-клиента и DNS-сервера при обработке
итеративных и рекурсивных запросов.
Допустим,
что пользователь запустил программу
Обозреватель Интернета и ввел в адресной
строке адрес http://www.microsoft.com.
Прежде чем Обозреватель установит сеанс
связи с веб-сайтом по протоколу HTTP,
клиентский компьютер должен определить
IP-адрес веб-сервера. Для этого клиентская
часть протокола TCP/IP рабочей станции
пользователя (так называемый resolver)
сначала просматривает свой локальный
кэш разрешенных ранее имен в попытке
найти там имя www.microsoft.com.
Если имя не найдено, то клиент посылает
запрос DNS-серверу, указанному в конфигурации
TCP/IP данного компьютера (назовем данный
DNS-сервер «локальным
DNS-сервером»),
на разрешение имени www.microsoft.com
в IP-адрес данного узла. Далее DNS-сервер
обрабатывает запрос в зависимости от
типа запроса.
Вариант
1 (итеративный запрос).
Если
клиент отправил серверу итеративный
запрос (напомним, что обычно клиенты
посылают рекурсивные запросы), то
обработка запроса происходит по следующей
схеме:
-
сначала
локальный DNS-сервер ищет среди зон, за
которые он отвечает, зону microsoft.com;
если
такая зона найдена, то в ней ищется
запись для узла www;
если запись найдена, то результат поиска
сразу же возвращается клиенту;
в
противном случае локальный DNS-сервер
ищет запрошенное имя www.microsoft.com
в своем кэше разрешенных ранее
DNS-запросов;
если
искомое имя есть в кэше, то результат
поиска возвращается клиенту; если
локальный DNS-сервер не нашел в своей
базе данных искомую запись, то клиенту
посылается IP-адрес одного из корневых
серверов DNS;
-
клиент
получает IP-адрес корневого сервера и
повторяет ему запрос на разрешение
имени www.microsoft.com;
корневой
сервер не содержит в своей БД зоны
«microsoft.com», но ему известны DNS-серверы,
отвечающие за зону «com», и корневой
сервер посылает клиенту IP-адрес одного
из серверов, отвечающих за эту зону;
-
клиент
получает IP-адрес сервера, отвечающего
за зону «com», и посылает ему запрос
на разрешение имени www.microsoft.com;
сервер,
отвечающий за зону com,
не содержит в своей БД зоны microsoft.com,
но ему известны DNS-серверы, отвечающие
за зону microsoft.com,
и данный DNS-сервер посылает клиенту
IP-адрес одного из серверов, отвечающих
уже за зону microsoft.com;
-
клиент
получает IP-адрес сервера, отвечающего
за зону microsoft.com,
и посылает ему запрос на разрешение
имени www.microsoft.com;
сервер,
отвечающий за зону microsoft.com,
получает данный запрос, находит в своей
базе данных IP-адрес узла www,
расположенного в зоне microsoft.com,
и посылает результат клиенту;
клиент
получает искомый IP-адрес, сохраняет
разрешенный запрос в своем локальном
кэше и передает IP-адрес веб-сайта
программе Обозреватель Интернета (после
чего Обзреватель устанавливает связь
с веб-сайтом по протоколу HTTP).
Вариант
2 (рекурсивный запрос).
Если
клиент отправил серверу рекурсивный
запрос, то обработка запроса происходит
по такой схеме:
-
сначала
локальный DNS-сервер ищет среди зон, за
которые он отвечает, зону microsoft.com;
если такая зона найдена, то в ней ищется
запись для узла www;
если запись найдена, то результат поиска
сразу же возвращается клиенту;
в
противном случае локальный DNS-сервер
ищет запрошенное имя www.microsoft.com
в своем кэше разрешенных ранее
DNS-запросов; если искомое имя есть в
кэше, то результат поиска возвращается
клиенту;
-
если
локальный DNS-сервер не нашел в своей
базе данных искомую запись, то сам
локальный DNS-сервер выполняет серию
итеративных запросов на разрешение
имени www.microsoft.com,
и клиенту посылается либо найденный
IP-адрес, либо сообщение об ошибке.
Реализация службы dns в системах семейства Windows Server
Главная
особенность службы DNS в системах семейства
Windows Server заключается в том, что служба
DNS разрабатывалась для поддержки службы
каталогов Active Directory. Для выполнения этой
функции требуются обеспечение двух
условий:
-
поддержка службой
DNS динамической регистрации (dynamic
updates); -
поддержка
службой DNS записей типа SRV.
Служба
DNS систем Windows Server удовлетворяет обоим
условиям, и реализация служб каталогов
Active Directory может быть обеспечена только
серверами на базе систем Windows Server.
Рассмотрим
несколько простых примеров управления
службой DNS:
-
установка службы
DNS; -
создание основной
и дополнительной зоны прямого просмотра; -
создание зоны
обратного просмотра; -
выполнение
динамической регистрации узлов в зоне.
Все
рассматриваемые далее в пособии примеры
были выполнены в следующей конфигурации:
-
сеть состоит из
двух серверов Windows 2003 Server; -
операционная
система — ограниченная по времени
120-дневная русская версия Windows 2003 Server
Enterprise Edition; -
первый
сервер установлен на ПК с процессором
Intel Pentium-4 3Ггц и оперативной памятью 512
МБ, имя сервера — DC1, IP-адрес — 192.168.0.1/24; -
второй
сервер работает в качестве виртуальной
системы с помощью Microsoft VirtualPC 2004, имя
сервера -DC2, IP-адрес — 192.168.0.2/24; -
имя домена в
пространстве DNS и соответствующее имя
в службе каталогов Active Directory — world.ru (сеть
полностью изолирована от других сетей,
поэтому в данном примере авторы были
свободны в выборе имени домена; в
реальной обстановке конкретного
учебного заведения преподавателю нужно
скорректировать данную информацию).
Подробные
рекомендации по организации сети для
изучения данного курса (как под
руководством преподавателя в организованной
группе, так и при самостоятельном
изучении) изложены в указаниях к
выполнению упражнений лабораторных
работ в конце пособия.
Установка
службы DNS
Установка
службы DNS (как и других компонент системы)
производится достаточно просто с помощью
мастера установки компонент Windows:
-
Откройте
Панель
управления. -
Выберите
пункт «Установка
и удаление программ». -
Нажмите
кнопку «Установка
компонентов Windows». -
Выберите
«Сетевые
службы»
— кнопка «Дополнительно»
(ни в коем случае не снимайте галочку
у названия «Сетевые
службы»). -
О
тметьте
службу DNS.
Рис. 4.10
-
Кнопка
«ОК»,
кнопка «Далее»,
кнопка «Готово».
Если
система попросит указать путь к
дистрибутиву системы, введите путь к
папке с дистрибутивом.
Выполним
данное действие на обоих серверах.
Создание
основной зоны прямого просмотра.
На
сервере DC1 создадим стандартную основную
зону с именем world.ru.
-
Откроем консоль
DNS. -
Выберем
раздел «Зоны
прямого просмотра». -
Запустим
мастер создания зоны (тип зоны —
«Основная»,
динамические обновления — разрешить,
остальные параметры — по умолчанию). -
Введем
имя зоны — world.ru. -
Разрешим
передачу данной зоны на любой сервер
DNS (Консоль
DNS
— зона world.ru
— Свойства
— Закладка «Передачи
зон»
— Отметьте «Разрешить
передачи»
и «На
любой сервер»).
Создание
дополнительной зоны прямого просмотра.
На
сервере DC2 создадим стандартную
дополнительную зону с именем world.ru.
-
Откроем консоль
DNS. -
Выберем
раздел «Зоны
прямого просмотра» -
Запустим
мастер создания зоны (выбрать: тип зоны
— «Дополнительная»,
IP-адрес master-сервера (с которого будет
копироваться зона) — адрес сервера DC1,
остальные параметры — по умолчанию) -
Введем
имя зоны — world.ru. -
Проверим в консоли
DNS появление зоны.
Настройка
узлов для выполнения динамической
регистрации на сервер DNS.
Для
выполнения данной задачи нужно выполнить
ряд действий как на сервере DNS, так и в
настройках клиента DNS.
Сервер
DNS.
-
Создать
соответствующую зону. -
Разрешить
динамические обновления.
Это
нами уже выполнено.
Клиент
DNS.
-
Указать в настройках
протокола TCP/IP адрес предпочитаемого
DNS-сервера — тот сервер, на котором
разрешены динамические обновления (в
нашем примере — сервер DC1). -
В
полном имени компьютера указать
соответствующий DNS-суффикс (в нашем
примере — world.ru).
Для этого — «Мой
компьютер»
— «Свойства»
— Закладка «Имя
компьютера»
— Кнопка «Изменить»
— Кнопка «Дополнительно»
— в пустом текстовом поле впишем название
домена world.ru
— кнопка «ОК»
(3 раза)).
Рис. 4.11
П
осле
этого система предложит перезагрузить
компьютер. После выполнения перезагрузки
на сервер DNS в зоне world.ru
автоматически создадутся записи типа
A
для наших серверов (рис.
4.12).
Рис. 4.12
Создание
зоны обратного просмотра.
-
Откроем консоль
DNS. -
Выберем
раздел «Зоны
обратного просмотра». -
Запустим
мастер создания зоны (выбрать: тип зоны
— «Основная»,
динамические обновления — разрешить,
остальные параметры — по умолчанию) -
В поле
«Код
сети (ID)»
введем параметры идентификатора сети
— 192.168.0. -
Выполним
команду принудительной регистрации
клиента на сервере DNS — ipconfig
/registerdns.
Наши
серверы зарегистрируются в обратной
зоне DNS (рис.
4.13):
Р
ис.
4.13
4.3 Диагностические утилиты tcp/ip и dns.
Любая
операционная система имеет набор
диагностических утилит для тестирования
сетевых настроек и функционирования
коммуникаций. Большой набор диагностических
средств есть и в системах семейства
Windows (как графических, так и режиме
командной строки).
Перечислим
утилиты командной строки, являющиеся
инструментами первой необходимости
для проверки настроек протокола TCP/IP и
работы сетей и коммуникаций. Подробное
описание данных утилит содержится в
системе интерактивной помощи Windows. В
Таблице 4.6 укажем основные и наиболее
часто используемые параметры этих
команд и дадим их краткое описание.
Таблица 4.6. |
||
Название |
Параметры |
Комментарии |
ipconfig |
/? /all /release /renew /flushdns /registerdns /displaydns |
Служит |
arp |
-a |
Отображение и |
ping |
Формат «ping Параметры: -t -a -n -l -w |
Мощный Команда
|
tracert |
-d -h -w |
Служебная |
pathping |
-n -h -q -w |
Средство Эта |
netstat |
-a -n -o -r |
Используется |
nbtstat |
–n –c –R –RR |
Средство |
П
римеры
использования утилит командной строки.
Пример
1. Команда ipconfig
(без параметров и с параметром /all).
Рис. 4.14
Пример
2. Команда arp.
П
оскольку
в нашей сети только два узла, то в кэше
сервера DC1 будет только одна запись —
отображение IP-адреса сервера DC2 на
MAC-адрес сетевого адаптера.
Рис. 4.15
Пример
3. Команда ping.
Варианты
использования:
-
ping
<IP-адрес>; -
ping
<NetBIOS-имя узла>,
когда в зоне сервера DNS нет записи для
сервера DC2 (поиск IP-адреса производится
широковещательным запросом ); -
ping
<NetBIOS-имя узла>,
когда в зоне сервера DNS есть запись для
сервера DC2 (надо обратить внимание на
подстановку клиентом DNS суффикса домена
в запросе на имя узла, т.е в команде
используется краткое NetBIOS-имя сервера,
а в статистике команды выводится полное
имя); -
ping
<FQDN-имя узла>,
когда в зоне сервера DNS нет записи для
сервера DC2 (узел DC2 не будет найдет в
сети); -
p
ing
<FQDN-имя узла>,
когда в зоне сервера DNS есть запись для
сервера DC2 (узел успешно найден); -
ping
–a <IP-адрес>
(обратное разрешение IP-адреса в имя
узла)
Рис. 4.16
Пример
4. Команда tracert.
Т
рассировка
маршрута до узла www.ru (если в вашем
распоряжении только одна IP-сеть, то
изучить работу данной команды будет
невозможно).
Рис. 4.17
Пример
5. Команда pathping.
А
налогичная
задача (трассировка маршрута до узла
www.ru), выполненная командой pathping.
Рис. 4.18
П
ример
6. Команда netstat
(с
параметрами –an
— отображение в числовой форме списка
активных подключений и слушающих
портов).
Рис. 4.19
П
ример
7. Команда nbtstat
(с
параметром –n
— отображение локальных имен NetBIOS).
Рис. 4.20
5. Лабораторная работа: Протокол tcp/ip, служба dns:
В
лабораторной работе рассмотрены примеры
работы с программой ping.exe, рассмотрены
практические приемы применения
стандартных утилит Windows Server 2003 для
диагностики протокола TCP/IP. Приведен
пошаговый процесс установки службы
DNS, ее настройки
Упражнение 1. Базовые сведения о параметрах протокола tcp/ip. Проверка коммуникаций с помощью команды ping.
Цель упражнения |
Изучить
|
Исходная |
Компьютер |
Результат |
Настроенные |
Предварительные |
Умение |
Задания |
|
1 |
Настройка |
Настройка Если Значение |
|
2 |
Проверка |
Выполните ping ping Если ping Примеры ping ping ping
Выполните ping ping Если ping Примеры ping ping ping ping
Выполните ping ping Если ping Примеры ping ping ping ping |
Упражнение 2. Установка службы dns. Создание зон прямого просмотра (forward lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.
Цель упражнения |
Изучить:
|
Исходная |
Компьютер |
Результат |
Установленная Созданные Параметры |
Предварительные |
Знания |
Задания |
|
1 |
Установка |
(может |
|
2 |
Создание |
Данное
Пример имя
|
|
3 |
Создание |
Данное
Пример имя IP-адрес
|
|
4 |
Настройка |
Внимание! Настоятельно
ipconfig
|
|
5 |
Проверка |
Выполните ping ping Если ping Примеры ping ping ping ping Обратите
Выполните ping ping Если ping Примеры ping ping ping ping и |
|
6 |
Настройка |
В
Выполните ping ping ping Примеры ping ping ping ping и |
|
7 |
Настройка |
В
Выполните ping ping ping Примеры ping ping ping ping и |
Упражнение 3. Создание зон обратного просмотра (reverse lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.
Цель упражнения |
Изучить:
|
Исходная |
Компьютер |
Результат |
Установленная Созданные |
Предварительные |
Знания |
Задания |
|
1 |
Создание |
Данное
Пример |
|
2 |
Тестирование |
Данное
Проверьте,
|
Упражнение 4. Диагностические утилиты для протокола tcp/ip: ipconfig, arp, ping, netstat, nbtstat, tracert, pathping
Цель упражнения |
Изучить |
Исходная |
Компьютер |
Результат |
Результаты |
Предварительные |
Знания |
Задания |
|
1 |
Команда ipconfig |
После /all /flushdns /registerdns /displaydns |
|
2 |
Команда arp |
После -а |
|
3 |
Команда ping |
После -t -а -n -l –w Примеры ping-a ping-a ping-a |
|
4 |
Команда netstat |
После <без -а -an -аnо |
|
5 |
Команда nbtstat |
После -с -n -r |
|
6 |
Команды tracert, |
Если tracert pathping Изучите |
Примечания.
-
Команды
netstat,
nbtstat
полезно повторить после изучения
различных сетевых служб (служб каталогов,
файлов и печати, DNS, DHCP, WINS). После
прохождения соответствующих тем
студенты/слушатели будут иметь более
четкое представление об использовании
таких понятий как IP-адрес и порт, а также
понятий сеанс, соединение, слушающий
порт, интерфейс NetBIOS и др. -
Команды
tracert
и pathping
имеет смысл изучать в сетях с более
сложной конфигурацией, чем простая
подсеть компьютерного класса. Если
сеть компьютерного класса не имеет
выхода в другие подсети, то задания с
данными командами можно пропустить.
Упражнение 5. Завершающие действия
Цель упражнения |
Подготовить |
Исходная |
Компьютер |
Результат |
Компьютер, |
Предварительные |
Знания |
Задания |
|
1 |
Удаление зон |
Откройте |
|
2 |
Ссылки на |
В
|
|
3 |
Удаление |
|
6. Лекция: Служба каталогов Active Directory
Данная
лекция описывает основные понятия служб
каталогов Active Directory. Даются практические
примеры управления системой безопасности
сети. Описан механизм групповых политик.
Дается представление о задачах сетевого
администратора при управлении
инфраструктурой службы каталогов
Современные сети
часто состоят из множества различных
программных платформ, большого
разнообразия оборудования и программного
обеспечения. Пользователи зачастую
вынуждены запоминать большое количество
паролей для доступа к различным сетевым
ресурсам. Права доступа могут быть
различными для одного и того же сотрудника
в зависимости от того, с какими ресурсами
он работает. Все это множество взаимосвязей
требует от администратора и пользователя
огромного количества времени на анализ,
запоминание и обучение.
Решение
проблемы управления такой разнородной
сетью было найдено с разработкой службы
каталога. Службы каталога предоставляют
возможности управления любыми ресурсами
и сервисами из любой точки независимо
от размеров сети, используемых операционных
систем и сложности оборудования.
Информация о пользователе, заносится
единожды в службу каталога, и после
этого становится доступной в пределах
всей сети. Адреса электронной почты,
принадлежность к группам, необходимые
права доступа и учетные записи для
работы с различными операционными
системами — все это создается и
поддерживается в актуальном виде
автоматически. Любые изменения, занесенные
в службу каталога администратором,
сразу обновляются по всей сети.
Администраторам уже не нужно беспокоиться
об уволенных сотрудниках — просто
удалив учетную запись пользователя из
службы каталога, он сможет гарантировать
автоматическое удаление всех прав
доступа на ресурсы сети, предоставленные
ранее этому сотруднику.
В
настоящее время большинство служб
каталогов различных фирм базируются
на стандарте X.500.
Для доступа к информации, хранящейся в
службах каталогов, обычно используется
протокол Lightweight
Directory Access Protocol
(LDAP).
В связи со стремительным развитием
сетей TCP/IP, протокол LDAP становится
стандартом для служб каталогов и
приложений, ориентированных на
использование службы каталога.
Служба
каталогов Active Directory является основой
логической структуры корпоративных
сетей, базирующихся на системе Windows.
Термин «Каталог»
в самом широком смысле означает
«Справочник«,
а служба каталогов корпоративной сети
— это централизованный корпоративный
справочник. Корпоративный каталог может
содержать информацию об объектах
различных типов. Служба каталогов Active
Directory содержит в первую очередь объекты,
на которых базируется система безопасности
сетей Windows, — учетные записи пользователей,
групп и компьютеров. Учетные записи
организованы в логические структуры:
домен, дерево, лес, организационные
подразделения.
С
точки зрения изучения материала курса
«Сетевое администрирование» вполне
возможен следующий вариант прохождения
учебного материала: сначала изучить
первую часть данного раздела (от основных
понятий до установки контроллеров
домена), затем перейти к Разделу
8 «Служба файлов и печати»,
а после изучения 8-го
раздела
вернуться к разделу
6 для
изучения более сложных понятий служб
каталогов.
6.1 Основные термины
и понятия (лес, дерево, домен, организационное
подразделение). Планирование пространства
имен AD. Установка контроллеров доменов
Модели управления
безопасностью: модель «Рабочая группа»
и централизованная доменная модель
Как
уже говорилось выше, основное назначение
служб каталогов — управление сетевой
безопасностью. Основа сетевой безопасности
— база данных учетных записей (accounts)
пользователей, групп пользователей и
компьютеров, с помощью которой
осуществляется управление доступом к
сетевым ресурсам. Прежде чем говорить
о службе каталогов Active Directory, сравним
две модели построения базы данных служб
каталогов и управления доступом к
ресурсам.
Модель «Рабочая группа»
Данная
модель управления безопасностью
корпоративной сети — самая примитивная.
Она предназначена для использования в
небольших одноранговых сетях (3–10
компьютеров) и основана на том, что
каждый компьютер в сети с операционными
системами Windows NT/2000/XP/2003 имеет свою
собственную локальную базу данных
учетных записей и с помощью этой локальной
БД осуществляется управление доступом
к ресурсам данного компьютера. Локальная
БД учетных записей называется база
данных SAM
(Security Account
Manager) и хранится
в реестре операционной системы. Базы
данных отдельных компьютеров полностью
изолированы друг от друга и никак не
связаны между собой.
Пример
управления доступом при использовании
такой модели изображен на рис.
6.1.
Р
ис.
6.1
В
данном примере изображены два сервера
(SRV-1 и SRV-2) и две рабочие станции (WS-1 и
WS-2). Их базы данных SAM обозначены
соответственно SAM-1, SAM-2, SAM-3 и SAM-4 (на
рисунке базы SAM изображены в виде овала).
В каждой БД есть учетные записи
пользователей User1 и User2. Полное имя
пользователя User1 на сервере SRV-1 будет
выглядеть как «SRV-1User1», а полное
имя пользователя User1 на рабочей станции
WS-1 будет выглядеть как «WS-1User1».
Представим, что на сервере SRV-1 создана
папка Folder, к которой предоставлен доступ
по сети пользователям User1 — на чтение
(R), User2 — чтение и запись (RW). Главный
момент в этой модели заключается в том,
что компьютер SRV-1 ничего «не знает»
об учетных записях компьютеров SRV-2,
WS-1, WS-2, а также всех остальных компьютеров
сети. Если пользователь с именем
User1локально зарегистрируется в системе
на компьютере, например, WS-2 (или, как еще
говорят, «войдет в систему с локальным
именем User1 на компьютере WS-2»), то при
попытке получить доступ с этого компьютера
по сети к папке Folder на сервере SRV-1 сервер
запросит пользователя ввести имя и
пароль (исключение составляет тот
случай, если у пользователей с одинаковыми
именами одинаковые пароли).
Модель
«Рабочая группа» более проста для
изучения, здесь нет необходимости
изучать сложные понятия Active Directory. Но
при использовании в сети с большим
количеством компьютеров и сетевых
ресурсов становится очень сложным
управлять именами пользователей и их
паролями — приходится на каждом
компьютере (который предоставляет свои
ресурсы для совместного использования
в сети) вручную создавать одни и те же
учетные записи с одинаковыми паролями,
что очень трудоемко, либо делать одну
учетную запись на всех пользователей
с одним на всех паролем (или вообще без
пароля), что сильно снижает уровень
защиты информации. Поэтому модель
«Рабочая группа» рекомендуется
только для сетей с числом компьютеров
от 3 до 10 (а еще лучше — не более 5), при
условии что среди всех компьютеров нет
ни одного с системой Windows Server.
Доменная модель
В
доменной модели существует единая база
данных служб каталогов, доступная всем
компьютерам сети. Для этого в сети
устанавливаются специализированные
серверы, называемые контроллерами
домена, которые
хранят на своих жестких дисках эту базу.
На рис.
6.2.
изображена схема доменной модели.
Серверы DC-1 и DC-2 — контроллеры домена,
они хранят доменную базу данных учетных
записей (каждый контроллер хранит у
себя свою собственную копию БД, но все
изменения, производимые в БД на одном
из серверов, реплицируются на остальные
контроллеры).
Рис. 6.2
В
такой модели, если, например, на сервере
SRV-1, являющемся членом домена, предоставлен
общий доступ к папке Folder, то права доступа
к данному ресурсу можно назначать не
только для учетных записей локальной
базы SAM данного сервера, но, самое главное,
учетным записям, хранящимся в доменной
БД. На рисунке для доступа к папке Folder
даны права доступа одной локальной
учетной записи компьютера SRV-1 и нескольким
учетным записям домена (пользователя
и группам пользователей). В доменной
модели управления безопасностью
пользователь регистрируется на компьютере
(«входит в систему») со своей доменной
учетной записью
и, независимо от компьютера, на котором
была выполнена регистрация, получает
доступ к необходимым сетевым ресурсам.
И нет необходимости на каждом компьютере
создавать большое количество локальных
учетных записей, все записи созданы
однократно в
доменной БД.
И с помощью доменной базы данных
осуществляется централизованное
управление доступом
к сетевым ресурсам независимо
от количества компьютеров в сети.
Назначение службы каталогов Active Directory
Каталог
(справочник) может хранить различную
информацию, относящуюся к пользователям,
группам, компьютерам, сетевым принтерам,
общим файловым ресурсам и так далее —
будем называть все это объектами. Каталог
хранит также информацию о самом объекте,
или его свойства, называемые атрибутами.
Например, атрибутами, хранимыми в
каталоге о пользователе, может быть имя
его руководителя, номер телефона, адрес,
имя для входа в систему, пароль, группы,
в которые он входит, и многое другое.
Для того чтобы сделать хранилище каталога
полезным для пользователей, должны
существовать службы, которые будут
взаимодействовать с каталогом. Например,
можно использовать каталог как хранилище
информации, по которой можно
аутентифицировать пользователя, или
как место, куда можно послать запрос
для того, чтобы найти информацию об
объекте.
Active
Directory отвечает не только за создание и
организацию этих небольших объектов,
но также и за большие объекты, такие как
домены, OU (организационные подразделения)
и сайты.
Об
основных терминах, используемых в
контексте службы каталогов Active Directory,
читайте ниже.
Служба
каталогов Active Directory (сокращенно — AD)
обеспечивает эффективную работу сложной
корпоративной среды, предоставляя
следующие возможности:
-
Единая
регистрация в сети;
Пользователи могут регистрироваться
в сети с одним именем и паролем и получать
при этом доступ ко всем сетевым ресурсам
и службам (службы сетевой инфраструктуры,
службы файлов и печати, серверы приложений
и баз данных и т. д.); -
Безопасность
информации.
Средства аутентификации и управления
доступом к ресурсам, встроенные в службу
Active Directory, обеспечивают централизованную
защиту сети; -
Централизованное
управление.
Администраторы могут централизованно
управлять всеми корпоративными
ресурсами; -
Администрирование
с использованием групповых политик.
При загрузке компьютера или регистрации
пользователя в системе выполняются
требования групповых политик; их
настройки хранятся в объектах групповых
политик (GPO) и применяются ко всем учетным
записям пользователей и компьютеров,
расположенных в сайтах, доменах или
организационных подразделениях; -
Интеграция
с DNS.
Функционирование служб каталогов
полностью зависит от работы службы
DNS. В свою очередь серверы DNS могут
хранить информацию о зонах в базе данных
Active Directory; -
Расширяемость
каталога.
Администраторы могут добавлять в схему
каталога новые классы объектов или
добавлять новые атрибуты к существующим
классам; -
Масштабируемость.
Служба Active Directory может охватывать как
один домен, так и множество доменов,
объединенных в дерево доменов, а из
нескольких деревьев доменов может быть
построен лес; -
Репликация
информации.
В службе Active Directory используется репликация
служебной информации в схеме со многими
ведущими (multi-master),
что позволяет модифицировать БД Active
Directory на любом контроллере домена.
Наличие в домене нескольких контроллеров
обеспечивает отказоустойчивость и
возможность распределения сетевой
нагрузки; -
Гибкость
запросов к каталогу.
БД Active Directory может использоваться для
быстрого поиска любого объекта AD,
используя его свойства (например, имя
пользователя или адрес его электронной
почты, тип принтера или его местоположение
и т. п.); -
Стандартные
интерфейсы программирования.
Для разработчиков программного
обеспечения служба каталогов предоставляет
доступ ко всем возможностям (средствам)
каталога и поддерживает принятые
стандарты и интерфейсы программирования
(API).
В
Active Directory может быть создан широкий круг
различных объектов. Объект представляет
собой уникальную сущность внутри
Каталога и обычно обладает многими
атрибутами, которые помогают описывать
и распознавать его. Учетная запись
пользователя является примером объекта.
Этот тип объекта может иметь множество
атрибутов, таких как имя, фамилия, пароль,
номер телефона, адрес и многие другие.
Таким же образом общий принтер тоже
может быть объектом в Active Directory и его
атрибутами являются его имя, местоположение
и т.д. Атрибуты объекта не только помогают
определить объект, но также позволяют
вам искать объекты внутри Каталога.
Терминология
Служба
каталогов системы Windows Server построена
на общепринятых технологических
стандартах. Изначально для служб
каталогов был разработан стандарт
X.500,
который предназначался для построения
иерархических древовидных масштабируемых
справочников с возможностью расширения
как классов объектов, так и наборов
атрибутов (свойств) каждого отдельного
класса. Однако практическая реализация
этого стандарта оказалась неэффективной
с точки зрения производительности.
Тогда на базе стандарта X.500 была
разработана упрощенная (облегченная)
версия стандарта построения каталогов,
получившая название LDAP
(Lightweight Directory
Access Protocol).
Протокол LDAP сохраняет все основные
свойства X.500 (иерархическая система
построения справочника, масштабируемость,
расширяемость), но при этом позволяет
достаточно эффективно реализовать
данный стандарт на практике. Термин
«lightweight»
(«облегченный
«) в названии
LDAP отражает основную цель разработки
протокола: создать инструментарий для
построения службы каталогов, которая
обладает достаточной функциональной
мощью для решения базовых задач, но не
перегружена сложными технологиями,
делающими реализацию служб каталогов
неэффективной. В настоящее время LDAP
является стандартным методом доступа
к информации сетевых каталогов и играет
роль фундамента во множестве продуктов,
таких как системы аутентификации,
почтовые программы и приложения
электронной коммерции. Сегодня на рынке
присутствует более 60 коммерческих
серверов LDAP, причем около 90% из них
представляют собой самостоятельные
серверы каталогов LDAP, а остальные
предлагаются в качестве компонентов
других приложений.
Протокол
LDAP четко определяет круг операций над
каталогами, которые может выполнять
клиентское приложение. Эти операции
распадаются на пять групп:
-
установление
связи с каталогом; -
поиск в нем
информации; -
модификация его
содержимого; -
добавление объекта;
-
удаление объекта.
Кроме
протокола LDAP служба каталогов Active
Directory использует также протокол
аутентификации Kerberos
и службу DNS для поиска в сети компонент
служб каталогов (контроллеры доменов,
серверы глобального каталога, службу
Kerberos и др.).
Домен
Основной
единицей системы безопасности Active
Directory является домен.
Домен формирует область административной
ответственности. База данных домена
содержит учетные записи пользователей,
групп
и компьютеров.
Большая часть функций по управлению
службой каталогов работает на уровне
домена (аутентификация пользователей,
управление доступом к ресурсам, управление
службами, управление репликацией,
политики безопасности).
Имена
доменов Active Directory формируются по той же
схеме, что и имена в пространстве имен
DNS. И это не случайно. Служба DNS является
средством поиска компонент домена — в
первую очередь контроллеров домена.
Контроллеры
домена —
специальные серверы, которые хранят
соответствующую данному домену часть
базы данных Active Directory. Основные функции
контроллеров домена:
-
хранение
БД Active Directory
(организация доступа к информации,
содержащейся в каталоге, включая
управление этой информацией и ее
модификацию); -
синхронизация
изменений в AD
(изменения в базу данных AD могут быть
внесены на любом из контроллеров домена,
любые изменения, осуществляемые на
одном из контроллеров, будут
синхронизированы c копиями, хранящимися
на других контроллерах); -
аутентификация
пользователей
(любой из контроллеров домена осуществляет
проверку полномочий пользователей,
регистрирующихся на клиентских
системах).
Настоятельно
рекомендуется в каждом домене устанавливать
не менее двух контроллеров домена —
во-первых, для защиты от потери БД Active
Directory в случае выхода из строя какого-либо
контроллера, во-вторых, для распределения
нагрузки между контроллерами.
Дерево
Дерево
является набором доменов, которые
используют единое связанное пространство
имен. В этом случае «дочерний» домен
наследует свое имя от «родительского»
домена. Дочерний домен автоматически
устанавливает двухсторонние транзитивные
доверительные отношения с родительским
доменом. Доверительные отношения
означают, что ресурсы одного из доменов
могут быть доступны пользователям
других доменов.
Пример
дерева Active Directory изображен на рис.
6.3. В
данном примере домен company.ru
является доменом Active Directory верхнего
уровня. От корневого домена отходят
дочерние домены it.company.ru
и fin.company.ru.
Эти домены могут относиться соответственно
к ИТ-службе компании и финансовой службе.
У домена it.company.ru
есть
поддомен dev.it.company.ru,
созданный для отдела разработчиков ПО
ИТ-службы.
Корпорация
Microsoft рекомендует строить Active Directory в
виде одного домена. Построение дерева,
состоящего из многих доменов необходимо
в следующих случаях:
-
для децентрализации
администрирования служб каталогов
(например, в случае, когда компания
имеет филиалы, географически удаленные
друг от друга, и централизованное
управление затруднено по техническим
причинам); -
для повышения
производительности (для компаний с
большим количеством пользователей и
серверов актуален вопрос повышения
производительности работы контроллеров
домена); -
для более
эффективного управления репликацией
(если контроллеры доменов удалены друг
от друга, то репликация в одном может
потребовать больше времени и создавать
проблемы с использованием
несинхронизированных данных); -
для применения
различных политик безопасности для
различных подразделений компании; -
п
ри
большом количестве объектов в БД Active
Directory.
Рис. 6.3
Лес
Наиболее
крупная структура в Active Directory. Лес
объединяет деревья, которые поддерживают
единую схему (схема
Active Directory —
набор определений типов, или классов,
объектов в БД Active Directory). В лесу между
всеми доменами установлены двухсторонние
транзитивными доверительными отношения,
что позволяет пользователям любого
домена получать доступ к ресурсам всех
остальных доменов, если они имеют
соответствующие разрешения на доступ.
По умолчанию, первый домен, создаваемый
в лесу, считается его корневым доменом,
в корневом домене хранится схема AD.
Новые
деревья в лесу создаются в том случае,
когда необходимо построить иерархию
доменов с пространством имен, отличным
от других пространств леса. В примере
на рис.
6.3
российская компания могла открыть офис
за рубежом и для своего зарубежного
отделения создать дерево с доменом
верхнего уровня company.com.
При этом оба дерева являются частями
одного леса с общим «виртуальным»
корнем.
При
управлении деревьями и лесами нужно
помнить два очень важных момента:
-
первое
созданное в лесу доменов дерево является
корневым деревом, первый созданный в
дереве домен называется корневым
доменом дерева
(tree
root domain); -
первый
домен, созданный в лесу доменов,
называется корневым
доменом леса
(forest
root domain),
данный домен не может быть удален (он
хранит информацию о конфигурации леса
и деревьях доменов, его образующих).
Организационные
подразделения (ОП).
Организационные
подразделения (Organizational
Units, OU)
— контейнеры внутри AD, которые создаются
для объединения объектов в целях
делегирования
административных прав
и применения
групповых политик
в домене. ОП существуют только
внутри доменов
и могут объединять только
объекты из своего домена.
ОП могут быть вложенными друг в друга,
что позволяет строить внутри домена
сложную древовидную иерархию из
контейнеров и осуществлять более гибкий
административный контроль. Кроме того,
ОП могут создаваться для отражения
административной иерархии и организационной
структуры компании.
Глобальный каталог
Глобальный
каталог
является перечнем всех
объектов,
которые существуют в лесу Active Directory. По
умолчанию, контроллеры домена содержат
только информацию об объектах своего
домена. Сервер Глобального каталога
является контроллером домена, в котором
содержится информация о каждом объекте
(хотя и не обо всех атрибутах этих
объектов), находящемся в данном лесу.
Именование объектов
В
службе каталогов должен быть механизм
именования объектов, позволяющий
однозначно идентифицировать любой
объект каталога. В каталогах на базе
протокола LDAP для
идентификации объекта в масштабе всего
леса используется
механизм отличительных
имен
(Distinguished Name,
DN). В Active
Directory учетная запись пользователя с
именем User
домена company.ru,
размещенная в стандартном контейнере
Users,
будет иметь следующее отличительное
имя: «DC=ru, DC=company, CN=Users, CN=User».
Обозначения:
-
DC
(Domain Component) — указатель на составную
часть доменного имени; -
OU
(Organizational Unit) — указатель на организационное
подразделение (ОП); -
CN
(Common Name) — указатель на общее имя.
Если
отличительное имя однозначно определяет
объект в масштабе всего леса, то для
идентификации объекта относительно
контейнера, в котором данный объект
хранится, существует относительное
отличительное имя (Relative
Distinguished Name, RDN).
Для пользователя User
из предыдущего примера RDN-имя будет
иметь вид «CN=User«.
Кроме
имен DN и RDN, используется основное
имя объекта
(User Principal Name,
UPN). Оно имеет
формат <имя
субъекта>@<суффикс домена>.
Для того же пользователя из примера
основное имя будет выглядеть как
User@company.ru.
Имена
DN, RDN могут меняться, если объект
перемещается из одного контейнера AD в
другой. Для того чтобы не терять ссылки
на объекты при их перемещении в лесу,
всем объектам назначается глобально
уникальный идентификатор
(Globally Unique
Identifier, GUID),
представляющий собой 128-битное число.
Планирование пространства имен ad
Планирование
пространства имен и структуры AD — очень
ответственный момент, от которого
зависит эффективность функционирования
будущей корпоративной системы
безопасности. При этом надо иметь в
виду, что созданную вначале структуру
в процессе эксплуатации будет очень
трудно изменить (например, в Windows 2000
изменить имя домена верхнего уровня
вообще невозможно, а в Windows 2003 решение
этой задачи требует выполнения жестких
условий и тщательной подготовки данной
операции). При планировании AD необходимо
учитывать следующие моменты:
-
тщательный выбор
имен доменов верхнего уровня; -
качество коммуникаций
в компании (связь между отдельными
подразделениями и филиалами); -
организационная
структура компании; -
количество
пользователей и компьютеров в момент
планирования; -
прогноз темпов
роста количества пользователей и
компьютеров.
Рассмотрим
вопрос пространства имен AD.
При
планировании имен доменов верхнего
уровня можно использовать различные
стратегии и правила. В первую очередь
необходимо учитывать вопросы интеграции
внутреннего пространства имен и
пространства имен сети Интернет — т.к.
пространство имен AD базируется на
пространстве имен DNS, при неправильном
планировании могут возникнуть проблемы
с безопасностью, а также конфликты с
внешними именами.
Рассмотрим
основные варианты.
-
Один
домен, одна зона DNS (рис.
6.4).
Н
а
рисунке в левой части — внутренняя сеть
компании, справа — сеть Интернет, две
сети разделены маршрутизатором «R»
(кроме маршрутизатора, на границе могут
быть также прокси-сервер или межсетевой
экран).
Рис. 6.4
В
данном примере используется одна и та
же зона DNS (company.ru)
как для поддержки внутреннего домена
AD с тем же именем (записи DC, SRV-1, SRV-2, WS-1),
так и хранения ссылок на внешние ресурсы
компании — веб-сайт, почтовый сервер
(записи www,
mail).
Такой
способ максимально упрощает работу
системного администратора, но при этом
DNS-сервер, доступный для всей сети
Интернет, хранит зону company.ru и предоставляет
доступ к записям этой зоны всем
пользователям Интернета. Таким образом,
внешние злоумышленники могут получить
полный список внутренних узлов
корпоративной сети. Даже если сеть
надежно защищена межсетевым экраном и
другими средствами защиты, предоставление
потенциальным взломщикам информации
о структуре внутренней сети — вещь
очень рискованная, поэтому данный способ
организации пространства имен AD не
рекомендуется (хотя на практике
встречается довольно часто).
-
«Расщепление»
пространства имен DNS — одно имя домена,
две различные зоны DNS(рис.
6.5).
Р
ис.
6.5
В
данном случае на различных серверах
DNS создаются различные зоны с одним и
тем же именем company.ru. На внутреннем
DNS-сервере функционирует зона company.ru.для
Active Directory, на внешнем DNS-сервере — зона
с таким же именем, но для ссылок на
внешние ресурсы. Важный момент — данные
зоны никак между собой не связаны — ни
механизмами репликации, ни ручной
синхронизацией.
Здесь
во внешней зоне хранятся ссылки на
внешние ресурсы, а во внутренней на
внутренние ресурсы, используемые для
работы Active Directory. Данный вариант несложно
реализовать, но для сетевого администратора
возникает нагрузка управления двумя
разными доменами с одним именем.
-
Поддомен
в пространстве имен DNS для поддержки
Active Directory (рис.
6.6).
Р
ис.
6.6
В
данном примере корневой домен компании
company.ru служит для хранения ссылок на
внешние ресурсы. В домене company.ru
настраивается делегирование управление
поддоменом corp.company.ru на внутренний
DNS-сервер, и именно на базе домена
corp.company.ru создается домен Active Directory. В
этом случае во внешней зоне хранятся
ссылки на внешние ресурсы, а также ссылка
на делегирование управления поддоменом
на внутренний DNS-сервер. Таким образом,
пользователям Интернета доступен
минимум информации о внутренней сети.
Такой вариант организации пространства
имен довольно часто используется
компаниями.
-
Д
ва
различных домена DNS для внешних ресурсов
и для Active Directory (рис.
6.7.).
Рис. 6.7
В
этом сценарии компания регистрирует в
Интернет-органах два доменных имени:
одно для публикации внешних ресурсов,
другое — для развертывания Active Directory.
Данный
сценарий планирования пространства
имен самый оптимальный. Во-первых, имя
внешнего домена никак не связано с
именем внутреннего домена, и не возникает
никаких проблем с возможность показа
в Интернет внутренней структуры.
Во-вторых, регистрация (покупка)
внутреннего имени гарантирует отсутствие
потенциальных конфликтов, вызванных
тем, что какая-то другая компания может
зарегистрировать в Интернете имя,
совпадающее с внутренним именем вашей
компании.
-
Домен
с именем типа company.local.
Во
многих учебных пособиях и статьях
используются примеры с доменными именами
вида company.local. Такая схема вполне
работоспособна и также часто применяется
на практике. Однако в материалах
разработчика системы Windows, корпорации
Microsoft, нет прямых рекомендаций об
использовании данного варианта.
Установка контроллеров доменов
Теперь
перейдем к описанию процедур установки
контроллеров доменов Active Directory.
Разберем
установку самого первого контроллера
самого первого домена самого первого
леса в структуре AD.
Установка
начинается с запуска из командной строки
мастера установки Active Directory — dcpromo
(рис.
6.8).
Р
ис.
6.8
Н
ажимаем
кнопку «ОК» и видим стартовую
страницу мастера (рис.
6.9):
Рис. 6.9
Д
алее
идет предупреждение, что операционные
системы Windows 95, Windows NT 4.0 SP3 и более ранние
не смогут функционировать в доменах
Windows 2003 (рис.
6.10).
Заметим, что в доменах на базе Windows 2000
такой проблемы нет (да и в доменах на
базе windows 2003 эта проблема решаема).
Рис. 6.10
Затем
выбираем варианты установки контроллера
домена в новом домене (рис.
6.11) и
создания нового домена в новом лесу
(рис.
6.12):
Р
ис.
6.11
Рис. 6.12
С
ледующий
шаг — выбор имени домена (для Active
Directory это будет корневой домен). В нашем
примере выберем имя world.ru
(рис.
6.13):
Рис. 6.13
Зададим
NetBIOS-имя домена (по умолчанию, будет
предложена левая часть полного имени
домена, выбранного на предыдущем шаге).
В нашем примере — WORLD (рис.
6.14.):
Р
ис.
6.14
Д
алее
мастер предложит выбрать место на
жестких дисках для размещения базы
данных Active Directory, журнала транзакций
этой БД (рис.
6.15) и
папки системного тома SYSVOL (рис.
6.16).
Системный том обязательно должен быть
размещен на разделе с файловой системой
NTFS.
Р
ис.
6.15
Рис. 6.16
После
этого мастер установки на основе
параметров сетевой конфигурации сервера
ищет в сети DNS-сервер, на котором имеется
зона с указанным нами именем домена,
причем в данной зоне должны быть разрешены
динамические обновления. Если такой
сервер DNS в сети не найден, то мастер
предложит установить службу DNS на данном
сервере и создать соответствующую зону
(рис.
6.17):
Р
ис.
6.17
Д
алее
предлагается выбрать уровень разрешений
создаваемого домена (рис.
6.18).
Заметим, что если мы выберем наиболее
высокий уровень, то в таком домене не
смогут существовать компьютеры с
операционными системами, более ранними,
чем Windows 2000.
Рис. 6.18
З
атем
задаем пароль администратора при запуске
системы в режиме восстановления служб
каталогов (рис.
6.19).
данный режим используется для
восстановления БД Active Directory из резервной
копии.
Рис. 6.19
Затем
следует экран со сводкой информации о
создаваемом домене и параметрах
контроллера домена (рис.
6.20). На
этом шаге в случае обнаруженной ошибки
в конфигурации можно вернуться назад
и исправить ошибку.
Р
ис.
6.20
П
осле
этого начинается работа по созданию
базы данных AD и наполнению ее нужными
записями (рис.
6.21).
Рис. 6.21
Последний
шаг — нажать кнопку «Готово» и
перезагрузить сервер (рис.
6.22).
Рис. 6.22
Важное
замечание.
Если при создании первого контроллера
в домене перед запуском мастера в
локальной базе SAM данного сервера были
какие-либо учетные записи пользователей
и групп, то все они импортируются в
созданную БД Active Directory с сохранением
своих имен и паролей, в том числе и
учетная запись администратора сервера,
которая становится учетной записью
администратора домена (а если самый
первый домен в лесу, то и администратором
предприятия и администратором схемы).
Кратко
опишем процесс установки дополнительного
контроллера в уже созданном домене.
Если
у нас есть второй сервер, который мы
хотим сделать дополнительным контроллером
домена, то вначале желательно включить
его в домен в качестве сервера–члена
домена. Кнопка «Пуск» — Панель
управления — Система — Закладка «Имя
компьютера» — Кнопка «Изменить».
Далее в поле «Является членом домена»
ввести имя домена, нажать ОК, ввести имя
и пароль администратора домена, снова
нажать ОК и перезагрузить сервер (
рис.
6.23).
Рис. 6.23
П
осле
перезагрузки входим в систему с учетной
записью администратора домена и запускаем
мастер установки Active Directory — команда
dcpromo. Выбираем вариант «Добавочный
контроллер в существующем домене»
(рис.
6.24).
Рис. 6.24
Указываем
учетные данные администратора домена
(рис.
6.25):
Рис. 6.25
С
нова
указываем имя домена — world.ru. Начинается
процесс импорта БД Active Directory на создаваемый
контроллер (рис.
6.26):
Рис. 6.26
По
окончании процесса — снова нажать
кнопку «Готово» и перезагрузить
сервер.
Важное
замечание.
При добавлении дополнительного
контроллера в домене существовавшая
на сервере локальная база SAM с сервера
удаляется.
Опишем
процесс установки дополнительного
контроллера домена из резервной копии
AD существующего контроллера.
С
начала
создадим резервную копию AD. Запустим
на существующем контроллере домена
утилиту ntbackup, выберем архивацию состояния
системы (System State), укажем путь для создания
файла с резервной копией и нажмем кнопку
«Архивировать» (рис.
6.27):
Рис. 6.27
На
следующем шаге — нажать кнопку
«Дополнительно» (рис.
6.28):
Рис. 6.28
В
открывшейся панели — убрать галочку у
поля «Автоматически архивировать
защищенные системные файлы вместе с
состоянием системы» (рис.
6.29):
Р
ис.
6.29
П
осле
создания резервной копии AD файл с
резервной копией желательно скопировать
на жесткий диск того сервера, который
будет преобразовываться в контроллер
домена. Затем надо разархивировать
резервную копию утилитой ntbackup. При этом
обязательно надо указать, что
восстанавливать данные надо в
альтернативное размещение и указать
папку для размещения восстановленных
данных (рис.
6.30):
Рис. 6.30
Т
еперь
на сервере, который преобразуем из
простого сервера в контроллер домена,
запускаем утилиту dcpromo с параметром
«/adv» (рис.
6.31):
Рис. 6.31
На
этапе выбора источника БД Active Directory —
выбрать вариант «используя файлы из
архива» и указать путь к папке, в
которую разархивировали резервную
копию (рис.
6.32):
Р
ис.
6.32
По
окончании процесса — перезагрузить
сервер.
6.2 Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций Логическая структура Active Directory
Служба
каталогов Active Directory организована в виде
иерархической структуры, построенной
из различных компонентов, которые
представляют элементы корпоративной
сети. В этой структуре есть, например,
пользовательские объекты, компьютерные
объекты, и различные контейнеры. Способ
организации этих элементов представляет
собой логическую структуру Active Directory в
корпоративной сети. Логическая структура
Active Directory включает в себя леса, деревья,
домены и Организационные подразделения
(ОП). Каждый из элементов логической
структуры описан ниже.
Домен
— логическая группа пользователей и
компьютеров, которая поддерживает
централизованное администрирование и
управление безопасностью. Домен является
единицей безопасности – это означает,
что администратор для одного домена,
по умолчанию, не может управлять другим
доменом. Домен также является основной
единицей для репликации — все контроллеры
одного домена должны участвовать в
репликации друг с другом. Домены в одном
лесу имеют автоматически настроенные
доверительные отношения, что позволяет
пользователям из одного домена получать
доступ к ресурсам в другом. Необходимо
также знать, что можно создавать
доверительные отношения с внешними
доменами, не входящими в лес.
Д
ерево
является набором доменов, которые
связаны отношениями «дочерний»/»родительский»,
а также используют связанные (смежные,
или прилегающие) пространства имен. При
этом дочерний домен получает имя от
родительского. Например, можно создать
дочерний домен, называемый it,
в домене company.com,
тогда его полное имя будет it.company.com
(рис.
6.33).
Между доменами автоматически
устанавливаются двухсторонние
транзитивные доверительные отношения
(домен it.company.com доверяет своему
«родительскому» домену, который в
свою очередь «доверяет» домену
sales.company.com – таким образом, домен
it.company.com
доверяет домену sales.company.com,
и наоборот). Это означает, что доверительные
отношения могут быть использованы всеми
другими доменами данного леса для
доступа к ресурсам данного домена.
Заметим, что домен it.company.com продолжает
оставаться самостоятельным доменом, в
том смысле, что он остается единицей
для управления системой безопасности
и процессом репликации. Поэтому, например,
администраторы из домена sales.company.com не
могут администрировать домен it.company.com
до тех пор, пока им явно не будет дано
такое право.
Рис. 6.33
Лес
— это одно или несколько деревьев,
которые разделяют общую схему,
серверы Глобального
каталога и
конфигурационную
информацию.
В лесу все домены объединены транзитивными
двухсторонними доверительными
отношениями.
Каждая
конкретная инсталляция Active Directory является
лесом,
даже если состоит всего из одного домена.
Организационное
подразделение (ОП)
является контейнером, который помогает
группировать объекты для целей
администрирования или применения
групповых политик. ОП могут быть созданы
для организации объектов в соответствии
с их функциями, местоположением, ресурсами
и так далее. Примером объектов, которые
могут быть объединены в ОП, могут служить
учетные записи пользователей, компьютеров,
групп и т.д. Напомним, что ОП может
содержать только объекты из того домена,
в котором они расположены.
Подводя
итог, можно сказать, что логическая
структура
Active Directory позволяет организовать ресурсы
корпоративной сети таким образом, чтобы
они отражали структуру самой компании.
Физическая структура Active Directory
Физическая
структура Active Directory служит для связи
между логической структурой AD и топологией
корпоративной сети.
Основные
элементы физической структуры Active
Directory — контроллеры
домена и сайты.
Контроллеры
домена были подробно описаны в предыдущем
разделе.
Сайт
— группа IP-сетей, соединенных быстрыми
и надежными коммуникациями. Назначение
сайтов — управление процессом репликации
между контроллерами доменов и процессом
аутентификации пользователей. Понятие
«быстрые коммуникации» очень
относительное, оно зависит не только
от качества линий связи, но и от объема
данных, передаваемых по этим линиям.
Считается, что быстрый канал — это не
менее 128 Кбит/с (хотя Microsoft рекомендует
считать быстрыми каналы с пропускной
способностью не менее 512 Кбит/с).
С
труктура
сайтов никак не зависит от структуры
доменов. Один домен может быть размещен
в нескольких сайтах, и в одном сайте
могут находиться несколько доменов
(рис.
6.34).
Рис. 6.34
Поскольку
сайты соединяются друг с другом медленными
линиями связи, механизмы репликации
изменений в AD внутри сайта и между
сайтами различные. Внутри сайта
контроллеры домена соединены линиями
с высокой пропускной способностью.
Поэтому репликация между контроллерами
производится каждые 5 минут, данные при
передаче не сжимаются, для взаимодействия
между серверами используется технология
вызова удаленных процедур (RPC). Для
репликации между сайтами кроме RPC может
использоваться также протокол SMTP, данные
при передаче сжимаются (в результате
сетевой трафик составляет от 10 до 40% от
первоначального значения), передача
изменений происходит по определенному
расписанию. Если имеется несколько
маршрутов передачи данных, то система
выбирает маршрут с наименьшей стоимостью.
Кроме
управления репликацией, сайты используются
при аутентификации пользователей в
домене. Процесс аутентификации может
вызвать заметный трафик, особенно если
в сети имеется большое количество
пользователей (особенно в начале рабочего
дня, когда пользователи включают
компьютеры и регистрируются в домене).
При входе пользователя в сеть его
аутентификация осуществляется ближайшим
контроллером домена.
В процессе поиска «ближайшего»
контроллера в первую очередь используется
информация о сайте, к которому принадлежит
компьютер, на котором регистрируется
пользователь. Ближайшим считается
контроллер, расположенный в том же
сайте, что и регистрирующийся пользователь.
Поэтому рекомендуется в каждом сайте
установить как минимум один контроллер
домена.
В
процессе аутентификации большую роль
играет также сервер глобального каталога
(при использовании универсальных групп).
Поэтому в каждом сайте необходимо также
размещать как минимум один сервер
глобального каталога (или на одном из
контроллеров домена в каждом сайте
настроить кэширование членства в
универсальных группах). Пользователи
сети (в том числе компьютеры и сетевые
службы) используют серверы глобального
каталога для поиска объектов. В случае,
если доступ к серверу глобального
каталога осуществляется через линии
связи с низкой пропускной способностью,
многие операции службы каталога будут
выполняться медленно. Это обстоятельство
также стимулирует установку сервера
глобального каталога в каждом сайте
(более подробно о серверах глобального
каталога будет рассказано ниже).
В
самом начале создания леса автоматически
создается сайт по умолчанию с именем
Default-First-site-Name.
В дальнейшем сетевой администратор
должен сам планировать и создавать
новые сайты и определять входящие в них
подсети, а также перемещать в сайты
соответствующие контроллеры доменов.
При создания нового
контроллера на основании выделенного
ему IP-адреса служба каталога автоматически
отнесет его к соответствующему сайту.
Репликация, управление топологией репликации
Рассмотрим
сам процесс репликации изменений в AD
как внутри сайта, так и между сайтами.
Репликация внутри сайта
Репликация
изменений в AD между контроллерами домена
происходит автоматически, каждые 5
минут. Топологию репликации, т.е. порядок,
в котором серверы опрашивают друг друга
для получения изменений в базе данных,
серверы строят автоматически (эту задачу
выполняет компонента служб каталогов,
называемая Knowledge
Consistency Checker,
или KCC,
вариант перевода данного термина —
«наблюдатель
показаний целостности«).
При достаточно большом количестве
контроллеров KCC строит кольцевую
топологию репликации, причем для
надежности образует несколько колец,
по которым контроллеры передают данные
репликации. Наглядно увидеть топологию
репликации можно с помощью административной
консоли «Active
Directory — сайты и службы«.
Если в этой консоли раскрыть последовательно
контейнеры Sites,
Defauit-First-site-Name,
Servers,
далее — конкретный сервер (например,
DC1) и установить на узле NTDS
Settings, то в
правой половине окна видно, что сервер
DC1 запрашивает изменения с сервера DC2
(рис.
6.35):
Р
ис.
6.35
В
озможностей
управления репликацией у администратора
сети в данном случае немного. Можно лишь
вызвать принудительную репликацию в
той же консоли «Active
Directory — сайты и службы«.
Если в правой части того же окна консоли,
изображенного на рис.
6.35,
щелкнуть правой кнопкой мыши на имени
DC2 и выбрать вариант «Реплицировать
сейчас«, то
контроллер DC1 получит изменения в базе
данных AD с контроллера DC2 (рис.
6.36):
Рис. 6.36
Репликация между сайтами
Разбивать
большую корпоративную сеть на отдельные
сайты необходимо по следующим причинам:
отдельные подсети корпоративной сети,
расположенные в удаленных офисах, могут
быть подключены друг к другу медленными
каналами связи, которые сильно загружены
в течение рабочего дня; поэтому возникает
необходимость осуществления репликации
в те часы, когда сетевой трафик минимален,
и передавать данные репликации со
сжатием.
Вернемся
к сетевой структуре, изображенной на
рис.
6.34, и
обсудим понятия и термины, играющие
важную роль в управлении репликацией
между сайтами.
В
этой конфигурации топология репликации
также строится системной компонентой
KCC.
KCC выбирает контроллеры, которые
осуществляют репликацию между сайтами,
проверяет их работоспособность и, в
случае недоступности какого-либо
сервера, назначает для репликации другой
доступный сервер.
Для
репликации между сайтами используется
тот или иной межсайтовый
транспорт —
это либо IP
(RPC),
либо SMTP.
Для каждого вида межсайтового транспорта
определяется «соединение
сайтов»
(site link),
с помощью которого строится управление
репликацией между двумя и более сайтами.
Именно для соединения («линка»)
задаются такие параметры как «Расписание
репликации»
и «Стоимость«.
На рис.
6.34.
соединение Link-1
связывает в единую цепочку сайты Сайт-1,
Сайт-3,
Сайт-4
и Сайт-2,
соединение Link-2
связывает два сайта — Сайт-1
и Сайт-2.
В данном примере репликация между
сайтами Сайт-1
и Сайт-2
будет проходить либо по соединению
Link-1,
либо по соединению Link-2
— в зависимости от расписания, стоимости
соединения и его доступности (при
доступности обоих соединений преимущество
будет иметь соединение с более низкой
стоимостью). На рис.
6.37
изображено созданное автоматически
соединение для транспорта IP
(RPC)
— DEFAULTIPSITELINK.
Если открыть Свойства
этого соединения (рис.
6.38), то
можно управлять списком сайтов,
относящихся к этому соединению, назначать
стоимость соединения (значение по
умолчанию — 100), интервал репликации
(по умолчанию — каждые 3 часа), а если
нажать кнопку «Изменить
расписание«,
то можно более тонко определить дни и
часы, в которые будет производиться
репликация.
К
онтейнер
Subnets
консоли «Active
Directory — сайты и службы»
служит для описания подсетей, входящих
в тот или иной сайт.
Рис. 6.37
Рис. 6.38
Функциональные уровни домена и леса
Набор
возможностей, предоставляемых службой
каталогов Active Directory, зависит от того, на
каком уровне (или в каком режиме)
функционируют отдельный домен или весь
лес в целом.
Для
Windows 2003 имеются 4 уровня функционирования
(в Windows 2000 — 2 уровня):
Windows
2000 смешанный (Windows 2000 mixed)
В
данном режиме в домене могут существовать
резервные контроллеры домена под
управлением системы Windows NT Server. Этот
режим рассматривается как переходный
в процессе модернизации служб каталогов
с Windows NT на Windows 2000/2003. В этом режиме
отсутствует ряд возможностей Active
Directory — универсальные группы, вложенность
групп. Кроме того, наличие контроллеров
домена под управлением Windows NT накладывает
ограничение на размер БД Active Directory (40
мегабайт).
После
установки системы и создания первого
контроллера домена домен всегда работает
именно в смешанном режиме.
Windows
2000 основной (Windows 2000 native)
В
данном режиме контроллерами домена
могут быть серверы под управлением
Windows 2000 и Windows 2003. В данном режиме появляется
возможность использования универсальных
групп, вложенность групп, и ликвидируется
ограничение на размер БД Active Directory.
Windows
2003 промежуточный (Windows 2003 interim)
Данный
уровень возможен только в том случае,
когда контроллеры домена работают под
управлением Windows NT и Windows 2003 (не может
быть контроллеров с системой Windows 2000).
Этот уровень доступен только тогда,
когда производится установка Windows 2003
поверх контроллеров домена с Windows NT.
Ограничения этого режима аналогичны
смешанному режиму.
Windows
2003
Это
наивысший уровень функционирования
домена, в котором есть контроллеры с
Windows 2003, причем все контроллеры обязаны
быть с системой Windows 2003.
И
зменять
уровень функционирования домена можно
только в сторону
его повышения.
Сделать это можно с помощью административных
консолей «Active
Directory – домены и доверие»
или «Active
Directory – пользователи и компьютеры«.
Если в какой-либо из этих консолей
щелкнуть правой кнопкой мыши на имени
домена и выбрать в контекстном меню
пункт «Изменение
режима работы домена«,
то появится панель, изображенная на
рис.
6.39:
Рис. 6.39
Для
повышения уровня надо выбрать необходимый
уровень и нажать кнопку «Изменить«.
После репликации данного изменения на
все контроллеры в данном домене станут
доступны специфичные для данного уровня
возможности. Заметим, что произведенные
изменения необратимы.
Для
всего леса в целом также можно определять
функциональные уровни. Это делается с
помощью консоли «Active
Directory – домены и доверие«.
Только правой кнопкой мыши надо щелкнуть
не на имени домена, а на надписи «Active
Directory – домены и доверие«.
Существуют
3 уровня функционирования леса:
-
Windows 2000 (с
контроллерами под управлением Windows NT,
2000 и 2003); -
Windows 2003 interim (с
контроллерами под управлением только
Windows NT и 2003); -
Windows
2003 (все
домены всего леса
— с контроллерами под управлением
только
Windows 2003).
Самый
высокий уровень функционирования леса
позволяет выполнять две очень важные
задачи:
-
переименование
доменов; -
установление
доверительных отношений между двумя
не
связанными друг с другом
лесами с использованием Kerberos в качестве
протокола аутентификации (без такого
режима доверительные отношения могут
устанавливаться только между отдельными
доменами, а не целыми лесами, при этом
будет использоваться менее защищенный
протокол аутентификации NTLM).
Серверы Глобального каталога и Хозяева операций
Большинство
операций с записями БД Active Directory
администратор может выполнять,
подключившись с помощью соответствующей
консоли к любому из контроллеров домена.
Однако, во избежание несогласованности,
некоторые действия должны быть
скоординированы и выполнены специально
выделенными для данной цели серверами.
Такие контроллеры домена называются
Хозяевами
операций
(Operations Masters),
или исполнителями
специализированных ролей
(Flexible Single-Master
Operations, сокращенно
— FSMO).
Всего
имеется пять специализированных ролей:
-
Schema
Master (хозяин схемы):
контролирует возникающие изменения
Схемы базы данных Active Directory (добавление
и удаление классов объектов, модификация
набора атрибутов). Один
контроллер домена в
масштабе всего леса
выполняет эту роль (по умолчанию —
самый первый контроллер в лесу). -
Domain
Naming Master (хозяин именования доменов):
контролирует процесс добавления или
удаления доменов в лесу. Один
контроллер домена в
масштабе всего леса
выполняет эту роль (по умолчанию —
самый первый контроллер в лесу). -
PDC
Emulator (эмулятор PDC):
действует как PDC (главный контроллер
домена) для BDC (резервный контроллер
домена) под управлением Windows NT, когда
домен находится в смешанном режиме;
управляет изменениями паролей (изменение
пароля учетной записи в первую очередь
реплицируется на эмулятор PDC); является
предпочтительным сервером (в Windows 2000 —
единственный сервер) для редактирования
групповых политик; является сервером
времени для остальных контроллеров
данного домена (контроллеры домена
синхронизируют свои системные часы с
эмулятором PDC). Один
контроллер в
домене
выполняет эту роль (по умолчанию —
самый первый контроллер в домене). -
RID
Master (хозяин RID, распределитель
идентификаторов учетных записей):
выделяет контроллерам домена пулы
относительных идентификаторов (RID,
которые являются уникальной частью
идентификаторов безопасности SID). Один
контроллер в
домене
выполняет эту роль (по умолчанию —
самый первый контроллер в домене). -
Infrastructure
Master (хозяин инфраструктуры):
отвечает за обновление связей
«пользователи — группы» между
доменами. Эта роль не должна храниться
на контроллере домена, который также
является сервером Глобального Каталога
– хозяин инфраструктуры не будет
работать в данном сценарии (за исключением
случая, когда в домене всего один
контроллер). Один
контроллер в
домене
выполняет эту роль (по умолчанию —
самый первый контроллер в домене).
Просмотреть
текущих владельцев ролей и передать ту
или иную роль на другой контролер можно
с помощью административных консолей:
-
роль
Хозяина
Схемы
— с помощью консоли «Active
Directory Schema»
(чтобы запустить эту консоль, надо
сначала зарегистрировать соответствующую
программную компоненту в командной
строке: regsvr32
schmmgmt.dll,
а затем запустить саму консоль тоже в
командной строке — schmmgmt.msc); -
роль
Хозяина
именования доменов
— с помощью консоли «Active
Directory – домены и доверие«; -
р
оли
эмулятора
PDC,
хозяина
RID
и хозяина
инфраструктуры
— с помощью консоли «Active
Directory – пользователи и компьютеры»
(пример можно увидеть на рис.
6.40).
Рис. 6.40
Необходимо
знать, кто из пользователей имеет право
менять роли хозяев операций:
-
эмулятор
PDC — члены группы «Администраторы
домена«; -
хозяин
RID — члены группы «Администраторы
домена«; -
хозяин
инфраструктуры — члены группы
«Администраторы
домена«; -
хозяин
именования доменов — члены группы
«Администраторы
предприятия«; -
хозяин
схемы — члены группы «Администраторы
Схемы»
или группы «Администратор
предприятия«.
Если
контроллер домена, которому принадлежит
роль хозяина операции, выходит из строя
(вследствие повреждения оборудования
или программного обеспечения), причем
нет возможности восстановить данную
систему из резервной копии, то с помощью
административных консолей передать
роли работоспособным серверам нет
возможности. Восстановить функционирование
определенной роли хозяина операций
можно только путем захвата данной роли
с помощью утилиты командной строки
ntdsutil.
Сервер глобального каталога
Напомним,
что Глобальный
каталог (global
catalog) — это
перечень всех
объектов леса
Active Directory. По умолчанию, контроллеры
домена содержат только информацию об
объектах своего домена. Сервер Глобального
каталога является контроллером домена,
в котором содержится информация о
каждом объекте
(хотя и не обо всех атрибутах этих
объектов), находящемся в данном лесу.
Сервер
глобального каталога выполняет две
очень важные функции:
-
поиск объектов в
масштабах всего леса (клиенты могут
обращаться к глобальному каталогу с
запросами на поиск объектов по
определенным значениям атрибутов;
использование сервера глобального
каталога — единственный способ
осуществлять поиск объектов по всему
лесу); -
аутентификация
пользователей (сервер глобального
каталога предоставляет информацию о
членстве пользователя в универсальных
группах,
universal
groups;
поскольку универсальные группы со
списками входящих в них пользователей
хранятся только на серверах глобального
каталога, аутентификация пользователей,
входящих в такие группы, возможна только
при участии сервера глобального
каталога).
П
о
умолчанию самый первый контроллер
домена в лесу является сервером
глобального каталога. Однако администратор
сети может назначить любой контроллер
домена сервером глобального каталога.
Это делается с помощью административной
консоли «Active
Directory – сайты и службы«,
в свойствах узла «NTDS
Settings»
выбранного контроллера (рис.
6.41):
Рис. 6.41
Д
ля
эффективной работы службы каталогов
Active Directory необходимо, чтобы в каждом
сайте AD был либо сервер глобального
каталога, либо контроллер домена,
кэширующий у себя списки членов
универсальных групп. Кэширование
универсальных групп также настраивается
в консоли «Active
Directory – сайты и службы»
в свойствах узла «NTDS
Settings» для
каждого сайта Active Directory. Для включения
кэширования нужно поставить галочку у
поля «Разрешить
кэширование членства в универсальных
группах» и
указать, из какого сайта данный сайт
будет получать списки универсальных
групп в поле «Обновлять
кэш из:»
(рис.
6.42):
Рис. 6.42
6.3 Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики Управление пользователями и группами
Учетные
записи
(accounts)
пользователей, компьютеров и групп —
один из главных элементов управления
доступом к сетевым ресурсам, а значит,
и всей системы безопасности сети в
целом.
В
среде Windows 2003 Active Directory существует 3
главных типа пользовательских учетных
записей:
-
Локальные
учетные записи пользователей.
Эти учетные записи существуют в локальной
базе данных SAM
(Security
Accounts Manager)
на каждой системе, работающей под
управлением Windows 2003. Эти учетные записи
создаются с использованием инструмента
Local
Users and Groups
(Локальные
пользователи и группы)
консоли Computer
Management
(Управление
компьютером).
Заметим, что для входа в систему по
локальной учетной записи, эта учетная
запись обязательно должна присутствовать
в базе данных SAM на системе, в которую
вы пытаетесь войти. Это делает локальные
учетные записи непрактичными для
больших сетей, вследствие больших
накладных расходов по их администрированию. -
Учетные
записи пользователей домена.
Эти учетные записи хранятся в Active
Directory и могут использоваться для входа
в систему и доступа к ресурсам по всему
лесу AD. Учетные записи этого типа
создаются централизованно при помощи
консоли «Active
Directory Users and Computers»
(«Active
Directory – пользователи и компьютеры«). -
Встроенные
учетные записи.
Эти учетные записи создаются самой
системой и не могут быть удалены. По
умолчанию любая система, будь то
изолированная (отдельно стоящая) или
входящая в домен, создает две учетные
записи – Administrator
(Администратор)
и Guest
(Гость).
По умолчанию учетная запись Гость
отключена.
Сосредоточим
свое внимание на учетных записях
пользователей домена. Эти учетные записи
хранятся на контроллерах домена, хранящих
копию базы данных Active Directory.
Существуют
различные форматы, в которых могут быть
представлены имена для входа пользователей
в систему, потому что они могут отличаться
для целей совместимости с клиентами,
работающими под управлением более
ранних версий Windows (такими как 95, 98, NT).
Два основных вида имен входа — это с
использованием суффикса User
Principal Name
(основного
имени пользователя)
и имя входа пользователя в системах
пред-Windows 2000.
Основное
имя пользователя (UPN,
User Principle Name)
имеет такой же формат, как и электронный
адрес. Он включает в себя имя входа
пользователя, затем значок «@»
и имя домена. По умолчанию доменное имя
корневого домена выделено в выпадающем
окне меню, независимо от того, в каком
домене учетная запись была создана
(выпадающий список будет также содержать
имя домена, в котором вы создали эту
учетную запись).
Также
можно создавать дополнительные доменные
суффиксы (та часть имени, которая стоит
после знака @),
которые будут появляться в выпадающем
списке и могут быть использованы при
образовании UPN, если вы их выберете (это
делается при помощи консоли «Active
Directory – домены и доверие»
(«Active Directory
Domain and Trusts«).
Существует
только одно обязательное условие при
этом — все UPN в лесу должны быть уникальными
(т.е. не повторяться). Если учетная запись
входа пользователя использует UPN для
входа в систему Windows 2003, вам необходимо
только указать UPN и пароль — более нет
нужды помнить и указывать доменное имя.
Другое преимущество данной системы
именования состоит в том, что UPN часто
соответствует электронному адресу
пользователя, что опять уменьшает
количество информации о пользователе,
которую необходимо запоминать.
Локальные учетные записи
Каждый
компьютер с операционными системами
Windows NT/2000/XP/2003 (если это не сервер,
являющийся контроллером домена) имеет
локальную базу данных учетных записей,
называемую базой данных SAM. Эти БД
обсуждались при описании модели
безопасности «Рабочая группа».
Локальные пользователи и особенно
группы используются при назначении
прав доступа к ресурсам конкретного
компьютера даже в доменной модели
безопасности. Общие правила использования
локальных и доменных групп для управления
доступом будут описаны ниже.
Управление доменными учетными записями пользователей
Доменные
учетные записи пользователей (а также
компьютеров и групп) хранятся в специальных
контейнерах AD. Это могут быть либо
стандартные контейнеры Users
для пользователей и Computers
для компьютеров, либо созданное
администратором Организационное
подразделение (ОП). Исключение составляют
учетные записи контроллеров домена,
они всегда хранятся в ОП с названием
Domain Controllers.
Рассмотрим
на примерах процесс создания учетных
записей пользователей в БД Active Directory и
разберем основные свойства доменных
учетных записей. Учетные записи для
компьютеров создаются в процессе
включения компьютера в домен.
Создание доменной учетной записи
-
Откроем
административную консоль «Active
Directory – пользователи и компьютеры«. -
Щелкнем
правой кнопкой мыши на контейнере, в
котором будем создавать учетную запись,
выберем в меню команду «Создать»
и далее — «Пользователь«. -
Заполним
поля «Имя«,
«Фамилия«,
например, «Иван»
и «Иванов»
(в английской версии — First
Name,
Last
Name),
поле «Полное
имя»
(Full
Name)
заполнится само. -
Введем
«Имя
входа пользователя»
(User
logon name),
например, User1.
К этому имени автоматически приписывается
часть вида «@<имя
домена>»,
в нашем примере — «@world.ru»
(полученное имя должно быть уникальным
в масштабах леса). -
В
процессе формирования имени входа
автоматически заполняется «Имя
входа пользователя (пред-Windows 2000)»
(User
logon name (pre- Windows 2000)),
создаваемое для совместимости с прежними
версиями Windows (данное имя должно быть
уникально в масштабе домена). В каждой
организации должны быть разработаны
схемы именования пользователей (по
имени, фамилии, инициалам, должности,
подразделению и т.д.) В нашем примере
получится имя «WORLDUser1«.
Нажмем кнопку «Далее»
(рис.
6.43):
Рис. 6.43
-
Вводим пароль
пользователя (два раза, для подтверждения). -
Укажем начальные
требования к паролю:-
Требовать смену
пароля при следующем входе в систему
(полезно в случае, когда администратор
назначает пользователю начальный
пароль, а затем пользователь сам
выбирает пароль, известный только
ему); -
Запретить смену
пароля пользователем (полезно и даже
необходимо для учетных записей различных
системных служб); -
Срок действия
пароля не ограничен (тоже используется
для паролей учетных записей служб,
чтобы политики домена не повлияли на
функционирование этих служб, данный
параметр имеет более высокий приоритет
по сравнению с политиками безопасности); -
Отключить учетную
запись.
-
Н
ажмем
кнопку «Далее»
(рис.
6.44):
Рис. 6.44
-
Получаем
итоговую сводку для создаваемого
объекта и нажимаем кнопку «Готово«.
Внимание!
В упражнениях лабораторных работ дается
задание настроить политики, которые
сильно понижают уровень требований к
паролям и полномочиям пользователей:
-
отключается
требование сложности паролей, -
устанавливается
минимальная длина пароля, равная 0 (т.е.
пароль может быть пустым), -
устанавливается
минимальный срок действия паролей 0
дней (т.е. пользователь может в любой
момент сменить пароль), -
устанавливается
история хранения паролей, равная 0 (т.е.
при смене пароля система не проверяет
историю ранее используемых паролей), -
группе «Пользователи»
дается право локального входа на
контроллеры домена.
Данные
политики устанавливаются исключительно
для удобства выполнения упражнений,
которые необходимо выполнять с правами
простых пользователей на серверах-контроллерах
домена. В реальной практике администрирования
такие слабые параметры безопасности
ни в коем случае устанавливать нельзя,
требования к паролям и правам пользователей
должны быть очень жесткими (политики
безопасности обсуждаются далее в этом
разделе).
Правила
выбора символов для создания пароля:
-
длина пароля —
не менее 7 символов; -
пароль не должен
совпадать с именем пользователя для
входа в систему, а также с его обычным
именем, фамилией, именами его родственников,
друзей и т.д.; -
пароль не должен
состоять из какого-либо слова (чтобы
исключить возможность подбора пароля
по словарю); -
пароль не должен
совпадать с номером телефона пользователя
(обычного или мобильного), номером его
автомобиля, паспорта, водительского
удостоверения или другого документа; -
пароль
должен быть комбинацией букв в верхнем
и нижнем регистрах, цифр и спецсимволов
(типа @#$%^*&()_+
и т.д.).
И
еще одно правило безопасности —
регулярная смена пароля (частота смены
зависит от требований безопасности в
каждой конкретной компании или
организации). В доменах Windows существует
политика, определяющая срок действия
паролей пользователей.
Обзор свойств учетных записей пользователей
Свойства
учетной записи пользователя содержат
большой набор различных параметров,
размещенных на нескольких закладках
при просмотре в консоли «Active
Directory – пользователи и компьютеры«,
причем при установке различных программных
продуктов набор свойств может расширяться.
Рассмотрим
наиболее важные с точки зрения
администрирования свойства.
Откроем
консоль «Active
Directory – пользователи и компьютеры»
и посмотрим свойства только что созданного
нами пользователя.
Закладка
«Общие«.
На данной закладке содержатся в основном
справочные данные, которые могут быть
очень полезны при поиске пользователей
в лесу AD. Наиболее интересные из них:
-
«Имя«
-
«Фамилия«
-
«Выводимое
имя« -
«Описание«
-
«Номер
телефона« -
«Электронная
почта«
Закладка
«Адрес»
— справочная информация для поиска в
AD.
Закладка
«Учетная
запись» —
очень важный набор параметров (параметры
«Имя входа
пользователя»
и «Имя входа
пользователя (пред-Windows 2000)»
обсуждались выше при создании
пользователя):
-
кнопка
«Время
входа»
— дни и часы, когда пользователь может
войти в домен; -
кнопка
«Вход
на…»
— список компьютеров, с которых
пользователь может входить в систему
(регистрироваться в домене); -
Поле
типа чек-бокс «Заблокировать
учетную запись»
— этот параметр недоступен, пока учетная
запись не заблокируется после
определенного политиками некоторого
количества неудачных попыток входа в
систему (попытки с неверным паролем),
служит для защиты от взлома пароля
чужой учетной записи методом перебора
вариантов; если будет сделано определенное
количество неудачных попыток, то учетная
запись пользователя автоматически
заблокируется, поле станет доступным
и в нем будет установлена галочка, снять
которую администратор может вручную,
либо она снимется автоматически после
интервала, заданного политиками паролей; -
«Параметры
учетной записи»
(первые три параметра обсуждались
выше):-
«Требовать
смену пароля при следующем входе в
систему« -
«Запретить
смену пароля пользователем« -
«Срок
действия пароля не ограничен« -
«Отключить
учетную запись»
— принудительное отключение учетной
записи (пользователь не сможет войти
в домен); -
«Для
интерактивного входа в сеть нужна
смарт-карта»
— вход в домен будет осуществляться
не при помощи пароля, а при помощи
смарт-карты (для этого на компьютере
пользователя должно быть устройство
для считывания смарт-карт, смарт-карты
должны содержать сертификаты, созданные
Центром выдачи сертификатов);
-
-
«Срок
действия учетной записи»
— устанавливает дату, с которой данная
учетная запись не будет действовать
при регистрации в домене (этот параметр
целесообразно задавать для сотрудников,
принятых на временную работу, людей,
приехавших в компанию в командировку,
студентов, проходящих практику в
организации и т.д.)
Закладки
«Телефоны«,
«Организация»
— справочная информация о пользователе
для поиска в AD.
Закладка
«Профиль«
Профиль
(profile)
— это настройки рабочей среды пользователя.
Профиль содержит: настройки рабочего
стола (цвет, разрешение экрана, фоновый
рисунок), настройки просмотра папок
компьютера, настройки обозревателя
Интернета и других программ (например,
размещение папок для программ семейства
Microsoft Office). Профиль автоматически
создается для каждого пользователя при
первом входе на компьютер. Различают
следующие виды профилей:
-
локальные
— хранятся в папке «Documents
and Settings»
на том разделе диска, где установлена
операционная система; -
перемещаемые
(сетевые, или roaming)
— хранятся на сервере в папке общего
доступа, загружаются в сеанс пользователя
на любом компьютере, с которого
пользователь вошел (зарегистрировался)
в домен, давая возможность пользователю
иметь одинаковую рабочую среду на любом
компьютере (путь к папке с профилем
указывается на данной закладке в виде
адреса \servershare%username%,
где server
— имя сервера, share
— имя папки общего доступа, %username%
—
имя папки с профилем; использование
переменной среды системы Windows с названием
%username%
позволяет задавать имя папки с профилем,
совпадающее с именем пользователя); -
обязательные
(mandatory)
— настройки данного типа профиля
пользователь может изменить только в
текущем сеансе работы в Windows, при выходе
из системы изменения не сохраняются.
Параметр
«Сценарий входа» определяет
исполняемый файл, который при входе
пользователя в систему загружается на
компьютер и исполняется. Исполняемым
файлом может быть пакетный файл (.bat,
.cmd),
исполняемая программа (.exe, .com), файл
сценария (.vbs, js).
Закладка
«Член групп»
— позволяет управлять списком групп,
в которые входит данный пользователь.
Закладка
«Входящие
звонки«.
Управление
доступом пользователя в корпоративную
систему через средства удаленного
доступа системы Windows Server (например, через
модем или VPN-соединение). В смешанном
режиме домена
Windows доступны только варианты «Разрешить
доступ» и
«Запретить
доступ«, а
также параметры обратного дозвона
(«Ответный
вызов сервера«).
В режимах «Windows
2000 основной»
и «Windows 2003»
доступом можно управлять с помощью
политик сервера удаленного доступа (не
надо путать с групповыми политиками).
Подробнее данный вопрос обсуждается в
разделе, посвященном средствам удаленного
доступа.
Закладки
«Профиль
служб терминалов«,
«Среда«,
«Сеансы«,
«Удаленное
управление»
— данные закладки управляют параметрами
работы пользователя на сервере терминалов:
-
управление
разрешением пользователя работать на
сервере терминалов; -
размещение профиля
при работе в терминальной сессии, -
настройка среды
пользователя в терминальной сессии
(запуск определенной программы или
режим рабочего стола, подключение
локальных дисков и принтеров пользователя
в терминальную сессию); -
управление сеансом
пользователя на сервере терминалов
(длительность сессии, тайм-аут бездействия
сессии, параметры повторного подключения
к отключенной сессии); -
разрешение
администратору подключаться к
терминальной сессии пользователя.
Управление группами
Учетные
записи групп, как и учетные записи
пользователей, могут быть созданы либо
в локальной базе SAM компьютера (сервера
или рабочей станции), либо в доменной
базе данных Active Directory.
Локальные
группы простого сервера-члена домена
или рабочей станции могут включать в
себя и локальные учетные записи данного
компьютера, и глобальные учетные записи
любого пользователя или компьютера
всего леса, а также доменные локальные
группы «своего» домена и глобальные
и универсальные группы всего леса.
Рассмотрим
подробнее, какие группы могут создаваться
в Active Directory.
В
Active Directory группы различаются по типу
(группы безопасности и группы
распространения) и по области действия
(локальные в домене, глобальные и
универсальные).
Типы
групп
-
Группы
безопасности — каждая группа данного
типа, так же как и каждая учетная запись
пользователя, имеет идентификатор
безопасности
(Security
Identifier,
или SID),
поэтому группы безопасности используются
для назначения разрешений при определении
прав доступа к различным сетевым
ресурсам. -
Группы распространения
— группы этого типа не имеют идентификатора
безопасности, поэтому не могут
использоваться для назначения прав
доступа, их главное назначение —
организация списков рассылки для
почтовых программ (например, для
Microsoft Exchange Server).
Область
действия групп
-
Локальные
в домене
могут содержать — глобальные группы
из любого домена, универсальные группы,
глобальные учетные записи пользователей
из любого домена леса, используются —
при назначении прав доступа только к
ресурсам «своего» домена; -
Глобальные
могут содержать — только глобальные
учетные записи пользователей «своего»
домена, используются — при назначении
прав доступа к ресурсам любого домена
в лесу; -
Универсальные
могут содержать — другие универсальные
группы всего леса, глобальные группы
всего леса, глобальные учетные записи
пользователей из любого домена леса,
используются — при назначении прав
доступа к ресурсам любого домена в
лесу.
В
смешанном режиме домена универсальные
группы недоступны для использования.
В основном режиме или режиме Windows 2003
можно создавать и использовать
универсальные группы. Кроме того, в
основном режиме и режиме Windows 2003 глобальные
группы могут включаться в другие
глобальные группы, а доменные локальные
группы могут включаться в другие доменные
локальные.
Специфика
универсальных групп заключается в том,
что эти группы хранятся в Глобальном
каталоге. Поэтому, если пользователь
является членом универсальной группы,
то при регистрации в домене ему обязательно
должен быть доступен контроллер домена,
являющийся сервером глобального
каталога, в противном случае пользователь
не сможет войти в сеть. Репликация между
простыми контроллерами домена и серверами
глобального каталога происходит
достаточно медленно, поэтому любое
изменение в составе универсальной
группы требует больше времени для
репликации, чем при изменении состава
групп с другими областями действия.
Маркер
доступа.
При
регистрации в домене пользователю
передается в его сессию на компьютере
т.н. маркер
доступа (Access
Token), называемый
иногда маркером безопасности. Маркер
доступа состоит из набора идентификаторов
безопасности — идентификатора
безопасности (SID) самого пользователя
и идентификаторов безопасности тех
групп, членом которых он является.
Впоследствии этот маркер доступа
используется при проверке разрешений
пользователя на доступ к различным
ресурсам домена.
Стратегия
создания и использования групп.
При
создании и использовании групп следует
придерживаться следующих правил:
-
Включать
глобальные учетные записи пользователей
(Accounts)
в глобальные группы (Global
groups). Глобальные группы формируются
обычно по
функциональным обязанностям сотрудников. -
Включать
глобальные группы в доменные локальные
или локальные на простом сервере или
рабочей станции (Local
groups). Локальные группы формируются на
основе разрешений для доступа к
конкретным ресурсам. -
Давать
разрешения (Permissions)
на доступ к ресурсам локальным группам.
По
первым буквам английских слов эту
стратегию часто обозначают сокращенно
AGLP.
В основном режиме и режиме Windows 2003 с
использованием универсальных (Universal)
групп эта стратегия может быть в более
общем виде представлена как аббревиатура
AGG…GULL…LP.
Такой подход облегчает управление
доступом к ресурсам по сравнению с
назначением разрешений напрямую учетным
записям пользователей. Например, при
переходе сотрудника с одной должности
на другую или из одного подразделения
в другое достаточно соответствующим
образом поменять его членство в различных
группах, и разрешения на доступ к сетевым
ресурсам автоматически будут назначены
уже исходя из его новой должности.
Встроенные
и динамически формируемые группы.
Кроме
тех групп, которые создает администратор,
на компьютерах локально или во всем
домене существуют встроенные
группы,
созданные во время установки системы
или создания домена. Кроме встроенных
групп в процессе работы системы
формируются динамические
группы, состав
которых меняется в зависимости от
ситуации.
Перечислим
наиболее часто используемые на практике
встроенные и динамические группы.
Встроенные |
|
Название группы |
Описание |
Администраторы |
Могут |
Операторы |
Члены группы |
Администраторы |
Члены этой группы |
Операторы |
Члены группы |
Пользователи |
Члены группы |
Пользователи |
Члены группы |
Опытные |
Члены |
Операторы |
Члены группы |
Пользователи |
Членам группы |
Пользователи |
Члены |
Встроенные |
|
Название группы |
Описание |
Администраторы |
Членам |
Операторы |
Члены |
Операторы |
Члены группы |
Администраторы |
Члены группы |
Операторы |
Члены группы |
Пользователи |
Члены группы |
Пользователи |
Члены группы |
Операторы |
Члены группы |
Операторы |
Члены группы |
Пользователи |
Члены |
Встроенные |
|
Название группы |
Описание |
Администраторы |
Эта |
Компьютеры |
Все контроллеры, |
Контроллеры |
Все контроллеры |
Пользователи |
Все |
Администраторы |
Эта |
Администраторы |
Члены этой группы |
Динамические |
|
Название группы |
Описание |
Интерактивные |
В эту группу |
Прошедшие |
Любой пользователь, |
Все |
Любая учетная |
Управление Организационными подразделениями, делегирование полномочий
Назначение
Организационных
подразделений
(ОП,
Organizational Units,
OU)
— организация иерархической структуры
объектов AD внутри домена. Как правило,
иерархия ОП в домене отражает
организационную структуру компании.
На
практике использование ОП (кроме
иерархической организации объектов)
сводится к двум задачам:
-
делегирование
административных полномочий на
управление объектами ОП какому-либо
пользователю или группе пользователей; -
применение
групповых политик к объектам, входящим
в ОП.
Делегирование
административных полномочий на управление
объектами ОП какому-либо пользователю
или группе позволяет в больших организациях
распределить нагрузку по администрированию
учетными записями между различными
сотрудниками, не увеличивая при этом
количество пользователей, имеющих
административные права на уровне всего
домена.
Рассмотрим
на примере процедуру предоставления
какому-либо пользователю административных
прав на управление ОП.
-
Откроем
консоль «Active
Directory – пользователи и компьютеры«. -
Создадим в домене
подразделение, скажем, с именем OU-1,
переместим в это ОП несколько имеющихся
в домене учетных записей (или создадим
новые). -
Щелкнем
правой кнопкой мыши на подразделении
OU-1 и выберем пункт меню «Делегирование
управления…«.
Запустится «Мастер
делегирования управления« -
В
ыберем
пользователя (или группу), которому
будем делегировать управление данным
ОП. Пусть это будет пользователь User1
(рис.
6.45).
Нажмем «Далее«.
Рис. 6.45
-
Выберем
набор административных задач, которые
делегируются данному пользователю
(рис.
6.46):
Рис. 6.46
-
По
завершении мастера — нажмем кнопку
«Готово«.
Если
теперь войти в систему на контроллере
домена с учетной записью User1 (при условии,
что у пользователя User1 есть права
локального входа в систему на контроллере
домена), запустить консоль «Active
Directory – пользователи и компьютеры«,
то пользователь User1 сможет выполнять
любые операции с объектами организационного
подразделения OU-1.
Кроме
удобных консолей с графическим интерфейсом
система Windows 2003 оснащена мощным набором
утилит командной строки для управления
объектами Active Directory:
-
dsadd
— добавляет объекты в каталог; -
dsget
— отображает свойства объектов в
каталоге; -
dsmod
— изменяет указанные атрибуты
существующего объекта в каталоге; -
dsquery
— находит объекты в каталоге,
удовлетворяющие указанным критериям
поиска; -
dsmove
— перемещает объект из текущего
местоположения в новое родительское
место; -
dsrm
— удаляет объект или все поддерево
ниже объекта в каталоге.
Примеры.
-
Создание
подразделения OU-New
в домене world.ru:
dsadd
ou «ou=OU-New,dc=world,dc=ru»
-
Создание
пользователя User-New
в подразделении OU-New
в домене world.ru:
dsadd
user «cn=User-New,ou=OU-New,dc=world,dc=ru»
-
Модификация
параметра «Номер
телефона»
у пользователя User-New:
dsmod
user «cn=User-New,ou=OU-New,dc=world,dc=ru» –tel
123-45-67
-
Получение
списка пользователей домена, у которых
имя начинается с символа «u»:
dsquery
user -name u*
Далее
рассмотрим применение групповых политик
(как для отдельных ОП, так и для других
структур Active Directory).
Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, оп), применение политик и права доступа, наследование и блокировка применения
Управление
рабочими станциями, серверами,
пользователями в большой организации
— очень трудоемкая задача. Механизм
Групповых
политик (Group
Policy) позволяет
автоматизировать данный процесс
управления. С помощью групповых политик
(ГП)
можно настраивать различные параметры
компьютеров и пользовательской рабочей
среды сразу в масштабах сайта AD, домена,
организационного подразделения
(детализацию настроек можно проводить
вплоть до отдельного компьютера или
пользователя). Настраивать можно широкий
набор параметров — сценарии входа в
систему и завершения сеанса работы в
системе, параметры Рабочего
стола и Панели
управления,
размещения личных папок пользователя,
настройки безопасности системы (политики
паролей, управления учетными записями,
аудита доступа к сетевым ресурсам,
управления сертификатами и т.д.),
развертывания приложений и управления
их жизненным циклом.
Каждый
объект групповых
политик (GPO,
Group Policy Object)
состоит из двух частей: контейнера
групповых политик
(GPC, Group Policy
Container) хранящегося
в БД Active Directory, и шаблона
групповых политик
(GPT,
Group Policy Template),
хранящегося в файловой системе контроллера
домена, в подпапках папки SYSVOL. Место, в
котором хранятся шаблоны политик, —
это папка %systemroot%SYSVOLsysvol<имя
домена>Policies,
и имя папки шаблона совпадает с глобальным
уникальным идентификатором (GUID) объекта
Групповая политика.
Каждый
объект политик содержит два раздела:
конфигурация компьютера и конфигурация
пользователя. Параметры этих разделов
применяются соответственно либо к
настройкам компьютера, либо к настройкам
среды пользователя.
Задание
параметров групповых политик производится
Редактором групповых политик, который
можно открыть в консоли управления
соответствующим объектом AD.
Каждый
объект политик может быть привязан к
тому или иному объекту AD — сайту, домену
или организационному подразделению (а
также к нескольким объектам одновременно).
Задание
параметров групповых политик производится
Редактором групповых политик, который
можно открыть в консоли управления
соответствующим объектом AD («Active
Directory – сайты и службы«,
«Active Directory
– пользователи и компьютеры«,
локальная политика компьютера
редактируется консолью gpedit.msc,
запускаемой из командной строки). На
рис.
6.47
показана закладка «Групповые
политики»
свойств домена world.ru.
На данной закладке можно выполнить
следующие действия:
-
кнопка
«Создать»
— создать новый объект ГП; -
кнопка
«Добавить»
— привязать к данному объекту AD
существующий объект ГП; -
кнопка
«Изменить»
— открыть редактор групповых политик
для выбранного объекта ГП; -
кнопка
«Параметры»
— запретить перекрывание (поле «Не
перекрывать«)
параметров данной объекта ГП другими
политиками или блокировку на более
низком уровне иерархии AD или отключить
(поле «Отключить«)
данный объект ГП; -
кнопка
«Удалить»
— удалить совсем выбранный объект ГП
или удалить привязку объекта ГП к
данному уровню AD; -
кнопка
«Свойства»
— отключить компьютерный или
пользовательский разделы политики или
настроить разрешения на использование
данного объекта ГП; -
поле
«Блокировать
наследование политики»
— запретить применение политик,
привязанных к более высоким уровням
иерархии AD; -
к
нопки
«Вверх»
и «Вниз»
— управление порядком применения
политик на данном уровне AD (политики,
расположенные в списке выше, имеют
более высокий приоритет).
Рис. 6.47
При
загрузке компьютера и аутентификации
в домене к нему применяются компьютерные
разделы всех привязанных политик. При
входе пользователя в систему к пользователю
применяется пользовательский раздел
всех групповых политик. Политики,
привязанные к некоторому уровню иерархии
объектов AD (сайта, домена, подразделения)
наследуются всеми объектами AD, находящимися
на более низких уровнях. Порядок
применения политик:
-
локальная политика;
-
политики сайта
Active Directory; -
политики домена;
-
политики
организационных подразделений.
Если
в процессе применения политик какие-либо
параметры определяются в различных
политиках, то действующими значениями
параметров будут значения, определенные
позднее.
Имеются
следующие методы управления применением
групповых политик (см. рис.
6.47):
-
блокировка
наследования политик на каком либо
уровне иерархии AD; -
запрет блокировки
конкретного объекта групповых политик; -
управление
приоритетом применения политик на
конкретном уровне AD (кнопками «Вверх»
и «Вниз«); -
разрешение
на применение политик (чтобы политики
какого-либо объекта ГП применялись к
пользователю или компьютеру, данный
пользователь или компьютер должен
иметь разрешения на этот объект ГП
«Чтение»
и «Применение
групповой политики«).
Кроме
применения политик в момент загрузки
компьютера или входа пользователя в
систему, каждый компьютер постоянно
запрашивает обновленные политики на
контроллерах домена, загружает их и
применяет обновленные параметры (и к
пользователю, и к компьютеру). Рабочие
станции домена и простые серверы
запрашивают обновления каждые 90 ± 30
минут, контроллеры домена обновляют
свои политики каждые 5 минут. Обновить
набор политик на компьютере можно
принудительно из командной строки
командой gpupdate
(на компьютерах с системами Windows XP/2003)
или командами «secedit
/refreshpolicy machine_policy»
и «secedit
/refreshpolicy user_policy»
(на компьютерах с системой Windows 2000).
Н
а
практических занятиях необходимо
изучить работу редактора групповых
политик, ознакомиться с набором параметров
стандартных политик домена и выполнить
задания по настройке рабочей среды
пользователей с помощью групповых
политик.
Управление приложениями
Рассмотрим
немного подробнее использование
групповых политик для развертывания
приложений в сетях под управлением
Active Directory.
Групповые
политики могут использоваться для
установки прикладных программ в масштабах
всего домена или отдельного организационного
подразделения.
Используются
следующие способы управления установкой
приложений:
-
назначение
приложений компьютерам
(при данном способе приложение,
назначенное компьютеру, автоматически
устанавливается при загрузке компьютера); -
назначение
приложений пользователям
(приложение устанавливается при первом
вызове данного приложения — при открытия
ярлычка приложения или файла,
соответствующего данному приложению); -
публикация
приложений пользователям
(название приложения добавляется к
списку доступных для установки программ
в окне «Установка
и удаление программ»
в Панели
управления).
С
помощью политик можно управлять
установкой приложений, которые
устанавливаются с помощью компоненты
Windows Installer,
т.е. для них установочный пакет должен
быть создан в формате файла с расширением
«.msi».
Если приложение можно установить только
с помощью установочной программы типа
setup.exe
или install.exe,
то такие приложения могут
быть опубликованы
(но не назначены) после создания файла
типа «.zap»,
в котором заданны соответствующие
параметры, необходимые для публикации
средствами ГП.
Рассмотрим
на примерах процессы назначения и
публикации приложений.
Пример
1. Назначение пакета Group
Policy Management Console
(«Консоль
управления групповыми политиками«)
всем компьютерам домена world.ru.
-
О
ткроем
закладку «Групповые
политики»
свойств домена. Создадим новый объект
ГП с именем «GPMC»
(рис.
6.48).
Рис. 6.48
-
О
ткроем
редактор политик для политики GPMC,
откроем «Конфигурация
компьютера«,
«Конфигурация
программ«,
на параметре «Установка
программ»
щелкнем правой кнопкой мыши и выберем
«Создать
— Пакет»
(рис.
6.49):
Рис. 6.49
-
Укажем
сетевой путь к пакету «\DC1SoftGPMCgpmc.msi».
Выберем метод развертывания «Назначенный«,
нажмем «ОК«.
В окне редактора политик появится
значение параметра (рис.
6.50):
Рис. 6.50
-
П
ри
загрузке компьютера в домене в процессе
применения политик будет установлен
данный программный пакет (рис.
6.51):
Рис. 6.51
Пример
2. Публикация пакета Microsoft
Office 2003 всем
пользователям домена world.ru.
-
Откроем
закладку «Групповые
политики»
свойств домена. Создадим новый объект
ГП с именем «MS
Office 2003«. -
Откроем
редактор политик для политики MS
Office 2003,
откроем «Конфигурация
пользователя«,
«Конфигурация
программ«,
на параметре «Установка
программ»
щелкнем правой кнопкой мыши и выберем
«Создать
— Пакет«. -
Укажем
сетевой путь к пакету «\DC1SoftOffice
2003PRO11.msi».
Выберем метод развертывания «Публичный«,
нажмем «ОК«. -
П
осле
применения политик откроем Панель
управления,
выберем «Установка
и удаление программ«,
нажмем кнопку «Установка
программ«,
в окне доступных для установки программ
появится название пакета «Microsoft
Office 2003»
(рис.
6.52).
Рис. 6.52
Group Policy Management
Console
В
качестве примера установки пакета с
помощью назначения мы выбрали пакет MS
Group Policy Management Console
(Консоль
управления групповыми политиками).
Установочный комплект можно найти в
Центре загрузка сайта корпорации
Microsoft (пакет распространяется бесплатно).
Рассмотрим
теперь подробнее, как работает этот
пакет.
Во-первых,
установить его можно на компьютер с
системам Windows XP/2003. При этом управлять
политиками пакет может и в доменах под
управлением Windows 2000.
В
о-вторых,
при просмотре свойств какого либо домена
или ОП закладка «Групповые политики»
после установки GPMC выглядит по-другому
(рис.
6.53):
Рис. 6.53
На
этой закладке вместо списка политик и
множества кнопок теперь всего одна
кнопка «Open»
(«Открыть«).
Отметим
основные преимущества этой консоли по
сравнению с базовыми возможностями
системы.
-
Наглядное
отображение иерархии внутри домена со
всеми объектами ГП, привязанными к
разным уровням иерархии ОП (рис.
6.54):
Р
ис.
6.54
На
рисунке хорошо видна вся иерархия
подразделений внутри домена world.ru.
Причем на каждом уровне отображается
список политик, привязанных к данному
уровню. Например, на уровне домена
привязаны политики: стандартная политика
домена, политика GPMC
(назначение пакета GPMC) и политика MS
Office 2003
(публикация пакета MS Office). На уровне
подразделения OU-1 включено блокирование
наследования
политик (синий значок с восклицательным
знаком). Стандартная политика домена
Default Domain Policy имеет свойство «Не
перекрывать»
(небольшой значок справа от стрелки на
пиктограмме объекта ГП). Включение
параметра «Не
перекрывать»
в этой консоли делается так: щелкнуть
правой кнопкой мыши на объекте ГП и в
контекстном меню выбрать пункт «Enforce«.
В
контейнере «Group
Policy Objects»
приведен полный список всех объектов
ГП.
Для
вызова редактора политик нужно щелкнуть
правой кнопкой мыши на объекте ГП и в
контекстном меню выбрать пункт «Edit«.
В
разделе «Group
Policy Modeling»
можно определить, какой набор политики
будет применяться на том или ином уровне
иерархии AD (на рис.
6.55
выведен список политик, примененных к
подразделению OU-1):
Рис. 6.55
В
разделе «Group
Policy Results»
можно определить набор параметров,
примененных к определенному пользователю
или компьютеру в результате наложения
всех политик (рис.
6.56,
список политик для пользователя
Администратор):
Рис. 6.56
6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
Протокол
Kerberos
был создан более десяти лет назад в
Массачусетском технологическом институте
в рамках проекта Athena.
Однако общедоступным этот протокол
стал, начиная с версии 4. После того, как
специалисты изучили новый протокол,
авторы разработали и предложили очередную
версию — Kerberos 5, которая была принята в
качестве стандарта IETF. Требования
реализации протокола изложены в документе
RFC 1510, кроме того, в спецификации RFC 1964
описывается механизм и формат передачи
жетонов безопасности в сообщениях
Kerberos.
Протокол
Kerberos предлагает механизм взаимной
аутентификации клиента и сервера перед
установлением связи между ними, причём
в протоколе учтён тот факт, что начальный
обмен информацией между клиентом и
сервером происходит в незащищённой
среде, а передаваемые пакеты могут быть
перехвачены и модифицированы. Другими
словами, протокол идеально подходит
для применения в Интернет и аналогичных
сетях.
Основная
концепция протокола Kerberos очень проста
— если есть секрет, известный только
двоим, то любой из его хранителей может
с лёгкостью удостовериться, что имеет
дело со своим напарником. Для этого ему
достаточно проверить, знает ли его
собеседник общий секрет.
Протокол
Kerberos решает эту проблему средствами
криптографии с секретным ключом. Вместо
того, чтобы сообщать друг другу пароль,
участники сеанса связи обмениваются
криптографическим ключом, знание
которого подтверждает личность
собеседника. Но чтобы такая технология
оказалась работоспособной, необходимо,
чтобы общий ключ был симметричным, т.е.,
он должен обеспечивать как шифрование,
так и дешифрование информации. Тогда
один из участников использует его для
шифрования данных, а другой с помощью
этого ключа извлекает их.
Простой
протокол аутентификации с секретным
ключом вступает в действие, когда кто-то
стучится в сетевую дверь и просит
впустить его. Чтобы доказать своё право
на вход, пользователь предъявляет
аутентификатор
(authenticator)
в виде набора данных, зашифрованного
секретным ключом. Получив аутенитификатор,
«привратник» расшифровывает его
и проверяет полученную информацию,
чтобы убедиться в успешности дешифрования.
Разумеется, содержание набора данных
должно постоянно меняться, иначе
злоумышленник может просто перехватить
пакет и воспользоваться его содержимым
для входа в систему. Если проверка прошла
успешно, то это значит, что посетителю
известен секретный код, а так как этот
код знает только он и привратник,
следовательно, пришелец на самом деле
тот, за кого себя выдаёт.
При
использовании простых протоколов, типа
описанного выше, возникает одна важная
проблема. Если каждому клиенту для
поддержания связи с каждой службой
требуется индивидуальный ключ, и такой
же ключ нужен каждой службе для каждого
клиента, то проблема обмена ключами
быстро приобретает предельную остроту.
Необходимость хранения и защиты такого
множества ключей на огромном количестве
компьютеров создаёт невероятный риск
для всей системы безопасности.
Само
название протокола Kerberos говорит о том,
как здесь решена проблема управления
ключами. Цербер
(или Кербер)
— персонаж греческой мифологии. Этот
свирепый пёс о трёх головах, по поверьям
греков, охраняет врата подземного
царства мёртвых. Трём головам Цербера
в протоколе Kerberos соответствуют три
участника безопасной связи:
-
Клиент
— система (пользователь), делающий
запрос; -
Сервер
— система, которая обеспечивает сервис
для систем, чью подлинность нужно
подтвердить. -
Центр
распределения ключей
(Key
Distribution Center,
KDC)
— сторонний посредник между клиентом
и сервером, который ручается за
подлинность клиента. В среде Windows ,
начиная с Windows 2000, в роли KDC выступает
контроллер домена со службой каталогов
Active Directory.
В
среде Kerberos для входа в систему пользователь
должен предоставить свое имя пользователя,
пароль и имя домена (часто упоминаемое
как Realm,
или «Сфера«,
в словаре Kerberos), в который он хочет войти.
Эта информация посылается KDC, который
устанавливает подлинность пользователя.
Если пользователь подлинный, ему
предоставляется нечто, называемое
«билет на
получение билета»
(ticket-granting
ticket, TGT).
Однако,
если вам необходим доступ к конкретному
серверу, вам также необходим билет для
этого сервера или вы не сможете создать
сеанс связи с ним.
Когда
вы хотите получить доступ к серверу, вы
сначала должны обратиться к KDC, предъявить
свой билет TGT, как подтверждение своей
подлинности, а затем уже запросить
«билет
сеанса» для
сервера, с которым вам необходим контакт.
Если вы аутентифицированы, вы сможете
получить доступ к серверу в соответствии
с правами, которыми обладаете. Билет
сеанса и TGT, которые вы получаете, имеют
ограниченное время действия, которое
может настраиваться в групповой политике.
Значения по умолчанию составляют для
TGT (также упоминаемого как билет
пользователя) — 7 дней, а для билета
сеанса (также упоминаемого как билет
службы) — 10 часов.
В
среде с одним доменом аутентификация
Kerberos осуществляется очень просто. Однако
в среде со многими доменами, этот процесс
происходит в несколько этапов. Причина
в том, что когда вы пытаетесь получить
билет сессии для сервера, он должен быть
получен от KDC того домена, в котором
расположен сервер. Поэтому вы должны
будете получить несколько билетов
сессии, для прохождения цепочки
доверительных отношений по пути к KDC, к
которому вам нужно получить доступ.
Пример,
приведенный ниже, демонстрирует шаги,
необходимые для того, чтобы клиент,
расположенный в домене it.company.ru,
получил доступ к серверу в домене
sales.company.ru:
-
клиент
входит в систему как пользователь в
домене it.company.ru
и получает соответствующий TGT; -
клиент
хочет взаимодействовать с сервером в
домене sales.company.ru,
он контактирует с KDC в домене it.company.ru
и запрашивает билет сеанса для KDC в
домене company.ru; -
после
получения этого билета он контактирует
с KDC в домене company.ru
и запрашивает билет сеанса для KDC в
домене sales.company.ru; -
после
получения этого билета он контактирует
с KDC в домене sales.company.ru
и запрашивает билет для сервера, к
которому ему необходим доступ; -
получив билет
сессии для доступа к серверу, клиент
имеет доступ к нему в соответствии с
имеющимися у него разрешениями.
Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
Управлению
безопасностью в сетях Microsoft Windows посвящено
немало учебных курсов и хороших книг.
В предыдущих разделах мы уже касались
политик безопасности, относящихся к
учетным записям пользователей (параметры
длины и сложности пароля, параметры
блокировки учетных записей) и параметрам
прав пользователей (в частности, локальный
вход в систему на сервере для выполнения
лабораторных работ в компьютерном
классе).
Оставим
подробное изучение безопасности сетей
Microsoft за рамками данного курса, но при
этом рассмотрим работу с очень полезными
оснастками, которые могут помочь
начинающему сетевому администратору
ознакомиться с некоторыми стандартными
шаблонами политик безопасности, которые
имеются в самой системе Windows Server, и
проводить анализ и текущих настроек
сервера в сравнении со этими стандартными
шаблонами.
-
Сначала
откроем чистую консоль mmc.
Кнопка
«Пуск»
— «Выполнить»
— mmc
— кнопка «ОК«.
-
Добавим
в новую консоль оснастки «Шаблоны
безопасности»
и «Анализ
и настройка безопасности«.
М
еню
«Консоль»
— «Добавить
или удалить оснастку»
— кнопка «Добавить»
— выбрать оснастку «Анализ
и настройка безопасности»
— кнопка «Добавить»
— выбрать оснастку «Шаблоны
безопасности»
— кнопка «Добавить»
— кнопка «Закрыть»
— кнопка «ОК»
(рис.
6.57).
Рис. 6.57
В
полученной консоли (ее можно будет
сохранить и использовать в дальнейшем
неоднократно) можно делать следующее:
-
изучить параметры
стандартных шаблонов безопасности
(оснастка «Шаблоны безопасности»)
и даже попробовать сконструировать
собственные шаблоны на основе стандартных
(можно сохранить какой-либо шаблон с
другим именем и изменить какие-либо
параметры шаблона); -
провести
анализ (сравнение) текущих параметров
безопасности сервера (оснастка «Анализ
и настройка безопасности«).
Приведем
краткие характеристики стандартных
шаблонов безопасности:
-
DC
security
— используемые по умолчанию параметры
безопасности контроллера домена; -
securedc
— защищенный контроллер домена (более
высокие требования к безопасности по
сравнению с шаблоном DC
security,
отключается использование метода
аутентификации LanManager); -
hisecdc
— контроллер домена с высоким уровнем
защиты (более высокие требования к
безопасности по сравнению с шаблоном
securedc,
отключается метод аутентификации NTLM,
включается требование цифровой подписи
пакетов SMB); -
compatws
— совместимая рабочая станция или
совместимый сервер (ослабляет используемые
по умолчанию разрешения доступ группы
«Пользователи» к реестру и к
системным файлам для того, чтобы
приложения, не сертифицированные для
использования в данной системе, могли
работать в ней); -
securews
— защищенная рабочая станция или
защищенный сервер (аналогичен шаблону
securedc,
но предназначен для применения к рабочим
станциям и простым серверам); -
hisecws
— рабочая станция или защищенный сервер
с высоким уровнем защиты (аналогичен
шаблону hisecdc,
но предназначен для применения к рабочим
станциям и простым серверам); -
setup
security
— первоначальные настройки по умолчанию
(параметры, устанавливаемые во время
инсталляции системы); -
rootsec
— установка стандартных (назначаемых
во время инсталляции системы)
NTFS-разрешений для папки, в которую
установлена операционная система;
Теперь
на примере рассмотрим, как проводить
анализ настроек безопасности.
-
Откроем базу
данных, в которой будут сохраняться
настройки проводимого нами анализа.
Щ
елкнем
правой кнопкой мыши на значке оснастки
«Анализ и
настройка безопасности«,
выберем «Открыть
базу данных«,
укажем путь и название БД (по умолчанию
БД создается в папках профиля того
администратора, который проводит
анализ), нажмем кнопку «Открыть«,
выберем нужный нам шаблон (например,
hisecdc)
и нажмем «ОК»
(рис.
6.58):
Рис. 6.58
-
Выполним анализ
настроек безопасности.
Щ
елкнем
правой кнопкой мыши на значке оснастки
«Анализ и
настройка безопасности«,
выберем «Анализ
компьютера«,
укажем путь и название файла с журналом
ошибок (т.е. протоколом проведения
анализа), нажмем «ОК», будет выполнено
сравнение текущих настроек с параметрами
шаблона (рис.
6.59):
Рис. 6.59
-
Теперь можно
провести уже настоящий анализ настроек
безопасности.
Откроем
любой раздел оснастки (например, «Политики
паролей«,
рис.
6.60):
На
рисунке сразу видны расхождения между
настройками нашего сервера (столбец
«Параметр
компьютера«)
и настройками шаблона (столбец «Параметр
базы данных«)
— видно, как мы понизили настройке
безопасности для проведения практических
занятий.
Аналогично
проводится анализ всех остальных
разделов политик безопасности.
Этой
же оснасткой можно одним действием
привести настройки нашего компьютера
в соответствии с параметрами шаблона
(щелкнуть правой кнопкой мыши на значке
оснастки «Анализ
и настройка безопасности«,
выбрать «Настроить
компьютер«).
Не рекомендуем это делать, не изучив в
деталях, какие последствия это может
повлечь для всей сети. Высокие требования
к параметрам безопасности препятствуют
работе в домене Active Directory компьютеров
с системами Windows 95/98/ME/NT. Например, данные
системы поддерживают уровень аутентификации
NTLM версии 2 (который назначается шаблонами
hisecdc
и hisecws)
только при проведении определенных
настроек на компьютерах со старыми
системами. Поэтому, прежде чем принимать
решение об установке более высоких
параметров безопасности в сети, необходимо
тщательно изучить состав сети, какие
требования к серверам и рабочим станциям
предъявляют те или иные шаблоны
безопасности, предварительно установить
нужные обновления и настроить нужные
параметры на «старых» системах и
только после этого применять к серверам
и рабочим станциям Windows 2000/XP/2003 шаблоны
с высокими уровнями сетевой безопасности.
З
аметим
дополнительно, что данные оснастки
имеются не только на серверах, но и на
рабочих станциях под управлением Windows
2000/XP Professional, и они позволяют производить
аналогичный анализ и настройки на
рабочих местах пользователей.
Рис. 6.60
7. Лабораторная работа: Служба каталогов Active Directory
Достаточно
подробно раскрыт процесс установки
контроллера домена. Представлены приемы
управления пользователями и группами
в домене. В лабораторной работе
рассматриваются способы управления
групповыми политиками. Рассматриваются
приемы управления приложениями с помощью
групповых политик
Упражнение 1. Установка первого контроллера в домене (лесе).
Цель упражнения |
Получить |
Исходная |
Компьютер |
Результат |
Созданный |
Предварительные |
Знание |
Задания |
|
1 |
Проверка |
У
|
|
2 |
Проверка |
У
|
|
3 |
Запуск мастера |
Кнопка
Выберите
Если
Если
Введите
Пример:
Введите
Пример:
Укажите
Укажите
Мастер
Выберите
«Установить
Выберите
Введите
Изучите
Если
Если
Мастер
Перезагрузите |
|
4 |
Преобразование |
Преобразуйте
|
|
5 |
Отключение |
Внимание!
Отключите
|
|
6 |
Разрешение |
Внимание!
Разрешите
«Параметры
|
Упражнение 2. Установка второго контроллера домена с помощью репликации бд Active Directory с первого контроллера домена.
Цель упражнения |
Получить |
Исходная |
Компьютер |
Результат |
Установленный |
Предварительные |
Знание |
Задания |
|
1 |
Проверка |
У
|
|
2 |
Проверка |
У
|
|
3 |
Включение |
Включите
|
|
4 |
Запуск мастера |
Кнопка dcpromo
Нажмите
Введите:
Нажмите
Оставьте
Нажмите
Укажите
Укажите
Введите
Изучите
Перезагрузите |
Упражнение 3. Установка второго контроллера домена из резервной копии бд Active Directory первого контроллера домена.
Цель упражнения |
Получить |
Исходная |
Компьютеры Часть |
Результат |
Второй |
Предварительные |
Знание |
Задания |
|
1 |
Понижение роли |
Выполните
Кнопка dcpromo
Нажмите
Снова
Нажмите
Нажмите
|
|
2 |
Создание |
«Пуск» или
«Пуск»
Кнопка
На
«Пуск» или
«Пуск»
Кнопка
Укажите
|
|
3 |
Запуск мастера |
«Пуск» или
«Пуск»
Кнопка
«Пуск» или
«Пуск»
Укажите
По
dcpromo
Кнопка
Кнопка
—
Выберите
Выберите
Directory
Укажите
Введите
Изучите
Если
Если
Перезагрузите |
Упражнение 4. Управление пользователями и группами; режимы функционирования домена
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Созданные |
Предварительные |
Общие |
Задания |
|
1 |
Создание |
|
|
Создание групп |
|
|
|
3 |
Повышение |
Выполните
|
|
4 |
Модификация |
|
Упражнение 5. Структура службы каталогов Active Directory, управление репликацией, хозяева операций
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Умение |
Предварительные |
Общие |
Задания |
|
1 |
Изучение ролей |
«Active
«Active
«Active
|
|
2 |
Осуществление |
Консоль
Раскрыть
«Servers»
Установить
В |
Упражнение 6. Организационные подразделения (оп), делегирование административных полномочий
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Созданные |
Предварительные |
Общие |
Задания |
|
1 |
Создание |
Консоль
На
Выбрать
Выбрать
Ввести
Кнопка
Консоль
На
Выбрать
Выбрать
Ввести
Кнопка
|
|
2 |
Делегирование |
Консоль
На
Выбрать
Кнопка
Кнопка
Выбрать
Кнопка
Выбрать
Поставить
Кнопка
Кнопка
|
Упражнение 7. Организационные подразделения (оп), групповые политики (гп)
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Созданные |
Предварительные |
Общие |
Задания |
|
1 |
Создание объекта |
Консоль
На
Свойства
Кнопка
Ввести
Кнопка
Включить
«Конфигурация
«Конфигурация
«Конфигурация
«Конфигурация
«Конфигурация
«Конфигурация
«Конфигурация
|
|
2 |
Ограничение |
Консоль
На
Свойства
Закладка
Выбрать
Кнопка
Закладка
Кнопка
Выбрать
В
Кнопка
|
|
3 |
Блокировка |
Консоль
На
Свойства
Закладка
Поставить
|
|
4 |
Принудительное |
Консоль
На
Свойства
Закладка
Кнопка
Поставить
|
Упражнение 8. Управление приложениями с помощью групповых политик
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Созданные |
Предварительные |
Общие |
Задания |
|
1 |
Создание объекта |
Выполните
Консоль
На
Свойства
Закладка
Кнопка
Ввести
Кнопка
Откройте
«Конфигурация
Щелкнуть
Выбрать
«Пакет»
Указать
Режим
Кнопка
Закрыть
В |
|
2 |
Создание объекта |
Выполните
Консоль
На
Свойства
Закладка
Кнопка
Ввести
Кнопка
Откройте
«Конфигурация
Щелкнуть
Выбрать
«Пакет»
Указать
Режим
Кнопка
Закрыть Примечание
На
Откройте
«Установка
Кнопка
В Примечание. В |
Упражнение 9. Консоль управления групповыми политиками — Group Policy Management Console
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Созданные |
Предварительные |
Общие |
Задания |
|
1 |
Управление |
Консоль
На
Свойства
Закладка
Кнопка
|
Упражнение 10. Управление объектами Active Directory утилитами командной строки
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Созданные |
Предварительные |
Общие |
Задания |
|
1 |
Самостоятельное |
Запустите dsadd dsmod dsget dsmove dsrm dsquery |
|
2 |
Создание |
Создайте
dsadd Пример.
Для
dsadd
Создайте
dsadd Пример.
Для
dsadd
|
|
3 |
Модификация |
Измените
dsmod Пример.
Для
dsmod
|
|
4 |
Получение |
Выполните
dsquery |
|
5 |
Перенаправление |
Получите
dsquery |
Упражнение 11. Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
Цель упражнения |
Изучить |
Исходная |
Компьютеры |
Результат |
Проведенный |
Предварительные |
Общие |
Задания |
|
1 |
Создание консоли |
«Выполнить»
Введите
Кнопка
Выберите
Кнопка
Выберите
Кнопка
Выберите
Кнопка
Кнопка
Кнопка |
|
2 |
Изучение |
setupsecurity
|
|
3 |
Создание базы |
Создайте
Выберите
Укажите
Кнопка
Выберите
шаблон
Кнопка |
|
4 |
Проведение |
Проведите
Выберите
Укажите
Кнопка
В
В
Найдите
|
8. Лекция: Служба файлов и печати
Эта
лекция подробно знакомит читателей со
службами файлов и службами печати
операционной системы Microsoft Windows Server
2003. Вы узнаете, как разрешать пользователям
использовать общие ресурсы, как разрешать
использовать общие принтеры. Рассмотрены
возможности разграничения прав, и
приоритетов. Даются краткие сведения
о файловых системах используемых в
Windows 2003 Server
Служба
предоставления совместного доступа к
файлам и печати — одна из наиболее
интенсивно используемых служб в
корпоративных сетях. Сотрудникам
компаний и организаций необходим доступ
к документам самых различным типов —
текстовым документам, электронным
таблицам, презентациям, файлам
файл-серверных баз данных многое другое.
Хранение
и обработка документов на файловом
сервере имеет ряд преимуществ по
сравнению с хранением и обработкой
документов на каждом рабочем месте по
отдельности: централизованное управление
доступом к файловым ресурсам,
централизованное управление созданием
резервных копий, централизованная
антивирусная защита.
Управление
совместным использованием принтеров
— также типичная задача сетевого
администратора. Использование сетевых
принтеров позволяет наиболее эффективно
расходовать ресурсы на печать документов.
И здесь также возникает потребность в
управлении доступом, настройкой службы
печати для наиболее высокой
производительности.
8.1 Базовые и динамические диски, тома. Файловые системы fat16, fat32, ntfs
Сначала
рассмотрим, как система Windows Server управляет
дисковыми подсистемами и как создаются
на дисках разделы, логические диски и
тома. Затем разберем особенности
использования на разделах и томах
различных файловых систем — FAT16, FAT32 и
NTFS.
Базовые и динамические диски, тома Базовые (основные) диски
Базовые,
или основные,
диски
— это термин, обозначающий дисковые
конфигурации, использовавшиеся в
системах корпорации Microsoft до появления
Windows 2000. После выхода Windows данные технологии
приобрели название «базовый (основной)»
диск (basic disk)
для того, чтобы отличить их от новых
технологий управления дисками, которые
стали называть «динамическими»
(dynamic disks).
В
системах с DOS-ядром (MS DOS, Windows 3/95/98/ME)
базовый диск мог состоять из одного или
двух разделов. Если разделов два, то
первый называется «основным»
разделом (primary partition), а второй —
«дополнительным»
(secondary partition).
Дополнительный раздел в свою очередь
может быть разбит на несколько логических
дисков (logical
disks). В системах
с ядром Windows NT (Windows NT/2000/XP/2003) на жестком
диске может быть до четырех разделов.
При этом все разделы могут быть основными
либо один из них — дополнительный
(который можно опять же разбить на
логические диски).
Каждому
основному разделу или логическому диску
в системе может быть назначена буква
диска (C:,
D:
и т.д.). В системе Windows 2003, если нет
флоппи-дисков, то буквы для разделов и
логических дисков можно назначать,
начиная с A:.
Нулевой
сектор базового жесткого диска состоит
из двух частей. Начало сектора — ссылка
на загрузчик операционной системы,
конец сектора — т.н. таблица
разделов
(partition table),
содержащая адреса начальных секторов
разделов диска (основных и дополнительного).
Разбиение
жесткого диска на разделы и логические
диски производится оснасткой «Управление
дисками»
(обычно эта оснастка запускается из
консоли «Управление
компьютером«).
Типичная
картина разбиения жесткого диска на
разделы представлена на рис.
8.1.
Рис. 8.1
Основные
разделы (в данном примере — разделы с
буквами C:
и D:)
обозначены на рисунке синим цветом,
логические диски на дополнительном
разделе (E:
и F:)
— голубым цветом, сам дополнительный
раздел — в виде фона зеленого цвета,
нераспределенное пространство на
жестком диске — черным цветом.
Рассмотрим
на примере процесс создания раздела на
жестком диске.
-
В
оснастке «Управление
дисками»
щелкнем правой кнопкой мыши на
нераспределенном пространстве жесткого
диска, выберем пункт меню «Создать
раздел»
(рис.
8.2):
Рис. 8.2
-
В
открывшемся Мастере
создания разделов
нажмем кнопку «Далее«.
Выберем тип раздела — основной или
дополнительный, нажмем «Далее»
(рис.
8.3):
Рис. 8.3
-
Укажем размер
раздела. -
Назначим букву
диска (здесь можно выбрать вариант
подключения нового раздела или
логического диска в виде ссылки из
пустой папки, расположенной на другом
разделе с файловой системой NTFS, или
вообще не назначать букву). -
Отформатируем
раздел под какую-либо файловую систему
(FAT или NTFS), зададим метку тома (рис.
8.4):
Рис. 8.4
-
Нажмем
кнопку «Готово«.
Система создаст раздел (рис.
8.5):
Рис. 8.5
Теперь
разберем процесс создания логического
диска на дополнительном разделе.
-
В
оснастке «Управление
дисками»
щелкнем правой кнопкой мыши на
нераспределенном пространстве
дополнительного раздела, выберем пункт
меню «Создать
логический диск»
(рис.
8.6):
Рис. 8.6
-
Укажем размер
логического диска, назначим букву диска
и отформатируем. -
Нажмем
кнопку «Готово«.
Система создаст логический диск (рис.
8.7):
Рис. 8.7
Аналогично
в этой же оснастке можно удалять имеющиеся
разделы и логические диски, форматировать
под различные файловые системы, менять
назначенные им буквы или монтировать
разделы и логические диски в пустые
папки на других разделах или логических
дисках.
Одно
из достоинств базовых дисков заключается
в том, что на любом основном разделе или
логическом диске одного и того же
физического диска можно установить
отдельный экземпляр операционной
системы из семейства Windows NT/2000/XP/2003.
Динамические диски
Динамические
диски — это технология управления
жесткими дисками, позволяющая создавать
на базе обычных жестких дисков компьютера
более производительные или отказоустойчивые
конфигурации.
Технологии
создания производительных или
отказоустойчивых конфигураций дисков
имеют общее название RAID.
Технология
RAID(дисковый
массив RAID — Redundant
Array of Inexpensive Disks,
избыточный
массив недорогих дисков)
была впервые разработана в 1987 году
сотрудниками Калифорнийского университета
в Беркли.
Технология
RAID предполагает использование наборов
(два и более) жестких дисков, доступных
операционной системе как один том.
Данные распределяются по набору дисков
определенным способом, соответствующим
одному из уровней RAID. В случае отказов
отдельных дисков массив содержит
дополнительную (избыточную) емкость,
обеспечивающую возможность восстановления
данных. Технология имеет набор спецификаций
устройств хранения данных, связанных
с «Уровнями RAID», определяющими
способы распределения на дисковом
массиве, их резервирования и восстановления.
Несмотря
на общее название, архитектура RAID имеет
существенные различия, определяющие
различные способы объединения нескольких
жестких дисков в единую систему так,
чтобы она функционировала как один
диск. В системах семейства Windows Server
реализованы следующие виды RAID: RAID-0(тома
с чередованием информации), RAID-1(зеркальные
тома) и RAID-5.
RAID-0—
дисковый массив без дополнительной
отказоустойчивости: поток данных
разбивается на блоки, которые
последовательно записываются на диски.
Основные достоинства: простота конструкции
и изготовления, высокая производительность.
За счет того, что файлы записываются
блоками на два и более дисков, скорость
передачи данных дисковой подсистемы
резко возрастает. Количество дисков —
от 2 до 32. Коэффициент использования
дискового пространства (отношение
объема полезных данных к суммарному
объему дискового массива) равен 1.
Недостатком является низкая
отказоустойчивость. Выход из строя
одного из дисков приводит к потере всех
данных, хранящихся на всем дисковом
массиве. Схема записи данных на том с
конфигурацией RAID-0 для пяти физических
дисков приведена на рис.
8.8.
Рис. 8.8
RAID-1—
дисковый массив с зеркалированием
данных: блок данных записывается в двух
экземплярах на отдельные диски.
Достоинства: скорость записи та же, что
и для одного диска, высокая скорость
восстановления данных, простота
конструкции, единственный вид
RAID-массивов, позволяющий получить
отказоустойчивую дисковую подсистему
на двух дисках. Недостаток: низкий
коэффициент использования дискового
пространства, равный 0,5. Схема записи
данных на том с конфигурацией RAID-1
приведена на рис.
8.9.
Рис. 8.9
RAID-5
— дисковый
массив с чередованием данных и вычислением
контрольных сумм для записываемых
данных: блоки данных последовательно
записываются на диски, контрольная
сумма для блоков одного ряда вычисляется
во время записи, контрольные суммы
размещаются последовательно по всем
дискам. Количество дисков — от 3 до 32.
При выходе из строя одного из физических
дисков информация остается доступной
для обработки.
Достоинства:
высокая скорость чтения и записи данных,
высокий коэффициент использования
дискового пространства. Недостатки:
выход из строя одного из дисков оказывает
заметное влияние на производительность.
Схема записи данных на том с конфигурацией
RAID-5 для пяти физических дисков приведена
на рис.
8.10.
Рис. 8.10
Базовый
диск легко преобразуется в динамический
с сохранением
всей информации.
Для этого в оснастке «Управление
дисками»
надо щелкнуть правой кнопкой мыши на
значке самого диска, выбрать в меню
пункт «Преобразовать
в динамический диск»
(рис.
8.11),
выбрать, какой именно диск надо
преобразовать (можно выбрать несколько
дисков одновременно), нажать кнопку
«ОК»
и кнопку «Преобразовать»
для подтверждения действий (рис.
8.12),
снова нажать «Да«.для
подтверждения, после чего система
преобразует диск (при необходимости
сервер будет перезагружен).
Рис. 8.11
Рис. 8.12
Обратное
преобразование из динамического диска
в базовый производится также достаточно
просто, но предварительно все
тома на динамическом диске должны быть
удалены.
Заметим
также, что если мы преобразовали базовый
диск в динамический, то этот диск будет
доступен только в операционных системах
Windows 2000/XP/2003, но не в более ранних.
И
еще одно замечание. На каждом динамическом
диске может быть установлена только
одна операционная система.
На
динамических дисках основной единицей,
на которые разбиваются диски, является
том
(volume).
В системе Windows Server имеются следующие
виды томов:
-
простой
том
(simple
volume); -
составной
том
(spanned
volume); -
зеркальный
том
(mirrored
volume); -
чередующийся
том
(striped
volume); -
том
RAID-5
(RAID-5
volume).
Простой
том — это
аналог основного раздела или логического
диска на базовых дисках. Например, после
преобразования в динамический диск
диска, изображенного на рис.
8.1,
получится следующая дисковая конфигурация
(рис.
8.13):
Рис. 8.13
На
рисунке видно, что основные разделы и
логические диски преобразовались в
простые тома (обозначены оливковым
цветом).
Одно
из преимуществ динамических дисков
заключается в том, что, если после
последнего простого тома на диске есть
нераспределенное пространство, то этот
последний том можно расширить без потери
информации. В данном примере можно
щелкнуть правой кнопкой мыши на томе
F: и выбрать в меню пункт «Расширить
том«, затем
указать размер добавляемого пространства,
и том будет увеличен на заданную величину.
Еще
одно преимущество динамических дисков
— диски, установленные и сконфигурированные
на одной системе, могут быть перенесены
на другой сервер, и данная конфигурация,
состоящая из нескольких дисков, будет
по-прежнему работоспособна. При установке
в сервер дискового массива с другого
сервера нужно в оснастке «Управление
дисками»
выбрать в меню «Действие»
пункты «Обновить»
(Refresh)
или «Повторить
сканирование дисков»
(Rescan disks),
после чего установленный дисковый
массив станет работоспособным.
Составной
том —
конфигурация, позволяющая увеличить
размер тома за счет несмежных участков
нераспределенного пространства, причем
свободные участки для расширения тома
можно выбирать на других динамических
дисках сервера. В нашем примере мы можем
расширить том с буквой E:
следующим образом:
-
Щелкнем
правой кнопкой мыши на томе, выберем
пункт меню «Расширить
том»
(рис.
8.14):
Рис. 8.14
-
В
запустившемся Мастере
расширения тома
указать физические диски, на которые
будет расширяться данный том, и размер
добавляемого пространства. Выберем в
примере диски 0 и 2 и укажем для каждого
диска размер пространства, которое на
данном диске будет добавлено к тому E:
(рис.
8.15):
Рис. 8.15
-
После
нажатия кнопок «Далее»
и «Готово»
получим конфигурацию, изображенную на
рис.
8.16
(составной том обозначен сиреневым
цветом):
Рис. 8.16
Основной
недостаток составных томов — при выходе
из строя любого
из жестких дисков, на которых размещен
составной том, будет потеряна вся
информация, хранящаяся на данном томе.
Поэтому мы рекомендуем использовать
данный вариант расширения пространства
тома только как экстренный, причем в
течение ограниченного времени, либо
регулярно делать резервные копии
информации на данном томе.
Зеркальный
том (известный
также как массив RAID-1) — состоит из двух
частей одинакового размера, расположенных
на различных физических дисках. Каждая
такая часть содержит точную копию другой
части зеркала. При выходе из строя любого
из жестких дисков, на которых расположен
зеркальный том, информация, хранящаяся
на томе, остается доступной для
использования.
Зеркальный
том можно создать как новый, на
нераспределенном пространстве жестких
дисков, так и путем добавления зеркала
к уже имеющемуся простому
тому.
Рассмотрим
пример добавления зеркала к тому, на
котором установлена операционная
система:
-
В
оснастке «Управление
дисками»
щелкнем правой кнопкой мыши на томе с
операционной системой и выберем в меню
пункт «Добавить
зеркало»
(рис.
8.17):
Рис. 8.17
-
Выберем
диск, на котором будем создавать зеркало
(в примере — Диск
1,
рис.
8.18):
Рис. 8.18
-
Начнется
процесс ресинхронизации
зеркального тома (рис.
8.19):
Рис. 8.19
-
По окончании
процесса ресинхронизации зеркальный
том будет полностью готов к использованию.
Использование
зеркального тома — самый простой и
самый надежный способ обеспечения
сохранности данных средствами системы
Windows Server. И это единственный
способ защиты
от сбоев, применимый к тому с операционной
системой. В рассматриваемом примере,
если из строя выйдет Диск
0, с которого
загружается операционная система, то
с помощью заранее заготовленной дискеты
мы сможем загрузить сервер с зеркальной
копии, хранящейся на Диске
1. Дискету
нужно подготовить следующим образом:
-
Отформатировать
в системе Windows Server (желательно в той же
версии, на которой создан зеркальный
том). -
Скопировать
с загрузочного тома сервера (обычно
это диск C:)
файлы boot.ini,
ntldr,
ntdetect.com
и ntbotdd.sys
(если таковой файл имеется). -
Отредактировать
файл boot.ini
(в котором хранится меню начальной
загрузки системы с указанием дисков и
томов, в которых установлены экземпляры
имеющихся на компьютере операционных
систем), чтобы загрузка выполнялась с
Диска
1
зеркального тома. В нашем примере
содержимое отредактированного файла
boot.ini
может выглядеть так:
[boot
loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(1)WINDOWS
[operating
systems]
multi(0)disk(0)rdisk(1)partition(1)WINDOWS=
«Windows
Server 2003 «/fastdetect/noexecute=optout
В
случае выхода из строя одного из дисков
необходимо сначала удалить зеркальный
том (в оснастке «Управление
дисками»
щелкнуть правой кнопкой мыши на доступной
части зеркального тома и выбрать пункт
меню «Удалить
зеркало«),
удалить с сервера неисправный диск,
заменить его новым, а затем в оснастке
«Управление
дисками»
снова создать зеркальный том.
Чередующийся том
Чередующийся
том (известный
также как массив RAID-0). Технология работы
с массивом RAID-0 описана выше. Главное
назначение чередующихся томов —
повышение скорости доступа к данным с
помощью распределения потока данных
на несколько жестких дисков. Наибольший
выигрыш достигается при подключении
дисков к различным дисковым контроллерам.
Но даже при подключении нескольких
дисков к одному контроллеру
производительность может повыситься
за счет более быстрого позиционирования
магнитных головок жестких дисков.
Подчеркнем
еще раз, что чередующийся том не
обеспечивает отказоустойчивости
хранения данных. Выход из строя одного
из дисков, входящих в том, приводит к
потере всех данных этого тома, и при
использовании данной технологии
необходимо регулярно делать резервные
копии данных.
Рассмотрим
на примере процесс создания чередующегося
тома.
-
Откроем
оснастку «Управление
дисками«,
щелкнем правой кнопкой мыши на
нераспределенном пространстве, выберем
пункт меню «Создать
том»
(рис.
8.20).
Рис. 8.20
-
Выбираем
тип тома — чередующийся том (рис.
8.21):
Рис. 8.21
-
Добавляем
диски в список дисков, на которых будет
размещен создаваемый том, и указываем
размер пространства, выделяемого для
тома на каждом диске (рис.
8.22):
Рис. 8.22
-
Назначаем
букву диска, выбираем файловую систему
и нажимаем кнопку «Готово«.
По завершении работы мастера получаем
такую картину (рис.
8.23):
Рис. 8.23
Созданный
том будет обозначен серо-зеленым цветом.
Том RAID-5
Технология
функционирования тома RAID-5 описана выше.
Данная технология обеспечивает работу
тома при выходе из строя одного
из жестких дисков. Напомним еще раз, что
для создания такого тома нужно от 3 до
32 жестких дисков. Рассмотрим на примере,
как создается том RAID-5.
-
Откроем
оснастку «Управление
дисками«,
щелкнем правой кнопкой мыши на
нераспределенном пространстве, выберем
пункт меню «Создать
том«. -
Выбираем тип тома
— том RAID-5: -
Добавляем
диски в список дисков, на которых будет
размещен создаваемый том, и указываем
размер пространства, выделяемого для
тома на каждом диске (рис.
8.24):
Рис. 8.24
Обратите
внимание, что «Общий
размер тома«,
доступный для хранения данных, в данном
примере будет 10000 МБ, хотя на
каждом из трех дисков
было выделено по 5000 МБ и суммарное
дисковое пространство, занятое томом,
будет 15000 МБ.
-
Назначаем
букву диска, выбираем файловую систему
и нажимаем кнопку «Готово«.
По завершении работы мастера получим,
обозначенный голубым цветом (рис.
8.25):
Рис. 8.25
В
случае выхода из строя одного из дисков
необходимо удалить с сервера неисправный
диск, заменить его новым, в оснастке
«Управление
дисками»
на томе RAID-5 щелкнуть правой кнопкой
мыши и выбрать пункт меню «Восстановить
том«.
И
последнее замечание относительно
использования различных томов. На
системах Windows 2000 Professional и XP Professional
доступны только простые и составные
тома. Зеркальный, чередующийся тома и
том RAID-5 функционируют только на серверных
редакциях операционных систем.
Файловые системы fat16, fat32, ntfs
Файловая
система (ФС) — это система организации
и хранения информации на жестком диске
или других носителях, программные
алгоритмы операционной системы для
управления данной системой организации
информации, и, наконец, на бытовом уровне
— это совокупность всех файлов и папок
на диске.
Задачи файловой системы
Основные
функции любой файловой системы нацелены
на решение следующих задач:
-
именование файлов;
-
программный
интерфейс работы с файлами для приложений; -
отображения
логической модели файловой системы на
физическую организацию хранилища
данных; -
устойчивость
файловой системы к сбоям питания,
ошибкам аппаратных и программных
средств; -
защита файлов от
несанкционированного доступа.
ФС
позволяет оперировать не нулями и
единицами, а более удобными и понятными
объектами — файлами. Ради удобства в
работе с файлами используются их
символьные идентификаторы — имена.
Само содержимое файлов записано в
кластеры
(clusters)
— мельчайшие единицы данных, которыми
оперирует файловая система, размер их
кратен 512 байтам (512 байт — размер сектора
жесткого диска, минимальной единицы
данных, которая считывается с диска или
записывается на диск). Для организации
информации кроме имени файла используются
также каталоги (или папки), как некая
абстракция, позволяющая группировать
файлы по определенному критерию. По
свой сути каталог — это файл, содержащий
информацию о как бы вложенных в него
каталогах и файлах.
Вся
информация о файлах хранится в особых
областях раздела (тома) — файловых
справочниках. Структура этих справочников
зависит от типа файловой системы.
Справочник файлов позволяет ассоциировать
числовые идентификаторы файлов и
дополнительную информацию о них (дата
изменения, права доступа, имя и т.д.) с
непосредственным содержимым файла,
хранящимся в другой области раздела
(тома).
На
жестких дисках компьютеров под управлением
систем семейства Windows используются два
типа файловых систем: FAT
(FAT16 и FAT32) и NTFS.
Файловая система fat
Том
с файловой системой FAT имеет следующую
структуру (рис.
8.26):
Рис. 8.26
Запись
каталога для каждого файла содержит
набор свойств, или атрибутов,
описывающих файл на томе. Перечислим
наиболее важные атрибуты:
-
полное имя файла;
-
имя файла в формате
«8.3» (8 символов для имени и 3 — для
расширения, или типа, файла) для
совместимости с системой MS-DOS; -
атрибуты
«скрытый»
(hidden),
«системный»
(system),
«только
для чтения»
(read-only),
«готовый
к архивированию»
(archive); -
номер начального
кластера в цепочке кластеров, образующих
файл.
Полный
список кластеров, занимаемых файлом на
диске, содержится в таблице
размещения файлов
(File Allocation Table,
сокращенно FAT).
От названия этой таблицы произошло и
название самой файловой системы. На
диске хранятся две идентичные копии
FAT (на случай защиты от сбоя).
Каждый
элемент таблицы FAT может иметь следующие
значения:
-
номер следующего
кластера, занимаемого файлом; -
указание, что
данный кластер — последний кластер
файла (комбинация шестнадцатиричных
цифр 0xFFFF); -
указание, что
кластер свободен, т.е. не использован
ни одним файлом (0x0000); -
указание, что
кластер содержит один или несколько
секторов с физическими дефектами и не
должен использоваться.
На
рис.
8.27
приведен пример фрагмента каталога для
нескольких файлов с указанием первого
кластера данного файла:
Рис. 8.27
На
рис.
8.28
приведен фрагмент таблицы FAT для
перечисленных в данном каталоге файлов:
Рис. 8.28
В
данном примере видно, что файл
«Document-1.doc»
занимает последовательные кластеры с
адресами с 0005 по 0007, файл «Document-2.doc»
— кластеры 0008, 0009 и 0011, файл «Table-1.xls»
— кластеры 0012–0013, а файл «New.ppt»
— кластеры 0010, 0014–0015. разрывы в цепочках
кластеров обусловлены тем, что при
удалении файлов образуются свободные
места, и вновь создаваемые файлы будут
заполнять эти освободившиеся кластеры.
Данное явление называется фрагментацией
файлов и
снижает производительность операций
чтения/записи файлов.
Наиболее
существенное отличие версий FAT16 и FAT32
состоит в том, что в FAT16 указатель на
номер кластера занимает 16 бит, а в FAT32 —
32 бита. Максимальный размер кластера
файловых систем FAT в системах Windows
2000/XP/2003 — 64 килобайта. Отсюда можно
вычислить, что максимальный размер тома
с файловой системой FAT16 — 4 гигабайта.
Максимальный размер тома с FAT32 теоретически
— 8 терабайт, но на практике он ограничен
размером 32 гигабайта (хотя Windows 2000/XP/2003
поддерживают тома большего размера,
созданные в других ОС, например, в Windows
95 SR2 или Windows 98).
В
табл.
8.1 приведены сведения о
соответствии размера тома и размера
кластера на данном томе для FAT16 и FAT32:
Таблица 8.1. |
||
Размер тома |
Размер кластера |
Размер кластера |
До 32 Мбайт |
512 байт (1 сектор) |
Не поддерживается |
33–64 МБ |
1 КБ (2 сектора) |
512 байт (1 сектор) |
65–128 МБ |
2 КБ (4 сектора) |
1 КБ (2 сектора) |
129–256 МБ |
4 КБ (8 секторов) |
2 КБ (4 сектора) |
257–512 МБ |
8 КБ (16 секторов) |
4 КБ (8 секторов) |
513 МБ–1 ГБ |
16 КБ (32 сектора) |
4 КБ (8 секторов) |
1 ГБ–2 ГБ |
32 КБ (64 сектора) |
4 КБ (8 секторов) |
2 ГБ–4 ГБ |
64 КБ (128 секторов) |
4 КБ (8 секторов) |
4 ГБ–8 ГБ |
Не поддерживается |
4 КБ (8 секторов) |
8 ГБ–16 ГБ |
Не поддерживается |
8 КБ (16 секторов) |
16 ГБ–32 ГБ |
Не поддерживается |
16 КБ (32 сектора) |
Заметим,
что каждый файл занимает целое
число кластеров. Это означает, что
последний кластер заполнен не целиком
(в среднем — наполовину). Это второй
вид фрагментации
— потеря дискового пространства по
причине неполного заполнения последнего
кластера файла, причем, чем больше размер
раздела и, соответственно, размер
кластера, тем больше потери дискового
пространства из-за данного вида
фрагментации. Файловая система FAT32 с
более медленным ростом размера кластера
в зависимости от размера тома более
эффективно расходует пространство на
диске.
Когда
какое-либо приложение отправляет запрос
к операционной системе с запросом на
открытие файла, ОС сначала последовательно
просматривает записи каталога, пока не
найдет запись для нужного файла, затем
в найденной записи извлекает адрес
первого кластера этого файла. После
этого ОС обращается к элементу FAT для
данного кластера, чтобы найти следующий
кластер в цепочке. Повторяя этот процесс,
пока не обнаружит последний кластер
файла, ОС точно определяет, какие кластеры
принадлежат данному файлу и в какой
последовательности. Таким путем система
может предоставить программе любую
часть запрашиваемого ею файла.
Файловая система ntfs
NTFS
была разработана специально для систем,
базирующихся на технологиях Windows NT. Она
имеет рад серьезных преимуществ по
сравнению с файловыми системами типа
FAT:
-
отказоустойчивость
(способность к восстановлению; все
операции с файлами обрабатываются как
транзакции
— любое действие с файлом либо завершается
до конца, либо, в случае сбоя, файл
возвращается в исходное состояние); -
управление доступом
к папкам (каталогам) и файлам; -
аудит доступа к
файловым ресурсам; -
сжатие и разреженные
файлы; -
квоты на дисковое
пространство; -
шифрование.
В
отличие от FAT, в NTFS нет специальных
разделов на томе, в которых отражается
файловая структура данного тома. В NTFS
все данные
хранятся в файлах,
в том числе и информация
о файлах и папках.
На
томе NTFS есть несколько файлов, они скрыты
от администратора, в которых описана
файловая структура тома. Основной файл,
в котором отражена файловая структура,
— Главная
файловая таблица
(master file table,
MFT).
Имена файлов, описывающих том NTFS,
начинаются с символа $
. Перечислим некоторые из них:
-
$Mft
— таблица MFT; -
$MftMirr
— зеркальная копия MFT; -
$LogFile
— журнал транзакций; -
$Bitmap
—карта распределения кластеров тома; -
$Quota
— файл пользовательских квот тома.
В
NTFS нет разделения на атрибуты (свойства)
файла и данные. Вся информация, связанная
с файлом, хранится в тех или иных
атрибутах. Содержимое файла является
одним из атрибутов этого файла. Например,
имя файла хранится в атрибуте $FILE_NAME,
данные — в атрибуте $DATA.
Таблица
MFT состоит из записей о файлах, размер
записи — 1 КБ, каждый файл в MFT — набор
атрибутов. Маленькие файлы (до 1 КБ)
целиком помещаются в одной записи MFT.
Для больших файлов в записи MFT содержатся
ссылки на кластеры, находящиеся за
пределами MFT. Первые 16 записей являются
служебными, а с семнадцатой записи и
далее идет описание прочих файлов тома.
Для большей отказоустойчивости
спецификацией предусмотрены копии MFT
и сектора начальной загрузки.
Структура
MFT показана в табл.
8.2:
Таблица 8.2. |
|
№ записи |
Содержимое |
0 |
$Mft |
1 |
$MftMirr |
2 |
|
3 |
|
,,, |
|
15 |
|
16 |
File1 |
17 |
File2 |
18 |
File3 |
,,, |
Первые
две записи MFT содержат ссылки на саму
MFT и ее зеркальную копию. Начиная с 17-й
записи, идет информация о файлах. Атрибуты
файла, хранящиеся в MFT, называются
резидентными.
Если файл имеет размер более 1КБ, то в
соответствующей данному файлу записи
в таблице MFT содержатся ссылки на кластеры
тома, в которых размещены остальные
атрибуты файла.
Каталог
(папка с файлами) содержит не просто
линейный список файлов, а индекс, в
котором имена файлов упорядочены и
организованы в виде B-дерева. Таким
образом, поиск файла на больших томах
(разделах) в NTFS осуществляется намного
быстрее, чем на томах с FAT.
Размер
кластера в NTFS вместе с размером тома
растет гораздо медленнее, чем в системах
FAT, что приводит к меньшим потерям
дискового пространства. В табл.
8.3 приводятся данные о
размере кластера на томе NTFS в зависимости
от размера тома (для сравнения приведены
аналогичные данные для системы FAT32):
Таблица 8.3. |
||
Размер тома |
Размер кластера |
Размер кластера |
До 32 Мбайт |
512 байт (1 сектор) |
Не поддерживается |
33–64 МБ |
512 байт (1 сектор) |
512 байт (1 сектор) |
65–128 МБ |
512 байт (1 сектор) |
1 КБ (2 сектора) |
129–256 МБ |
512 байт (1 сектор) |
2 КБ (4 сектора) |
257–512 МБ |
512 байт (1 сектор) |
4 КБ (8 секторов) |
513 МБ–1 ГБ |
1 КБ (2 сектора) |
4 КБ (8 секторов) |
1 ГБ–2 ГБ |
2 КБ (4 сектора) |
4 КБ (8 секторов) |
2 ГБ–4 ГБ |
4 КБ (8 секторов) |
4 КБ (8 секторов) |
4 ГБ–8 ГБ |
4 КБ (8 секторов) |
4 КБ (8 секторов) |
8 ГБ–16 ГБ |
4 КБ (8 секторов) |
8 КБ (16 секторов) |
16 ГБ–32 ГБ |
4 КБ (8 секторов) |
16 КБ (32 сектора) |
Более 32 ГБ |
4 КБ (8 секторов) |
Не поддерживается |
Из
таблицы видно, что, начиная с томов
размером более 2 ГБ, размер кластера
равен 4 КБ. Отметим особо, что на томах
с размером кластера более 4 КБ не
поддерживается
технология сжатия данных и дефрагментация
тома (дефрагментация не поддерживается
в Windows 2000). Поэтому при форматировании
больших разделов размер кластера всегда
по умолчанию равен 4 КБ. Если для более
эффективной работы с файлами для каких-то
задач необходимо, чтобы размер кластера
был более 4 КБ, то при форматировании
раздела надо специально указать требуемый
размер кластера.
8.2 Права доступа, наследование прав доступа, взятие во владение, аудит доступа к ресурсам Права доступа, наследование прав доступа, взятие во владение
Определение
прав доступа к файловым ресурсам
осуществляется на основе разрешений
(permissions).
При определении разрешений к ресурсам,
предоставленным в совместный доступ в
сети, используются два типа разрешений:
сетевые
разрешения
(shared folder
permissions) и
разрешения,
заданные в файловой системе NTFS
(NTFS-permissions).
Рассмотрим
сначала сетевые разрешения. Данный вид
разрешений не зависит от типа файловой
системы. Сетевые
разрешения применяются только при
доступе к ресурсам через сеть.
Если пользователь локально вошел в
систему (локально зарегистрировался в
системе), то, какие бы ни были назначены
сетевые разрешения для определенной
папки, эти разрешения не будут применяться
ни к самой папке, ни к размещенным в ней
файлам. В случае локальной регистрации
пользователя, если данные размещены на
томе с системой FAT, пользователь имеет
полный доступ
к этим данным, если данные размещены на
томе NTFS, права доступа будут определяться
разрешениями NTFS.
Предоставление общего доступа к папке
Предоставить
папку на жестком диске в общее пользование
можно двумя основными способами.
-
Открыть
Свойства
папки, закладку «Доступ«,
выбрать пункт «Открыть
общий доступ к этой папке»
(рис.
8.29):
Рис. 8.29
-
Открыть
оснастку «Общие
папки»
в консоли «Управление
компьютером«,
выбрать раздел «Общие
ресурсы«,
щелкнуть правой кнопкой мыши и выбрать
пункт «Новый
общий ресурс»
(рис.
8.30):
Рис. 8.30
Будет
запущен «Мастер
создания общих ресурсов»
(рис.
8.31):
Рис. 8.31
Нужно
указать путь к папке (ввести с клавиатуры
или найти с помощью кнопки «Обзор«),
дать название общему ресурсу (по умолчанию
это название совпадает с именем папки,
хотя надо иметь в виду, что не все
приложения могут воспринимать длинные
сетевые имена с символами не из английской
раскладки; рис.
8.32):
Рис. 8.32
Далее
нужно задать сетевые
разрешения
на доступ к информации, хранящейся в
данной папке. По умолчанию назначаются
разрешения «Чтение»
группе «Все«.
Могут
быть назначены сетевые разрешения трех
видов:
-
Чтение
(Read)
— чтение списка файлов и папок, чтение
данных и запуск программ; -
Изменение
(Change)
— кроме чтения данных позволяет также
создавать новые файлы и папки, удалять
файлы и папки, изменять данные; -
Полный
доступ
(Full
control)
— в добавление к перечисленным выше
разрешениям можно также изменять
NTFS-разрешения (если общая папка хранится
на томе NTFS) и получать статус владельца
папки или файла (тоже для томов NTFS).
Определение суммарных сетевых разрешений
Напомним,
что при регистрации пользователя домена
на каком-либо компьютере контроллер
домена выдает пользователю т.н. маркер
доступа (см.
Раздел 4), который состоит из набора
идентификаторов безопасности (SID)
пользователя и групп, членом которых
он является. Именно этот маркер доступа
и определяет, какой именно доступ получит
пользователь к сетевому ресурсу. В том
случае, если некий пользователь имеет
разрешение на доступ к папке по сети, а
также доступ определен для каких-либо
групп, членом которых он является, то
определение суммарных разрешений
производится по следующей схеме:
-
сначала проверяется,
нет ли запретов на тот или иной вид
доступа для пользователя и групп, в
которые он входит, если в сетевых
разрешениях имеются запреты для
пользователя или хотя бы одной из групп,
в которые он входит, то данные виды
доступа пользователю не будут
предоставлены; -
если на какие-либо
виды доступа запретов нет, то действующим
разрешением будет наибольшее разрешение,
выданное пользователю или какой-либо
группе, членом которой он является.
Например,
в ситуации, изображенной на рис.
8.33
имеются следующие разрешения:
-
группа
«Все»
— «Чтение»; -
пользователь
User1
— «Чтение»; -
группа
Group-1
(в которую входит пользователь User1) —
«Изменение».
В
данной ситуации пользователь User1 получит
разрешение на «Изменение» данных
в папке и файлах.
Рис. 8.33
Оснастка
«Общие папки»
позволяет также просматривать, кто из
пользователей и какие именно файлы и
папки использует в настоящий момент.
На рис.
8.34
показан пример использования оснастки
«Общие папки»
для просмотра открытых сетевых ресурсов:
Рис. 8.34
Подключение
к сетевым ресурсам
Есть
несколько способов подключения
пользователей к сетевым файловым
ресурсам:
-
самый
любимый пользователями, но не самый
эффективный с точки зрения системы, —
найти сначала сервер, а затем ресурс с
помощью просмотра «Сетевого
окружения«; -
то же
самое можно сделать, если в командной
строке ввести т.н. UNC-имя
сетевого ресурса (UNC
— Universal Naming Convention,
способ именования сетевых ресурсов),
для этого нужно нажать кнопку «Пуск»
— выбрать пункт меню «Выполнить»
— ввести UNC-имя в виде \<имя
сервера><имя сетевого ресурса>
(например, \DC1Folder1); -
назначить
букву диска к сетевому ресурсу; это
можно сделать в командной строке
командой вида «net
use <буква диска> <UNC-имя >»
(например, «net
use X: \DC1Folder1»)
либо же, открыв окно «Мой
компьютер»
можно назначить букву диска для сетевого
ресурса с помощью мастера подключения
сетевого диска (меню «Сервис»
— выбрать пункт меню «Подключение
сетевого диска«).
Специальные сетевые ресурсы
В
любой системе на базе технологий Windows
NT существуют специальные сетевые
ресурсы. Имена некоторых ресурсов
заканчиваются символом $,
такие сетевые ресурсы через «Сетевое
окружение»
или при открытии ресурсов сервера с
помощью команды «\<имя
сервера>»
не будут видны. Однако, если указать
полное UNC-имя сетевого ресурса, то можно
увидеть данные, размещенные в нем.
Перечислим
эти ресурсы:
-
ресурс
вида «\<имя
сервера>admin$»
(например, \DC1admin$)
— предназначен для удаленного
администрирования компьютера; путь
всегда соответствует местоположению
папки, в которой установлена система
Windows; к этому ресурсу могут подключаться
только члены групп Администраторы,
Операторы
архива
и Операторы
сервера; -
ресурс
вида «\<имя
сервера>< буква диска>$»
(например, \DC1C$)
— корневая папка указанного диска;. к
сетевым ресурсам такого типа на сервере
Windows могут подключаться только члены
групп Администраторы,
Операторы
архива
и Операторы
сервера;
на компьютерах с Windows XP Professional и Windows
2000 Professional к таким ресурсам могут
подключаться члены групп Администраторы
и Операторы
архива; -
ресурс
«\<имя
сервера>IРС$»
(например, \DC1IP$)
— используется для удаленного
администрирования; -
ресурс
«\<имя
сервера>NETLOGON»
(например, \DC1NETLOGON)
— используется только на контроллерах
домена, в данной сетевой папке хранятся
скрипты (сценарии) для входа пользователей
в систему, совместимые с предыдущими
версиями операционных систем Microsoft; -
ресурс
«\<имя
сервера>SYSVOL»
— используется только на контроллерах
домена, в данной сетевой папке хранится
файловая часть групповых политик; -
ресурс
«\<имя
сервера>PRINT$»
— ресурс, который поддерживает совместно
используемые принтеры, в частности, в
данной папке хранятся драйверы для
совместно используемых принтеров.
Просмотреть
полный список ресурсов, предоставляемых
данным сервером для совместного
использования, можно в оснастке «Общие
папки«, в
разделе «Общие
ресурсы»
(рис.
8.35):
Рис. 8.35
В
этом же разделе данной оснастки можно
отключать ресурсы от совместного
использования в сети, менять сетевые
разрешения, создавать новые сетевые
ресурсы.
Кроме
специальных сетевых ресурсов с символом
$
в конце названия ресурса, предоставленных
группам с высокими полномочиями, с этим
символом можно предоставить доступ к
любому другому ресурсу, которые
предоставляется в сетевой доступ самим
администратором. В этом случае сетевой
ресурс также будет скрыт при обычном
просмотре сети, но будет доступен при
указании полного UNC-имени, причем доступ
можно разрешить тем группам пользователей,
которым нужен данный ресурс.
Разрешения ntfs
Еще
раз подчеркнем, что сетевые разрешения
действуют только при доступе к ресурсам
через сеть. Если пользователь вошел в
систему локально, то теперь управлять
доступом можно только с помощью разрешений
NTFS. На томе (разделе) с системой FAT
пользователь будет иметь полный доступ
к информации данного тома.
Разрешения
NTFS можно установить, открыв Свойства
папки или файла и перейдя на закладку
«Безопасность»
(Security).
Как видно на рис.
8.36, набор
видов NTFS-разрешений намного богаче, чем
набор сетевых разрешений.
Рис. 8.36
На
томе NTFS можно назначать следующие виды
разрешений для папок:
-
Полный
доступ; -
Изменить;
-
Чтение
и выполнение; -
Список
содержимого папки; -
Чтение;
-
Запись;
-
Особые
разрешения.
Для
файлов отсутствует вид «Чтение
содержимого папки«.
Если
на закладке разрешений нажать кнопку
«Дополнительно«,
то можно осуществлять более тонкую
настройку разрешений.
Разрешения
NTFS могут быть явными
или унаследованными.
По умолчанию все папки или файлы наследуют
разрешения того объекта-контейнера
(родительского
объекта), в
котором они создаются. Использование
унаследованных разрешений облегчает
работу по управлению доступом. Если
администратору нужно изменить права
доступа для какой-то папки и всего ее
содержимого, то достаточно сделать это
для самой папки и изменения будут
автоматически действовать на всю
иерархию вложенных папок и документов.
На рис.
8.36.
видно, что группа «Администраторы»
имеет унаследованные разрешения типа
«Полный
доступ» для
папки Folder1.
А на рис.
8.37.
показано, что группа «Пользователи»
имеет набор явно назначенных разрешений:
Рис. 8.37
Изменить
унаследованные разрешения нельзя. Если
нажать на кнопку «Дополнительно«,
то можно отменить наследование разрешений
от родительского объекта. при этом
система предложит два варианта отмены
наследования: либо скопировать прежние
унаследованные разрешения в виде явных
разрешений, либо удалить их совсем.
Механизм применения разрешений
В
пункте 8.1 было сказано, что каждый файл
представляет собой набор атрибутов.
Атрибут, который содержит информацию
об NTFS-разрешения, называется списком
управления доступом
(ACL, Access Control
List). Структура
ACL приведена в табл.
8.4. Каждая
запись в ACL называется элементом
управления доступом
(ACE, Access Control
Entry).
Таблица 8.4. |
|||
ACL |
Идентификаторы |
Разрешения |
|
ACE1 |
SID1 |
Разрешения для |
|
ACE2 |
SID2 |
Разрешения для |
|
ACE3 |
SID3 |
Разрешения для |
|
,,, |
,,, |
,,, |
|
ACEn |
SIDn |
Разрешения для |
В
таблице перечислены идентификаторы
безопасности учетных записей пользователей,
групп или компьютеров (SID) и соответствующие
разрешения для них. На рисунках 8.36 или
8.37 вместо SID-ов показаны имена занесенных
в ACL пользователей и групп. В разделе 4
говорилось, что при входе пользователя
в сеть (при его регистрации в домене) в
текущую сессию пользователя на компьютере
контроллер домена пересылает маркер
доступа, содержащий SID-ы самого пользователя
и групп, членом которых он является.
Когда пользователь пытается выполнить
какое-либо действие с папкой или файлом
(и при этом запрашивает определенный
вид доступа к объекту), система сопоставляет
идентификаторы безопасности в маркере
доступа пользователя и идентификаторы
безопасности, содержащиеся в ACL объекта.
При совпадении тех или иных SID-ов
пользователю предоставляются
соответствующие разрешения на доступ
к папке или файлу.
Заметим,
что когда администратор изменяет
членство пользователя в группах (включает
пользователя в новую группу или удаляет
из какой-либо группы), то маркер доступа
пользователя при этом автоматически
НЕ изменяется. Для получения нового
маркера доступа пользователь должен
выйти из системы и снова войти в нее.
Тогда он получит от контроллера домена
новый маркер доступа, отражающий смену
членства пользователя в группах
Порядок применения разрешений
Принцип
применения NTFS-разрешений на доступ к
файлу или папке тот же, что и для сетевых
разрешений:
-
сначала проверяются
запреты на какие-либо виды доступа
(если есть запреты, то данный вид доступа
не разрешается); -
затем проверяется
набор разрешений (если есть разные виды
разрешений для какого-либо пользователя
и групп, в которые входит данный
пользователь, то применяется суммарный
набор разрешений).
Но
для разрешений NTFS схема немного
усложняется. Разрешения применяются в
следующем порядке:
-
явные запреты;
-
явные разрешения;
-
унаследованные
запреты; -
унаследованные
разрешения.
Если
SID пользователя или SID-ы групп, членом
которых является данный пользователь,
не указаны ни в явных, ни в унаследованных
разрешениях, то доступ пользователю
будет запрещен.
Владение папкой или файлом
Пользователь,
создавший папку или файл, является
Владельцем
данного объекта. Владелец объекта
обладает
правами изменения NTFS-разрешений
для этого объекта, даже если ему запрещены
другие виды доступа. Текущего владельца
объекта можно увидеть, открыв Свойства
объекта, затем закладку «Безопасность«,
затем нажав кнопку «Дополнительно»
и перейдя на закладку «Владелец»
(рис.
8.38):
Рис. 8.38
Внимание!
Администратор системы может
сменить владельца
объекта, выбрав нового владельца из
предлагаемого в данном окне списка или
из полного списка пользователей (нажав
кнопку «Иные
пользователи или группы«).
Эта возможность предоставлена
администраторам для того, чтобы
восстановить доступ к объекту в случае
утери доступа по причине неправильно
назначенных разрешений или удаления
учетной записи, имевшей исключительный
доступ к данному объекту (например,
уволился единственный сотрудник, имевший
доступ к файлу, администратор удалил
его учетную запись, вследствие этого
был полностью потерян доступ к файлу,
восстановить доступ можно единственным
способом — передача владения файла
администратору или новому сотруднику,
исполняющему обязанности уволившего
сотрудника).
Совместное использование сетевых разрешений и разрешений ntfs
При
доступе по сети к файловым ресурсам,
размещенным на томе NTFS, к пользователю
применяется комбинация сетевых разрешений
и разрешений NTFS.
При
доступе через сеть сначала вычисляются
сетевые разрешения (путем суммирования
разрешений для пользователя и групп, в
которые входит пользователь). Затем
также путем суммирования вычисляются
разрешения NTFS. Итоговые действующие
разрешения, предоставляемые к данному
конкретному объекту, будут представлять
собой минимум
из вычисленных сетевых и NTFS-разрешений.
Управление доступом с помощью групп
Группы
пользователей созданы специально для
того, чтобы более эффективно управлять
доступом к ресурсам. Если назначать
права доступа к каждому ресурсу для
каждого отдельного пользователя, то,
во-первых, это очень трудоемкая работа,
и во-вторых, затрудняется отслеживание
изменений в правах доступа при смене
каким-либо пользователем своей должности
в подразделении или переходе в другое
подразделение.
Повторим
материал из раздела 4. Для более
эффективного управления доступом
рекомендуется следующая схема организации
предоставления доступа:
-
учетные
записи пользователей (accounts)
включаются в глобальные доменные группы
(global
groups)
в соответствии со штатной структурой
компании/организации и выполняемыми
обязанностями; -
глобальные
группы включаются в доменные локальные
группы или локальные группы на каком-либо
сервере (domain
local groups,
local
groups)
в соответствии с требуемыми правами
доступа для того или иного ресурса; -
соответствующим
локальным группам назначаются необходимые
разрешения (permissions)
к конкретным ресурсам.
Данная
схема по первым буквам используемых
объектов получила сокращенное название
AGLP
(Accounts
Global
groups
Local
groups
Permissions).
При такой схеме, если пользователь
повышается или понижается в должности
или переходит в другое подразделение,
то нет необходимости просматривать
все сетевые ресурсы,
доступ к которым необходимо изменить
для данного пользователя. Достаточно
изменить соответствующим образом
членство
пользователя в глобальных группах,
и права доступа к сетевым ресурсам для
данного пользователя изменятся
автоматически.
Добавим,
что в основном режиме функционирования
домена Active Directory (режимы «Windows
2000 основной»
или «Windows
2003«) с
появлением вложенности групп и
универсальных групп схема AGLP
модифицируется в схему AGG…GULL…LP.
Аудит доступа к ресурсам
Файловая
система NTFS позволяет осуществлять аудит
доступа к файловым ресурсам,
т.е. отслеживать и регистрировать
события, связанные с получением или
неполучением доступа к тому или иному
объекту.
Для
того, чтобы включить аудит, необходимо
выполнить два действия:
-
включить политику
аудита доступа к объектам в домене или
том ОП, в котором размещен файловый
сервер; -
после применения
политики включить аудит доступа на
самом объекте — папке или файле.
Первое
действие выполняется с помощью редактора
групповых политик:
-
откроем раздел
«Параметры безопасности» в политике
для соответствующего ОП, далее —
«Локальные политики» и «Политика
аудита»; -
откроем параметр
«Аудит доступа к объектам»; -
включим
механизм аудита для успешного доступа
и отказа предоставления доступа (рис.
8.39).
Рис. 8.39
Второе
действие выполняется на закладке «Аудит»
после нажатия кнопки «Дополнительно»
в параметрах безопасности объекта.
Нужно добавить списки пользователей и
групп, попытки доступа которых будут
отслеживаться для данной папки или
файла, указав при этом, какие именно
виды доступа надо регистрировать. На
рис.
8.40
показано, что будет регистрироваться
доступ к папке Folder1группы
«Пользователи
домена«, на
рис.
8.41
показаны виды доступа, которые будут
регистрироваться для данной папки. Для
того, чтобы можно было регистрировать
попытки несанкционированного доступа
к файловым ресурсам, необходимо включить
в процесс регистрации и удачные, и
неудачные попытки доступа.
Рис. 8.40
Рис. 8.41
После
включения механизма аудита все события
доступа, перечисленные в настройках
аудита, будут регистрироваться в журнале
безопасности данного сервера (оснастка
«Просмотр
событий«,
журнал «Безопасность«,
категория «Доступ
к объектам«).
На рис.
8.42
показан пример одной из записей журнала,
регистрирующей доступ к файлу в папке
Folder1.
В данном примере показано событие
успешного
доступа к
файлу Text.txt
пользователя Администратор:
Рис. 8.42
В
заключении данного пункта отметим, что
включать аудит большого количества
файловых ресурсов следует с большой
осторожностью. При большом количестве
пользователей и обрабатываемых ими
файлов, если включить аудит доступа к
файлам, в журнале безопасности будет
создаваться очень много событий. В
случае какого-либо инцидента, например,
при несанкционированном доступе к
закрытой информации, найти нужную запись
будет очень трудно. Поэтому, прежде чем
включить аудит доступа, его необходимо
очень тщательно спланировать. Необходимо
определить:
-
доступ к какой
информации необходимо отслеживать; -
какие
виды доступа (Чтение,
Модификация,
Удаление,
Изменение
разрешений
и т.д.); -
типы
событий (успешный
и неуспешный
доступ); -
для каких
пользователей необходимо отслеживать
доступ; -
как часто будет
просматриваться журнал безопасности; -
по какой схеме
будут удаляться «старые» события
из журнала.
8.3 Сжатие и шифрование информации. Квоты. Дефрагментация Сжатие и шифрование информации Сжатие информации
Для
экономии дискового пространства можно
какие-либо папки или файлы сделать
сжатыми. Процесс сжатия выполняется
драйвером файловой системы NTFS. При
открытии файла в программе файловая
система распаковывает файл, после
внесения изменений в файл при сохранении
на диск файл снова сжимается. Делается
это совершенно прозрачно для пользователя
и не доставляет пользователю никаких
хлопот.
Для
того, чтобы сделать папку или файл
сжатым, необходимо открыть страницу
Свойств
соответствующей папки или файла, нажать
кнопку «Другие»
и поставить галочку у параметра «Сжимать
содержимое для экономии места на диске»
(рис.
8.43):
Рис. 8.43
Сжимать
целесообразно файлы, которые при сжатии
сильно уменьшаются в размере (например,
документы, созданные программами из
пакета MS Office). Не следует сжимать данные,
которые по своей природе являются
сжатыми — например, файлы графических
изображений в формате JPEG, видеофайлы в
формате MPEG-4, файлы, упакованные
программами-архиваторами (ZIP, RAR, ARJ и
другие).
Ни
в коем случае не рекомендуется сжимать
папки с файл-серверными базами данных,
т.к. такие БД содержат большое количество
файлов и при их совместном использовании
многими пользователями могут возникать
ощутимые задержки, неизбежные при
распаковке открываемых и сжатии
сохраняемых файлов.
Шифрование информации
Системы
семейства Windows 2000/XP/2003 и более поздние
позволяют шифровать данные, хранящиеся
на томе с системой NTFS. Шифрование данные
осуществляется так же легко, как и их
сжатие. В примере на рис.
8.43 можно
вместо поля «Сжимать
содержимое…»
отметить галочкой поле «Шифровать
содержимое для защиты данных»
(заметим, что эти два параметра являются
взаимоисключающими — можно в данный
момент времени либо сжать данные, либо
их зашифровать). Шифрование является
надежным средством предотвращения
несанкционированного доступа к
информации, даже если будет похищен
компьютер с этой информацией или жесткий
диск из компьютера. Если данные
зашифрованы, то доступ к ним имеет (с
небольшим исключением) только тот
пользователь, который выполнил шифрование,
независимо от установленных разрешений
NTFS. Шифрование производится компонентой
«Шифрованная
файловая система»
(EFS, Encrypted File System), являющейся составной
частью файловой системой NTFS.
Процесс
шифрования производится по следующей
схеме:
-
при
назначении файлу атрибута «Зашифрованный»
драйвер системы EFS генерирует «Ключ
шифрования файла»
(FEK, File Encryption Key); -
блоки данных файла
последовательно шифруются по симметричной
схеме (одним из алгоритмов симметричного
шифрования, встроенных в систему); -
ключ
шифрования файла (FEK) шифруется по
асимметричной схеме открытым ключом
агента
восстановления
(RA,
Recovery Agent); -
зашифрованный
ключ шифрования файла сохраняется в
атрибуте файла, называемом «Поле
восстановления данных»
(DRF,
Data Recovery Field).
Поле
восстановления данных необходимо для
защиты от потери доступа к зашифрованной
информации в том случае, если будет
удалена (вместе с ключом шифрования
данных) учетная запись пользователя,
зашифровавшего эти данные. Агент
восстановления — это специальная
учетная запись, для которой EFS создает
т.н. «сертификат
агента восстановления«,
в состав которого входят открытый и
закрытый ключи этого агента. особенность
асимметричного шифрования заключается
в том, что для шифрования и дешифрования
данных используются два ключа — одним
ключом данные шифруются, другим
дешифруются. Открытый ключ агента
восстановления доступен любому
пользователю, поэтому, если пользователь
шифрует данные, то в зашифрованных
файлах всегда присутствует поле
восстановления данных. Закрытый ключ
агента восстановления доступен только
учетной записи этого агента. Если войти
в систему с учетной записью агента
восстановления зашифрованных данных,
то при открытии зашифрованного файла
сначала расшифровывается закрытым
ключом агента восстановления хранящийся
в DRF ключ шифрования данных, а затем уже
извлеченным ключом шифрования дешифруются
сами данные.
По
умолчанию агентом восстановления на
каждом отдельно взятом компьютере
является локальная учетная запись
Администратор
данного компьютера. В масштабах домена
можно установить службу сертификатов,
сгенерировать для определенных доменных
учетных записей соответствующие
сертификаты, назначить эти учетные
записи агентами восстановления (с
помощью групповых политик) и установить
эти сертификаты на тех файловых серверах,
на которых необходимо шифровать данные.
При использовании в масштабах корпоративной
сети технологии шифрования данных
следует предварительно спланировать
все эти действия (развертывание служб
сертификатов, выдача и хранение
сертификатов, назначение агентов
восстановления, процедуры восстановления
данных в случае удаления учетной записи,
с помощью которой данные были зашифрованы).
Кроме
того, во многих ситуациях необходимо
также учитывать требования законодательства
РФ об использовании только разрешенных
на территории России алгоритмов
шифрования данных. В таких случаях может
потребоваться приобрести соответствующие
разрешенные модули шифрования и встроить
их в систему.
Следует
также помнить, что данные хранятся в
зашифрованном виде только на жестком
диске. При передаче по сети данные
передаются с сервера на ПК пользователя
в открытом виде (если не включены политики
IPSec).
Квоты
Квоты
— это механизм ограничения доступного
пользователям пространства на файловом
сервере. Если в файловых хранилищах
отсутствует механизм квот, то пользователи
очень быстро засоряют доступное дисковое
пространство файлами, не имеющими
отношения к работе, или различными
версиями и копиями одних и тех же
документов.
В
системах Windows Server используется механизм
квотирования «На
том/На пользователя»
(Per volume/Per user).
Т.е нельзя установить квоты на отдельные
папки тома или для групп пользователей.
Размер использованного пользователем
места на диске вычисляется по атрибуту
«Владелец
файла«.
Механизм
квот включается на закладке «Квота»
Свойств
тома. Если отметить галочкой поле
«»Включить
управление квотами«,
то включается самый «мягкий» режим
управления квотами. В этом режиме не
включается запрет на использование
дискового пространства сверх установленной
квоты, не устанавливаются сами размеры
квот, не регистрируются события, связанные
с превышением пользователями квот (рис.
8.44).
Рис. 8.44
Если
на этой закладке нажать кнопку «Записи
квот«, то
можно получить информацию о том, какой
объем дискового пространства использовал
в данный момент каждый пользователь
(рис.
8.45).
Рис. 8.45
Если
включить самый жесткий механизм квот
(рис.
8.46), то
будет установлен запрет на превышение
установленной квоты, в системных журналах
будут регистрироваться предупреждения
о превышении определенного порога, а
также события, отражающие достижение
пользователем допустимого предела.
Рис. 8.46
В
этом режиме страница записей квот будет
выглядеть следующим образом (рис.
8.47):
Рис. 8.47
Если
на этой странице щелкнуть двойным
щелчком мыши на какой-либо записи квот,
то для соответствующего пользователя
можно установить индивидуальную квоту,
отличную от общих установок (рис.
8.48):
Рис. 8.48
Если
пользователь в процессе сохранения
информации на том, управляемый квотами,
превысит допустимый размер, то ему будет
выдано сообщение (рис.
8.49):
Рис. 8.49
При
этом в системном журнале данного сервера
для источника данных «ntfs»
и категории «Диск»
появится соответствующая запись (рис.
8.50):
Рис. 8.50
А
страница записей квот будет иметь теперь
такой вид (рис.
8.51):
Рис. 8.51
Дефрагментация
В
процессе использования файловых ресурсов
возникает фрагментация дискового
пространства. Возникает она из-за того,
что при удалении файлов в образовавшееся
свободное место записываются новые
файлы. Если в освободившемся месте новый
файл целиком не помещается, то файловая
система выделяет файлу кластеры в другом
свободном участке. Считывание такого
фрагментированного файла с диска требует
большего времени. При длительном
использовании тома/раздела степень
фрагментации увеличивается,
производительность службы доступа к
файлам снижается, поэтому время от
времени требуется производить
дефрагментацию
тома/раздела, которая заключается в
том, что кластеры, выделенные файлам,
перераспределяются на томе так, чтобы
каждый файл занимал смежные кластеры.
Файловые
системы семейства FAT сильнее подвержены
фрагментации, т.к. вновь создаваемому
файлу всегда выделяется первые найденные
свободные кластеры (а в процессе удаления
файлов, на томе создается много свободных
фрагментов небольшого размера). В
файловой системе NTFS новым файлам
выделяются в первую очередь участки со
смежными кластерами, и только в том
случае, когда на томе нет непрерывного
участка дискового пространства
необходимого размера, тогда файлу
выделяются не смежные кластеры.
Для
осуществления дефрагментации дискового
пространства используется оснастка
«Дефрагментация
диска»
(которая запускается нажатием кнопки
«Выполнить
дефрагментацию»
на закладке «Сервис«,
доступной в окне Свойств
тома/раздела, рис.
8.52) или
утилита командной строки defrag.exe.
Рис. 8.52
Оснастка
«Дефрагментация
диска»
выполняет две операции: анализ степени
фрагментации тома и сам процесс
дефрагментации.
Для
проведения анализа необходимо нажать
кнопку «Анализ»
в оснастке. В результате анализа будет
выведен краткий отчет (рис.
8.53) о
степени фрагментации. При нажатии кнопки
«Вывести
отчет» будет
выведен подробный отчет со списком
фрагментированных файлов (рис.
8.54).
Рис. 8.53
Рис. 8.54
Результат
анализа очень наглядно показан также
в графическом виде (рис.
8.55):
Рис. 8.55
На
картинке используются следующие цветовые
обозначения:
-
красный
цвет
— участки с фрагментированными файлами; -
синий
цвет
— нефрагментированные файлы; -
зеленый
цвет
— неперемещаемые файлы (это участки с
системными файлами, которые нельзя
перемещать в процессе дефрагментации,
например, файл подкачки); -
белый
цвет
— свободное пространство на томе.
При
нажатии на кнопку «Дефрагментация»
начнется процесс дефрагментации, его
длительность зависит от размера тома,
степени его фрагментированности, степени
загруженности сервера. Очень рекомендуется
производить дефрагментацию в нерабочее
время, т.к. фрагментация требует
значительных ресурсов сервера и замедляет
работу службы предоставления файлов в
общее пользование. По окончании процесса
фрагментации картинка в оснастке
«Дефрагментация
диска» будет
выглядеть следующим образом (рис.
8.56):
Рис. 8.56
На
рисунке очень хорошо показана стратегия
файловой системы NTFS — размещать файлы
в непрерывных
свободных участках тома. Здесь видно,
что большие фрагментированные файлы,
находившиеся примерно в середине тома,
были перемещены в свободный участок в
конце тома.
Выше
уже говорилось, что в системе Windows 2000 не
осуществляется дефрагментация томов
с размером кластера более 4 Кбайт (эту
задачу могут выполнять программы
дефрагментации сторонних разработчиков).
В Windows 2000 также отсутствует утилита
дефрагментации defrag.exe,
которая запускается в командной строке
и не требует интерактивного взаимодействия
в графическом режиме (что позволяет
запускать эту утилиту по расписанию в
Назначенных
заданиях и
проводить дефрагментацию в ночное время
и выходные дни).
8.4 Термины и понятия сетевой печати. Установка драйверов, настройка принтеров. Протокол ipp (Internet Printing Protocol)
Системы
семейства Windows Server предоставляют богатые
возможности совместного использования
принтеров, а также средства управления
данным процессом.
В
системе Windows Server имеются следующие
основные возможности управления печатью:
-
предоставление
совместного доступа к принтерам; -
публикация
принтеров в Active Directory для быстрого
поиска имеющихся в сети принтеров; -
автоматическая
загрузка клиентом с сервера печати
драйвера принтера со всеми настройками
данного принтера; -
перенаправление
порта принтера на другое устройство
печати (позволяет быстро восстановить
возможности печати при выходе одного
из устройств печати из строя); -
создание пула
принтеров (привязка одного принтера к
нескольким устройствам печати для
повышения быстродействия печати); -
привязка нескольких
принтеров к одному устройству печати
(для более гибкого управления доступом
к принтерам); -
печать
через
Интернет
(Internet Printing Protocol).
Термины и понятия сетевой печати
Определим
сначала основные термины, используемые
в данном пункте.
-
Устройство
печати
(Print
device)
— физическое устройство, на котором
осуществляется вывод информации на
бумагу или иные виды носителей; -
Принтер
(Printer)
— объект операционной системы
(программный интерфейс между системой
и портом); -
Порт
(Port)
— объект системы, связывающий принтер
и устройство
печати; -
Драйвер
принтера
(Printer
driver)
— программная компонента, преобразующая
информацию из компьютера в набор команд,
соответствующий данной модели устройства
печати; -
Сервер
печати
(Print
server)
— компьютер, получающий от приложений,
работающих на компьютерах в сети,
задания на печать документов; -
Очередь
печати
(Print
queue)
— очередь документов, ожидающих вывода
на устройство
печати; -
Спулер
(Spooler)
— компонента системы, которая временно
сохраняет на жестком диске сервера
документы, содержащиеся в очереди
печати.
Такая
терминология и соответствующая
организация управления печатью позволяет
очень эффективно использовать сетевые
принтеры, быстро восстанавливать
функционирование принтера при выходе
из строя устройства печати, создавать
пулы принтеров, гибко управлять доступом
к принтерам для различных пользователей.
Следует
иметь в виду, что все эти термины относятся
не только к серверным редакциям системы
Windows, но и к Windows 2000/XP Professional, которые
содержат в себе службы файлов и печати,
но с ограничением на 10 одновременных
клиентских подключений.
Установка драйверов, настройка принтеров
Рассмотрим
на примерах и обсудим как общие, так и
частные вопросы установки и настройки
различных компонент сетевой службы
печати:
-
установка и
настройка принтера, предоставление
общего доступа к принтеру по сети; -
настройка сервера
печати; -
подключение
клиентского ПК к серверу печати, загрузка
драйверов; -
перенаправление
портов; -
создание пула
принтеров; -
привязка нескольких
принтеров к одному устройству печати
и управление доступом к принтерам.
Напомним,
что в нашей учебной конфигурации имеется
домен world.ru,
в котором установлены два сервера (оба
являются контроллерами домена) — DC1
и DC2.
Установка принтера на сервере
-
Запустим
мастер установки принтера на сервере
DC1: кнопка «Пуск»
— «Принтеры
и факсы»
— «Установка
принтера»
— кнопка «Далее«. -
Выберем
тип принтера — «Локальный»
(если принтер подключен к какому-либо
физическому порту сервера и система
Windows может определить этот принтер с
помощью технологии «Plug and Play», то
нужно отметить галочкой соответствующее
поле), нажмем кнопку «Далее»
(рис.
8.57):
Рис. 8.57
Если
выбираем вариант «Сетевой
принтер«,
то нужно будет либо найти принтер в
Active Directory, либо указать точный UNC-путь к
принтеру в формате «\serverprinter»,
либо указать путь к принтеру в Интернете,
рис.
8.58:
Рис. 8.58
-
Продолжим
установку локального принтера. Выберем
порт LPT1 (рис.
8.59):
Рис. 8.59
На
данном этапе можно создать новый
локальный порт и выбрать, например, порт
TCP/IP. Таким образом, на данном сервере
будет считаться локальным принтер,
имеющий свой сетевой адаптер и подключенный
к сети по протоколу TCP/IP.
-
Если
принтер автоматически не определился
системой, то выберем модель принтера
из списка, например, HP LaserJet 5Si (можно
указать путь к драйверу принтера, нажав
кнопку «Установить
с диска«),
нажмем кнопку «Далее»
(рис.
8.60):
Рис. 8.60
-
Введем
имя принтера, например, «Printer1»,
нажмем «Далее»
(рис.
8.61):
Рис. 8.61
-
Разрешим
сетевой доступ к этому принтеру, нажмем
«Далее»
(рис.
8.62):
Рис. 8.62
-
Далее
можно заполнить необязательные поля
«Размещение»
и «Комментарий«,
которые могут оказаться очень полезными,
когда на сервере установлено несколько
принтеров, нажмем «Далее«. -
Затем
система предложит напечатать пробную
страницу (мы этот шаг пропустим). Кнопка
«Далее»
(система при этом скопирует из дистрибутива
в системные папки драйвер принтера),
кнопка «Готово«.
Выполним
аналогичную последовательность действий
на сервере DC2, выбрав для принтера имя
Printer2.
Подключение к сетевому принтеру с клиентского пк
В
качестве клиента будем использовать
компьютер DC1. Подключимся с сервера DC1
к принтеру, установленному на сервере
DC2. Можно это сделать с помощью того же
мастера установки принтера, указав в
нужном месте UNC-путь к принтеру в виде
«\DC2Printer2»,
а можно просто открыть в командной
строке ресурсы сервера DC2 («Пуск»
— «Выполнить»
— «\DC2»)
и подключиться к установленному на
сервере принтеру (рис.
8.63).
Рис. 8.63
Еще
один вариант — найти в Active Directory принтер,
установленный на сервере DC2 и подключиться
к нему. Откроем «Пуск»
— «Поиск«,
выберем поиск принтеров, найдем все
принтеры в сети и подключимся к принтеру
Printer2
(рис.
8.64).
Рис. 8.64
В
процессе установки клиентская часть
системы выполнит все необходимые
подключения и, самое главное, автоматически
загрузит с сервера драйвер принтера
(если он не был установлен на клиентском
компьютере). Все
операционные системы на базе технологий
Windows NT
автоматически загружают драйверы
принтера с сервера при подключении к
принтеру. Кроме того, при каждом новом
подключении, например, при отправке
задания на печать, клиент проверяет, не
обновилась ли версия драйвера на сервере,
и в случае обновления также автоматически
загружает к себе обновленный драйвер.
Те драйверы, которые содержатся в базе
данных драйверов Windows Server 2003, работают
только в системах Windows 2000/XP/2003. Драйверы
для более ранних систем на базе Windows NT,
то их нужно установить на сервере с
дискеты или CD, поставляемых производителем
принтера.
Общие параметры сервера печати
Откроем
папку «Принтеры
и факсы«,
выберем в меню «Файл»
пункт «Свойства
сервера«.
Закладка
«Порты«.
На данной закладке можно изменить
настройки какого-либо порта, удалить
ненужный порт или добавить новый порт,
например, локальный TCP/IP-порт. Заметим,
что в качестве локального порта можно
указать порт в виде UNC-имени «\serverprinter»
(рис.
8.65).
Рис. 8.65
Закладка
«Драйверы«.
На данной закладке можно добавить,
обновить или удалить драйвер для
какого-либо принтера.
Закладка
«Дополнительные
параметры«.
На данной закладке можно указать путь
к папке очереди
печати (файлу
спулинга),
отличный от пути по умолчанию. Это
целесообразно делать в том случае, если
сервер печати предназначен для печати
большого объема документов. Не
рекомендуется размещать файл спулинга
специализированного и очень нагруженного
сервера печати на том же жестком диске,
что и операционная система и файл
подкачки.
Свойства принтера
Выберем
в папке «Принтеры
и факсы»
нужный принтер, откроем его Свойства.
Закладка
«Общие«.
Кнопка «Настройка
печати» —
настройка параметров печати (лотки с
подачей бумаги, разрешение печати и
др.); кнопка «Пробная
печать» —
печать пробной страницы.
Закладка
«Доступ«.
Управление доступом к принтеру по сети
— предоставление или отмена общего
доступа, публикация принтера в Active
Directory. Кнопка «Дополнительные
драйверы»
— установка на сервере дополнительных
драйверов для различных операционных
систем на базе Windows NT.
Закладка
«Порты«.
На этой закладке можно переназначить
принтер на другой порт (фактически —
на другое устройство печати), если
текущее используемое устройство печати
вышло из строя. Если отметить поле
«Разрешить
группировку принтеров в пул«,
то можно выбрать для данного принтера
одновременно несколько портов; в этом
случае конкретные документы будут
выводиться на печать на том устройстве,
которое будет свободно.
Закладка
«Дополнительно«.
Здесь можно настроить расписание, в
которое доступен данный принтер (по
умолчанию принтер доступен круглые
сутки). Если, например, создать на сервере
различные объекты принтеров, привязать
их к одному и тому же устройству печати,
назначить им различное расписание
доступности, а на закладке «Безопасность»
дать доступ различным группам
пользователей, то одно и то же устройство
печати будет доступно различным группам
пользователей в различное время.
На
этой же закладке есть настройки
использования очереди печати (файла
спулинга), рекомендуем оставить данные
настройки без изменений, в системе
выбран наиболее оптимальный вариант.
Если отметить поле «Сохранять
документы после печати«,
то напечатанные документы не будут
удаляться из очереди (их нужно будет
удалять вручную). Данный параметр может
быть полезен в том случае, если требуется
время от времени делать повторную печать
документов (без запуска соответствующих
приложений) или необходимо ежедневно
контролировать, какие документы
печатаются на принтере.
Кнопка
«Страница-разделитель»
позволяет вставлять между документами
специальные страницы, которые разделяют
документы и, кроме того, позволяют менять
режим работы принтера. Шаблоны
страниц-разделителей хранятся в файлах
с расширением «.sep».
В системе имеются 4 стандартных
страницы-разделителя:
-
pcl.sep
— переключает принтер в режим печати
PCL и печатает страницу-разделитель
перед каждым документом; -
pscript.sep
— переключает принтер в режим печати
PostScript, не печатает страницу-разделитель
перед документами; -
sysprint.sep
— переключает принтер в режим печати
PostScript и печатает страницу-разделитель
перед каждым документом; -
sysprtj.sep
— печатает страницу-разделитель перед
каждым документом с указанием параметров
задачи.
Использование
страниц-разделителей целесообразно
тогда, когда необходимо разделять
задания, отправленные разными
пользователями, или в случае, когда
необходимо переключать режим работы
принтера для различных документов.
Закладка
«Безопасность»
— управление разрешениями на доступ к
принтеру.
Закладка
«параметры
устройства»
— настройка параметров устройства
печати.
Управление очередью печати
Откроем
конкретный принтер в папке «Принтеры
и факсы«,
например, Printer1.
В окне принтера будут видны задания,
стоящие в очереди печати (рис.
8.66). На
рисунке показаны названия документов,
состояние документа в очереди, имя
пользователя, печатающего данный
документ, количество страниц, размер
документа, дата и время отправки задания
на печать.
Рис. 8.66
Раздел
меню «Принтер«,
кроме настроек принтера, рассмотренных
ранее, позволяет выполнять следующие
действия с очередью печати:
-
«Приостановить
печать»
— приостановка процесса печати, данное
действие может оказаться необходимым
для каких-либо действий с устройством
печати (например, заправка бумаги); -
«Очистить
очередь печати»
— удалить все здания из очереди печати.
Раздел
меню «Документ»
позволяет выполнить такие операции с
документами в очереди:
-
«Приостановить»
— приостановить процесс печати
документа; -
«Продолжить»
— продолжить печатать документ, печать
которого была приостановлена; -
«Перезапустить»
— повторный запуск документа на печать; -
«Отменить»
— отменить печать документа.
Если
щелкнуть двойным щелчком мыши на
документе в очереди, то откроется окно
свойств печатаемого документа, из
которых наиболее важное — «Приоритет«,
задаваемый в диапазоне от 1 до 99. Если
повысить приоритет задания, то оно будет
печататься раньше, чем задания с более
низким приоритетом (рис.
8.67).
Рис. 8.67
Замечание.
При управлении очередью печати бывают
случаи, когда документ «зависает»
в очереди и не удаляется из нее, особенно
если возникли какие-либо ошибки во время
печати (рис.
8.68).
Рис. 8.68
Чтобы
очистить очередь от таких «зависших»
документов, необходимо перезапустить
службу «Диспетчер
очереди печати»
(Spooler).
Протокол ipp (Internet Printing Protocol)
Системы
семейства Windows Server поддерживают протокол
печати через Интернет
(IPP,
Internet Printing
Protocol), работающий
поверх протокола HTTP и позволяющий
пользователям подключаться к принтерам,
размещенным в сетях Интернет/интранет.
Поддержка данной технологии актуальна
в больших корпоративных сетях, состоящих
из большого числа IP-сетей, в которых не
всегда эффективно работают стандартное
взаимодействие между пользователем и
сервером через вызовы
удаленных процедур
(RPC,
Remote Procedure call).
Установка службы печати через Интернет
Служба
печати через Интернет устанавливается
достаточно просто, как и большинство
других компонент системы Windows Server.
-
Нажмем
кнопку «Пуск«,
далее — «Панель
управления»
— «Установка
и удаление программ»
— кнопка «Установка
компонентов Windows«. -
Выберем
в списке строку «Сервер
приложений«,
но не будем ставить галочку для этой
строки, а нажмем кнопку «Состав»
(рис.
8.69):
Рис. 8.69
-
Выберем
«Службы
IIS«,
не ставя галочку, также нажимаем кнопку
«Состав«,
отмечаем поле «Печать
через Интернет»
(рис.
8.70),
все необходимые компоненты система
добавит автоматически. Далее нажимаем
нужное количество раз кнопки «ОК«,
«Далее»
и «Готово«.
Рис. 8.70
Подключение клиента
Подключение
пользователя и управление заданиями —
все эти операции выполняются через
Обозреватель Интернета.
-
Для
подключения к серверу печати необходимо
в строке адреса Обозревателя ввести
адрес в формате «http://<server>/printers«.
В нашей учебной сети это будет выглядеть
как «http://dc1.world.ru/printers»
или «http://dc2.world.ru/printers«.
После подключения увидим веб-страницу
сервера печати (рис.
8.71):
Рис. 8.71
-
Щелкнем
мышью на ссылке, указывающей на нужный
принтер (в примере — Printer2), затем щелкнем
по ссылке «Подключить»
(эта ссылка выделена жирным шрифтом),
система произведет подключение к
принтеру, причем драйвер принтера
автоматически загрузится и установится
на клиентский ПК (рис.
8.72):
Рис. 8.72
Теперь
принтер подключен на клиентском ПК, и
им можно пользоваться для печати
документов из любого приложения.
Управление очередью печати
Управление
документами в очереди также осуществляется
в Обозревателе Интернета. Отправим на
печать несколько документов и проверим
состояние очереди (рис.
8.73):
Рис. 8.73
В
окне Обозревателя мы можем приостанавливать
и продолжать печать выбранного документа,
отменять печать документа, очищать
очередь печати.
9. Лабораторная работа: Служба файлов и печати
Лабораторная
работа освещает вопросы работы с
файловыми системами операционной
системы Windows Server 2003. Раскрыты темы
управления правами доступа к файловым
ресурсам, квотирования дискового
пространства, аудита доступа к файлам,
сжатия и шифрования файлов в файловой
системе NTFS. Приведено пошаговое описание
установки принтеров в системе Windows
Server 2003
Упражнение 1. Подготовка контроллеров домена для упражнений с дисками и файловыми системами.
Цель упражнения |
Ослабить
Получить Внимание! |
Исходная |
Компьютеры с |
Результат |
Домен и контроллеры |
Предварительные |
Общие сведения |
Задания |
|
1 |
Отключение |
Внимание! Отключите
«Политика
Установить
«Мин.
«Мин.
«Пароли
«Требовать
Консоль
Раскрыть
Установить
В
Выбрать
в gpupdate |
|
2 |
Разрешение |
Внимание! Разрешите
«Параметры
|
|
3 |
Создание |
Создать
|
Упражнение 2. Управление дисками.
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры На |
Результат |
|
Предварительные |
Общие сведения |
Задания |
|
1 |
Создание раздела |
|
|
2 |
Создание папки |
|
|
3 |
Преобразование |
convert
|
|
4 |
Монтирование |
Создайте
Выберите
Выберите
Щелкните
Выберите
Нажмите
|
|
5 |
Изменение буквы |
Снова
Выберите
Выберите
Щелкните Выберите |
Упражнение 3. Управление доступом к файловым ресурсам (сетевые права доступа, локальные права доступа, взятие во владение).
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры с |
Результат |
|
Предварительные |
Общие сведения |
Задания |
|
1 |
Локальные права |
Группа
Группа
войдите
попытайтесь list> |
|
2 |
Локальные права |
Удалить
Группа
войдите попытайтесь |
|
3 |
Сетевые и |
Сетевые
Группа
|
|
4 |
Взятие во |
нажмите
уберите
в
далее
нажмите
назначьте
кнопка
нажмите
откройте
выберите
поставьте
Кнопка
Кнопка
«Администраторы»
назначьте
кнопка
|
Упражнение 4. Дефрагментация раздела.
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры с |
Результат |
Дефрагментированный |
Предварительные |
Общие сведения |
Задания |
|
1 |
Анализ |
Консоль
«Дефрагментация
Кнопка
Изучите Примечание
В
Кнопка
Проследите
|
Упражнение 5. Управление квотами.
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры с |
Результат |
Раздел с |
Предварительные |
Общие сведения |
Задания |
|
1 |
Назначение |
«Выделять
«Порог
Протоколирование
Кнопка
Кнопка |
|
2 |
Изучение |
|
Упражнение 6. Сжатие и шифрование файлов.
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры с |
Результат |
|
Предварительные |
Общие сведения |
Задания |
|
1 |
Сжатие данных |
«Сжимать
|
|
2 |
Шифрование |
|
|
3 |
Шифрование |
|
Упражнение 7. Аудит доступа к файловым ресурсам.
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры с |
Результат |
Настроенный |
Предварительные |
Общие сведения |
Задания |
|
1 |
Включение |
«Параметры |
|
2 |
Включение |
Закладка
Кнопка
Закладка«Аудит»
Кнопка
Добавьте
Кнопка
Поставьте нажмите |
|
Тестирование |
|
|
Упражнение 8. Автономные файлы.
Цель упражнения |
Получить навыки |
Исходная |
Компьютеры с |
Результат |
Включенный и |
Предварительные |
Общие сведения |
Задания |
|
1 |
Включение |
Включите
Меню
«Свойства
Закладка
Поставить Поставить |
|
2 |
Настройка |
Закладка
Выбрать
Установить
Кнопка
Изучите Нажмите |
|
3 |
Настройка |
На другом
Кнопка
«Выполнить»
ввести
Кнопка
Щелкнуть Выбрать |
|
4 |
Создание и |
|
|
5 |
Имитация |
Ярлык
Меню
«Синхронизировать» Кнопка |
|
6 |
Завершение |
Отключите
Меню
«Свойства
Закладка
Убрать
Кнопка
Убрать Кнопка |
Упражнение 9. Установка принтера, настройка свойств и параметров печати. Настройка протокола ipp.
Цель упражнения |
Изучить процесс |
Исходная |
Компьютеры с |
Результат |
Установленные |
Предварительные |
Общие сведения |
Задания |
|
1 |
Установка |
Установите Кнопка «Принтеры «Установка Кнопка Выбрать Кнопка Кнопка Выбрать Выбрать Имя Имя Размещение Напечатать Кнопка |
|
2 |
Изучение |
Изучите Кнопка «Принтеры Выберите В Проверьте
|
|
3 |
Изучение |
Изучите Кнопка «Принтеры Выберите Щелкнуть Выбрать Изучите
|
|
4 |
Поиск принтера |
Выведите Кнопка «Поиск» «Другие «Принтеры, «Принтер Кнопка |
|
5 |
Установка и |
Кнопка
«Панель
«Установка
Кнопка
Выберите
Выберите
Выберите
Кнопка
Кнопка
Кнопка
Интернета
Кнопка
«Панель
«Установка
Кнопка
Уберите
Кнопка
Кнопка
Откройте
Введите
На
Откройте
Откройте Проделайте |
|
6 |
Завершающие |
Удалите все |
10. Лекция: Сетевые протоколы и службы
Данная
лекция посвящена ознакомлению с наиболее
часто используемыми, кроме TCP/IP, сетевыми
протоколами и основными инфраструктурными
сетевыми службами — DHCP, WINS, RRAS
Основу современных
корпоративных сетей составляет стек
протоколов TCP/IP. Поэтому в данном курсе
этому стеку посвящена отдельная глава.
Однако во многих сетях со старых времен
остались другие сетевые протоколы.
Наиболее часто используемые среди них
— NetBEUI, IPX/SPX.
Основная
инфраструктурная сетевая служба — это
служба разрешения имен DNS, которая также
составляет основу инфраструктуры
современных сетей. Кроме этой службы,
очень важную роль в сетевой инфраструктуре
играет также служба DHCP, предназначенная
для автоматизации управления конфигурацией
протокола TCP/IP сетевых узлов.
Служба
WINS, предназначенная для разрешения имен
узлов в пространстве имен NetBIOS, сейчас
играет все меньшую роль в сетевой
корпоративной инфраструктуре, но
по-прежнему используется достаточно
широко.
Служба
маршрутизации и удаленного доступа
RRAS предоставляет возможность доступа
в корпоративную сеть мобильным
пользователям через различные средства
коммуникаций — коммутируемые телефонные
линии, сети Frame Relay и X.25, создание защищенных
виртуальных частных сетей при доступе
через публичные сети, а также выполняет
функцию маршрутизации сетевых пакетов
по протоколам TCP/IP и IPX/SPX в сетях, состоящих
из множества подсетей.
10.1 Обзор сетевых протоколов NetBeui, ipx/spx; служб dhcp, wins, rras Сетевые протоколы ipx/spx, NetBeui
Существует
достаточно много стеков протоколов,
широко применяемых в сетях. Это и стеки,
являющиеся международными и национальными
стандартами, и фирменные стеки, получившие
распространение благодаря распространенности
оборудования той или иной фирмы. Примерами
популярных стеков протоколов могут
служить: стек IPX/SPX фирмы Novell, стек TCP/IP,
используемый в сети Internet и во многих
сетях на основе операционной системы
UNIX, стек OSI международной организации
по стандартизации и некоторые другие.
Протокол NetBeui
Протокол
NetBEUI
(NetBIOS
Extended User Interface)
ведет свою историю от сетевого программного
интерфейса NetBIOS
(Network
Basic Input/Output System),
появившегося в 1984 году как сетевое
расширение стандартных функций базовой
системы ввода/вывода (BIOS) IBM PC для сетевой
программы PC Network фирмы IBM.
Протокол
NetBEUI разрабатывался как эффективный
протокол, потребляющий немного ресурсов,
для использования в сетях, насчитывающих
не более 200 рабочих станций. Этот протокол
содержит много полезных сетевых функций,
которые можно отнести к сетевому,
транспортному и сеансовому уровням
модели OSI, однако с его помощью невозможна
маршрутизация пакетов. Это ограничивает
применение протокола NetBEUI локальными
сетями, не разделенными на подсети, и
делает невозможным его использование
в составных сетях. Некоторые ограничения
NetBEUI снимаются реализацией этого
протокола NBF (NetBEUI Frame), которая включена
в операционную систему Microsoft Windows NT.
В
настоящее время в операционных системах
семейства Windows 2000 данный протокол уже
практически не используется, а в системах
Windows XP/2003 отсутствует даже возможность
добавления данного протокола в Свойствах
сетевого подключения системы (хотя,
если необходима совместимость с
какими-либо приложениями, унаследованными
от старых систем и работающих только
по протоколу NetBEUI, в дистрибутивах систем
Windows XP/2003 имеются установочные файлы
для добавления данного протокола).
Стек протоколов ipx/spx
Этот
стек является оригинальным стеком
протоколов фирмы Novell, разработанным
для сетевой операционной системы NetWare
еще в начале 80-х годов. Протоколы сетевого
и сеансового уровня Internetwork Packet Exchange
(IPX) и Sequenced Packet Exchange (SPX), которые дали
название стеку, являются прямой адаптацией
протоколов XNS фирмы Xerox, распространенных
в гораздо меньшей степени, чем стек
IPX/SPX. Популярность стека IPX/SPX непосредственно
связана с операционной системой Novell
NetWare.
Многие
особенности стека IPX/SPX обусловлены
ориентацией ранних версий ОС NetWare (до
версии 4.0) на работу в локальных сетях
небольших размеров, состоящих из
персональных компьютеров со скромными
ресурсами. Понятно, что для таких
компьютеров Novell нужны были протоколы,
на реализацию которых требовалось бы
минимальное количество оперативной
памяти и которые бы быстро работали на
процессорах небольшой вычислительной
мощности. В результате протоколы стека
IPX/SPX до недавнего времени хорошо работали
в локальных сетях и не очень — в больших
корпоративных сетях, так как они слишком
перегружали медленные глобальные связи
широковещательными пакетами, которые
интенсивно используются несколькими
протоколами этого стека (например, для
установления связи между клиентами и
серверами). Это обстоятельство, а также
тот факт, что стек IPX/SPX является
собственностью фирмы Novell, и на его
реализацию нужно получать у нее лицензию,
долгое время ограничивали распространенность
его только сетями NetWare. С момента выпуска
версии NetWare 4.0 Novell внесла и продолжает
вносить в свои протоколы серьезные
изменения, направленные на приспособление
их для работы в корпоративных сетях.
Сейчас стек IPX/SPX реализован не только
в NetWare, но и в нескольких других популярных
сетевых ОС, например, Microsoft Windows NT. Начиная
с версии 5.0 фирма Novell в качестве основного
протокола своей серверной операционной
системы стала использовать протокол
TCP/IP, и с тех пор практическое применение
IPX/SPX стало неуклонно снижаться.
Как
уже говорилось выше, стек протоколов
IPX/SPX является фирменным запатентованным
стеком компании Novell. Реализация данного
протокола в операционных системах
Microsoft называется NWLink (или IPX/SPX-совместимый
протокол). Добавить данный протокол
можно через Свойства
«Подключения
по локальной сети»
(кнопка «Установить«,
выбрать «Протокол«,
кнопка «Добавить«,
выбрать «NWLink«,
кнопка «ОК«;
рис.
10.1).
Рис. 10.1
Для
того, чтобы из сети под управлением
систем семейства Windows получить доступ
в сеть под управлением служб каталогов
Novell, кроме NWLink, необходимо установить
также клиента сетей Novell (Свойства
«Подключения
по локальной сети«,
кнопка «Установить«,
выбрать «Клиент«,
кнопка «Добавить«,
выбрать «Клиент
для сетей NetWare«,
кнопка «ОК«;
рис.
10.2).
Рис. 10.2
В
серверных системах Windows (до Windows 2000
включительно) имелась также служба под
названием «Шлюз
для сетей NetWare«,
позволявшая клиентам сетей Microsoft без
установки клиента сетей NetWare получать
доступ к ресурсам серверов под управлением
Novell NetWare (через шлюз, установленный на
сервере Windows NT/2000). В системе Windows 2003
служба шлюза отсутствует.
Служба dhcp
Служба
DHCP
(Dynamic
Host Configuration Protocol)
— это одна из служб поддержки протокола
TCP/IP, разработанная для упрощения
администрирования IP-сети за счет
использования специально настроенного
сервера для централизованного управления
IP-адресами и другими параметрами
протокола TCP/IP, необходимыми сетевым
узлам. Сервер DHCP избавляет сетевого
администратора от необходимости ручного
выполнения таких операций, как:
-
автоматическое
назначение сетевым узлам IP-адресов и
прочих параметров протокола TCP/IP
(например, маска подсети, адрес основного
шлюза подсети, адреса серверов DNS и
WINS); -
недопущение
дублирования IP-адресов, назначаемых
различным узлам сети; -
освобождение
IP-адресов узлов, удаленных из сети; -
ведение
централизованной БД выданных IP-адресов.
Особенности
службы DHCP в системах семейства Windows
Server:
-
Интеграция с
DNS —
DHCP-серверы могут осуществлять динамическую
регистрацию выдаваемых IP-адресов и
FQDN-имен сетевых узлов в базе данных
DNS-сервера (это особенно актуально для
сетевых клиентов, которые не поддерживают
динамическую регистрацию на сервере
DNS, например, Windows 95/98/NT4); -
Авторизация
сервера DHCP в Active Directory
— если сетевой администратор установит
службу DHCP на сервере Windows 2000/2003, то сервер
не будет функционировать, пока не будет
авторизован в AD (это обеспечивает защиту
от установки несанкционированных
DHCP-серверов); -
Резервное
копирование базы данных DHCP
— Созданная резервная копия может
использоваться впоследствии для
восстановления работоспособности
DHCP-сервера.
Определим
основные термины, относящиеся к службе
DHCP
-
Клиент DHCP
— сетевой узел с динамическим IP-адресом,
полученным от сервера DHCP; -
Период аренды
— срок, на который клиенту предоставляется
IP-адрес; -
Область
— это полный последовательный диапазон
допустимых IP-адресов в сети (чаще всего
области определяют отдельную физическую
подсеть, для которой предоставляются
услуги DHCP); -
Исключаемый
диапазон —
это ограниченная последовательность
IP-адресов в области, которая исключается
из числа адресов, предлагаемых службой
DHCP (исключаемые диапазоны гарантируют,
что сервер не предложит ни один адрес
из этих диапазонов DHCP-клиентам в сети); -
Доступный пул
адресов в
области — адреса, оставшиеся после
определения области DHCP и исключаемых
диапазонов (адреса из пула могут быть
динамически назначены сервером
DHCP-клиентам в сети); -
Резервирование
— назначение DHCP-сервером определенному
сетевому узлу постоянного IP-адреса
(резервирования гарантируют, что
указанный сетевой узел будет всегда
использовать один и тот же IP-адрес).
Рассмотрим
технологию предоставления IP-адресов
DHCP-сервером DHCP-клиентам
При
загрузке компьютера, настроенного на
автоматическое
получение IP-адреса,
или при смене статической настройки
IP-конфигурации на динамическую, а также
при обновлении IP-конфигурации сетевого
узла происходят следующие действия:
-
компьютер посылает
широковещательный запрос
на аренду IP-адреса
(точнее, на
обнаружение доступного DHCP-сервера,
DHCP Discover); -
DHCP-серверы,
получившие данный запрос, посылают
данному сетевому узлу свои предложения
IP-адреса
(DHCP Offer); -
клиент отвечает
на предложение, полученное первым,
соответствующему серверу запросом на
выбор
арендуемого IP-адреса
(DHCP Request); -
DHCP-сервер
регистрирует в своей БД выданную
IP-конфигурацию (вместе с именем компьютера
и физическим адресом его сетевого
адаптера) и посылает клиенту подтверждение
на аренду
IP-адреса
(DHCP
Acknowledgement).
Данный
процесс изображен на рис.
10.3:
Рис. 10.3
Планирование серверов dhcp
При
планировании серверов DHCP необходимо
учитывать в первую очередь требования
производительности и отказоустойчивости
(доступности) данной службы. Поэтому
основные рекомендации при развертывании
службы DHCP в корпоративной сети будут
следующими:
-
желательно в
каждой IP-сети установить отдельный
DHCP-сервер; -
если нет возможности
установить свой сервер в каждой IP-сети,
необходимо на маршрутизаторах,
объединяющих IP-сети, запустить и
настроить агент
ретрансляции DHCP-запросов
(DHCP Relay Agent)
таким образом, чтобы он пересылал
широковещательные запросы DHCP из подсети,
в которой нет DHCP-сервера, на соответствующий
DHCP-сервер, а на самом DHCP-сервере создать
области для всех обслуживаемых IP-сетей; -
для повышения
отказоустойчивости следует установить
несколько серверов DHCP, при этом на
каждом DHCP-сервере, кроме областей для
«своих» IP-сетей, необходимо создать
области для других подсетей (при этом
диапазоны IP-адресов в таких резервных
областях не должны пересекаться с
основными областями, созданными на
серверах DHCP в «своих» подсетях); -
в больших IP-сетях
DHCP-серверы должны иметь мощные процессоры,
достаточно большие объемы оперативной
памяти и быстродействующие дисковые
подсистемы, т.к. обслуживание большого
количества клиентов требует интенсивной
работы с базой данных DHCP-сервера.
Установка и авторизация сервера dhcp
Установка
службы DHCP выполняется так же, как и
установка любой другой компоненты
Windows Server: «Пуск»
— «Панель
управления»
— «Установки
и удаление программ»
— «Установки
компонентов Windows»
— «Сетевые
службы»
— кнопка «Состав»
— выбрать пункт «DHCP»
— кнопки «ОК«,
«Далее»
и «Готово»
(если потребуется, то указать путь к
дистрибутиву системы).
Для
авторизации
сервера DHCP в БД Active Directory необходимо
запустить появившуюся в разделе
«Администрирование»
консоль управления службой DHCP. Консоль
обязательно следует запустить с учетной
записью пользователя, являющегося
членом группы «Администраторы
предприятия«.
Если ваша текущая рабочая учетная запись
не входит в эту группу, то для запуска
консоли с соответствующими полномочиями
необходимо щелкнуть правой
кнопкой
мыши на ярлыке консоли и выбрать пункт
меню «Запуск
от имени…»
(рис.
10.4),
после чего указать имя пользователя,
являющегося членом группы «Администраторы
предприятия»
и ввести его пароль (рис.
10.5).
Рис. 10.4
Рис. 10.5
Для
авторизации сервера необходимо консоли
DHCP выбрать сервер, щелкнуть на имени
сервера правой кнопкой мыши и выбрать
пункт меню «Авторизовать»
(рис.
10.6).
Когда авторизация будет завершена,
значок у имени сервера изменится —
вместо красной стрелки, направленной
вниз, появится зеленая стрелка,
направленная вверх.
Рис. 10.6
Заметим,
что дальнейшие операции с DHCP-сервером
не потребуют от администратора членства
в группе «Администраторы
предприятия«,
достаточно быть локальным администратором
данного сервера или членом группы
«Администраторы
DHCP«.
Настройка параметров dhcp-сервера Создание области и настройка ее параметров
Создать
область можно, щелкнув правой кнопкой
мыши на имени сервера и выбрав пункт
меню «Создать
область»
(или выбрав аналогичный пункт в меню
«Действие»
консоли DHCP). Консоль запустит «Мастер
создания области«,
который позволяет по шагам определить
все необходимые параметры:
-
Имя и описание
области. В больших сетях именование
областей и задание их краткого описания
облегчает работу администратора за
счет более наглядного отображения в
консоли всех созданных областей (рис.
10.7).
Рис. 10.7
-
Определение
диапазона IP-адресов и маски подсети
(рис.
10.8):
Рис. 10.8
-
Добавление
исключений. На данном шаге задаются
диапазоны IP-адресов, который будут
исключены из процесса выдачи адресов
клиентам. -
Срок действия
аренды. Стандартный срок действия — 8
дней. Если в вашей сети редко происходят
изменения (добавление или удаление
сетевых узлов, перемещение сетевых
узлов из одной подсети в другую), то
срок действия можно увеличить, это
сократит количество запросов на
обновление аренды. Если же ваша сеть
более динамичная, то срок аренды можно
сократить, это позволит быстрее
возвращать в пул свободных те IP-адреса,
которые принадлежали компьютерам, уже
удаленным из данной подсети. -
Далее мастер
предложит настроить параметры,
специфичные для узлов IP-сети, относящихся
к данной области:-
маршрутизатор
(основной шлюз; рис.
10.9);
-
Рис. 10.9
-
адрес DNS-сервера
(можно назначить несколько адресов;
рис.
10.10);
Рис. 10.10
-
адрес WINS-сервера
(аналогично серверу DNS; можно также
назначить несколько адресов);
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке «Файлы работы» в формате PDF
ВВЕДЕНИЕ
Сегодня информацию рассматривают как один из основных ресурсов развития общества, а информационные системы и технологии как средство повышения производительности и эффективности работы людей.
Компьютерные устройства – неотъемлемая часть нашей повседневной жизни. Они помогают нам общаться, находить необходимую нам информацию, быть в курсе всех событий, или просто служат развлечением. Устройство – ничто без операционной системы. Современные операционные системы отличаются своим удобством, скоростью работы и динамичностью одною из таких операционных систем является Microsoft Windows Server 2008.
Microsoft Windows Server 2008 – операционная система Windows Server, которая помогает ИТ-специалистам полностью контролировать инфраструктуру, обеспечивая беспрецедентную доступность и управляемость, что позволяет достичь более высокого, чем когда-либо, уровня безопасности, надежности и устойчивости серверной среды. Данная операционная система открывает перед организациями новые возможности, предоставляя всем пользователям, независимо от их местонахождения, доступ к полному набору сетевых услуг. Кроме того, в Windows Server 2008 имеются средства для анализа состояния и диагностики операционной системы, помогающие администраторам уделять больше времени развитию компании, а не тратить время на конфигурирование системы и исправления неисправностей. Данная серверная операционная система предлагает целый ряд новых технических возможностей в области безопасности, управления и администрирования, разработанных для повышения надежности и гибкости работы сервера.
Для исправного функционирования операционной системы на персональном компьютере, необходимо выполнить установку и настройку ОС, настройку сетевых подключений, создание учетных записей и групп. Правильное конфигурирование операционной системы играет важную роль в дальнейшем её использовании.
Целью данной работы является изучение учётных записей, групп в ОС Windows Server 2008 понятия и составных компонентов учётных записей и групп для организации, а также общих принципов работы.
Задачами данной курсовой работы является установка, конфигурирование операционной системы Windows Server 2008, а так же создание и настройка учетных записей и групп.
В первом разделе рассматриваются общие теоретические сведения об операционной системы Windows Server 2008, её функциях и возможностях. Информация о учетных записях, а так же основные понятия о группах.
Во втором разделе описана практическая реализации установки, конфигурирования операционной системы, а также создание групп и учетных записей.
Данная курсовая работа стоит из содержания, введения, 2 основных разделов, заключения и списка использованных источников.
Работа написана на 33 листах и содержит 20 рисунков.
1 Теоретические сведения об операционной системе Windows Server 2008
Windows Server 2008 — мощная, гибкая, полнофункциональная серверная операционная система (ОС), в основе которой лежат усовершенствования, впервые появившиеся в Windows Server 2003 SP1 и Windows Server 2003 Release 2. ОС Windows Server 2008 имеет несколько общих компонентов с Windows Vista, поскольку обе ОС созданы в рамках одного проекта. Эти компоненты связаны общей программной основой и охватывают многие аспекты действия ОС, включая управление, обеспечение безопасности, работу с сетью и хранение информации. В феврале 2008 года появилась операционная система Windows Server 2008, основанная на проекте Windows Vista – поэтому большая часть нововведений Windows Vista перешла и в Windows Server 2008.Тем не менее ОС Windows Server 2008 — не просто усовершенствование предшествующей операционной системы. Она разработана для того, чтобы обеспечить организации наиболее производительной платформой, позволяющей расширить функциональность приложений, сетей и веб-служб, от рабочих групп до центров данных, и значительно улучшить качество базовой операционной системы.
Она представляет собой защищенную и легко управляемую платформу для разработки и надежного размещения веб-приложений и служб. Новые полезные возможности и значительные усовершенствования в ОС Windows Server 2008 по сравнению с предыдущими версиями операционных систем, они востребованы как в небольших рабочих группах, так и в крупных вычислительных центрах.
Особенности и расширенные возможности управленияWindows Server 2008:
— Предоставляет ИТ-специалистам больше возможностей для управления серверами и сетевой инфраструктурой, что позволяет им сосредоточиться на важнейших потребностях организаций.
— Диспетчер сервера позволяет выполнять установку и управление на основе ролей, что облегчает задачи управления и обеспечения безопасности разных ролей серверов в рамках предприятия.
— Значительные усовершенствования в отношении администрирования инфраструктуры Windows Server 2008. Упрощенное обслуживание за счет использования единой модели выпуска обновлений и пакетов обновления для клиентской и серверной операционной системы.
— Функции защиты доступа к сети в Windows Server 2008 гарантируют, что клиентские компьютеры, которые подключаются к сети, соответствуют требованиям политик безопасности
— Надежность, масштабируемость и быстродействие инфраструктуры значительно повышаются благодаря усовершенствованиям, которые были внесены и в Windows Server 2008.
— Перед отправкой заданий печати на сервер клиентские компьютеры могут обрабатывать их локально с целью уменьшения нагрузки на сервер печати и повышения его доступности.
— Серверные ресурсы кэшируются локально и остаются доступными даже в случае потери подключения к серверу. После восстановления подключения копии автоматически обновляются.
— Приложения и сценарии, которые выполняются и на сервере, и на клиентском компьютере, используют транзакционную файловую систему для снижения риска возникновения ошибки.
— За счет изначальной поддержки протокола IPv6 всеми клиентскими и серверными службами формируется более надежная и масштабируемая сеть, а переписанный стек TCP/IP ускоряет обмен данными в сети и делает его более эффективным.
Гибкость.
Перечисленные ниже возможности Windows Server 2008 позволяют создавать гибкие и динамичные центры данных, которые отвечают непрерывно меняющимся потребностям компании. Встроенные технологии для виртуализации на одном сервере нескольких операционных систем (Windows, Linux и т. д.). Благодаря этим технологиям, а также более простым и гибким политикам лицензирования сегодня можно без труда воспользоваться преимуществами виртуализации, в том числе экономическими.
Централизованный доступ к приложениям и беспрепятственная интеграция удаленно опубликованных приложений. Кроме того, нужно отметить возможность подключения к удаленным приложениям через межсетевой экран без использования VPN — это позволяет быстро реагировать на потребности пользователей, независимо от их местонахождения.
Гибкие и функциональные приложения связывают работников друг с другом и с данными, обеспечивая таким образом наглядное представление, совместное использование и обработку информации.
Защита.
Windows Server 2008 усиливает безопасность операционной системы и среды в целом, формируя надежный фундамент, на котором можно развивать бизнес. Защита серверов, сетей, данных и учетных записей пользователей от сбоев и вторжений обеспечивается Windows Server за счет:
Усовершенствованные функции безопасности уменьшают уязвимость ядра сервера, благодаря чему повышается надежность и защищенность серверной среды.
Технология защиты сетевого доступа позволяет изолировать компьютеры, которые не отвечают требованиям действующих политик безопасности. Возможность принудительно обеспечивать соблюдение требований безопасности является мощным средством защиты сети.
Усовершенствованные решения по составлению интеллектуальных правил и политик, улучшающих управляемость и защищенность сетевых функций, позволяют создавать регулируемые политиками сети.
Защита данных, которая разрешает доступ к ним только пользователям с надлежащим контекстом безопасности и исключает потерю в случае поломки оборудования.
Защита от вредоносных программ с помощью функции контроля учетных записей с новой архитектурой проверки подлинности.
Повышенная устойчивость системы, уменьшающая вероятность потери доступа, результатов работы, времени, данных и контроля.
Контроль.
Поддержание контроля над серверами сети и, особенно, над доступом к ним, является основным приоритетом для администраторов. Поэтому в Windows Server 2008 включены две новые технологии, которые дают администраторам максимальный контроль над доступом к серверам сети: защита доступа к сети.
Диспетчер серверов Новая возможность Windows Server 2008, предоставляющая единый интерфейс, через который администратор может выполнять все действия по установке и настройке серверных ролей и компонентов Windows Server 2008 и управлению ими. С помощью диспетчера серверов можно настраивать разные функции и роли компьютеров.
Усовершенствования операционной системы Windows Server 2008
В Windows Server 2008 не только добавлены новые функции, но и значительно усовершенствованы многие возможности базовой ОС Windows Server 2003. Среди них следует отметить работу с сетью, расширенные функции безопасности, удаленный доступ к приложениям, централизованное управление ролями сервера, средства мониторинга производительности и надежности, отказоустойчивость кластеров, развертывание и файловую систему. Эти и многие другие улучшения помогают вывести серверы на максимальный уровень гибкости, безотказности и управляемости.
Знакомство с Windows Server 2008. В семейство операционных систем Windows Server 2008 входят версии Standard Edition, Enterprise Edition и Datacenter Edition. У каждой версии есть свое особое предназначение:
— Windows Server 2008 Standard Edition
Эта версия должна непосредственно заменить Windows Server 2003. Она предоставляет службы и ресурсы для других систем сети, обладает богатым набором компонентов и параметров конфигурации. Версия Standard Edition поддерживает двунаправленную и четырех направленную симметричную многопроцессорную обработку, до 4 Гб памяти для 32-разрядных систем и до 32 Гб памяти для 64-разрядных систем.
— Windows Server 2008 Enterprise Edition
Этот вариант обладает более широкими возможностями, чем Standard Edition, обеспечивает большую масштабируемость и доступность, а также поддерживает дополнительные службы, например, кластеризацию и службы федерации Active Directory. Кроме того, поддерживаются 64-разрядные системы, оперативная память.
— Windows Server 2008 Datacenter Edition
Самая мощная система семейства. В ней расширены возможности кластеризации, добавлена поддержка до 64 Гб памяти на системах х 86 и до 2 Тб памяти на 64-разряд-ных системах. Для ее работы требуется не менее 8 процессоров; возможна поддержка до 64 процессоров.
— Windows Web Server 2008
Этот вариант предназначен для предоставления веб-служб при развертывании веб-сайтов и веб-приложений, поэтому в нем поддерживаются только соответствующие компоненты. Точнее, в эту версию включены Microsoft .NET Framework, Microsoft InternetInformation Services (IIS), ASP.NET, сервер приложений и компоненты для балансировки нагрузки на сеть. Многие другие компоненты, включая Active Directory, в этой версии отсутствуют. Вам придется установить ядро сервера, чтобы получить хотя бы частичный доступ к стандартной функциональности. Windows Web-Server 2008 поддерживает до 2 Гб оперативной памяти и 2 процессора.
В различных версиях ОС поддерживаются одни и те же основные компоненты и инструменты администрирования. Это означает, что можно применять независимо, какой вариант Windows Server 2008.Учитывая, что на Web Server нельзя установить Active Directory, поэтому не удастся сделать сервер с Windows Web Server 2008 контроллером домена (хотя он может входить в домен Active Directory).
Устанавливая ОС Windows Server 2008, настраиваем систему сообразно ее роли в сети, учитывая следующие соображения:
серверы обычно являются частью рабочей группы или домена;
рабочие группы — это неорганизованные объединения компьютеров, в которых каждый компьютер управляется отдельно;
домены — это группы компьютеров, управляемых коллективно при помощи контроллеров домена, то есть, систем на базе Windows Server 2008, управляющих доступом к сети, базе данных каталогов и общим ресурсам.
1.1 Основные понятия учётных записей в ОС Windows Server 2008
Учётная запись — это запись хранимая в компьютерной системе, содержащая совокупность данных о пользователе, необходимая для его опознавания и предоставления доступа к его личным данным и настройкам.
Содержание учётной записи. Учётная запись, как правило, содержит сведения, необходимые для опознания пользователя при подключении к системе, сведения для авторизации и учёта. Это идентификатор пользователя логин и его пароль. Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде для безопасности.
Пользователи Интернета могут воспринимать учётную запись как личную страничку, профиль, кабинет, место хранения личных и других сведений на определённом интернет-ресурсе.
Для для входа в систему с помощью учетной записи обычно требуется ввод имени (логи́н) и пароля. В отдельных случаях может требоваться другая дополнительная информация.
Для аутентификации могут также использоваться специальные файлы-ключи (которые можно сохранять на разных носителях информации) либо аппаратные средства (вырабатывающие одноразовые ключи, считывающие биометрические характеристики и т. п.), а также одноразовые пароли.
Для повышения надёжности, наряду с ключом или паролем могут быть предусмотрены иные средства сверки — например, особый потайной вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.
Учётная запись может содержать также дополнительные опросные данные о пользователе — имя, фамилию, отчество, псевдоним, пол, народность, расовую принадлежность, вероисповедание, группу крови, резус-фактор, возраст, дату рождения, адрес e-mail, домашний адрес, рабочий адрес, нетмейловый адрес, номер домашнего телефона, номер рабочего телефона, номер сотового телефона, номер ICQ, идентификатор Skype, ник в IRC, другие контактные данные систем мгновенного обмена сообщениями, адрес домашней страницы и/или блога в Паутине или интранете, сведения об увлечениях, о круге интересов, о семье, о перенесённых болезнях, о политических предпочтениях, о партийной принадлежности, о культурных предпочтениях, об умении общаться на иностранных языках и т. п.. Конкретные категории данных, которые могут быть внесены в такой опросник, определяются создателями и (или) администраторами системы.
Учётная запись может также содержать одну или несколько фотографий или аватар пользователя.
Учётная запись пользователя также может учитывать различные статистические свойства поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, частотность использования системы, общее и (или) удельное количество определённых действий, произведённых в системе, и так далее.
Управление учетными записями — одна из основных задач администратора Windows Server 2008. Учетные записи пользователей служат для предоставления отдельным пользователям прав входа в сеть и обращения к сетевым ресурсам. Учетные записи групп позволяют управлять доступом к ресурсам сразу нескольких пользователей. Разрешения и полномочия, предоставляемые пользователю или группе, определяют, какие действия могут выполнять пользователи, а также доступ к каким компьютерам они получают.
Учетные записи пользователей
В Windows Server 2008 используются учетные записи пользователя двух типов:
— Доменные учетные записи
Учетные записи пользователей, определенные в Active Directory. Пройдя процедуру единого входа в систему владельцы доменных учетных записей получают доступ к ресурсам всего домена. Доменные учетные записи создаются в консоли Active Directory —пользователи и компьютеры (Active Directory Users And Computers).
— Локальные учетные записи
Учетные записи пользователей, определенные на локальном компьютере и предоставляющие доступ только к его ресурсам. Прежде чем получить доступ к сетевому ресурсу, они обязаны авторизоваться. Локальные учетные записи пользователей создаются при помощи консоли Локальные пользователи и группы (LocalUsers And Groups).
Имена для входа, пароли и открытые сертификаты
Учетные записи пользователей идентифицируются по именам для входа. В Windows Server 2008 имя для входа состоит из двух частей:
— Имя пользователя
Текстовое обозначение учетной записи.
— Домен или рабочая группа пользователя
Рабочая группа или домен, в которых существует данная учетная запись пользователя. Полное имя для входа в Windows Server 2008 для пользователя berezhnya, учетная запись которого создана в домене bsu.ru, выглядит berezhnya@bsu.ru
Идентификаторы безопасности и учетные записи пользователей.
Хотя в описаниях полномочий и разрешений пользователей Windows Server2008 отображает их имена, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifier, SID) — уникальные идентификаторы, генерируемые при создании учетных записей. В Windows Sever 2008 идентификаторы SID используются для отслеживания учетных записей независимо от имен пользователей. Идентификаторы безопасности служат многим целям. Две наиболее важные из них — возможность изменить имя пользователя без потери разрешений и возможность удалять учетные записи, не опасаясь, что кто-то получит несанкционированный доступ к ресурсам, создав учетную запись с таким же именем. Когда вы меняете имя пользователя, Windows Server 2008 сопоставляет с новым именем пользователя прежний идентификатор безопасности. При удалении учетной записи ее идентификатор SID становится недействительным. Даже если вы позже создадите учетную запись с таким же именем пользователя, ей будет назначен другой идентификатор SID, и потому новая учетная запись не будет обладать теми же полномочиями и разрешениями, что предыдущая.
Предопределенные учетные записи пользователей.
В Windows Server 2008 имеется несколько предопределенных учетных записей пользователей, включая учетные записи Администратор и Гость. На рядовых серверах предопределенные учетные записи являются локальными для той системы, на которой они установлены.У предопределенных учетных записей есть аналоги в Active Directory. Их права доступа определяются на уровне домена и полностью отделены от локальных учетных записей на отдельных системах.
Учетная запись Администратор (Administrator).
Предопределенная учетная запись Администратор предоставляет полный доступ к файлам, папкам, службам и прочим средствам. Удалить или отключить эту учетную запись невозможно. В Active Directory учетная запись Администратор обладает разрешениями и полномочиями на уровне домена. На локальном компьютере учетная запись Администратор, в основном, имеет доступ только к локальной системе. Файлы и папки можно временно сделать недоступными для учетной записи Администратор, но администратор всегда сможет без труда изменить разрешения на доступ в свою пользу.
В доменной среде локальная учетная запись администратор используется, в основном, для управления системой непосредственно после её установки. Это позволяет настроить систему без риска быть заблокированным.
Чтобы предотвратить несанкционированный доступ к системе или домену, нужно задать для учетной записи администратора особенно сложный пароль. В качестве дополнительной меры предосторожности переименуйте ее.
Как правило, менять основные параметры учетной записи Администратору не нужно. Вам может понадобиться изменить ее дополнительные параметры, например, членство в тех или иных группах. По умолчанию учетная запись Администратор в домене является членом следующих групп: Администраторы, Администраторы домена, Пользователи домена, Администраторы предприятия, Владельцы-создатели групповой политики и Администраторы схемы.
Учетная запись Гость (Guest).
Эта учетная запись предназначена для пользователей, которым необходимо одноразовый или, по крайней мере, несистематический доступ к системе. Хотя гости обладают ограниченными системными полномочиями, использовать эту учетную запись следует крайне осторожно, поскольку во время ее использования все равно подвергаете безопасность системы потенциальному риску. Чтобы снизить этот риск, изначально после установки Windows Server 2008 учетная запись гостя отключена. По умолчанию учетная запись гость является членом групп домена Гости. Кроме того, как и все остальные именованные учетные записи, она является членом неявной группы Все. Обычно члены группы Все по умолчанию имеют доступ к файлам и папкам. Группа Все также обладает стандартным набором прав пользователя.
Если решили включить учетную запись Гость, ограничьте её использовании, а так же регулярно меняйте пароль. Как и в случае учетной записи Администратор, в качестве дополнительной меры предосторожности следует переименовать гостевую учетную запись.
1.2 Основные понятия групп в ОС Windows Server 2008
Кроме учетных записей пользователей, в Windows Server 2008 используются учетные записи групп. В целом, группы используются для предоставления разрешений сходным типам пользователей, а также для упрощения администрирования учетных записей. Если пользователь является членом группы, обладающей доступом к ресурсу, то и сам пользователь получает доступ к этому ресурсу. Таким образом, чтобы предоставить пользователю доступ к различным рабочим ресурсам, вы просто добавляете его в нужную группу. Следует помнить, что при помощи учетной записи пользователя можно войти на компьютер, а при помощи учетной записи группы — нет. Поскольку в различных доменах Active Directory могут использоваться группы с совпадающими именами, в обозначение группы часто включают имя домена — доменимя_группы.
В Windows Server 2008 используются типы групп трех видов:
— Локальные группы
Группы, определенные на локальном компьютере и используемые только на нем. Создаются при помощью консоли.
— Группы безопасности
Группы, с которыми сопоставлены дескрипторы безопасности. В доменах группы безопасности определяются при помощи консоли.
— Группы распространения
Группы, используемые в качестве списка рассылки электронной почты. С ними не связаны дескрипторы безопасности. В доменах группы распространения также определяются при помощи консоли.
Как правило, говоря о группах, имеют в виду только локальные группы и группы безопасности, но не группы распространения. Группы распространения применяются только для рассылки электронной почты и не используются для управления доступом.
Область действия группы
В Active Directory группы различаются по областям действия — локальные доменные группы, встроенные локальные группы, глобальные и универсальные группы.
—Локальные доменные группы
Используются, в основном, для предоставления доступа к ресурсам внутри одного домена. В локальные доменные группы можно включать членов любого домена в лесе, а также членов доверенных доменов в других лесах. Как правило, членами локальных доменных групп являются глобальные и универсальные группы.
—Встроенные группы домена
Группы с особой областью действия, обладающие локальными разрешениями в домене. Для простоты их часто объединяют с локальными доменными группами. Отличие встроенных групп состоит в том, что их нельзя создавать и удалять. Все сказанное о локальных доменных группах применимо и к встроенным локальным группам.
— Глобальные группы
В основном используется для определения наборов пользователей или компьютеров в пределах одного домена, выполняющих исходную роль, функцию или работу. Членами глобальной группы могут быть только учетные записи или группы домена, в котором она определена.
—Универсальные группы
В основном, используются для определения наборов пользователей или компьютеров, которым требуется широкий спектр разрешений в домене или лесе. Членами универсальных групп могут быть учетные записи, глобальные группы и другие универсальные группы из любого домена дерева или леса. Универсальные группы безопасности доступны только при работе Active Directory в основном режиме Windows Server 2008. Универсальные группы распространения доступны в любом режиме работы домена.
Универсальные группы полезны в больших предприятиях с несколькими доменами. При правильном планировании универсальные группы существенно облегчают процесс системного администрирования. Не следует часто менять членов универсальных групп. При каждом изменении членов универсальной группы следует реплицировать изменения во все глобальные каталоги доменного дерева или леса. Для сокращения объема изменений добавляйте в универсальную группу другие группы, а не пользователей.
Таблица 1.1. — Обасть действия и возможности группы
Возможности группы |
Локальная доменная группа |
Глобальная группа |
Универсальная группа |
В основном режиме Windows 2000 или более высоком |
Учетные записи, глобальные и универсальные группы из любого домена; локальные доменные группы только из того же домена |
Учетные записи и глобальные группы только из того же домена |
Учетные записи, а также глобальные и универсальные группы из любого домена |
В смешанном режиме Windows 2000 |
Учетные записи и глобальные группы из любого домена |
Только учетные записи из того же домена |
Универсальные группы не могут создаваться в доменах, работающих в смешанном режиме |
Членство в других группах |
Может быть членом локальной группы другого домена; разрешения назначаются только в текущем домене |
Может быть членом других группы; разрешения назначаются в любом домене |
Может быть членом других групп; разрешения назначаются в любом домене |
Изменение области действия |
Может быть преобразована в универсальную при условии, что среди её членов нет другой локальной доменной группы |
Может быть преобразована в универсальную при условии что сама не является членом универсальной гр. |
Область действия универсальной группы изменить нельзя |
Локальные доменные, глобальные и универсальные группы предоставляют широчайшие возможности для конфигурирования групп предприятия. Области действия этих групп призваны упростить администрирование. В идеале должны использовать области действия групп для создания иерархии, которая отражала бы организационную структуру предприятия и обязанности отдельных пользовательских коллективов. Вот наиболее подходящие области применения локальных доменных, глобальных и универсальных групп:
Локальные группы домена
Обладают наименьшим охватом. Применяйте их для управления доступом к ресурсам, например, принтерам и общим папкам.
-Глобальные группы
Подходят для управления учетными записями пользователей и компьютеров в отдельно взятом домене. Чтобы предоставить членам глобальной группы разрешение на доступ к ресурсу, сделав ее членом соответствующей локальной доменной группы.
—Универсальные группы
Обладают наибольшим охватом. Используйте их для объединения групп из различных доменов. Обычно для этого в универсальную группу включают глобальные группы.
-Встроенные и предопределенные группы
Встроенные и предопределенные группы устанавливаются вместе с ОС Windows Server 2008 и используются для предоставления пользователю определенного набора полномочий и разрешений.
2 Создание, конфигурирование и тестирование учетных записей и групп в ОС Windows Server 2008
Установка Windows Server 2008. ОС Windows Server 2008 можно установить как новую систему или как обновление имеющейся. В первом случае программа установки полностью заменит исходную ОС на Windows Server 2008, а все имевшиеся пользователи и параметры приложений будут потеряны. Если выбрано обновление, программа установки выполняет установку Windows Server 2008, а затем переносит в нее параметры пользователей, документы и приложения из прежней системы. Перед началом установки Windows Server 2008 следует убедиться, что компьютер удовлетворяет минимальным требованиям устанавливаемой версии. Майкрософт указывает как минимальные, так и рекомендуемые характеристики компьютера. Если компьютер не удовлетворяет минимальным требованиям, установить Windows Server 2008 будет невозможно. Если характеристики компьютера ниже рекомендуемых, возможны проблемы с производительностью. Для установки базовых компонентов операционной системы требуется не менее 8 Гб дискового пространства. Рекомендуется же иметь не менее 40 Гб доступного дискового пространства для установки ядра сервера и не менее 80 Гб для полной установки. Дисковое пространство требуется для файлов подкачки и дампов памяти, а также для установки компонентов, ролей и служб ролей. Для достижения оптимальной производительности рекомендуется иметь не менее 10% свободного пространства на всех дисках сервера.
2.1 Установка операционной системы Windows Server 2008
Для начала установки операционной системы Windows Server 2008 был запущена виртуальная машина Oracle VM VirtualBox, для моделирования работы на операционной системе. После добавления в виртуальную машину нового устройства, необходимо начать установку операционной системы Windows. Первое окно выбора системного языка и формата времени и денежных единиц. Данное окно указано на рисунке 2.1.
Рисунок 2.1 — Окно выбора регионального языка
После выбора языка, мастер установок запрашивает продолжения установки, после подтверждения появляется окно с выбора операционной системы, для данной курсовой работы достаточно функций ОС Windows Server 2008 R2 Standart. Выбираем данный пункт и жмем далее. Список всех доступных ОС предоставлено на рисунке 2.2.
Рисунок 2.2 — Окно с выбором операционной системы
Следующим появляется окно с подтверждением лицензионным соглашением указанное на рисунке 2.3.
Рисунок 2.3 — Окно лицензионного соглашения
После подтверждения, необходимо выбрать диск на который будет установлена операционная система, с доступными функциями форматирования, удаления, обновления и загрузки. Данное окно указано на рисунке 2.4.
Рисунок 2.4 — Окно выбора раздела
На рисунке 2.5 указаны пункты установки Windows Server 2008.
Рисунок 2.5 — Пункты установки Windows Server
После установки, мастер установок, запросил смену пароля. После изменения пароля, Необходимо перезагрузить компьютер и войти под пользователем которому нужно было сменить пароль. Изображения результата установки операционной системы Windows Server 2008 указано на рисунке 2.6.
Рисунок 2.6 — Рабочий стол
В данном разделе была успешно проведена установка операционной системы Windows Server 2008.
2.2 Создание учетных записей
Для создания учетных записей необходимо после включения персонального компьютера, зайти под предопределенным пользователем Администратор. Далее необходимо нажать Пуск->Администрирование->Управление компьютером. Пример выполнения указан на рисунке 2.7.
Рисунок 2.7 — Путь для администрирования групп и учетных записей
После этого необходимо выбрать раздел Локальные пользователи в которых находятся Пользователи и Группы. Результат показан на рисунке 2.8.
Рисунок 2.8 — Локальные пользователи
Далее для создания пользователя, необходимо выбрать раздел Пользователи, нажать правую кнопку мыши и выбрать пункт Новый пользователь. Далее заполнить регистрационную информацию. Таким же образом создаются ещё двое пользователей. Результат показан на рисунках 2.9 — 2.11.
Рисунок 2.9 — Добавление нового пользователя berzhnay
Рисунок 2.10 — Добавление нового пользователя ivanov_ivan
Рисунок 2.11 — Добавление нового пользователя petrov_petr
После выполнения данных действий, в разделе Пользователи появятся новые пользователи, так же видно встроенных пользователей Администратор и Гость. Результат показан на рисунке 2.12.
Рисунок 2.12 — Список всех добавленных пользователей
В данном разделе были успешно созданы и продемонстрированы пользователи.
2.3 Создание и конфигурирование групп
В данном разделе необходимо создать и сконфигурировать группы в операционной системе Windows Server 2008. Для создания групп необходимо повторить действия из раздела 2.1 для захода в Администрирование, а далее Локальные пользователи. Далее выбрать раздел Группы. Что бы создать группу, нужно нажать на правую кнопку мыши и выбрать Добавить группу. Результат выполненной работы изображен на рисунке 2.13.
Рисунок 2.13 — Созданная новая группа для руководителей
После заполнения данных о названия и описания группы, необходимо добавить пользователей. Для этого необходимо нажать Добавить. После чего можно выбрать с какого домена выбирать пользователей, а так же по типу объекта. Результат показан на рисунке 2.14.
Рисунок 2.14 — Добавление в группу пользователей
Далее необходимо нажать ОК, для подтверждения выбранных данных, после чего появится прошлое окно в которых будут указаны пользователи. На рисунке 2.15 показан результат выполненной работы.
Рисунок 2.15 — Заполненная группа пользователями
Так же выполним создание группы Рабочие в которых находятся все рабочие отдела и руководитель отдела. Результат на рисунке 2.16.
Рисунок 2.16 — Созданная группа Рабочие
На рисунке 2.17 указанны все группы в которых состоит пользователь Ирина.
Рисунок 2.17 — Группы пользователя Ирина
Далее выполнен выход из пользователя Администратора. На экране появятся все доступные локальные пользователи, как на рисунке 2.18.
Рисунок 2.18 — Все доступные пользователи для входа
После чего выполнен вход под пользователем Ирина. Вводя пароль, после чего система потребовала изменить пароль и предоставив мгновенный доступ к учетной записи. Результат на рисунке 2.19.
Рисунок 2.19 — Рабочий стол пользователя Ирина
Создание групп и учетных записей прошло успешно.
ЗАКЛЮЧЕНИЕ
В данной курсовой работе было выполнено создание и конфигурирование учетных записей и групп в ОС Windows Server 2008.
Были изучены основные понятия учётных записей и групп, а так же ознакомление и изучение с операционный системы Windows Server 2008. Кроме того в проделанной работе была установлена данная операционная система, созданы учётные записи, группы и созданные пользователи были разделены по группам.
При выполнении курсовой работы были использованы только стандартные инструменты операционной системы.
В результате было сконфигурировано рабочее место, с распределенными ролями пользователей. Что предоставляет им эффективную и удобную работу. Были созданные учетные записи и группы, после чего созданные пользователи были помещены в данные группы, в зависимости от имеющейся должности.
Операционная система Windows Server 2008 в настоящее время является одной из самых популярных систем предназначены для администрирования сети внутри компании. Которая так же имеет дружественный интерфейс, что позволяет новичку с легкостью ознакомится с операционной системой.
Поставленные цели и задачи курсовой работы выполнены в полном объеме.
Список использованных источников
Windows 2008 Server. Учебный курс MCSE. – М.: Изд-во Русская редакция, 2008.
Моримото Р., Ноэл М. И др. Microsoft Windows Server 2008. Полное руководство. – М.: «Вильямс», 2008.
Тейт С. Windows 2008 для системного администратора. Энциклопедия. – СПб.: Питер, 2009. -768с.
Станек Уильям Р. Windows Server 2008. Справочник администратора / Пер. с англ. — М. : Издательство «Русская редакция» ; СПб. : БХВ-Петербург, 2008 — 688c.
Чекмарев А. Н. Windows Server 2008. Настольная книга администратора. — СПб.: БХВ-Петербург, 2009. — 512 с.
Орин Томас, Иэйн Маклин. Администрирование Windows Server 2008. Учебный курс Microsoft/ Пер. с англ. — М.: Издательство «Русская Редакция», 2013 — 688с.
Windows Server 2008 [Электронный ресурс] / Режим доступа: https://ru.wikipedia.org/wiki/Windows_Server_2008.
Официальный источник Windows Server 2008 [Электронный ресурс] / Режим доступа: https://www.microsoft.com/en-us/download.
Учетные записи и группы Windows Server [Электронный ресурс] / Режим доступа: https://technet.microsoft.com/ru-ru/library/dn535499.aspx
Иртегов Д. В. Введение в операционные системы, 2-е издание / Издательство БХВ-Петербург, 2008.
Маматов Е.М. Операционные системы, среды и оболочки / Издательство БелГУ, 2007 — 158с.
Методические указания по оформлению курсовой работы.
Отсутствие репликации в архитектуре службы DHCP делает ее более простой в понимании и настройке по сравнению со службами DNS и WINS. Инфраструктура DHCP является сетью типа клиент-сервер. Клиенты запрашивают адрес, а сервер DHCP отвечает на полученные запросы.
Если в локальной подсети клиента отсутствует настроенный сервер DHCP запросы клиентов перенаправляются серверу DHCP агентом ретрансляции DHCP или маршрутизатором, поддерживающим протокол BOOTP (маршрутизатор должен соответствовать стандарту RFC 1542).
Несмотря на относительную общую простоту архитектуры DHCP, не стоит недооценивать сложность службы DHCP. В данной статье представлены ссылки на другие материалы, где рассматриваются некоторые важные подробности, которые обычно приводят в замешательство администратора при реализации службы DHCP. Кроме того, описываются новые возможности службы DHCP, типы областей DHCP, а также классы поставщиков и пользователей. Не помешают и методы обнаружения конфликтов.
Нововведения DHCP
В статье “Изменения DHCP в Windows Server 2000 и 2003” можно узнать про новшества, которые появились в службе DHCP в серверных операционных системах Windows Server 2000 и Windows Server 2003.
Области
На серверах DHCP могут существовать три типа областей. Самыми распространенными являются Стандартные области. Кроме этого, иногда встречаются Суперобласти (Superscope) и области групповой отправки (Multicast scope). Каждый из типов областей рассматривается в таких трех статьях.
- Стандартная область DHCP.
- Суперобласти DHCP.
- Области групповой отправки DHCP.
Классы DHCP
Классы DHCP позволяют настроить собственные параметры DHCP для определенной группы систем. Например, это позволяет сократить длительность аренды для пользователей портативных компьютеров или увеличить длительность аренды для всех остальных пользователей. Существует два типа классов DHCP: классы поставщиков и классы пользователей. Каждый из этих двух типов рассматривается в следующих разделах.
- Классы поставщиков для DHCP.
- Классы пользователей для DHCP.
- Конфликты DHCP.
Не ленитесь перейти по ссылки и получить более подробное описание темы, иначе вас покарает злой йожик!
Задаваясь вопросом, какую версию Windows Server выбрать для своего бизнеса, пользователи, как правило, сталкиваются с большим разнообразием, и далеко не всегда понятно как выбрать наиболее подходящий вариант. У операционной системы Windows Server существуют не только разные версии, но и разные редакции. Давайте разберемcя в чем же отличия между ними.
Что такое версия Windows Server?
В 90-е годы, во времена Windows NT, каждая версия Windows Server имела уникальный номер. Например, у Windows NT были номера 3.1, 3.51 и 4.0. Но начиная с 2000 года Microsoft вместо номера начала добавлять после названия год запуска операционной системы: Microsoft Windows 2000, Windows Server 2003, 2008 (которая также имела версию R2), 2012 (также с R2), 2016 и 2019, и т.д.
Каждая новая версия Microsoft Windows Server представляет новые функциональные возможности. Например, виртуализация Hyper-V, Server Core и BitLocker были представлены в Windows Server 2008, контейнеры Windows и Nano Server были представлены в Windows Server 2016, а Windows Server 2019 принес с собой Windows Admin Center — новый способ удаленного администрирования серверной инфраструктуры, улучшения гиперконвергентной инфраструктуры и глубокую поддержку подсистемы Linux.
Что такое завершение поддержки?
Как говорится, ничто не вечно. И в определенный момент Microsoft прекращает выпуск патчей для устаревшего программного обеспечения. Дата, до которой Microsoft выпускает обновления для продукта, называется датой окончания поддержки. И после того, как эта дата пройдет, устаревшая версия ОС станет легкой мишенью для вредоносных программ, поскольку она больше не будет получать обновления безопасности и, следовательно, будет уязвима для новых эксплоитов.
Операционные системы Microsoft обычно поддерживаются не менее 10 лет. Например, популярный Windows Server 2003, выпущенный в апреле 2003 года, имел расширенную поддержку, которая закончились в 2015 году. Расширенная поддержка Windows Server 2008 R2 должна закончиться в январе 2020 года, а Windows Server 2012 R2 продолжит получать обновления по крайней мере до октября 2023 года. Версии Server 2016 и 2019 будут получать обновления по 2027 и 2029 год соответственно. Поэтому в целях безопасности организациям на самом деле следует использовать только свежие версии Windows Server.
Что такое редакция Windows Server?
Когда вы покупаете автомобиль, вам доступно, как минимум, несколько комплектаций одной и той же модели. Например, базовый экономичный вариант, роскошный вариант с кожаными сиденьями и люком на крыше, а также спортивный вариант с большими колесами и более мощным двигателем. Другими словами, каждая версия автомобиля имеет свою цену и набор функций для групп клиентов с разными бюджетами и потребностями.
То же самое касается выпусков Windows Server. Каждый вариант включает в себя функциональность, которая подходит для разных компаний, в зависимости от их размера и бюджета. Например, разные редакции могут поддерживать разное количество пользователей.
Различия между редакциями Windows Server 2012 R2
Чтобы помочь понять некоторые различия между редакциями ОС, давайте разберем их на примере Windows Server 2012 R2:
- Foundation — серверная ОС общего назначения, лучше всего подходящая для серверов нижнего уровня. ОС поддерживает только один процессор и 32 ГБ RAM. Редакция Foundation (недоступная в Windows Server 2016) ограничена 15 пользователями, что делает ее пригодной только для небольших офисов. Foundation доступен только через OEM-производителей, что обычно означает, что он предустановлен на компьютерах, которые вы покупаете у таких компаний, как Dell и HPE.
- Essentials (ранее SBS или Small Business Server) — это простое в настройке серверное решение, которое поддерживает до 25 пользователей и 50 устройств, что делает его подходящим для небольших офисов. Essentials поддерживает более мощное оборудование с объемом оперативной памяти до 64 ГБ и двумя процессорами. В отличие от других выпусков Windows Server, в Essentials предварительно настроены роли, такие как Active Directory, DNS, файловые службы, IIS и удаленный рабочий стол, что делает его идеальным для организаций с менее развитым ИТ-направлением или менее опытным ИТ-персоналом.
- Standard не ограничивает пользователей, но в отличие от Foundation и Essentials вам придется отдельно приобретать клиентские лицензии (CAL) в зависимости от того, сколько людей вам нужно поддерживать. Standard поддерживает максимум 4 ТБ RAM, а каждая приобретаемая лицензия распространяется на два процессора. Если вы заинтересованы в виртуализации, этот выпуск позволит вам использовать гипервизор Hyper-V для запуска до двух виртуальных экземпляров операционной системы (дополнительные виртуальные экземпляры Windows Server потребуют дополнительных затрат) на одном физическом оборудовании, что делает редакцию Standard подходящей для легкой виртуализированной среды.
- Datacenter — это самая лучшая и самая дорогая редакция Windows Server. Windows Server 2012 R2 Datacenter практически идентичен стандартной версии с одним большим исключением. С лицензией Datacenter вы можете запускать неограниченное количество виртуальных экземпляров с Windows Server в качестве гостевой ОС на одном двухпроцессорном компьютере. Эта небольшая разница имеет большое влияние, так как компании могут сэкономить, запустив десятки экземпляров ОС на одном сервере.
Различия между редакциями Windows Server 2016 и 2019
- Hyper-V — это бесплатная редакция Windows Server, предназначенная только для запуска роли гипервизора Hyper-V. Его цель — быть гипервизором для вашей виртуальной среды. У него нет графического интерфейса. По сути, это урезанная версия Server Core. Вы будете использовать sconfig.cmd, чтобы включить гипервизор, а затем управлять средой с помощью диспетчера Hyper-V (как часть RSAT) с рабочей станции Windows 10 в вашей сети. Рекомендуется использовать именно эту редакцию для вашего гипервизора, чтобы сохранить чистоту и простоту лицензирования.
- Essentials — идеально подходит как для малого и среднего бизнеса, так и для людей с потребностями в базовых функциях сервера. Графический интерфейс в значительной степени такой же, как и в Standard, за исключением мастера настройки Essentials.
Права на виртуализацию
Вам разрешено запускать один физический экземпляр Essentials в качестве хоста Hyper-V, на котором размещен один виртуальный экземпляр Essentials. Вам нужно удалить все роли, кроме роли Hyper-V, из физического экземпляра Essentials для обеспечения соответствия. Essentials также подходит для одного виртуального экземпляра на любом другом гипервизоре.
Модель лицензирования
На базе процессора. Клиентские лицензии не требуются, но вы ограничены 25 пользователями и 50 устройствами, подключающимися к серверу.
Аппаратные ограничения
Essentials ограничен до 64 ГБ RAM и 2 CPU на компьютере, на котором он установлен.
- Standard — идеально подходит для любой компании или для лиц, которым требуются расширенные функции, но при этом они не будут интенсивно виртуализироваться.
Права на виртуализацию
Разрешено запускать до двух виртуальных машин или контейнеров Hyper-V или один физический экземпляр со стандартной лицензией. Если вы используете роль Hyper-V только на физическом экземпляре, то можете использовать ее в качестве хоста Hyper-V, а затем разместить на этом хосте две виртуальные машины Hyper-V. Если вы хотите использовать несколько ролей на физическом экземпляре, вы не можете запускать виртуальную машину поверх с одной и той же лицензией.
Модель лицензирования
Основанная на ядре. Клиентские лицензии необходимы для каждого пользователя или устройства, которые подключаются косвенно или напрямую к серверу. Например, если вы используете сервер в качестве файлового сервера, вам потребуется лицензия CAL для каждой учетной записи пользователя или компьютера, которые обращаются к этому файловому серверу в сети.
Аппаратные ограничения
Стандарт ограничен максимум 24 ТБ оперативной памяти и 512 ядрами.
- Datacenter — идеально подходит для любой компании с высокой степенью виртуализации. Вы приобретаете лицензию в зависимости от того, сколько ядер есть у ваших хостов, на которых может жить любая виртуальная машина с версией Datacenter (запускаться или потенциально запускаться после Vmotion). Это лицензирование, на первый взгляд, кажется дорогим, но оно позволяет создавать неограниченное количество виртуальных машин, работающих под управлением Datacenter на хостах, которые вы учитывали. Если у вас небольшое количество хостов (а впоследствии и ядер) и большое количество потенциальных виртуальных машин, тогда эта лицензия не представляет никакой сложности.
Права на виртуализацию
Неограниченное количество виртуальных машин или контейнеров Hyper-V. Как было озвучено выше, вы будете покупать лицензии в зависимости от того, сколько ядер у вас на хостах. На этом этапе вы можете запустить на хостах столько угодно виртуальных машин, используя любые роли.
Модель лицензирования
Основанная на ядрах. Убедитесь, что вы случайно не выбрали этот выпуск при установке на физический сервер, на котором не размещаются виртуальные машины. Клиентские лицензии необходимы для каждого пользователя или устройства, которые подключаются косвенно или напрямую к серверам в вашей среде.
Различия в лицензировании Windows Server 2016 и новее
Хотя цены на Windows Server 2012 R2, 2016, 2019 одинаковы, если вы используете стандартную лицензию или лицензию Datacenter на Windows Server 2016 или новее, есть некоторые ключевые изменения, о которых вам необходимо знать. Прежде всего, в то время как лицензии Windows Server исторически продавались для каждого процессора / сокета, в Windows Server 2016 модель лицензирования переключалась на каждое ядро.
Таким образом, если у вас есть сервер, содержащий 2 процессора с 24 ядрами , в Windows Server 2012 вам нужно будет купить только одну лицензию Standard или Datacenter. В Windows Server 2016 вам придется покупать лицензии на все 24 ядра. Это становится довольно сложно, так как есть много правил, но главное — если у вас есть 16-ядерный сервер, затраты будут примерно такими же. Однако лицензирование ОС может быть более дорогим на серверах с более высокой плотностью ядра.
Несмотря на изменение лицензии на ядро, правила виртуализации остаются такими же в Windows Server 2016 и новее. После того, как вы лицензировали все свои ядра на сервере, со стандартной версией вы получаете 2 лицензии гостевой ОС Windows Server по сравнению с неограниченным количеством в версии Datacenter.
Кроме того, набор функций в Windows Server 2012 Standard и Datacenter был одинаковым. Но некоторые функции Windows Server 2016, например, такие, как Storage Spaces Direct или экранированные виртуальные машины, доступны только в выпуске Datacenter.
Сравнение параметров установки Windows Server 2016 и 2019
В редакциях Standard и Datacenter можно выбрать различные варианты установки. Эти варианты влияют на то, какие функции будут доступны после установки, такие как наличие графического интерфейса пользователя и набор сервисов. Присутствуют следующие варианты установки:
- Desktop Experience (с графическим интерфейсом);
- Core;
- Nano.
Desktop Experience — это вариант установки, с которым знакомо большинство людей. Этот параметр устанавливает большинство функций и ролей из коробки, включая интерфейс графического интерфейса рабочего стола. Вы получите Диспетчер серверов, который позволяет добавлять и удалять роли и компоненты. Преимущество в том, что система может быть проще в управлении для людей, привыкших использовать графический интерфейс. Недостаток в том, что у вас появляется больше обновлений, перезагрузок и открытых портов с которыми предстоит иметь дело.
Узнайте больше от Microsoft здесь.
В Server Core отсутствует графический интерфейс и несколько ролей, которые устанавливаются по умолчанию под опцией Desktop Experience. Серверное ядро имеет меньший объем занимаемого дискового пространства и, следовательно, меньшую область атаки из-за меньшей кодовой базы. Здесь также меньше обновлений, перезагрузок и открытых портов для работы. Это отличный вариант для серверов инфраструктуры, таких как контроллеры домена Active Directory и DNS-серверы.
В этой редакции отсутствуют инструменты специальных возможностей, встроенные инструменты настройки сервера и поддержка звука. Эта версия без излишеств. Не лишним будет убедиться, что вы знакомы с администрированием на основе командной строки.
Подробнее об этом можно прочитать на сайте Microsoft.
Nano
Начиная с Windows Server 2019, Nano доступен только как контейнеризированный образ операционной системы. Он предназначен для запуска в качестве контейнера внутри хоста контейнеров, такого как Server Core, упомянутого выше. Если вы опираетесь на контейнерные приложения, предназначенные для серверных ОС, то эту версию вы будете использовать для компиляции этих приложений.
Nano можно развернуть с помощью версий Standard или Datacenter, но у вас должна быть прикреплена Software Assurance к лицензированию хост-сервера. Узнать об этом подробнее можно на сайте Microsoft.
содержание
рабочая группа
Во-первых, вступление и выход из рабочей группы
Присоединяйтесь к рабочей группе
группа выход Рабочей
Во-вторых, визит рабочей группы
В-третьих, преимущества и недостатки рабочей группы
преимущество:
Недостаток:
площадь
Контроль DC домена (Domain Control)
Active Directory Ad (Active Directory)
сервер доменных имен DNS
Доменная структура
Одно поле
дерево доменов
Домен
принцип домена
Развертывание архитектуры домена
Как присоединиться к домену
Вход в домен
SRV ошибки и решения
SRV запись может быть неудачной для регистрации
Отключить учетную запись в домене
рабочая группа
рабочая группаЭто понятие в локальной сети, которая является наиболее режимом управления общим ресурса, просто потому, что компьютер управляется рабочей группой по умолчанию. Помещенный различные компьютеры в разных группах, соответственно, для облегчения управления. По умолчанию всех компьютеры находятся в рабочей группе под названием Workgroup, и режим управления ресурсами рабочей группы подходит для многих компьютеров в сети, а также требование к управлению не строго. Его шаг создание простой, и это очень хорошо, чтобы использовать его. Большинство малых и средних предприятий принять рабочую группу, чтобы разделить распределение прав и совместное использование каталогов ресурсов. Различные пользователи в той же группе, могут просматривать папки, разделяемые другими стороной через имя пользователя и пароль другого хоста, и по умолчанию разделяет это каталог пользователей. Различные пользователи различных групп Вы можете просматривать папки, разделяемые другими стороной через имя пользователя и пароль другого хоста. Таким образом, рабочая группа не имеет реальную централизованную роль управления, все компьютеры в рабочей группе все в порядке, то есть, не существует части сервера и клиента.
Портал:IPC $ совместное использование и другого обмена (C $, D $)
Во-первых, вступление и выход из рабочей группы
Присоединяйтесь к рабочей группе
Щелкните правой кнопкой мыши на «Компьютер» на рабочем столе, выберите «Свойства» во всплывающем меню выберите пункт «Изменить настройки», «Изменить», введите ваше лучшее имя в Имя компьютера, в рабочей группе Тип имя рабочей группы ты хочешь присоединиться. Если ввести имя рабочей группы сети, оно эквивалентно новой рабочей группы, конечно, только ваш компьютер находится в группе. После нажатия на кнопку «OK», на экране Windows, перезагрузки, после перезагрузки, а затем войти в «сеть», чтобы увидеть рабочую группу, вы присоединиться.
группа выход Рабочей
Пока имя рабочей группы изменяется. Тем не менее, кто-то может получить доступ к общим ресурсам в сети Интернет. Вы также можете присоединиться к любой другой рабочей группе по одной и той же сети. «Рабочая группа», как «объединение», который может войти и выйти, что удобно для одной и той же группы компьютеров, чтобы получить доступ друг к другу.
Во-вторых, визит рабочей группы
Папка -> сеть, вы можете посмотреть другие компьютеры в нашей рабочей группе Если вы хотите получить доступ к компьютеру, нажмите на нее, а затем введите имя пользователя и пароль хоста , чтобы увидеть папку общего хоста…
В-третьих, преимущества и недостатки рабочей группы
преимущество:
В сети может быть сотнями компьютеров. Если эти компьютеры не объединены, они перечислены в разделе «Online Соседей», и без компьютера устройство неудобны для нашего доступа к ресурсам. Для того , чтобы решить эту проблему, операционная система Windows98 будет ссылаться на понятие «рабочих групп», и разделять различные компьютеры в разных группах, таких как работа группы отдела программного обеспечения, в компьютер В сеть входит в Рабочей группе Департамента сети. Вы должны получить доступ к ресурсам отдела, просто найти имя рабочей группы этого отдела в «Online соседей», дважды щелкните, чтобы увидеть компьютер. Компьютер классифицирует через рабочую группу, так что наш ресурс доступа более иерархический. Ресурсы могут быть довольно случайно и гибкий в рабочей группе, более удобный для совместного использования ресурсов, и только администраторы должны реализовать достаточно обслуживание на низком уровне.
Недостаток:
Отсутствие централизованного управления и механизмов контроля, не существует централизованная единая система управления счетом, не более эффективное централизованное управление ресурсами, а не осуществлять эффективную конфигурацию и безопасность рабочей станции. Подходит только для мелких потребителей.
Исходя из вышеуказанных недостатков, когда число компьютеров велико, размер сети крупных предприятий требует единой системы управления и централизованной аутентификации, и может предоставить пользователям удобный поиск и использование сетевых ресурсов, организационная форма рабочей группы не подходит. Таким образом, домен оказался
площадь
площадь: Используется для описания архитектуры, и «Рабочая группа», передовая архитектура , которая обновляется в рабочей группе, домен (домен) представляет собой набор компьютер с границей безопасности (пограничной безопасности, средства в двух доменах, пользователи в домен не может получить доступ к ресурсам в другом домене). Это можно понимать как обновленной версии «Рабочей группы», которая имеет более строгий механизм контроля управления безопасностью по сравнению с рабочей группой. Если вы хотите доступ к ресурсам в домене, вы должны иметь правовую идентичность для входа в систему. в этой области, какие права доступа вы имеете в этой области есть вам нужно, зависит от вашей личности в этой области.
Функция домена и функция:
- Централизованное управление, вы можете централизованно управлять тысячами компаний в компаниях, которые распределены в разных местах;
- Удобный доступ к ресурсам можно легко установить к ресурсам в домене. Пользователи могут получить доступ ко всему сетевому ресурсу, в свою очередь, сосредоточиться на проверке подлинности
- Масштабируемость, может быть применим для мелких сетей для десятков компьютеров, а также может быть использована в международных компаниях.
Разница между рабочей группой и области:
Рабочая группа представляет собой сеть равноправных узлов ЛВС, домен является B / S архитектуры, централизованное управление
Контроль DC домена (Domain Control)
В архитектуре домена, все клиенты смогли управлять всеми клиентами, который несет ответственность за каждого компьютера суб-доступа и проверки пользователя, а интерьер компьютер первый обзор друг друга. Контроль домена является ядром архитектуры домена, и каждый контроллер домена содержит базу данных AD каталога деятельности. Там может быть по меньшей мере два элемента управления домена в домене. Один как DC, один является резервным DC. Если нет второго резервного DC, когда DC смущен, другие пользователи в домене могут не войти, так как база данных активного каталога (включая информацию об учетной записи пользователя) хранится в DC. Существует контроллер домена резервного копирования (BDC), по крайней мере, домен также может быть использован в обычном режиме, и расслабленный DC будет восстановлен. При установке компьютера в домене, он стал доменной DC.
Active Directory Ad (Active Directory)
Активный AD Справочник является компонентом, который предоставляет службу каталогов в среде домена. Каталог для хранения информации о сети объектов, таких как пользователи, группы, компьютеры, общие ресурсы, принтеры, и контакты и т.д.). Служба каталогов является помочь пользователям быстро найти точно услуги нужной ему из каталога. Сервер установлен с AD деятельности управления домена DC.
Например, если вы посмотрите на внутренней сети компании в качестве словаря, ресурсы в интрасети являются содержанием словаря, а активный каталог эквивалентно словаря индекса. То есть, активный каталог хранится в качестве ярлыка для всех ресурсов в сети, и пользователь находит ресурс с помощью поиска ярлыков.
Логическая структура:
В активном каталоге, администратор может полностью игнорировать конкретное местоположение управляемого объекта, и поместить эти объекты в различных сосудах определенным образом. Так как этот объект организм не считается, это организационная структура называется «Логическая структура ”。
Логическая структура Active Directory включает в себя вышеупомянутый организационную единицу (домен), домен, домен дерева (дерево), лес. Доля активного каталога во всех доменах в доменном дереве, и данные в этой активной директории хранятся в каждом домене, и каждый домен только хранит данные в этой области.
Основная функция каталога деятельности
- Счет централизовано, все счета доступны на сервере, что удобно для счета / сброса пароля.
- Программное обеспечение централизованного управления, единый толчок программного обеспечения, единая установка сетевых принтеров и т.д. С помощью программного обеспечения распределения политики релиза программного обеспечения, вы можете свободно выбирать программное обеспечение для установки.
- Окружающая среда Концентрации управление, с помощью AD унифицировать клиентские рабочие станции, IE, TCP / IP и другие настройки.
- Повышение безопасности унифицированного развертывания антивирусного программного обеспечения и широких задачи, право централизовать компьютер для управления пользователями, равномерно формулирование политики паролей пользователей и т.д., может контролировать сеть, информацию единого управления.
- Более надежный, меньше времени простоя. Такие, как: с помощью AD, чтобы управлять доступом пользователей, с использованием таких методов, как кластеризация, балансировка нагрузки и т.д., более надежный, меньшее время простоя.
- Active Directory является основной платформой, другой ISA, Exchange, SMS и другие услуги, в зависимости от этой базовой платформы.
- Builtin Контейнер: Контейнер Builtin является первым контейнером, созданным активной DRIECTORY, который в основном используется для сохранения локальной группы безопасности в домене.
- Компьютеры контейнер: Компьютеры контейнер является вторым контейнером, созданный активной DRIECTORY для хранения учетных записей компьютеров для всех компьютеров, входящих в домене в Windows Server 2008.
- Контроллеры домена контейнер: Контроллеры домена представляет собой специальный контейнер, в основном используется для сохранения всех субдоменов и вспомогательных доменов, созданных в рамках текущего контроллера домена.
- ПОЛЬЗОВАТЕЛЕЙ контейнер: USERS контейнер используется в основном для сохранения пользователей, которые автоматически создаются при установке активной DRIECTORY и все учетные записи пользователей, вход в текущем контроллере домена.
сервер доменных имен DNS
- Домен управление сервер требуется сервер DNS, чтобы найти компьютер, рядовые сервера и сетевые службы по имени.
- Анализ доменных имен: DNS-сервер разбора доменных имен в IP-адреса через его A записи;
- Место службы каталогов Active: клиент предоставляет компьютер, который предоставляет услуги по записи SRV службы на сервере DNS.
В нормальных условиях, мы используем сервер DNS для поиска контроллера домена, когда сервер DNS инфильтрирована, как обычно DNS-серверы и контроллеры домена находятся на одной и той же машине.
Запись SRV службы является типом записи ресурса, поддерживаемой базой данных сервера DNS. Он записывает, какой компьютер предоставляет такую простую информацию.
SRV Service Record: Application, как правило, для настройки AD от Microsoft Active Directory. DNS может быть независимым от активного каталога, но Активный каталог должен иметь помощь DNS к работе. Для того, чтобы работать должным образом, сервер DNS должен поддерживать позиционирование службы (SRV) записи ресурсов и записи ресурсов отобразить имя сервиса на имя сервера предоставляемого сервиса. Хост домена и контроллер домена использовать запись ресурса SRV, чтобы определить IP-адрес контроллера домена.
Доменная структура
Одно поле
В небольшой компании с фиксированным географическим положением, вы можете встретить нужный домен.
дерево доменов
Дерево домена относится к набору нескольких доменов путем создания доверительных отношений. Один администратор домена может управлять только внутри домена, не может получить доступ или управлять другими доменами, а две области могут быть использованы для установления доверительных отношений. Доверительные отношения моста подключен к домену и домену. Родительский домен и поддомены в дереве домена не может управляться в необходимости управления, кросс-сети распределения файлов и принтеров , таких как сетевые ресурсы, а также общаться и. Передачи данных между различными доменами.
Например, в крупной компании, ее различные филиалы находятся в разных географических точках, требуют таких структур, как родительские домены и поддомены.
- Если ветвь различных географических точек находятся в том же домене, время, проведенных между информационным взаимодействием между ними будут относительно долго, и ширина полоса занята относительно велико. (Поскольку записи информационного взаимодействия значительно в том же домене, и нет никакого сжатия;., Так и между доменами и доменами, информацией взаимодействие имеет относительно небольшие, и прессуют)
- Существует также преимущество, что дочерние компании могут управлять своими ресурсами через их собственный домен.
- Существует также ситуация, что для стратегий безопасности, потому что каждая область имеет свои собственные уникальные политики безопасности. Например, надежды финансового отдела компании использовать конкретные стратегии безопасности (в то числе политики пароля учетной записи и т.д.), а затем сделать финансовые сектора в поддомен управлять отдельно.
В дереве доменов, родительский домен может содержать много субдоменов, и подобласть является относительно родительского домена, каждый из сегментов в имени домена. Подобласть может использовать только родительский домен как суффикс доменного имени, то есть, в доменном дереве, имя домена непрерывно.
домен родитель
Первый домен называется родительским доменом или корневой домен, и домены каждой части называются подобласть области.
Домен
Состоит из одного или нескольких деревьев доменов, которые не образуют непрерывное пространство имен, каждое дерево доменов в лесу имеет уникальное пространство имен, между не непрерывен. Домен лес относится к коллекции из нескольких деревьев доменов путем создания доверительных отношений. Отношения можно управлять и использовать через доверительные отношения между деревом домена, тем самым сохраняя оригинальный домен своих оригинальных характеристик.
принцип домена
На самом деле, вы можете связаться с доменом и рабочей группой, в рабочей группе, ваши настройки, например, в этой машине, Логин пользователя вошел в системе в данном устройстве, пароль помещаются в локальной базе данных для проверки. И если ваш компьютер присоединяется к домену, различные политики являются контроллер домена унифицированные параметры, имя пользователя и пароль, также размещены в контроллере домена, чтобы убедиться, что, Ваш пароль может быть зарегистрирован в любой компьютер в том же домене.
Если Рабочая группа «свободный отель», домен «гостиница», рабочая группа может прийти в заранее, а домен должен строгий контроль. Истинный смысл «домен» относится ли компьютер к сети управления сервера может присоединиться к комбинации компьютера. Один упоминается сочетание, необходимо строго контролировать. Таким образом, строгое управление является очень необходимым для обеспечения безопасности сети. В режиме равный-равному, любой компьютер может получить доступ к общему ресурсу до тех пор, как вы получаете доступ к сети, а также другие машины могут получить доступ к общим ресурсам, таким как общие папки. Хотя общие файлы в сети равноправных узлов ЛВС могут быть доступны, очень легко взломать. В сети равноправных узлов ЛВС, состоящей из Windows 9x, передача данных очень небезопасно.
Тем не менее, в режиме «домен», по меньшей мере, один сервер отвечает за проверку каждого соединенного компьютера и пользователя, который является эквивалентным блоком защитного приспособления, называемого контроллером домена (Domain Controller, DC).
Контроллер домена содержит эту доменную учетную запись, пароль, базу данных, которая принадлежит к информации, таким как компьютер этого домена. Когда компьютер подключен к сети, контроллер домена должен сначала определить, принадлежит ли компьютер к этому домену, является ли учетная запись Войти существует, правильно ли пароль. Если вышеуказанная информация является некорректной, контроллер домена будет отклонять этот журнал пользователя в этом компьютере. Если вы не можете войти, пользователи не могут получить доступ к ресурсам с защитой разрешения на сервере, и он может получить доступ только к ресурсам, разделяемые Windows, в пути, такие как ресурсы Windows, который защищает ресурсы сети до некоторой степени.
Для того, чтобы присоединиться к компьютеру в домене, просто сделать его «видеть» в интернет-соседей будет гораздо меньше, чем достаточно, вы должны иметь соответствующие настройки администратором сети, добавьте этот компьютер к домену. Это позволит достичь совместное использование файлов, концентрат единицы, и легко управлять.
Развертывание архитектуры домена
В архитектуре области, ядро DC (управление домена, контроллер домена), то создание домена первый хочет создать DC, DC создание завершено, добавьте все клиенты DC, которая формирует среду домена. Контроллер домена обновляются групповым компьютером, работая, и обновление может быть завершено с помощью команды DCPROMO. Только Windows Server (для веб-версии, за исключением) может быть повышен до контроллера домена. Нет службы DNS не требуется перед обновлением DC, и там должен быть раздел файловой системы NTFS на контроллере домена.
Во-первых, контроллер домена требует фиксированного IP-адреса и DNS-сервер, как самого себя, следующим образом:
WIN + R, откроется окно запуска, введите:dcpromo
Затем она автоматически проверяет конфигурацию DNS и требует времени. Если ваш хост не имеет DNS, он будет автоматически проверять DNS, то вы можете нажать кнопку Далее, то появится делегирование сервера DNS, вы не должны управлять, нажмите кнопку «Да».
Тогда будет тогда расположение этих файлов, так как файл SYSVOL должен быть на диске файловой системы NTFS, поэтому сервер управления домена должен иметь раздел файловой системы NTFS.
Затем вам необходимо перезагрузить компьютер, чтобы завершить настройку.
После перезагрузки, мы проверяем, если это правильно:
- Проверьте, если активный каталог установлен правильно;
- Проверьте запись SRV, зарегистрированную в контроллере домена службы DNS
Примечание: После того, как компьютер стал доменным предыдущим счет до хоста изменит всю учетную запись домена, который не будет зарегистрирован в местном масштабе. Стать недавно построенный пользователь после контроля домена, правила использования пароля должны быть выполнены. Если вновь созданный пользователь не знает о домене, пользователи могут войти в другие домены в других областях, в дополнение к полям. Контроль домена только позволяет пользователям в группе Администраторы войти в систему в качестве домена, и контроль домена не может войти локально.
Пользователи в группе администраторов в области управления являются администраторами домена!
Как присоединиться к домену
Если вы хотите, чтобы хост, чтобы присоединиться к домену, первый пункт DNS хоста к IP сервера управления доменами, и убедитесь, что между ними может быть выполнена.
Затем измените доменное имя хоста с именем домена, нажмите кнопку «OK»;
Тогда вы будете называть свое имя пользователя в поле, обычное имя пользователя в администраторе и домене.
Счет: WIN-7; пароль: (установка пароля пусто)
Вход в домен
Если вы хотите войти в систему с локального пользователя, имя хоста имя пользователя, этот режим осуществляется SAM для проверки подлинности NTLM. Портал ->локальная сертификация для Windows
Если вы вошли в систему в домене, имя домена имя пользователя (имя домена не добавляется для добавления .com) или имя пользователя @ имя домена, этот метод сертифицирован по протоколу Kerberos, портирование дверь ->Проверка подлинности Kerberos
О контроле домена, используйте команду DSQUERY компьютера, чтобы запросить все хосты в домене.
Примечание: Все пользователи управления домена могут войти в любой хост в домене (за исключением контроля домена по умолчанию, где бы контроль домена только позволяет пользователю администратором в домене войти в систему), и пользователь на обычном хосте домен может только локально войти на этот хост.
SRV ошибки и решения
Однако, по некоторым причинам, он обнаружил, что SRV запись передних областей на DNS не является полностью или нет, а также следующие меры необходимы для того, чтобы контроллер домена, чтобы зарегистрировать запись SRV в DNS.
Удалите переднюю синтаксический на сервере DNS. Затем управление инструменты → DNS → вперед площадь поиска → правой кнопкой мыши, новый _msdcs.xie.com и xie.com
Затем повторите команду NetLogon службы остановки службы:net stop netlogon Запустите команду службы:net start netlogon
SRV запись может быть неудачной для регистрации
- Является ли имя области DNS является правильным, будь то разрешено обновление;
- Убедитесь, что контроллер домена уже включен имя активного каталога;
- Убедитесь, что атрибуты TCP / IP контроллера домена были выбраны «Зарегистрировать эту ссылку в DNS».
Отключить учетную запись в домене
Добавить к домену компьютер, если вы не планируете, чтобы позволить пользователю войти, чтобы пользователь домена на компьютере, вы можете отключить учетную запись компьютера. Но это только отключает сервер управления домена от создаваемого после сервера управления доменами, ранее созданный пользователь не влияет.
Компьютер либо рабочая группа компьютер или компьютер в домене, не может принадлежать к домену и рабочей группе, если компьютер добавляется к рабочей группе, и компьютер автоматически выйдет из домена. Вам необходимо ввести учетную запись домена и пароль администратора при выходе.
Статьи по Теме:управление доменом для Windows
Сервис, выдающий IP-адреса устройствам в локальной сети, кажется одним из самых простых и всем знакомых. Тем не менее у моих младших коллег до сих пор временами всплывают вопросы вроде «компьютер что-то получает какой-то странный адрес», а появление второго DHCP-сервера в одном сетевом сегменте вызывает некоторый трепет или проблемы в работе сети.
Чтобы у прочитавших этот материал такие вопросы не возникали, мне хотелось бы собрать в кучу основную информацию про работу механизмов выдачи адресов IP, особенности и примеры настройки отказоустойчивых и защищенных конфигураций. Да и возможно матерым специалистам будет интересно освежить нейронные связи.
Немного теории и решения интересных и не очень практических задач — под катом.
В современной локальной сети выдачей адресов обычно занимаются специализированные сервисы с поддержкой протоколов. Самым популярным из них является DHCP (Dynamic Host Configuration Protocol).
Zeroconf или зачем нам вообще какой-то DHCP
В принципе, специально для функционирования небольших сетей был создан стек технологий под названием Zeroconf. Он позволяет обойтись без каких-либо централизованных сервисов и серверов, включая, но не ограничиваясь выдачей IP-адресов. Им закрываются (ну, или почти закрываются) следующие вопросы:
Получение IP-адреса (Automatic Private IP Addressing или APIPA). Система сама назначает себе IP из сети 169.254.0.0/16 (кроме сеток /24 в начале и конце диапазона), основываясь на MAC-адресе и генераторе псевдослучайных чисел. Такая система позволяет избежать конфликтов, а адрес из этой сети называют link-local — в том числе и потому, что эти адреса не маршрутизируются.
Поиск по имени. Система анонсирует свое сетевое имя, и каждый компьютер работает с ним как с DNS, храня записи у себя в кэше. Apple использует технологию mDNS (Multicast DNS), а Microsoft — LLMNR (Link-local Multicast Name Resolution), упомянутую в статье «Домены, адреса и Windows: смешивать, но не взбалтывать».
Поиск сетевых сервисов. Например, принтеров. Пожалуй, самым известным протоколом является UPnP, который помимо прочего умеет сам открывать порты на роутерах. Протокол довольно сложен, в нем используется целый набор надстроек вроде использования http, в отличие от второго известного протокола — DNS-SD (DNS Service Discovery), который попросту использует SRV-записи, в том числе при работе mDNS.
При всех плюсах Zeroconf — без каких-либо сакральных знаний можно собрать рабочую сеть, просто соединив компьютеры на физическом уровне, — IT-специалистам он может даже мешать.
Немного раздражает, не так ли?
В системах Windows для отключения автонастройки на всех сетевых адаптерах необходимо создать параметр DWORD с именем IPAutoconfigurationEnabled в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters и поставить ему значение 0.
Разумеется, Zeroconf подходит разве что для небольших изолированных сетей (например, встретились с приятелем с ноутбуками, соединили их по Wi-Fi и давай играть Diablo II, не тратя время на какие-то сервера), да и выводить локальную сеть в интернет тоже хочется. Чтоб не мучаться со статическими настройками каждого компьютера, были созданы специальные протоколы, включая героя дня — DHCP.
DHCP и его прародители
Одна из первых реализаций протокола для выдачи IP-адресов появилась более 30 лет назад и называлась RARP (Reverse Address Resolution Protocol). Если немного упростить принцип его работы, то выглядело это так: клиент делал запрос на широковещательный адрес сети, сервер его принимал, находил в своей базе данных привязку MAC-адреса клиента и IP — и отправлял в ответ IP.
Схема работы RARP протокола.
И все вроде работало. Но у протокола были минусы: нужно было настраивать сервер в каждом сегменте локальной сети, регистрировать MAC-адреса на этом сервере, а передавать дополнительную информацию клиенту вообще не было возможности. Поэтому на смену ему был создан протокол BOOTP (Bootstrap Protocol).
Изначально он использовался для бездисковых рабочих станций, которым нужно было не только выдать IP-адрес, но и передать клиенту дополнительную информацию, такую, как адрес сервера TFTP и имя файла загрузки. В отличие от RARP, протокол уже поддерживал relay — небольшие сервисы, которые пересылали запросы «главному» серверу. Это сделало возможным использование одного сервера на несколько сетей одновременно. Вот только оставалась необходимость ручной настройки таблиц и ограничение по размеру для дополнительной информации. Как результат, на сцену вышел современный протокол DHCP, который является совместимым расширением BOOTP (DHCP-сервер поддерживает устаревших клиентов, но не наоборот).
Важным отличием от устаревших протоколов является возможность временной выдачи адреса (lease) и передачи большого количества разной информации клиенту. Достигается это за счет менее тривиальной процедуры получения адреса. Если в старых протоколах схема была простая, вида запрос-ответ, то теперь схема следующая:
- Клиент ищет сервер широковещательным запросом, запрашивая в том числе и дополнительные настройки.
- Сервер отвечает клиенту, предлагая ему IP-адрес и другие настройки.
- Клиент подтверждает принятую информацию широковещательным запросом, указав в подтверждении IP-адрес выбранного сервера.
- Сервер соглашается с клиентом, отправляя ему запрос, по получении которого клиент уже настраивает сетевой интерфейс или отвергает его.
Схема общения клиента с сервером пересылки и сервером.
Подробнее про схему взаимодействия сервера и клиента и про структуру запросов и ответов можно почитать, например, в материале «Структура, формат и назначение DHCP пакетов».
На нескольких собеседованиях меня спрашивали: «А какой транспорт и порт использует DHCP?» На всякий случай отвечаем: «Сервер UDP:67, клиент UDP:68».
С разными реализациями DHCP-сервера сталкивались многие, даже при настройке домашней сети. Действительно, сейчас сервер есть:
- На практически любом маршрутизаторе, особенно SOHO.
- На системах Windows Server. О сервере и его настройке можно почитать в официальной документации.
- На системах *nix. Пожалуй, самое популярное ПО — ISC DHCP Server (dhcpd) и «комбайн» Dnsmasq.
Конкретных реализаций довольно много, но, например, на SOHO-маршрутизаторах настройки сервера ограничены. В первую очередь это касается дополнительных настроек, помимо классического «IP-адрес, маска, шлюз, сервер DNS». А как раз эти дополнительные опции и вызывают наибольший интерес в работе протокола. С полным списком можно ознакомиться в соответствующем RFC, я же разберу несколько интересных примеров.
Удивительные опции DHCP
В этом разделе я рассмотрю практическое применение опций DHCP на оборудовании MikroTik. Сразу обращу внимание на то, что не все опции задаются очевидно, формат параметров описан в wiki. Следует отметить также то, что опции клиент применяет, только когда сам их попросит. В некоторых серверах можно принудительно отправить настройки: например, в ISC DHCP Server за это отвечает директива dhcp-parameter-request-list, а в Dnsmasq —* *—dhcp-option-force. MikroTik и Windows такого не умеют.
Option 6 и Option 15. Начнем с простого. Настройка под номером 6 — это серверы DNS, назначаемые клиентам, 15 — суффикс DNS. Назначение суффикса DNS может быть полезным при работе с доменными ресурсами в недоменной сети, как я описывал в статье «Как мы сокращали персонал через Wi-Fi». Настройка MikroTik под спойлером.
Настройка MikroTik, option 15
#Добавляем опцию 15. содержимое — сконвертированный в HEX суффикс.
/ip dhcp-server option
add code=15 name=dns-suffix value=0x57687920616c6c207468697320736869743f
#создаем набор опций
/ip dhcp-server option sets
add name=dns option=dns-suffix
#Добавляем опцию к DHCP-серверу для клиентов.
/ip dhcp-server network
set [find comment="wi-fi client dhcp"] dhcp-option-set=dns
Знание, что сервер DNS — это тоже опция, недавно пригодилось мне, когда разным клиентам нужно было выдать разные серверы DNS. Решение вида «выдать один сервер и сделать разные правила dst-nat на 53 порт» не подходило по ряду причин. Часть конфигурации снова под спойлером.
Настройка MikroTik, option 6
#настройка опций, обратите внимание, что ip экранирован одинарными кавычками
/ip dhcp-server option
add code=6 name=google value="'8.8.8.8'"
add code=6 name=cloudflare value="'1.1.1.1'"
#настройка клиентов
/ip dhcp-server lease
add address=10.0.0.2 dhcp-option=google mac-address=11:11:11:11:11:11 server=dhcp
add address=10.0.0.3 dhcp-option=cloudflare mac-address=22:22:22:22:22:22 server=dhcp
Option 66 и Option 67. Эти настройки пришли еще с BOOTP и позволяют указать TFTP-сервер и образ для сетевой загрузки. Для небольшого филиала довольно удобно установить туда микротик и бездисковые рабочие станции и закинуть на маршрутизатор подготовленный образ какого-нибудь ThinStation. Пример настройки DHCP:
/ip dhcp-server option
add name="option66" code=66 value="s'192.168.88.1'"
add name="option67" code=67 value="'pxelinux.0'"
/ip dhcp-server option sets
add name="set-pxe" options=option66,option67
Option 121 и Option 249. Используются для передачи клиенту дополнительных маршрутов, что может быть в ряде случаев удобнее, чем прописывать маршруты на шлюзе по умолчанию. Настройки практически идентичные, разве что клиенты Windows предпочитают вторую. Для настройки параметра маршруты надо перевести в шестнадцатеричный вид, собрав в одну строку маску сети назначения, адрес сети и шлюз. Также, по RFC, необходимо добавить и маршрут по умолчанию. Вариант настройки — под спойлером.
Настройка маршрутов
Предположим, нам нужно добавить клиентам маршрут вида dst-address=10.0.0.0/24 gateway=192.168.88.2, а основным шлюзом будет 192.168.88.1. Приведем это все в HEX:
Соберем все это счастье в одну строку и получим настройку:
/ip dhcp-server option
add code=121 name=classless value=0x0A0000c0a8580200c0a85801
Подробнее можно прочитать в статье «Mikrotik, DHCP Classless Route».
Option 252. Автоматическая настройка прокси-сервера. Если по каким-то причинам в организации используется непрозрачный прокси, то удобно будет настроить его у клиентов через специальный файл wpad (pac). Пример настройки такого файла разобран в материале «Proxy Auto Configuration (PAC)». К сожалению, в MiroTik нет встроенного веб-сервера для размещения этого файла. Можно использовать для этого пакет hotspot или возможности metarouter, но лучше разместить файл где-либо еще.
Option 82. Одна из полезнейших опций — только не для клиента, а для DHCP-релея. Позволяет передать серверу информацию о порте коммутатора, к которому подключен клиент, и id самого коммутатора. Сервер на основе этой информации в свою очередь может выдать уже клиенту какой-то определенный набор настроек или просто занести в лог — чтобы в случае необходимости найти порт подключения клиента, не приходилось заходить на все свитчи подряд (особенно, если они не в стеке).
После настройки DHCP-Relay на маршрутизаторе в информации о клиентах появятся поля Agent Circuit ID и Agent Remote ID, где первое — идентификатор порта коммутатора, а второе — идентификатор самого коммутатора.
Выдача адресов с option 82.
Информация выдается в шестнадцатиричном формате. Для удобства восприятия при анализе журнала DHCP можно использовать скрипты. Например, решение для решения от Microsoft опубликовано в галерее скриптов Technet под названием «Декорирование DHCP опции 82».
Также опция Option 82 активно используется в системе биллинга провайдеров и при защите сети от посторонних вмешательств. Об этом чуть подробнее.
Добавим сети надежности и безопасности
Ввиду простоты протокола и присутствия широковещательных запросов есть эффективные атаки на инфраструктуру — в основном типа MITM («человек посередине»). Атаки производятся посредством поднятия своего DHCP-сервера или релея: ведь если контролировать выдачу сетевых настроек, можно запросто перенаправить трафик на скомпрометированный шлюз. Для облегчения атаки используется DHCP starvation (представляясь клиентом или релеем, злоумышленник заставляет «родной» DHCP-сервер исчерпать свои IP-адреса). Подробнее про реализацию атаки можно почитать в статье «Атакуем DHCP», методом же защиты является DHCP Snooping.
Это функция коммутатора, которая позволяет «привязать» DHCP-сервер к определенному порту. Ответы DHCP на других портах будут заблокированы. В некоторых коммутаторах можно настроить и работу с Option 82 при ее обнаружении в пакете (что говорит о присутствии релея): отбросить, заменить, оставить без изменения.
В коммутаторах MikroTik включение DHCP Snooping производится в настройках бриджа:
#Включаем dhcp-snooping и option 82
/interface bridge
add name=bridge
set [find where name="bridge"] dhcp-snooping=yes add-dhcp-option82=yes
#ставим настраиваем доверенный порт
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2 trusted=yes
Настройка в других коммутаторах происходит аналогичным образом.
Стоит отметить, что не все модели MikroTik имеют полную аппаратную поддержку DHCP Snooping — она есть только у CRS3xx.
Помимо защиты от злых хакеров эта функция избавит от головной боли, когда в сети появляется другой DHCP-сервер — например, когда SOHO-роутер, используемый как свич с точкой доступа, сбрасывает свои настройки. К сожалению, в сетях, где встречается SOHO-оборудование, не всегда бывает грамотная структура кабельной сети с управляемыми маршрутизаторами. Но это уже другой вопрос.
Красивая коммутационная — залог здоровья.
К другим методам защиты можно отнести Port Security («привязка» определенного MAC-адреса к порту маршрутизатора, при обнаружении трафика с других адресов порт будет блокироваться), Анализ трафика на количество DHCP-запросов и ответов или ограничение их количества, ну и, конечно, различные системы IPSIDS.
Если говорить не только о защите сети, но и о надежности, то не лишним будет упомянуть и про возможности отказоустойчивого DHCP. Действительно, при своей простоте DHCP часто бывает одним из ключевых сервисов, и при выходе его из строя работа организации может быть парализована. Но если просто установить два сервера с идентичными настройками, то ни к чему, кроме конфликта IP-адресов, это не приведет.
Казалось бы, можно поделить область выдачи между двумя серверами, и пусть один выдает одну половину адресов, а второй — другую. Вот только парализованная половина инфраструктуры немногим лучше, чем целая.
Разберем более практичные варианты.
В системах Windows Server начиная с 2012 система резервирования DHCP работает «из коробки», в режиме балансировки нагрузки (active-active) или в режиме отказоустойчивости (active-passive). С подробным описанием технологии и настройками можно ознакомиться в официальной документации. Отмечу, что отказоустойчивость настраивается на уровне зоны, поэтому разные зоны могут работать в разном режиме.
Настройка отказоустойчивости DHCP-сервера в Windows.
В ISC DHCP Server для настройки отказоустойчивости используется директива failover peer, синхронизацию данных предлагается делать самостоятельно — например, при помощи rsync. Подробнее можно почитать в материале «Два DHCP сервера на Centos7…»
Если же делать отказоустойчивое решение на базе MikroTik, то без хитростей не обойтись. Один из вариантов решения задачи был озвучен на MUM RU 18, а затем и опубликован в блоге автора. Если вкратце: настраиваются два сервера, но с разным параметром Delay Threshold (задержка ответа). Тогда выдавать адрес будет сервер с меньшей задержкой, а с большей задержкой — только при выходе из строя первого. Синхронизацию информации опять же приходится делать скриптами.
Лично я в свое время изрядно потрепал себе нервов, когда в сети «случайно» появился роутер, подключенный в локальную сеть и WAN, и LAN интерфейсами.
Расскажите, а вам приходилось сталкиваться с проказами DHCP?
Справочник /
Лекторий Справочник /
Лекционные и методические материалы по программированию /
Сетевое администрирование на основе Microsoft Windows Server 2003
doc
Конспект лекции по дисциплине «Сетевое администрирование на основе Microsoft Windows Server 2003»,
doc
Файл загружается
Благодарим за ожидание, осталось немного.
doc
Конспект лекции по дисциплине «Сетевое администрирование на основе Microsoft Windows Server 2003».
doc
txt
Конспект лекции по дисциплине «Сетевое администрирование на основе Microsoft Windows Server 2003», текстовый формат
В.А.Антипов
Сетевое администрирование
на основе
Microsoft Windows Server 2003
Курс лекций
2007
Содержание
Предисловие 5
Лекция 1. Введение 6
План лекции 6
Понятие, цель и задачи сетевого администрирования 6
Семейство операционных систем Windows Server 2003 7
Инструменты администрирования 8
Резюме 9
Контрольные вопросы 10
Лекция 2. Стек протоколов TCP/IP 11
План лекции 11
Стек TCP/IP 11
История создания TCP/IP 11
Модель OSI 12
Структура TCP/IP 13
Документы RFC 14
Обзор основных протоколов 15
Утилиты диагностики TCP/IP 17
Резюме 19
Контрольные вопросы 20
Лекция 3. IP-адресация 21
План лекции 21
Адресация в TCP/IP-сетях 21
Типы адресов стека TCP/IP 21
Структура IP-адреса 22
Классы IP-адресов 23
Использование масок 25
Протокол IPv6 28
Особые IP-адреса 29
Протокол ARP 29
Резюме 31
Контрольные вопросы 31
Лекция 4. Маршрутизация 32
План лекции 32
Задача маршрутизации 32
Таблица маршрутизации 33
Принципы маршрутизации в TCP/IP 34
Создание таблиц маршрутизации 36
Протокол маршрутизации RIP 37
Протокол маршрутизации OSPF 37
Резюме 38
Контрольные вопросы 38
Лекция 5. Имена в TCP/IP 39
План лекции 39
Необходимость применения символьных имен 39
Система доменных имен 39
Служба DNS 41
Процесс разрешения имен 42
Записи о ресурсах 44
Утилита NSLOOKUP 44
Имена NetBIOS и служба WINS 45
Резюме 45
Контрольные вопросы 46
Лекция 6. Протокол DHCP 47
План лекции 47
Проблема автоматизации распределения IP-адресов 47
Реализация DHCP в Windows 47
Параметры DHCP 48
Адреса для динамической конфигурации 49
DHCP-сообщения 50
Принцип работы DHCP 50
Авторизация DHCP-сервера 52
Резюме 53
Контрольные вопросы 53
Лекция 7. Служба каталога Active Directory 54
План лекции 54
Понятие Active Directory 54
Структура каталога Active Directory 55
Объекты каталога и их именование 58
Иерархия доменов 59
Доверительные отношения 60
Организационные подразделения 62
Резюме 63
Контрольные вопросы 64
Лекция 8. Планирование и управление Active Directory 65
План лекции 65
Планирование Active Directory 65
Планирование логической структуры 66
Планирование физической структуры 68
Учетные записи 69
Группы пользователей 70
Групповые политики 71
Резюме 73
Контрольные вопросы 74
Лекция 9. Средства обеспечения безопасности 75
План лекции 75
Средства сетевой безопасности Windows Server 2003 75
Протокол аутентификации Kerberos 75
Термины, используемые в протоколе Kerberos 76
Основные этапы аутентификации 78
Этап регистрации клиента 79
Этап получения сеансового билета 81
Этап доступа к серверу 82
Протокол IPsec 83
Функции протокола IPsec 83
Протоколы AH и ESP 84
Протокол IKE 85
Резюме 86
Контрольные вопросы 86
Лекция 10. Удаленный доступ и виртуальные частные сети 87
План лекции 87
Удаленный доступ 87
Виды коммутируемых линий 88
Протоколы удаленного доступа 88
Протоколы аутентификации 90
Основные понятия и виды виртуальных частных сетей 91
Протоколы виртуальных частных сетей 93
Протокол RADIUS 93
Резюме 94
Контрольные вопросы 95
Библиографический список 96
ПРИЛОЖЕНИЯ 97
Приложение I. Документы RFC 97
Приложение II. Домены первого уровня 100
1. Домены организаций 100
2. Географические домены 100
Приложение III. Права пользователей 102
1. Привилегии 102
2. Права на вход в систему 102
3. Разрешения на доступ к объектам 103
Предисловие
Курс «Сетевое администрирование на основе Microsoft Windows Server 2003» предназначен для усвоения базовых теоретических знаний, формирования практических умений и навыков по внедрению, управлению и поддержке компьютерных сетей на базе операционной системы Microsoft Windows Server 2003.
В рамках курса предполагается изучение базовых понятий сетевого администрирования и стека протоколов TCP/IP, рассмотрение эффективных решений задач управления пользователями и ресурсами сети, освоение основных приемов и инструментов мониторинга компьютерной сети, овладение базовыми средствами обеспечения безопасности сети. В процессе изучения курса происходит воспитание творческого подхода к решению проблем, возникающих в процессе профессиональной деятельности специалиста.
Курс состоит из лекционной части и лабораторного практикума. В лекциях рассматриваются основные теоретические положения, необходимые для успешного освоения практических навыков и умений. Также приводятся библиографический список дополнительной литературы по тематике курса и три приложения.
Лабораторный практикум состоит из 10 лабораторных работ. Все работы выполняются на виртуальных машинах Microsoft Virtual PC в среде Microsoft Windows Server 2003. Каждая лабораторная работа предполагает выполнение самостоятельных экспериментов.
Для успешного освоения курса желательны базовые знания по основам компьютерных сетей, хотя все необходимые сведения приводятся в лекциях или при описании лабораторных работ.
Лекция 1. Введение
План лекции
◦ Понятие, цель и задачи сетевого администрирования.
◦ Семейство операционных систем Windows Server 2003.
◦ Инструменты администрирования.
◦ Резюме.
◦ Контрольные вопросы.
Понятие, цель и задачи сетевого администрирования
Целью создания любой компьютерной сети является предоставление доступа к её ресурсам. В качестве ресурсов могут рассматриваться данные (файлы и папки), устройства (принтеры, сканеры, модемы) и вычислительные возможности, обеспечиваемые процессорами.
Для того чтобы сеть эффективно, надежно и безопасно функционировала, необходимо квалифицированное управление. Вопросы управления ресурсами сети, а также её инфраструктурой составляют предмет сетевого администрирования.
Отметим различие между понятиями сетевого и системного администрирования. Системное администрирование подразумевает управление любой сложной программной системой, например системой управления базами данных, системой документооборота или операционной системой, при этом наличие сети необязательно. Сетевое администрирование связано с управлением сетью и сетевыми компонентами операционных систем. Для обозначения специалистов, независимо от сферы их деятельности (т. е. занимаются они управлением системами или сетями), применяется единый термин – системный администратор.
Итак, основная цель сетевого администрирования – обеспечение доступа к ресурсам сети. Для достижения этой цели администраторам приходится решать множество задач, которые могут быть разделены на следующие основные группы (см. рис. 1.1):
• задачи планирования – залогом успешной работы сети является продуманная организация всех её компонентов;
• задачи установки и настройки программного и аппаратного обеспечения – при наличии большого числа компьютеров в сети требуется решать такие задачи централизованно и с максимальной степенью автоматизации;
• задачи управления безопасностью – в современных сетях, в большинстве своем подключенных к Интернету, проблема обеспечения безопасности является крайне острой и требует комплексного решения;
• задачи управления производительностью – для решения этого типа задач следует осуществлять мониторинг процессов, происходящих в сети, и оперативно реагировать на выявившиеся проблемы с производительностью.
Рис. 1.1. Цель, задачи и объекты сетевого администрирования
Решение данных задач осуществляется применительно к трем группам объектов:
• серверы – компьютеры, предоставляющие доступ к ресурсам сети и посредством которых системный администратор управляет сетью;
• клиенты – компьютеры или пользователи, осуществляющие доступ к ресурсам сети;
• сетевая инфраструктура – набор аппаратных и программных средств, обеспечивающих функционирование сети (коммутаторы, маршрутизаторы, сетевые протоколы и т. д.).
Семейство операционных систем Windows Server 2003
В данном курсе теоретические положения иллюстрируются на примере операционных систем семейства Microsoft Windows Server 2003. Это семейство операционных систем является развитием Microsoft Windows Server 2000 и сочетает в себе широкие возможности управления сетью, высокую производительность, эффективные средства обеспечения безопасности и удобство администрирования.
В семейство Windows Server 2003 входят следующие версии операционных систем:
• Windows Server 2003 Standard Edition (стандартная версия) – универсальная операционная система, способная решать задачи предоставления ресурсов и управления сетью в масштабах небольших и средних компаний. Поддерживает до четырех центральных процессоров и до четырех гигабайт оперативной памяти.
• Windows Server 2003 Enterprise Edition (корпоративная версия) – предоставляет расширенные возможности стандартной версии и обеспечивает высокую производительность и надежность за счет поддержки до 8 процессоров и до 32 Гб оперативной памяти. Предназначена для использования в средних и крупных организациях.
• Windows Server 2003 Datacenter Edition (версия для центра обработки данных) – наиболее мощная из всех операционных систем семейства. Поддерживает до 32 процессоров (минимум восемь) и до 64 Гб оперативной памяти. Может быть использована в качестве сетевого сервера или сервера базы данных большой корпорации.
• Windows Server 2003 Web Edition (версия для web-узлов) – облегченная версия операционной системы, предназначенная для поддержки веб-сайтов и веб-служб. В Web Edition не включены многие компоненты из более мощных версий. Поддерживает до двух процессоров и до двух гигабайт оперативной памяти.
Версии Standard Edition, Enterprise Edition и Datacenter Edition поддерживают одинаковый набор основных административных функций, поэтому в дальнейшем изложение будет вестись без указания версии. Принципиальным отличием версии Web Edition является отсутствие службы каталога Active Directory1.
Инструменты администрирования
Операционная система Windows Server 2003 предоставляет системному администратору широкий набор инструментов для решения задач управления. Основными из этих инструментов являются следующие:
• консоль управления (Microsoft Management Console, MMC);
• мастера (Wizards);
• утилиты командной строки.
Консоль управления MMC2 представляет собой унифицированную среду для выполнения административных задач. Администратор, имея в распоряжении такую среду, может помещать в неё одну или несколько утилит, называемых оснастками (snap-in), для решения текущей проблемы. Консоль управления позволяет одинаково отображать любые оснастки и использовать для управления ими похожие приемы.
Таким образом, смысл применения консоли управления в том, чтобы сделать среду выполнения административных утилит единообразной и удобной.
С той же целью в Windows Server 2003 применяются мастера. Мастер представляет собой программу, которая проводит администратора по всем этапам решения какой-либо задачи. На каждом этапе возможен выбор одного или нескольких способов решения или параметров настройки. Часто также мастера предоставляют возможность выбора параметров по умолчанию.
Использование мастеров позволяет сократить время установки и настройки компонентов операционной системы или время решения другой административной задачи. Кроме того, параметры по умолчанию чаще всего обеспечивают вполне работоспособный режим, хотя, возможно, и не самый эффективный.
Утилиты командной строки являются самыми старыми инструментами администрирования, ведущими свою историю от первых операционных систем без графического интерфейса. В то время альтернативы утилитам командной строки не было. Сегодня большинство задач управления можно решить без использования утилит, однако многие администраторы считают, что утилиты командной строки удобнее графического интерфейса. Кроме того, такой вид утилит, как утилиты диагностики стека протоколов TCP/IP, не имеют стандартного графического аналога (эти утилиты рассматриваются во второй лекции).
Большинство административных задач возможно решить, используя любой из представленных инструментов – консоль управления, мастер или утилиту командной строки. Выбор инструмента обусловливается, в основном, личными предпочтениями системного администратора.
Резюме
Основной целью сетевого администрирования является обеспечение эффективного, надежного и безопасного доступа к ресурсам сети. Главное лицо этого процесса – системный администратор, который решает задачи планирования, установки и настройки программного и аппаратного обеспечения, управления безопасностью и производительностью по отношению к клиентам, серверам и сетевой инфраструктуре.
Одна из наиболее современных и мощных платформ для организации сетевой среды – семейство операционных систем Microsoft Windows Server 2003, включающее версии Standard Edition, Enterprise Edition, Datacenter Edition и Web Edition. Эти операционные системы предоставляют набор удобных инструментов для решения административных задач. Основными инструментами являются консоль управления MMC, мастера и утилиты командной строки.
Контрольные вопросы
1. Какова основная цель сетевого администрирования?
2. Чем отличаются понятия сетевого администрирования и системного администрирования?
3. Назовите основные виды задач сетевого администрирования. Приведите примеры конкретных задач на каждый вид.
4. Чем отличаются версии операционных систем Microsoft Windows Server 2003?
5. Что такое оснастка (snap-in)?
Лекция 2. Стек протоколов TCP/IP
План лекции
• Стек TCP/IP.
• История создания стека TCP/IP.
• Модель OSI.
• Структура TCP/IP.
• Документы RFC.
• Обзор основных протоколов.
• Утилиты диагностики TCP/IP.
• Резюме.
• Контрольные вопросы.
Стек TCP/IP
Стек TCP/IP – это набор иерархически упорядоченных сетевых протоколов. Название стек получил по двум важнейшим протоколам – TCP (Transmission Control Protocol) и IP (Internet Protocol). Помимо них в стек входят ещё несколько десятков различных протоколов. В настоящее время протоколы TCP/IP являются основными для Интернета, а также для большинства корпоративных и локальных сетей.
В операционной системе Microsoft Windows Server 2003 стек TCP/IP выбран в качестве основного, хотя поддерживаются и другие протоколы (например, стек IPX/SPX, протокол NetBIOS).
Стек протоколов TCP/IP обладает двумя важными свойствами:
• платформонезависимостью, т. е. возможна его реализация на самых разных операционных системах и процессорах;
• открытостью, т. е. стандарты, по которым строится стек TCP/IP, доступны любому желающему.
История создания TCP/IP
В 1967 году Агентство по перспективным исследовательским проектам министерства обороны США (ARPA – Advanced Research Projects Agency) инициировало разработку компьютерной сети, которая должна была связать ряд университетов и научно-исследовательских центров, выполнявших заказы Агентства. Проект получил название ARPANET. К 1972 году сеть соединяла 30 узлов.
В рамках проекта ARPANET были разработаны и в 1980–1981 годах опубликованы основные протоколы стека TCP/IP – IP, TCP и UDP. Важным фактором распространения TCP/IP стала реализация этого стека в операционной системе UNIX 4.2 BSD (1983).
К концу 80-х годов значительно расширившаяся сеть ARPANET стала называться Интернет (Interconnected networks – связанные сети) и объединяла университеты и научные центры США, Канады и Европы.
В 1992 году появился новый сервис Интернет – WWW (World Wide Web – всемирная паутина), основанный на протоколе HTTP. Во многом благодаря WWW Интернет, а с ним и протоколы TCP/IP, получил в 90-е годы бурное развитие.
В начале XXI века стек TCP/IP приобретает ведущую роль в средствах коммуникации не только глобальных, но и локальных сетей.
Модель OSI
Модель взаимодействия открытых систем (OSI – Open Systems Interconnection) была разработана Международной организацией по стандартизации (ISO – International Organization for Standardization) для единообразного подхода к построению и объединению сетей. Разработка модели OSI началась в 1977 году и закончилась в 1984 году утверждением стандарта. С тех пор модель является эталонной для разработки, описания и сравнения различных стеков протоколов.
Модель OSI включает семь уровней: физический, канальный, сетевой, транспортный, сеансовый, представления и прикладной.
Рис. 2.1. Модель OSI
Рассмотрим кратко функции каждого уровня.
1. Физический уровень (physical layer) описывает принципы передачи сигналов, скорость передачи, спецификации каналов связи. Уровень реализуется аппаратными средствами (сетевой адаптер, порт концентратора, сетевой кабель).
2. Канальный уровень (data link layer) решает две основные задачи – проверяет доступность среды передачи (среда передачи чаще всего оказывается разделена между несколькими сетевыми узлами), а также обнаруживает и исправляет ошибки, возникающие в процессе передачи. Реализация уровня является программно-аппаратной (например, сетевой адаптер и его драйвер).
3. Сетевой уровень (network layer) обеспечивает объединение сетей, работающих по разным протоколам канального и физического уровней, в составную сеть. При этом каждая из сетей, входящих в единую сеть, называется подсетью (subnet). На сетевом уровне приходится решать две основные задачи – маршрутизации (routing, выбор оптимального пути передачи сообщения) и адресации (addressing, каждый узел в составной сети должен иметь уникальное имя). Обычно функции сетевого уровня реализует специальное устройство – маршрутизатор (router) и его программное обеспечение.
4. Транспортный уровень (transport layer) решает задачу надежной передачи сообщений в составной сети с помощью подтверждения доставки и повторной отправки пакетов. Этот уровень и все следующие реализуются программно.
5. Сеансовый уровень (session layer) позволяет запоминать информацию о текущем состоянии сеанса связи и в случае разрыва соединения возобновлять сеанс с этого состояния.
6. Уровень представления (presentation layer) обеспечивает преобразование передаваемой информации из одной кодировки в другую (например, из ASCII в EBCDIC).
7. Прикладной уровень (application layer) реализует интерфейс между остальными уровнями модели и пользовательскими приложениями.
Структура TCP/IP
В основе структуры TCP/IP лежит не модель OSI, а собственная модель, называемая DARPA (Defense ARPA – новое название Агентства по перспективным исследовательским проектам) или DoD (Department of Defense – Министерство обороны США). В этой модели всего четыре уровня. Соответствие модели OSI модели DARPA, а также основным протоколам стека TCP/IP показано на рис. 2.2.
Рис. 2.2. Соответствие протоколов TCP/IP моделям OSI и DARPA
Следует заметить, что нижний уровень модели DARPA – уровень сетевых интерфейсов – строго говоря, не выполняет функции канального и физического уровней, а лишь обеспечивает связь (интерфейс) верхних уровней DARPA с технологиями сетей, входящих в составную сеть (например, Ethernet, FDDI, ATM).
Все протоколы, входящие в стек TCP/IP, стандартизованы в документах RFC.
Документы RFC
Утвержденные официальные стандарты Интернета и TCP/IP публикуются в виде документов RFC (Request for Comments – рабочее предложение). Стандарты разрабатываются всем сообществом ISOC (Internet Society – Сообщество Интернет, международная общественная организация). Любой член ISOC может представить на рассмотрение документ для его публикации в RFC. Далее документ рассматривается техническими экспертами, группами разработчиков и редактором RFC и проходит в соответствии с RFC 2026 следующие этапы, называемые уровнями готовности (maturity levels):
1) черновик (Internet Draft) – на этом этапе с документом знакомятся эксперты, вносятся дополнения и изменения;
2) предложенный стандарт (Proposed Standard) – документу присваивается номер RFC, эксперты подтвердили жизнеспособность предлагаемых решений, документ считается перспективным, желательно, чтобы он был опробован на практике;
3) черновой стандарт (Draft Standard) – документ становится черновым стандартом, если не менее двух независимых разработчиков реализовали и успешно применили предлагаемые спецификации. На этом этапе ещё допускаются незначительные исправления и усовершенствования;
4) стандарт Интернета (Internet Standard) – наивысший этап утверждения стандарта, спецификации документа получили широкое распространение и хорошо зарекомендовали себя на практике. Список стандартов Интернета приведен в RFC 3700. Из тысяч RFC только несколько десятков являются документами в статусе «стандарт Интернета».
Кроме стандартов документами RFC могут быть также описания новых сетевых концепций и идей, руководства, результаты экспериментальных исследований, представленных для информации и т. д. Таким документам RFC может быть присвоен один из следующих статусов:
• экспериментальный (Experimental) – документ, содержащий сведения о научных исследованиях и разработках, которые могут заинтересовать членов ISOC;
• информационный (Informational) – документ, опубликованный для предоставления информации и не требующий одобрения сообщества ISOC;
• лучший современный опыт (Best Current Practice) – документ, предназначенный для передачи опыта конкретных разработок, например реализаций протоколов.
Статус указывается в заголовке документа RFC после слова Category (Категория). Для документов в статусе стандартов (Proposed Standard, Draft Standard, Internet Standard) указывается название Standards Track, так как уровень готовности может меняться.
Номера RFC присваиваются последовательно и никогда не выдаются повторно. Первоначальный вариант RFC никогда не обновляется. Обновленная версия публикуется под новым номером. Устаревший и замененный документ RFC получает статус исторический (Historic).
Все существующие на сегодня документы RFC можно посмотреть, например, на сайте www.rfc-editor.org. В августе 2007 года их насчитывалось более 5000. Документы RFC, упоминаемые в этом курсе, приведены в Приложении I.
Обзор основных протоколов
Протокол IP (Internet Protocol) – это основной протокол сетевого уровня, отвечающий за адресацию в составных сетях и передачу пакета между сетями. Протокол IP является дейтаграммным протоколом, т. е. не гарантирует доставку пакетов до узла назначения. Обеспечением гарантий занимается протокол транспортного уровня TCP.
Протоколы RIP (Routing Information Protocol – протокол маршрутной информации) и OSPF (Open Shortest Path First – «первыми открываются кратчайшие маршруты») – протоколы маршрутизации в IP-сетях.
Протокол ICMP (Internet Control Message Protocol – протокол управляющих сообщений в составных сетях) предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом-источником пакета. С помощью специальных пакетов сообщает о невозможности доставки пакета, о продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т. п.
Протокол ARP (Address Resolution Protocol – протокол преобразования адресов) преобразует IP-адреса в аппаратные адреса локальных сетей. Обратное преобразование осуществляется с помощью протокола RAPR (Reverse ARP).
TCP (Transmission Control Protocol – протокол управления передачей) обеспечивает надежную передачу сообщений между удаленными узлами сети за счет образования логических соединений. TCP позволяет без ошибок доставить сформированный на одном из компьютеров поток байт на любой другой компьютер, входящий в составную сеть. TCP делит поток байт на части – сегменты и передает их сетевому уровню. После того как эти сегменты будут доставлены в пункт назначения, протокол TCP снова соберет их в непрерывный поток байт.
UDP (User Datagram Protocol – протокол дейтаграмм пользователя) обеспечивает передачу данных дейтаграммным способом.
Далее рассматриваются протоколы прикладного уровня.
HTTP (HyperText Transfer Protocol – протокол передачи гипертекста) – протокол доставки web-документов, основной протокол службы WWW.
FTP (File Transfer Protocol – протокол передачи файлов) – протокол для пересылки информации, хранящейся в файлах.
POP3 (Post Office Protocol version 3 – протокол почтового офиса) и SMTP (Simple Mail Transfer Protocol – простой протокол пересылки почты) – протоколы для доставки входящей электронной почты (POP3) и отправки исходящей (SMTP).
Telnet – протокол эмуляции терминала1, позволяющий пользователю подключаться к другим удалённым станциям и работать с ними со своей машины, как если бы она была их удалённым терминалом.
SNMP (Simple Network Management Protocol – простой протокол управления сетью) предназначен для диагностики работоспособности различных устройств сети.
Утилиты диагностики TCP/IP
В состав операционной системы Windows Server 2003 входит ряд утилит (небольших программ), предназначенных для диагностики функционирования стека TCP/IP. Каждый системный администратор должен знать эти утилиты и уметь применять их на практике.
Информацию о любой утилите можно вывести, набрав в командной строке имя утилиты с ключом «/?», например: IPconfig /?
IPconfig
Утилита предназначена, во-первых, для вывода информации о конфигурации стека TCP/IP, во-вторых, для выполнения некоторых действий по настройке стека.
При вводе названия утилиты в командной строке без параметров на экране отобразится информация об основных настройках TCP/IP (эти настройки рассматриваются в следующих лекциях):
• суффикс DNS (Connection-specific DNS Suffix);
• IP-адрес (IP Address);
• маска подсети (Subnet Mask);
• шлюз по умолчанию (Default Gateway).
Приведем основные ключи утилиты:
• /all – отображение полной информации о настройке стека TCP/IP на данном компьютере. Следует отметить, что при наличии нескольких сетевых адаптеров выводятся данные по каждому адаптеру отдельно. Наиболее важные сведения кроме представленных выше – физический адрес (МАС-адрес) сетевого адаптера (Physical Address) и наличие разрешения DHCP (DHCP Enabled).
• /release – освобождение IP-адреса (имеет смысл, если DHCP разрешен).
• /renew – обновление конфигурации TCP/IP (обычно выполняется, если DHCP разрешен).
• /displaydns – вывод на экран кэша имен DNS.
• /flushdns – очистка кэша имен DNS.
• /registerdns – обновление аренды DHCP и перерегистрация доменного имени в базе данных службы DNS.
Ping
Основная цель этой популярной утилиты – выяснение возможности установления соединения с удаленным узлом. Кроме того, утилита может обратиться к удаленному компьютеру по доменному имени, чтобы проверить способность преобразования символьного доменного имени в IP-адрес.
Принцип работы: утилита отправляет на удаленный узел несколько пакетов (число пакетов определяется ключом –n, по умолчанию четыре) по протоколу ICMP. Такие пакеты называются эхо-пакетами, т. е. требуют ответа. Если удаленный узел доступен, он отвечает на каждый эхо-пакет своим пакетом, а утилита измеряет интервал между отправкой эхо-пакета и приходом ответа.
Нужно отметить, что отсутствие ответа может быть связано не с физической недоступностью удаленного компьютера, а с тем, что на нем установлено программное обеспечение, запрещающее отправку ответов на эхо-пакеты (брандмауэр – firewall).
Основные ключи:
• –t – пакеты отправляются до тех пор, пока пользователь не нажмет комбинацию CTRL+C.
• –a – определение доменного имени по IP-адресу.
• –l <размер> – максимальный размер пакета (по умолчанию 32 байта).
• –w <таймаут> – задание времени ожидания ответа в миллисекундах (по умолчанию 1000 миллисекунд = 1 секунда).
Tracert
Название утилиты произошло от Trace Route – отслеживание маршрута. Утилита позволяет решить следующие задачи:
• проследить путь прохождения пакета от данного компьютера до удаленного узла (отображаются промежуточные узлы-маршрутизаторы);
• выявить участки задержки пакетов;
• выявить места потери пакетов.
Принцип работы: утилита отправляет эхо-пакеты на заданный удаленный узел. Отличие между эхо-пакетами заключается в параметре, который называется «время жизни» (TTL – Time To Live). Этот параметр обозначает количество маршрутизаторов (процесс перехода пакета через маршрутизатор называется hop – прыжок), которое может пройти пакет, прежде чем попадет на заданный узел. Каждый маршрутизатор уменьшает время жизни на единицу. Если на каком-то маршрутизаторе TTL станет равным нулю, тот отбрасывает пакет и отправляет служебное сообщение на узел-источник.
Первый эхо-пакет посылается с временем жизни, равным единице. Первый маршрутизатор отбрасывает эхо-пакет и отправляет служебное сообщение, в котором содержится информации об имени и адресе маршрутизатора. Следующий эхо-пакет имеет TTL = 2 и отбрасывается уже на втором маршрутизаторе. Таким образом, эхо-пакеты отправляются с увеличением времени жизни на единицу, пока не придет ответ от заданного удаленного узла или время ожидания не будет превышено.
Основные ключи:
• /h <maximum_hops> – максимальное число хопов (маршрутизаторов) при поиске узла.
• /w <таймаут> – задание времени ожидания ответа в миллисекундах.
Netstat
Утилита отображает статистическую информацию по протоколам IP, TCP, UDP и ICMP, а также позволяет отслеживать сетевые соединения.
Основные ключи:
• /a – список всех подключений и прослушивающихся портов.
• /e – статистика для Ethernet.
• /n – список всех подключений и портов в числовом формате.
• /s – статистика для перечисленных четырех протоколов.
• <interval> – интервал в секундах, через который утилита выводит требуемую информацию (для прекращения вывода – CTRL+C).
Arp
Эта утилита работает с протоколами преобразования IP-адресов в МАС-адреса и обратно ARP и RARP. С её помощью можно выводить на экран таблицу соответствия IP-адресов и МАС-адресов (ARP-кэш), добавлять и удалять записи в ней.
Основные ключи:
• /a – отображение таблицы ARP или, если указан IP-адрес, запись только для этого адреса.
• /s – добавление записи в таблицу.
• /d – удаление записи из таблицы.
Hostname
Это самая простая утилита – она выводит на экран имя компьютера.
Резюме
Стек протоколов TCP/IP – это самый распространенный на сегодняшний день набор иерархически упорядоченных протоколов, применяемый как в локальных, так и в глобальных сетях. Важнейшие протоколы стека – IP, TCP и UDP – появились в начале 80-х годов в рамках проекта ARPANET, который являлся предшественником Интернета. В 90-е годы по мере развития Интернета роль стека TCP/IP сильно возросла.
Стек TCP/IP был разработан на основе модели сетевого взаимодействия DARPA, хотя между уровнями модели DARPA, международной семиуровневой моделью OSI и стеком TCP/IP может быть установлено соответствие. Стандарты протоколов TCP/IP отражены в свободно доступных документах RFC.
Основными протоколами стека являются IP, TCP, UDP, ICMP, ARP, протоколы маршрутизации RIP и OSPF, протоколы прикладного уровня HTTP, FTP, POP3, SMTP, telnet, SNMP.
Для диагностики и управления стеком TCP/IP в операционной системе Microsoft Windows Server 2003 существуют специальные утилиты – IPconfig, ping, tracert, netstat, arp, hostname и др.
Контрольные вопросы
1. Объясните, что означают свойства «платформонезависимость» и «открытость» применительно к стеку протоколов TCP/IP.
2. Что такое ARPANET?
3. Поясните, для чего предназначена модель OSI? Где она применяется?
4. Назовите функции канального, сетевого и транспортного уровней модели OSI.
5. Чем отличается модель DARPA (DoD) от модели OSI? Как вы думаете, почему?
6. Что такое RFC? В файлах какого формата издаются RFC?
7. Для чего используется протокол ICMP? Протокол ARP?
8. Поясните принцип работы утилиты ping.
9. Поясните принцип работы утилиты tracert.
Лекция 3. IP-адресация
План лекции
• Адресация в TCP/IP-сетях.
• Типы адресов стека TCP/IP.
• Структура IP-адреса.
• Классы IP-адресов.
• Использование масок.
• Протокол IPv6.
• Особые IP-адреса.
• Протокол ARP.
• Резюме.
• Контрольные вопросы.
Адресация в TCP/IP-сетях
Стек протоколов TCP/IP предназначен для соединения отдельных подсетей, построенных по разным технологиям канального и физического уровней (Ethernet, Token Ring, FDDI, ATM, X.25 и т. д.) в единую составную сеть. Каждая из технологий нижнего уровня предполагает свою схему адресации. Поэтому на межсетевом уровне требуется единый способ адресации, позволяющий уникально идентифицировать каждый узел, входящий в составную сеть. Таким способом в TCP/IP-сетях является IP‑адресация. Узел составной сети, имеющий IP-адрес, называется хост (host).
Хороший пример, иллюстрирующий составную сеть, – международная почтовая система адресации. Информация сетевого уровня – это индекс страны, добавленный к адресу письма, написанному на одном из тысяч языков земного шара, например на китайском. И даже если это письмо должно пройти через множество стран, почтовые работники которых не знают китайского, понятный им индекс страны-адресата подскажет, через какие промежуточные страны лучше передать письмо, чтобы оно кратчайшим путем попало в Китай. А уже там работники местных почтовых отделений смогут прочитать точный адрес, указывающий город, улицу, дом и человека, и доставить письмо адресату, так как адрес написан на языке и в форме, принятой в данной стране.
Типы адресов стека TCP/IP
В стеке TCP/IP используются три типа адресов:
• локальные (другое название – аппаратные);
• IP-адреса (сетевые адреса);
• символьные доменные имена.
Локальный адрес – это адрес, присвоенный узлу в соответствии с технологией подсети, входящей в составную сеть. Если подсетью является локальная сеть Ethernet, Token Ring или FDDI, то локальный адрес – это МАС-адрес (MAC address – Media Access Control address). МАС-адреса назначаются сетевым адаптерам и портам маршрутизаторов производителями оборудования и являются уникальными, так как распределяются централизованно. МАС-адрес имеет размер 6 байт и записывается в шестнадцатеричном виде, например 00-08-А0-12-5F-72.
IP-адреса (IP address) представляют собой основной тип адресов, на основании которых сетевой уровень передает сообщения, называемые IP‑пакетами. Эти адреса состоят из 4 байт, записанных в десятичном виде и разделенных точками, например 117.52.9.44. Номер узла в протоколе IP назначается независимо от локального адреса узла. Маршрутизатор по определению входит сразу в несколько сетей. Поэтому каждый порт маршрутизатора имеет собственный IP-адрес. Конечный узел также может входить в несколько IP-сетей. В этом случае компьютер должен иметь несколько IP-адресов, по числу сетевых адаптеров. Таким образом, IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.
Символьные доменные имена (domain name) служат для удобства представления IP-адресов. Человеку неудобно запоминать числовые IP‑адреса, поэтому была разработана специальная служба, DNS (Domain Name System), устанавливающая соответствие между IP-адресами и символьными доменными именами, например www.rambler.ru. Подробнее DNS и символьные имена будут рассмотрены в лекции 5.
Структура IP-адреса
IP-адрес представляет собой 32-разрядное двоичное число, разделенное на группы по 8 бит, называемых октетами, например:
00010001 11101111 00101111 01011110
Обычно IP-адреса записываются в виде четырех десятичных октетов и разделяются точками. Таким образом, приведенный выше IP-адрес можно записать в следующей форме: 17.239.47.94.
Следует заметить, что максимальное значение октета равно 111111112 (двоичная система счисления), что соответствует в десятичной системе 25510. Поэтому IP-адреса, в которых хотя бы один октет превышает это число, являются недействительными. Пример: 172.16.123.1 – действительный адрес, 172.16.123.256 – несуществующий адрес, поскольку 256 выходит за пределы допустимого диапазона.
IP-адрес состоит из двух логических частей – номера подсети (ID1 подсети) и номера узла (ID хоста) в этой подсети. При передаче пакета из одной подсети в другую используется ID подсети. Когда пакет попал в подсеть назначения, ID хоста указывает на конкретный узел в рамках этой подсети.
Чтобы записать ID подсети, в поле номера узла в IP-адресе ставят нули. Чтобы записать ID хоста, в поле номера подсети ставят нули. Например, если в IP-адресе 172.16.123.1 первые два байта отводятся под номер подсети, остальные два байта – под номер узла, то номера записываются следующим образом:
ID подсети: 172.16.0.0.
ID хоста: 0.0.123.1.
По числу разрядов, отводимых для представления номера узла (или номера подсети), можно определить общее количество узлов (или подсетей) по простому правилу: если число разрядов для представления номера узла равно N, то общее количество узлов равно 2N – 2. Два узла вычитаются вследствие того, что адреса со всеми разрядами, равными нулям или единицам, являются особыми и используются в специальных целях (см. ниже в этой лекции).
Например, если под номер узла в некоторой подсети отводится два байта (16 бит), то общее количество узлов в такой подсети равно 216 – 2 = 65534 узла.
Для определения того, какая часть IP-адреса отвечает за ID подсети, а какая за ID хоста, применяются два способа: с помощью классов и с помощью масок. Общее правило: под ID подсети отводятся первые несколько бит IP-адреса, оставшиеся биты обозначают ID хоста.
Классы IP-адресов
Существует пять классов IP-адресов: A, B, C, D и E (см. рис. 3.1). За принадлежность к тому или иному классу отвечают первые биты IP-адреса. Деление сетей на классы описано в RFC 791 (документ описания протокола IP).
Целью такого деления являлось создание малого числа больших сетей (класса А), умеренного числа средних сетей (класс В) и большого числа малых сетей (класс С).
Рис. 3.1. Классы IP-адресов
Если адрес начинается с 0, то сеть относят к классу А и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126. Сетей класса А немного, зато количество узлов в них может достигать 224 – 2, то есть 16 777 214 узлов.
Если первые два бита адреса равны 10, то сеть относится к классу В. В сетях класса В под номер сети и под номер узла отводится по 16 бит, то есть по 2 байта. Таким образом, сеть класса В является сетью средних размеров с максимальным числом узлов 216 – 2, что составляет 65 534 узлов.
Если адрес начинается с последовательности 110, то это сеть класса С. В этом случае под номер сети отводится 24 бита, а под номер узла – 8 бит. Сети этого класса наиболее распространены, число узлов в них ограничено 28 – 2, то есть 254 узлами.
Адрес, начинающийся с 1110, обозначает особый, групповой адрес (multicast). Пакет с таким адресом направляется всем узлам, которым присвоен данный адрес.
Адреса класса Е в настоящее время не используются (зарезервированы для будущих применений).
Характеристики адресов разных классов представлены в таблице.
Класс
Первые биты
Наименьший номер сети
Наибольший номер сети
Количество сетей
Максимальное число узлов в сети
А
1.0.0.0
126.0.0.0
126
224 – 2 = 16777214
В
10
128.0.0.0
191.255.0.0
16384
216 – 2 = 65534
С
110
192.0.1.0
223.255.255.0
2097152
28 – 2 = 254
D
1110
224.0.0.0
239.255.255.255
Групповой адрес
Е
11110
240.0.0.0
247.255.255.255
Зарезервирован
Применение классов удовлетворительно решало задачу деления на подсети в начале развития Интернета. В 90-е годы с увеличением числа подсетей стал ощущаться дефицит IP-адресов. Это связано с неэффективностью распределения при классовой схеме адресации. Например, если организации требуется тысяча IP-адресов, ей выделяется сеть класса В, при этом 64534 адреса не будут использоваться.
Существует два основных способа решения этой проблемы:
1) более эффективная схема деления на подсети с использованием масок (RFC 950);
2) применение протокола IP версии 6 (IPv6).
Использование масок
Маска подсети (subnet mask) – это число, которое используется в паре с IP-адресом; двоичная запись маски содержит единицы в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети.
Для стандартных классов сетей маски имеют следующие значения:
• класс А – 11111111. 00000000. 00000000. 00000000 (255.0.0.0);
• класс В – 11111111. 11111111. 00000000. 00000000 (255.255.0.0);
• класс С – 11111111. 11111111. 11111111. 00000000 (255.255.255.0).
Маска подсети записывается либо в виде, аналогичном записи IP‑адреса, например 255.255.255.0, либо совместно с IP-адресом с помощью указания числа единичных разрядов в записи маски, например 192.168.1.1/24, т. е. в маске содержится 24 единицы (255.255.255.0).
При использовании масок можно вообще отказаться от понятия классов.
Пример
Пусть задан IP-адрес 17.239.47.94, маска подсети 255.255.0.0 (другая форма записи: 17.239.47.94/16).
Требуется определить ID подсети и ID хоста в обеих схемах адресации.
1) Адресация с использованием классов. Двоичная запись IP-адреса имеет вид:
00010001. 11101111. 00101111. 01011110
Так как первый бит равен нулю, адрес относится к классу А. Следовательно, первый байт отвечает за ID подсети, остальные три байта – за ID хоста:
ID подсети: 17.0.0.0.
ID хоста: 0.239.47.94.
2) Адресация с использованием масок. Запишем IP-адрес и маску подсети в двоичном виде:
IP-address: 17.239.47.94 =
00010001. 11101111. 00101111. 01011110
Subnet mask: 255.255.0.0 =
11111111. 11111111. 00000000. 00000000
Вспомним определение маски подсети: интерпретируем как номер подсети те биты, которые в маске равны 1, т. е. первые два байта. Оставшаяся часть IP-адреса будет номером узла в данной подсети.
ID подсети: 17.239.0.0.
ID хоста: 0.0.47.94.
Номер подсети можно получить другим способом, применив к IP‑адресу и маске операцию логического умножения AND:
AND
00010001. 11101111. 00101111. 01011110
11111111. 11111111. 00000000. 00000000
00010001. 11101111. 00000000. 00000000
17
239
В масках количество единиц в последовательности, определяющей границу номера сети, не обязательно должно быть кратным 8.
Пример
Задан IP-адрес 192.168.89.16, маска подсети 255.255.192.0 (другая форма записи: 192.168.89.16/18).
Требуется определить ID подсети и ID хоста.
Воспользуемся операцией AND:
IP-address: 17.239.47.94 =
AND
11000000. 10101000. 01011001. 00010000
Subnet mask: 255.255.0.0 =
11111111. 11111111. 11000000. 00000000
subnet ID:
11000000. 10101000. 01000000. 00000000
192
168
64
Чтобы получить номер узла, нужно в битах, отвечающих за номер подсети, поставить нули:
Host ID: 00000000. 00000000. 00011001. 00010000 = 0.0.25.16.
Ответ: ID подсети = 192.168.64.0, ID хоста = 0.0.25.16.
Для масок существует важное правило: разрывы в последовательности единиц или нулей недопустимы. Например, не существует маски подсети, имеющей следующий вид:
11111111. 11110111. 00000000. 00001000 (255.247.0.8),
так как последовательности единиц и нулей не являются непрерывными.
С помощью масок администратор может структурировать свою сеть, не требуя от поставщика услуг дополнительных номеров сетей.
Пример
Допустим, организации выделена сеть класса В: 160.95.0.0 (рис. 3.2).
Рис. 3.2. Сеть класса В до деления на подсети
В такой сети может находиться до 65534 узлов. Однако организации требуется 3 независимые сети с числом узлов в каждой не более 254. В этой ситуации можно применить деление на подсети с помощью масок. Например, при использовании маски 255.255.255.0 третий байт адреса будет определять номер внутренней подсети, а четвертый байт – номер узла (см. рис. 3.3).
Рис. 3.3. Сеть класса В после деления на подсети
Маршрутизаторы во внешней сети (Интернете) ничего «не знают» о делении сети 160.95.0.0 на подсети, все пакеты направляются на маршрутизатор организации, который переправляет их в требуемую внутреннюю подсеть.
Протокол IPv6
Использование масок является временным решением проблемы дефицита IP-адресов, так как адресное пространство протокола IP не увеличивается, а количество хостов в Интернете растет с каждым днем. Для принципиального решения проблемы требуется существенное увеличение количества IP-адресов.
Используемый в настоящее время и рассматриваемый в данном курсе протокол IP называется IPv4 – протокол IP 4-й версии. Для преодоления ограничений IPv4 был разработан протокол IP 6-й версии – IPv6 (RFC 2373, 2460).
Протокол IPv6 имеет следующие основные особенности:
• длина адреса 128 бит – такая длина обеспечивает адресное пространство 2128, или примерно 3.4∙1038 адресов. Такое количество адресов позволит присваивать в обозримом будущем уникальные IP-адреса любым устройствам;
• автоматическая конфигурация – протокол IPv6 предоставляет средства автоматической настройки IP-адреса и других сетевых параметров даже при отсутствии таких служб, как DHCP (протокол DHCP будет рассмотрен в лекции 6);
• встроенная безопасность – для передачи данных является обязательным использование протокола защищенной передачи IPsec. Протокол IPv4 также может использовать IPsec, но не обязан этого делать.
В настоящее время многие производители сетевого оборудования включают поддержку протокола IPv6 в свои продукты, однако преобладающим остается протокол IPv4. Связано это с тем, что IPv6 обратно несовместим с IPv4 и процесс перехода сопряжен с определенными трудностями.
Особые IP-адреса
Некоторые IP-адреса являются особыми, они не должны применяться для идентификации обычных сетей.
• Если первый октет ID сети начинается со 127, такой адрес считается адресом машины-источника пакета. В этом случае пакет не выходит в сеть, а возвращается на компьютер-отправитель. Такие адреса называются loopback («петля», «замыкание на себя») и используются для проверки функционирования стека TCP/IP.
• Если все биты IP-адреса равны нулю, адрес обозначает узел-отправитель и используется в некоторых сообщениях ICMP.
• Если все биты ID сети равны 1, адрес называется ограниченным широковещательным (limited broadcast), пакеты, направленные по такому адресу рассылаются всем узлам той подсети, в которой находится отправитель пакета.
• Если все биты ID хоста равны 1, адрес называется широковещательным (broadcast), пакеты, имеющие широковещательный адрес, доставляются всем узлам подсети назначения.
• Если все биты ID хоста равны 0, адрес считается идентификатором подсети (subnet ID).
Наличие особых IP-адресов объясняет, почему из диапазона доступных адресов исключаются два адреса – это случаи, когда все биты ID хоста равны 1 или 0. Например, в сети класса С не 256 (28), а 254 узлов.
Протокол ARP
Протокол IP действует на сетевом уровне модели OSI, поэтому IP‑адреса называются сетевыми. Они предназначены для передачи сообщений в составных сетях, связывающих подсети, построенные на различных локальных или глобальных сетевых технологиях, например Ethernet или ATM. Однако для непосредственной передачи сообщения в рамках одной подсети вместо IP-адреса нужно использовать локальный (аппаратный) адрес технологии канального уровня, чаще всего МАС-адрес. При этом к IP-пакету добавляются заголовок и концевик кадра канального уровня, в заголовке указываются МАС-адреса источника и приемника кадра (см. рис. 3.4).
Рис. 3.4. Формирование кадра на канальном уровне
При формировании кадра канального уровня возникает проблема: каким образом по известному IP-адресу определить соответствующий МАС‑адрес? Указанная проблема решается при помощи протокола ARP (Address Resolution Protocol – протокол разрешения1 адресов).
Протокол ARP определяет МАС-адреса следующим образом. Осуществляется рассылка всем узлам сети специального кадра, который называется ARP-запрос (ARP Request). В этом кадре содержится IP-адрес компьютера, у которого требуется узнать МАС-адрес. Каждый узел сети принимает ARP-запрос и сравнивает IP-адрес из запроса со своим IP‑адресом. Если адреса совпадают, узел высылает ARP-ответ (ARP Reply), содержащий требуемый МАС-адрес.
Результаты своей работы протокол ARP сохраняет в специальной таблице, хранящейся в оперативной памяти, которая называется ARP-кэш. При необходимости разрешения IP-адреса, протокол ARP сначала ищет IP‑адрес в ARP-кэше и только в случае отсутствия нужной записи производит рассылку ARP-запроса.
ARP-кэш имеет следующий вид:
IP-адрес
MAC-адрес
Тип записи
192.168.1.1
03-E8-48-A1-57-7B
статический
192.168.1.2
03-E8-48-A1-43-88
динамический
192.168.1.3
03-E8-48-A1-F8-D9
динамический
Записи в ARP-кэше могут быть двух типов: статические и динамические. Статические записи заносятся в кэш администратором при помощи утилиты arp с ключом /s. Динамические записи помещаются в кэш после полученного ARP-ответа и по истечении двух минут удаляются. Удаление происходит для того, чтобы при перемещении в другую подсеть компьютера с МАС-адресом, занесенным в таблицу, кадры не отправлялись бесполезно в сеть.
Иногда требуется по известному МАС-адресу найти IP-адрес (например, при начале работы компьютеров без жесткого диска, у которых есть МАС-адрес сетевого адаптер и им нужно определить свой IP-адрес). В этом случае используется реверсивный протокол RARP (Reverse ARP).
Резюме
В стеке TCP/IP используются три типа адресов: локальные (МАС‑адреса), IP-адреса и доменные имена. IP-адрес действует на сетевом уровне и позволяет объединять разнородные локальные и глобальную сети в единую составную сеть.
IP-адрес стоит из 4 байт (октетов), разделенных точками. В его структуре выделяют две части – номер подсети и номер узла. Определение того, какая часть адреса отводится под номер подсети, осуществляется двумя способами – с помощью классов и с помощью масок. В схеме классовой адресации существует пять классов, основными являются классы А, В и С. Поле номера подсети определяется по первым битам адреса. При использовании масок номер подсети находится при помощи логического умножении маски на IP-адрес. Адресация с применением масок является более гибкой по сравнению с классами.
Уже довольно давно возникла проблема дефицита IP-адресов. Решение данной проблемы с помощью масок является временным. Принципиально другой подход заключается в существенном расширении адресного пространства и реализуется в протоколе IPv6.
Некоторые IP-адреса являются особыми и не используются при адресации конкретных узлов. Это нужно учитывать при назначении IP‑адресов.
Для преобразования IP-адресов в аппаратные МАС-адреса применяется протокол ARP, для обратного преобразования – протокол RARP.
Контрольные вопросы
1. Что такое хост?
2. Перечислите виды и примеры адресов, используемых в стеке TCP/IP.
3. Из каких частей состоит IP-адрес?
4. Как определяется номер подсети в IP-адресе?
5. Каков диапазон возможных адресов у сети класса С?
6. Определите номер подсети на основе маски: 116.98.04.39/27.
7. Каковы основные особенности протокола IPv6&
8. Поясните принцип работы протокола ARP.
Лекция 4. Маршрутизация
План лекции
• Задача маршрутизации.
• Таблица маршрутизации.
• Принципы маршрутизации в TCP/IP.
• Создание таблиц маршрутизации.
• Протокол маршрутизации RIP.
• Протокол маршрутизации OSPF.
• Резюме.
• Контрольные вопросы.
Задача маршрутизации
Раскроем суть задачи маршрутизации. Пусть имеется составная сеть, задача состоит в том, чтобы доставить пакет из одной подсети в другую подсеть. Известны IP-адрес и маска подсети узла-отправителя (иными словами, ID подсети и ID хоста), IP-адрес узла-получателя. Сложность заключается в многочисленности возможных путей передачи пакета. Например, даже в простой сети, показанной на рис. 4.1, для передачи сообщения из подсети 1 в подсеть 4 существует восемь способов.
Рис. 4.1. Пример составной сети
Ещё одной проблемой является то, что из существующих путей требуется выбрать оптимальный по времени или по надежности. Кроме того, большинство составных сетей отличается динамичным изменением конфигурации, т. е. часть коммуникационных каналов может разрываться, другие, наоборот, возникают. Несмотря на все эти изменения, пакеты должны быстро и надежно доставляться в пункт назначения.
В сетях TCP/IP задача маршрутизации решается с помощью специальных устройств – маршрутизаторов, которые содержат таблицы маршрутизации (routing table). Компьютер с операционной системой Windows Server 2003 также может выступать в роли маршрутизатора. Вообще говоря, любой хост, на котором действует стек TCP/IP, имеет свою таблицу маршрутизации (естественно, гораздо меньших размеров, чем на маршрутизаторе).
Таблица маршрутизации
Таблица маршрутизации, создаваемая по умолчанию на компьютере с Windows Server 2003 (одна сетевая карта, IP-адрес: 192.168.1.1, маска подсети: 255.255.255.0), имеет следующий вид:
Network Destination
Netmask
Gateway
Interface
Metric
0.0.0.0
0.0.0.0
192.168.1.2
192.168.1.1
20
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
192.168.1.0
255.255.255.0
192.168.1.1
192.168.1.1
20
192.168.1.1
255.255.255.255
127.0.0.1
127.0.0.1
20
192.168.1.255
255.255.255.255
192.168.1.1
192.168.1.1
20
224.0.0.0
240.0.0.0
192.168.1.1
192.168.1.1
20
255.255.255.255
255.255.255.255
192.168.1.1
192.168.1.1
1
В приведенной таблице имеются следующие поля:
• Network Destination (адрес назначения) – адрес хоста или подсети, для которых задан маршрут в таблице;
• Netmask (маска подсети) – маска подсети для адреса назначения;
• Gateway (шлюз – другое название маршрутизатора) – адрес для передачи пакета;
• Interface (интерфейс) – адрес собственного порта маршрутизатора (сетевой карты), на который следует передать пакет. Любой маршрутизатор содержит не менее двух портов. В компьютере в роли маршрутизатора с Windows Server 2003 портами являются сетевые карты;
• Metric (метрика) – число маршрутизаторов (число хопов), которые необходимо пройти для достижения хоста назначения. Для двух маршрутов с одинаковыми адресами назначения выбирается маршрут с наименьшей метрикой. Значение 20 в таблице соответствует 100-мегабитной сети Ethernet.
Кратко опишем записи в таблице по умолчанию.
• 0.0.0.0 – маршрут по умолчанию (default route). Эта запись выбирается в случае отсутствия совпадений с адресом назначения. В приведенной таблице маршруту по умолчанию соответствует шлюз 192.168.1.2 – это адрес порта маршрутизатора, который связывает данную подсеть с другими подсетями;
• 127.0.0.0 – маршрут обратной связи (loopback address), все пакеты с адресом, начинающимся на 127, возвращаются на узел-источник;
• 192.168.1.0 – адрес собственной подсети узла;
• 192.168.1.1 – собственный адрес узла (совпадает с маршрутом обратной связи);
• 192.168.1.255 – адрес широковещательной рассылки (пакет с таким адресом попадает всем узлам данной подсети);
• 224.0.0.0 – маршрут для групповых адресов;
• 255.255.255.255 – адрес ограниченной широковещательной рассылки.
Принципы маршрутизации в TCP/IP
Рассмотрим, каким образом решается задача маршрутизации на примере составной сети, показанной на рис. 3.3, добавив некоторые подробности – IP-адреса и МАС-адреса узлов (рис. 4.2).
Рис. 4.2. Пример составной сети
В примере роль маршрутизатора играет компьютер с Windows Server 2003, который содержит четыре сетевые карты (четыре порта). Каждая карта имеет собственные МАС-адрес и IP-адрес, принадлежащий той подсети, к которой порт подключен.
Приведем часть таблицы маршрутизации для этого компьютера:
Network Destination
Netmask
Gateway
Interface
Metric
0.0.0.0
0.0.0.0
160.95.0.2
160.95.0.1
20
160.95.0.0
255.255.255.0
160.95.0.1
160.95.0.1
20
160.95.0.1
255.255.255.255
127.0.0.1
127.0.0.1
20
160.95.0.255
255.255.255.255
160.95.0.1
160.95.0.1
20
160.95.1.0
255.255.255.0
160.95.1.1
160.95.1.1
20
160.95.1.1
255.255.255.255
127.0.0.1
127.0.0.1
20
160.95.1.255
255.255.255.255
160.95.1.1
160.95.1.1
20
160.95.2.0
255.255.255.0
160.95.2.1
160.95.2.1
20
160.95.2.1
255.255.255.255
127.0.0.1
127.0.0.1
20
160.95.2.255
255.255.255.255
160.95.2.1
160.95.2.1
20
160.95.3.0
255.255.255.0
160.95.3.1
160.95.3.1
20
160.95.3.1
255.255.255.255
127.0.0.1
127.0.0.1
20
160.95.3.255
255.255.255.255
160.95.3.1
160.95.3.1
20
Будем считать, что пакеты передает хост А. Его таблица маршрутизации может иметь следующий вид:
Network Destination
Netmask
Gateway
Interface
Metric
0.0.0.0
0.0.0.0
160.95.1.1
160.95.1.10
20
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
160.95.1.0
255.255.255.0
160.95.1.10
160.95.1.10
20
160.95.1.10
255.255.255.255
127.0.0.1
127.0.0.1
20
160.95.1.255
255.255.255.255
160.95.1.10
160.95.1.10
20
224.0.0.0
240.0.0.0
160.95.1.10
160.95.1.10
20
255.255.255.255
255.255.255.255
160.95.1.10
160.95.1.10
1
Проанализируем, каким образом будет происходить передача пакетов от хоста А. Возможны три варианта местонахождения получателя:
1) подсеть 1 (хост А → хост В);
2) подсеть 2 или подсеть 3 (хост А → хост С);
3) внешняя сеть (хост А → Интернет).
Если узлом назначения является хост В, пакет не должен попадать на маршрутизатор, так как получатель находится в той же сети, что и отправитель. Хост А ищет в своей таблице маршрутизации подходящий маршрут. При этом для каждой строки на адрес назначения (IP хоста В: 160.95.1.11) накладывается маска подсети (операция логического умножения AND) и результат сравнивается с полем Network Destination. Подходящими оказываются два маршрута: 0.0.0.0 и 160.95.1.0. Из них выбирается маршрут с наибольшим числом двоичных единиц1 – 160.95.1.0, т. е. пакет отправляется непосредственно хосту В. IP-адрес хоста В разрешается с помощью протокола ARP в МАС-адрес. В пересылаемом пакете будет указана следующая информация:
IP-адрес отправителя:
160.95.1.10
МАС-адрес отправителя:
01-3E-8F-95-64-10
IP-адрес получателя:
160.95.1.11
МАС-адрес получателя:
01-3E-8F-95-64-11
Предположим теперь, что узел А отправляет пакет узлу С (подсеть 3). Поиск в собственной таблице маршрутизации не дает подходящих результатов, кроме маршрута по умолчанию – 0.0.0.0. Для этого маршрута указан адрес порта маршрутизатора 160.95.1.1 (default gateway – шлюз по умолчанию). Протокол ARP помогает определить МАС-адрес порта. Именно на него отправляется пакет сначала, причем указывается IP-адрес конечного получателя (узла С):
IP-адрес отправителя:
160.95.1.10
МАС-адрес отправителя:
01-3E-8F-95-64-10
IP-адрес получателя:
160.95.3.20
МАС-адрес получателя:
01-3E-8F-48-54-01
Модуль маршрутизации Windows Server 2003 анализирует полученный пакет, выделяет из него адрес узла С, осуществляет поиск в своей таблице маршрутизации (поиск происходит так же, как на хосте А). Находятся две подходящие записи: 160.95.3.0 и 0.0.0.0. Выбирается первый маршрут, так как в нем больше двоичных единиц. Пакет в подсеть 3 отправляется с порта 160.95.3.1:
IP-адрес отправителя:
160.95.1.10
МАС-адрес отправителя:
01-3E-8F-48-54-03
IP-адрес получателя:
160.95.3.20
МАС-адрес получателя:
01-3E-8F-95-64-20
Наконец, в случае, когда хост А осуществляет передачу во внешнюю сеть, пакет сначала попадает на маршрутизатор. Поиск в таблице маршрутизации дает единственный подходящий результат: 0.0.0.0. Поэтому пакет отправляется на порт внешнего маршрутизатора 160.95.0.2. Дальнейшее продвижение пакета выполняют маршрутизаторы Интернета.
Создание таблиц маршрутизации
Для построения таблиц маршрутизации существует два метода: статический и динамический. Статический метод заключается в том, что администратор вручную создает и удаляет записи в таблице. В состав операционной системы Windows Server 2003 входит утилита route. Она может использоваться с четырьмя командами:
• print – печать текущего содержимого таблицы;
• add – добавление новой записи;
• delete – удаление устаревшей записи;
• change – редактирование существующей записи.
Запись должна определяться следующим образом:
<destination> MASK <netmask> <gateway> METRIC <metric> IF <interface>
Например:
route add 160.95.1.0 mask 255.255.255.0 160.95.1.1 metric 20 IF 1
Кроме того, можно использовать два ключа:
-f – удаление из таблицы всех записей, кроме записей по умолчанию;
-р – создание постоянной записи (т. е. не исчезающей после перезагрузки). По умолчанию создаются временные записи.
Достоинством статического метода является простота. С другой стороны, для сетей с быстро меняющейся конфигурацией этот метод не подходит, так как администратор может не успевать отслеживать все изменения. В этом случае применяют динамический метод построения таблицы маршрутизации, основанный на протоколах маршрутизации. В Windows Server 2003 реализовано два таких протокола – RIP и OSPF.
Протокол маршрутизации RIP
Маршрутизаторы, работающие по протоколу RIP (Routing Information Protocol – протокол маршрутной информации), обмениваются содержимым своих таблиц путем групповых рассылок через каждые 30 секунд. Если за 3 минуты не получено никаких сообщений от соседнего маршрутизатора, линия связи между маршрутизаторами считается недоступной. Максимальное число маршрутизаторов, определенное в протоколе RIP, – 15. Узлы, находящиеся на большем расстоянии, считаются недоступными.
Так как обмен происходит целыми таблицами, при увеличении числа маршрутизаторов объем трафика сильно возрастает. Поэтому протокол RIP не применяется в крупных сетях.
В Windows Server 2003 реализована вторая версия протокола – RIP v2 (см. RFC 1723).
Протокол маршрутизации OSPF
Протокол OSPF (Open Shortest Path First – первыми открываются кратчайшие маршруты, описан в RFC 2328) в отличие от RIP может применяться в крупных сетях, так как, во-первых, в процессе обмена информацией о маршрутах передаются не таблицы маршрутизации целиком, а лишь их изменения. Во-вторых, в таблице содержится информация не о всей сети, а лишь о некоторой её области. Если адрес назначения отсутствует в таблице, пакет направляется на специальный пограничный маршрутизатор, находящийся между областями.
Своё название протокол OSPF получил по алгоритму Дейкстры, лежащему в основе протокола и позволяющему найти наиболее короткий маршрут между двумя узлами сети.
Резюме
Задача маршрутизации заключается в определении оптимального пути передачи сообщения в составных сетях с меняющейся топологией. В сетях TCP/IP эту задачу решают маршрутизаторы на основе таблиц маршрутизации. В таблицы маршрутизации входит информация о номерах и масках подсетей назначения, адресах шлюзов и собственных портов маршрутизатора, а также о метриках. Решение о передаче пакета на тот или иной порт принимается на основании совпадения адреса назначения из пакета с адресом из таблицы, при этом оптимальный маршрут выбирается на основе метрики. Для адресов, отсутствующих в таблице, применяется специальный адрес – адрес шлюза по умолчанию.
Для создания таблиц маршрутизации в Windows Server 2003 используют два метода – статический, с помощью утилиты route, и динамический, с применением протоколов маршрутизации RIP и OSPF,
Контрольные вопросы
1. В чем заключается задача маршрутизации?
2. Для чего нужна таблица маршрутизации?
3. Назовите основные поля в таблице маршрутизации.
4. Что такое default gateway?
5. Перечислите ключи утилиты route.
6. Назовите преимущества и недостатки протокола RIP.
7. Назовите преимущества и недостатки протокола OSPF.
Лекция 5. Имена в TCP/IP
План лекции
• Необходимость применения символьных имен.
• Система доменных имен.
• Процесс разрешения имен.
• Записи о ресурсах.
• Утилита NSLOOKUP.
• Имена NetBIOS и служба WINS.
• Резюме.
• Контрольные вопросы.
Необходимость применения символьных имен
Как отмечалось в лекции 3, в стеке протоколов TCP/IP используются три типа адресов – аппаратные, IP-адреса и символьные доменные имена. Аппаратные адреса служат для адресации на канальном уровне. IP-адреса применяются на сетевом уровне, с их помощью можно построить большую составную сеть, например Интернет. Доменные имена кажутся в этом ряду необязательными; действительно, сеть будет работать и без них. Однако человеку-пользователю сети неудобно запоминать числовые IP-адреса, ассоциируя их с конкретными сетевыми объектами. Мы привыкли к символьным именам, и именно поэтому в стек TCP/IP была введена система доменных имен DNS (Domain Name System). Она описывается в RFC 1034 и RFC 1035. Полное название доменных имен – FQDN (Fully Qualified Domain Name – полностью определенное имя домена).
Кроме DNS-имен Windows Server 2003 поддерживает символьные имена NetBIOS (о них, а также о службе WINS, предназначенной для преобразования NetBIOS-имен в IP-адреса, рассказывается в конце этой лекции).
Система доменных имен
Система DNS основана на иерархической древовидной структуре, называемой пространством доменных имен. Доменом является каждый узел и лист этой структуры. На рис. 5.1 приведен фрагмент пространства доменных имен Интернета.
Самый верхний домен называется корневым (root domain). Корневой домен как реальный узел не существует, он исполняет роль вершины дерева. Непосредственные его потомки (поддомены) – домены первого уровня TLD (Top-Level Domain – домены верхнего уровня). Их можно разделить на три группы (см. Приложение II):
• .arpa – особый домен, используемый для преобразования IP‑адресов в доменные имена (обратное преобразование). Содержит единственный дочерний домен – in-addr;
• домены организаций – .com (коммерческие организации), .org (некоммерческие организации), .edu (образовательные учреждения) и т. д.;
• домены стран (географические домены) – .ru (Россия), .fr (Франция), .de (Германия) и т. д.
Рис. 5.1. Фрагмент пространства доменных имен Интернета
Домены первого уровня включают только домены второго уровня, записи об отдельных хостах могут содержаться в доменах, начиная со второго уровня.
Созданием и управлением доменами первого уровня с 1998 года занимается международная некоммерческая организация ICANN (Internet Corporation for Assigned Names and Numbers – Корпорация Интернет по присвоению имен и адресов, www.icann.org). Домены второго уровня, находящиеся в географических доменах, распределяются специальными национальными организациями, которым ICANN передало полномочия в этом вопросе. Управлением доменами третьего и следующего уровней занимаются владельцы соответствующих доменов второго уровня.
Полностью определенное доменное имя FQDN записывается следующим образом. Сначала идет имя хоста (лист в дереве пространства имен), затем через точку следует DNS-суффикс – последовательность доменных имен всех уровней до первого включительно. Запись оканчивается точкой, после которой подразумевается корневой домен. Пример FQDN для хоста www домена vshu:
www.vshu.kirov.ru.
В этой записи www – имя хоста, vshu.kirov.ru. – DNS-суффикс. Точку в конце FQDN обычно можно опускать.
Служба DNS
Пользователь работает с доменными именами, компьютеры пересылают пакеты, пользуясь IP-адресами. Для согласования двух систем адресаций необходима специальная служба, которая занимается переводом доменного имени в IP-адрес и обратно. Такая служба в TCP/IP называется Domain Name Service – служба доменных имен (аббревиатура DNS совпадает с аббревиатурой системы доменных имен). Процесс преобразования доменного имени в IP-адрес называется разрешением доменного имени.
В те времена, когда в сети ARPANET было несколько десятков компьютеров, задача преобразования символьного имени в IP-адрес решалась просто – создавался текстовый файл hosts, в котором хранились соответствия IP-адреса символьному имени. Этот файл должен был присутствовать на всех узлах сети. По мере увеличения числа узлов объем файла стал слишком большим, кроме того, администраторы не успевали отслеживать все изменения, происходящие в сети. Потребовалась автоматизация процесса разрешения имен, которую взяла на себя служба DNS.
Служба доменных имен поддерживает распределенную базу данных, которая хранится на специальных компьютерах – DNS-серверах. Термин «распределенная» означает, что вся информация не хранится в одном месте, её части распределены по отдельным DNS-серверам. Например, за домены первого уровня отвечают 13 корневых серверов, имеющих имена от A.ROOT-SERVERS.NET до M.ROOT-SERVERS.NET, расположенных по всему миру (большинство в США).
Такие части пространства имен называются зонами (zone). Пространство имен делится на зоны исходя из удобства администрирования. Одна зона может содержать несколько доменов, так же как информация о домене может быть рассредоточена по нескольким зонам. На DNS-сервере могут храниться несколько зон. В целях повышения надежности и производительности зона может быть размещена одновременно на нескольких серверах, в этом случае один из серверов является главным и хранит основную копию зоны (primary zone), остальные серверы являются дополнительными, на них содержатся вспомогательные копии зоны (secondary zone).
Для преобразования IP-адресов в доменные имена существуют зоны обратного преобразования (reverse lookup zone). На верхнем уровне пространства имен Интернета этим зонам соответствует домен in-addr.arpa. Поддомены этого домена формируются из IP-адресов, как показано на рис. 5.2.
Рис. 5.2. Формирование поддоменов домена arpa
Следуя правилам формирования DNS-имен, зона обратного преобразования, соответствующая подсети 156.98.10.0, будет называться
10.98.156.in-addr.arpa.
Процесс разрешения имен
Служба DNS построена по модели «клиент-сервер», т. е. в процессе разрешения имен участвуют DNS-клиент и DNS-серверы. Системный компонент DNS-клиента, называемый DNS-распознавателем, отправляет запросы на DNS-серверы. Запросы бывают двух видов:
• итеративные – DNS-клиент обращается к DNS-серверу с просьбой разрешить имя без обращения к другим DNS-серверам;
• рекурсивные – DNS-клиент перекладывает всю работу по разрешению имени на DNS-сервер. Если запрашиваемое имя отсутствует в базе данных и в кэше сервера, он отправляет итеративные запросы на другие DNS-серверы.
В основном DNS-клиентами используются рекурсивные запросы.
На рис. 5.3 проиллюстрирован процесс разрешения доменного имени с помощью рекурсивного запроса.
Рис. 5.3. Процесс обработки рекурсивного DNS-запроса
Сначала DNS-клиент осуществляет поиск в собственном локальном кэше DNS-имен. Это память для временного хранения ранее разрешенных запросов. В эту же память переносится содержимое файла HOSTS (каталог windows/system32/drivers/etc). Утилита IPconfig с ключом /displaydns отображает содержимое DNS-кэша.
Если кэш не содержит требуемой информации, DNS-клиент обращается с рекурсивным запросом к предпочитаемому DNS-серверу (Preferred DNS server), адрес которого указывается при настройке стека TCP/IP. DNS-сервер просматривает собственную базу данных, а также кэш-память, в которой хранятся ответы на предыдущие запросы, отсутствующие в базе данных. В том случае, если запрашиваемое доменное имя не найдено, DNS-сервер осуществляет итеративные запросы к DNS-серверам верхних уровней, начиная с корневого DNS-сервера.
Рассмотрим процесс разрешения доменного имени на примере. Пусть, требуется разрешить имя www.microsoft.com. Корневой домен содержит информацию о DNS-сервере, содержащем зону .com. Следующий запрос происходит к этому серверу, на котором хранятся данные о всех поддоменах зоны .com, в том числе о домене microsoft и его DNS-сервере. Сервер зоны microsoft.com может непосредственно разрешить имя www.microsoft.com в IP-адрес.
Иногда оказывается, что предпочитаемый DNS-сервер недоступен. Тогда происходит запрос по той же схеме к альтернативному DNS-серверу, если, конечно, при настройке стека TCP/IP был указан его адрес.
Записи о ресурсах
База данных DNS-сервера содержит записи о ресурсах (resource record), в которых содержится информация, необходимая для разрешения доменных имен и правильного функционирования службы DNS. Существует более 20 типов записей о ресурсах, приведем самые важные:
• А (Host Address – адрес хоста) – основная запись, используемая для непосредственного преобразования доменного имени в IP‑адрес;
• CNAME (Canonical Name – псевдоним) – запись определяет псевдоним хоста и позволяет обращаться по разным именам (псевдонимам) к одному и тому же IP-адресу;
• MX (Mail Exchanger – почтовый обменник) – запись для установления соответствия имени почтового сервера IP-адресу;
• NS (Name Server – сервер имен) – запись для установления соответствия имени DNS-сервера IP-адресу;
• PTR (Pointer – указатель) – запись для обратного преобразования IP-адреса в доменное имя;
• SOA (Start Of Authority – начало авторизации) – запись для определения DNS-сервера, который хранит основную копию зоны;
• SRV (Service Locator – определитель служб) – запись для определения серверов некоторых служб (например, POP3, SMTP, LDAP).
Утилита NSLOOKUP
Утилита nslookup используется для проверки способности DNS‑серверов выполнять разрешение имен. Утилита может работать в двух режимах:
• режим командной строки – обычный режим запуска утилит командной строки. Утилита nslookup выполняется в этом режиме, если указан какой-либо ключ;
• интерактивный режим – в этом режиме возможен ввод команд и ключей утилиты без повторения ввода имени утилиты.
Команды утилиты nslookup:
• help или ? – вывод справки о командах и параметрах утилиты;
• set – установка параметров работы утилиты;
• server <имя> – установка сервера по умолчанию (Default Server), используемого утилитой, с помощью текущего сервера по умолчанию;
• lserver <имя> – установка сервера по умолчанию утилиты с помощью первоначального;
• root – установка сервера по умолчанию утилиты на корневой сервер;
• ls <домен> – вывод информации о соответствии доменных имен IP-адресам для заданного домена;
• exit – выход из интерактивного режима.
Имена NetBIOS и служба WINS
Протокол NetBIOS (Network Basic Input Output System – сетевая базовая система ввода-вывода) был разработан в 1984 году для корпорации IBM как сетевое дополнение стандартной BIOS на компьютерах IBM PC. В операционных системах Microsoft Windows NT, а также в Windows 98, протокол и имена NetBIOS являлись основными сетевыми компонентами. Начиная с Windows 2000, операционные системы Microsoft ориентируются на глобальную сеть Интернет, в связи с чем фундаментом сетевых решений стали протоколы TCP/IP и доменные имена.
Однако поддержка имен NetBIOS осталась и в операционной системе Windows Server 2003. Обусловлено это тем, что функционирование в сети таких операционных систем, как Windows NT и Windows 98, невозможно без NetBIOS.
Система имен NetBIOS представляет собой простое неиерархическое пространство, т. е. в имени NetBIOS отсутствует структура, деление на уровни, как в DNS-именах. Длина имени не более 15 символов (плюс один служебный).
Для преобразования NetBIOS-имен в IP-адреса в операционной системе Windows Server 2003 используется служба WINS – Windows Internet Naming Service (служба имен в Интернете для Windows). Служба WINS работает, как и служба DNS, по модели «клиент-сервер». WINS-клиенты используют WINS-сервер для регистрации своего NetBIOS-имени и преобразования неизвестного NetBIOS-имени в IP-адрес. Функции сервера NetBIOS-имен описаны в RFC 1001 и 1002.
Резюме
Символьные доменные имена введены в стек протоколов TCP/IP для удобства работы пользователей в сети. Доменные имена упорядочены иерархическую систему DNS, представляющую собой дерево доменов. Имеется единственный корневой домен, домены первого уровня делятся на три группы: по организационному признаку, по географическому признаку и специальный домен arpa, служащий для обратного преобразования IP‑адресов.
Для преобразования доменных имен в IP-адреса в сетях TCP/IP функционирует служба DNS. Разрешение имен осуществляется при помощи локальных баз данных и запросов к DNS-серверам. Запросы бывают двух видов – итеративные и рекурсивные. Итеративный запрос к DNS-серверу предполагает, что сервер будет осуществлять поиск только в своей базе данных. Рекурсивный запрос требует, чтобы DNS-сервер кроме поиска в локальной базе данных отправлял запросы на другие серверы.
Для диагностики работы службы DNS предназначена утилита nslookup.
Помимо доменных имен в сетях Microsoft используются имена NetBIOS. Для работы с ними устанавливается служба WINS.
Контрольные вопросы
1. Для чего необходимы доменные имена?
2. Для чего нужна служба DNS?
3. Что такое корневой домен?
4. Каково было предназначение файла hosts? Используется ли он сегодня?
5. Чем отличается служба DNS от системы DNS?
6. Объясните принцип действия итеративного запроса.
7. Объясните принцип действия рекурсивного запроса.
8. В чем отличие доменных имен от имен NetBIOS?
Лекция 6. Протокол DHCP
План лекции
• Проблема автоматизации распределения IP-адресов.
• Реализация DHCP в Windows.
• Параметры DHCP.
• Адреса для динамической конфигурации.
• DHCP-сообщения.
• Принцип работы DHCP.
• Авторизация DHCP-сервера.
• Резюме.
• Контрольные вопросы.
Проблема автоматизации распределения IP-адресов
Одной из основных задач системного администратора является настройка стека протоколов TCP/IP на всех компьютерах сети. Есть несколько необходимых параметров, которые следует настроить на каждом компьютере, – это IP-адрес, маска подсети, шлюз по умолчанию, IP-адреса DNS-серверов. Назначенные IP-адреса должны быть уникальны. В случае каких-либо изменений (например, изменился IP-адрес DNS сервера или шлюза по умолчанию) их нужно отразить на всех компьютерах. Если какие-либо параметры не указаны или не верны, сеть не будет работать стабильно.
Если в сети менее десяти компьютеров, администратор может успешно справляться с задачей настройки стека TCP/IP вручную, т. е. на каждом компьютере отдельно вводить параметры. IP-адрес, назначенный таким образом, называется статическим. При числе узлов сети более десяти (а многие сети включают десятки и сотни хостов) задача распределения параметров вручную становится трудной или вовсе не выполнимой.
В стеке TCP/IP существует протокол, позволяющий автоматизировать процесс назначения IP-адресов и других сетевых параметров, который называется DHCP – Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста). Использование этого протокола значительно облегчает труд системного администратора по настройке сетей средних и больших размеров. Описание протокола DHCP приводится в документе RFC 2131.
Реализация DHCP в Windows
Протокол DHCP реализуется по модели «клиент-сервер», т. е. в сети должны присутствовать DHCP-сервер (роль которого может исполнять компьютер с операционной системой Windows Server 2003) и DHCP-клиент. На компьютере-сервере хранится база данных с сетевыми параметрами и работает служба DHCP сервера. Компьютер-клиент (точнее, служба клиента DHCP) осуществляет запросы на автоматическую конфигурацию, и DHCP‑сервер при наличии свободных IP-адресов выдает требуемые параметры.
Набор IP-адресов, выделяемых для компьютеров одной физической подсети, называется областью действия (scope). На одном сервере можно создать несколько областей действия. Важно только отслеживать, чтобы области действия не пересекались.
При запросе клиента DHCP-сервер выделяет ему произвольный свободный IP-адрес из области действия совместно с набором дополнительных сетевых параметров. При необходимости некоторые адреса из области действия можно зарезервировать (reserve) за определенным МАС-адресом. В этом случае только компьютеру с этим МАС-адресом (например, DNS-серверу, адрес которого не должен меняться) будет выделяться зарезервированный IP-адрес.
Адреса выделяются клиентам на определенное время, поэтому предоставление адреса называется арендой (lease). Время аренды в Windows Server 2003 может быть от 1 минуты до 999 дней (или неограниченно) и устанавливается администратором.
Параметры DHCP
Основная функция протокола DHCP – предоставление в аренду IP‑адреса. Однако для правильной работы в сети TCP/IP хосту необходим ещё ряд параметров, которые также можно распространять посредством DHCP. Набор параметров указан в RFC 2132.
Перечислим только основные параметры:
• Subnet mask – маска подсети;
• Router – список IP-адресов маршрутизаторов;
• Domain Name Servers – список адресов DNS-серверов;
• DNS Domain Name – DNS-суффикс клиента;
• WINS Server Names – список адресов WINS-серверов;
• Lease Time – срок аренды (в секундах);
• Renewal Time (T1) – период времени, через который клиент начинает продлевать аренду;
• Rebinding Time (T2) – период времени, через который клиент начинает осуществлять широковещательные запросы на продление аренды.
Параметры могут применяться на следующих уровнях:
• уровень сервера;
• уровень области действия;
• уровень класса;
• уровень клиента (для зарезервированных адресов).
Параметры, определенные на нижележащем уровне, перекрывают параметры вышележащего уровня, например параметры клиента имеют больший приоритет, чем параметры сервера. Самый высокий приоритет имеют параметры, настроенные вручную на клиентском компьютере.
Уровень класса используется для объединения клиентов в группы и применения для этой группы отдельных параметров. Отнести клиента к определенному классу можно, применив утилиту IPconfig с ключом /setclassid.
Адреса для динамической конфигурации
При настройке областей действия перед администратором встает вопрос, какой диапазон адресов выбрать для сети своей организации? Ответ зависит от того, подключена ли сеть к Интернету.
Если сеть имеет доступ в Интернет, диапазон адресов назначается провайдером (ISP – Internet Service Provider, поставщик интернет-услуг) таким образом, чтобы обеспечить уникальность адресов в Интернете. Чаще всего бывает так, что провайдер выделяет один или несколько адресов для прямого доступа в Интернет и они присваиваются прокси-серверам, почтовым серверам и другим хостам, которые являются буферными узлами между сетью организации и Интернетом. Большинство остальных хостов получают доступ к интернет-трафику через эти буферные узлы. В этом случае диапазон внутренних адресов организации должен выбираться из множества частных адресов.
Частные адреса (Private addresses), описанные в RFC 1918, специально выделены для применения во внутренних сетях и не могут быть присвоены хостам в Интернете. Существует три диапазона частных адресов:
• ID подсети – 10.0.0.0, маска подсети: 255.0.0.0;
• ID подсети – 172.16.0.0, маска подсети: 255.240.0.0;
• ID подсети – 192.168.0.0, маска подсети: 255.255.0.0.
Внутри этих диапазонов адресов можно организовывать любые возможные подсети.
Если сеть не имеет доступа в Интернет, то теоретически можно выбрать любой диапазон IP-адресов, не учитывая наличия хостов с такими же адресами в Интернете. Однако на практике все равно лучше выбирать адреса из диапазона частных адресов, так как для сети, не имеющей выхода в Интернет, в ближайшем будущем подключение к глобальной сети может оказаться необходимым, и тогда возникнет проблема изменения схемы адресации.
Также следует отметить, что помимо описанных частных адресов существует диапазон автоматических частных адресов APIPA (Automatic Private IP Address): ID подсети – 169.254.0.0, маска подсети: 255.255.0.0. Адрес из этого диапазона выбирается хостом TCP/IP случайно, если отсутствует статический IP-адрес, DHCP-сервер не отвечает, и не указан альтернативный статический адрес. После выбора IP-адреса, хост продолжает посылать запросы DHCP-серверу каждые пять минут.
DHCP-сообщения
Процесс функционирования служб DHCP заключается в обмене сообщениями между сервером и клиентом. Типы DHCP-сообщений приведены в таблице.
Тип сообщения
Направление
Значение
DHCPDISCOVER
(DHCP-обнаружение)
Клиент сервер
Широковещательный запрос для обнаружения DHCP‑сервера
DHCPOFFER
(DHCP-предложение)
Сервер клиент
Ответ на DHCPDISCOVER,
содержит предлагаемые сетевые параметры
DHCPREQUEST
(DHCP-запрос)
Клиент сервер
Запрос предложенных параметров
DHCPACK
(DHCP-подтверждение)
Сервер клиент
Подтверждение сетевых параметров
DHCPNAK
(DHCP-несогласие)
Сервер клиент
Отклонение запроса клиента
DHCPDECLINE
(DHCP-отказ)
Клиент сервер
Отказ клиента от предложенных параметров
DHCPRELEASE
(DHCP-освобождение)
Клиент сервер
Освобождение арендованного
IP-адреса
DHCPINFORM
(DHCP-информация)
Клиент сервер
Запрос дополнительных параметров
Принцип работы DHCP
Диаграмма переходов, иллюстрирующая принципы работы протокола DHCP, приведена на рис. 6.1. На схеме овалами обозначены состояния, в которых может находиться DHCP-клиент. Из одного состояния в другое клиент может переходить только по дугам. Каждая дуга помечена дробью, числитель которой обозначает событие (чаще всего это сообщение от DHCP‑сервера), после которого клиент переходит в соответствующее состояние, а знаменатель описывает действия DHCP-клиента при переходе. Черточка в числителе означает безусловный переход.
Начальное состояние, в котором оказывается служба DHCP-клиента при запуске, – это «Инициализация». Из этого состояния происходит безусловный переход в состояние «Выбор» с рассылкой широковещательного сообщения DHCPDISCOVER. DHCP-серверы (в одной сети их может быть несколько), принимая сообщение, анализируют свою базу данных на предмет наличия свободных IP-адресов. В случае успеха, серверы отправляют сообщение DHCPOFFER, которое помимо IP-адреса содержит дополнительные параметры, призванные помочь клиенту выбрать лучшее предложение.
Рис. 6.1. Принцип работы протокола DHCP
Сделав выбор, клиент посылает широковещательное сообщение DHCPREQUEST, запрашивая предложенный IP-адрес и требуемые параметры (например, маска подсети, шлюз по умолчанию, IP-адреса DNS‑серверов и др.) и переходит в состояние «Запрос». Данное сообщение требуется посылать широковещательно (т. е. оно должно доставляться всем компьютерам подсети), так как DHCP-серверы, предложения которых клиент отклонил, должны знать об отказе.
В состоянии «Запрос» клиент ожидает подтверждение сервера о возможности использования предложенных сетевых параметров. В случае прихода такого подтверждения (сообщение DHCPACK) клиент переходит в состояние «Аренда», одновременно начиная отсчет интервалов времени Т1 и Т2. Если сервер по каким-либо причинам не готов предоставить клиенту предложенный IP-адрес, он посылает сообщение DHCPNAK. Клиент реагирует на это сообщение переходом в исходное состояние «Инициализация», чтобы снова начать процесс получения IP-адреса.
Состояние «Аренда» является основным рабочим состоянием – у клиента присутствуют все необходимые сетевые параметры, и сеть может успешно функционировать.
Через временной интервал Т1 от момента получения аренды (обычно Т1 равно половине общего времени аренды)1 DHCP-клиент переходит в состояние «Обновление» и начинает процесс обновления аренды IP-адреса. Сначала клиент посылает DHCP-серверу сообщение DHCPREQUEST, включающее арендованный IP-адрес. Если DHCP-сервер готов продлить аренду этого адреса, то он отвечает сообщением DHCPACK и клиент возвращается в состояние «Аренда» и заново начинает отсчитывать интервалы Т1 и Т2.
В случае, если в состоянии «Обновление» по истечении интервала времени Т2 (который обычно устанавливается равным 87,5% от общего времени аренды) все ещё не получено подтверждение DHCPACK, клиент переходит в состояние «Широковещательное обновление» с рассылкой широковещательного сообщения DHCPREQUEST. Такая рассылка делается в предположении, что DHCP-сервер поменял свой IP-адрес (или перешел в другую подсеть) и передал свою область действия другому серверу. В этом состоянии получение DHCPACK возвращает клиента в состояние «Аренда» и аренда данного IP-адреса продлевается. Если клиент получает от сервера сообщение DHCPNAK или общее время аренды истекает, то происходит переход в состояние «Инициализация» и клиент снова пытается получить IP‑адрес.
В процессе работы может оказаться, что время аренды не истекло, а служба DHCP-клиента прекратила работу (например, в случае перезагрузки). В этом случае DHCP-клиент начинает работу в состоянии «Инициализация после перезагрузки», рассылает широковещательное сообщение DHCPREQUEST и переходит в состояние «Перезагрузка». В случае подтверждения продления аренды (сообщение DHCPACK от DHCP-сервера) клиент переходит в состояние «Аренда». Иначе (сообщение DHCPNAK) клиент оказывается в состоянии «Инициализация».
Авторизация DHCP-сервера
Неправильное функционирование DHCP-сервера в любой сети может привести к нарушению работы всей сети. Ошибки в настройке могут быть вызваны неправильным планированием, когда в одной подсети оказываются несколько DHCP-серверов, или действиями некомпетентного лица (а возможно, и злоумышленника). Для предотвращения последствий таких действий в Windows Server 2003 предусмотрен механизм авторизации DHCP-серверов. Неавторизованный DHCP-сервер (unauthorized DHCP server) не будет работать в этой операционной системе.
Процедуру авторизации может выполнить только администратор. При этом адрес авторизованного DHCP-сервера регистрируется в каталоге Active Directory (см. лекцию 7). Затем при запуске служба DHCP-сервера проверяет наличие IP-адреса своего компьютера в списке авторизованных DHCP‑серверов Active Directory и только после этого может продолжать свою работу.
Резюме
Существенной проблемой в компьютерных сетях является настройка сетевых параметров на всех узлах сети в условиях большого числа узлов и возможных изменений параметров. В сетях TCP/IP для решения указанной проблемы служит протокол DHCP, обеспечивающий автоматическую настройку сетевых параметров.
Протокол DHCP реализует соответствующая служба, работающая по модели «клиент-сервер». Служба DHCP по запросу клиентов выдает им IP‑адреса из заданного диапазона и другие сетевые параметры в аренду на определенное время. По истечении времени аренды клиенты должны обновлять её.
Наиболее часто в локальных сетях применяются адреса из частных диапазонов, которые не используются в Интернете. В случае, если клиенту не назначен IP-адрес и он не смог получить его самостоятельно у DHCP‑сервера, выбирается случайный автоматический частный адрес из подсети 169.254.0.0/16.
Для предотвращения несанкционированного использования DHCP‑серверов в сетях Active Directory применяется механизм авторизации.
Контрольные вопросы
1. Для решения какой проблемы предназначен протокол DНCP?
2. Что такое область действия?
3. Почему адреса предоставляются в аренду на время, а не навсегда?
4. Перечислите основные параметры DHCP.
5. Назовите диапазоны частных адресов. Для чего они нужны?
6. Поясните значение сообщений DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK.
7. По диаграмме переходов на рис. 6.1 объясните принципы работы DHCP-клиента.
Лекция 7. Служба каталога Active Directory
План лекции
• Понятие Active Directory.
• Структура каталога Active Directory.
• Объекты каталога и их именование.
• Иерархия доменов.
• Доверительные отношения.
• Организационные подразделения.
• Резюме.
• Контрольные вопросы.
Понятие Active Directory
В лекции 6 отмечалось, что в средних и крупных сетях задача настройки параметров протокола TCP/IP является очень сложной для администратора и вручную практически не выполнима. Для решения этой проблемы был разработан протокол DHCP, реализованный посредством службы DHCP.
Однако настройка сетевых параметров – лишь одна из множества задач, встающих перед системным администратором. В частности, в любой сети важнейшей является задача управления её ресурсами (файлами и устройствами, предоставленными в общий доступ), а также компьютерами и пользователями.
Для решения задач управления ресурсами в сетях под управлением Windows Server 2003 применяется служба каталога Active Directory (Активный Каталог). Данная служба обеспечивает доступ к базе данных (каталогу), в которой хранится информация обо всех объектах сети, и позволяет управлять этими объектами.
Группа компьютеров, имеющая общий каталог и единую политику безопасности1, называется доменом (domain). Каждый домен имеет один или несколько серверов, именуемых контроллерами домена (domain controller), на которых хранятся копии каталога.
Перечислим основные преимущества, предоставляемые службой каталога Active Directory:
◦ централизованное управление – если в сети развернута служба Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;
◦ простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;
◦ обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows Server 2003 предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;
◦ масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним. При расширении сети организации служба каталога Active Directory способна наращивать свои возможности – увеличивать размер каталога и число контроллеров домена.
Таким образом, служба каталога Active Directory, подобно службе DHCP, существенно облегчает работу системного администратора по управлению сетевыми объектами. Кроме того, пользователи получают возможность использовать ресурсы сети, не заботясь об их месторасположении, так как все запросы обрабатываются службой Active Directory.
Структура каталога Active Directory
Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.
Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры.
Логическая структура каталога Active Directory представлена на рис. 7.1. Цель такой структуризации – облегчение процесса администрирования.
Рис. 7.1. Логическая структура Active Directory
Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов. Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее в этой лекции.
Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.
Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).
Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Между сайтами, наоборот, установлены более медленные линии связи (рис. 7.2).
Рис. 7.2. Физическая структура Active Directory
Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать.
Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit (рис. 7.3).
Рис. 7.3. Связь логической и физической структур
В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:
◦ раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);
◦ раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;
◦ раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;
◦ раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;
◦ раздел глобального каталога (global catalog partition). Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.
В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:
• раздел домена реплицируется между контроллерами одного домена;
• разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;
• репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.
Объекты каталога и их именование
Объект каталога Active Directory – это элемент, содержащийся в базе данных Active Directory и имеющий набор атрибутов (характеристик). Например, объектом является пользователь, а его атрибутами – имя, фамилия и адрес электронной почты.
Некоторые объекты являются контейнерами. Это означает, что данные объекты могут содержать в своем составе другие объекты. Например, объект домен является контейнером и может включать пользователей, компьютеры, другие домены и т. д.
Каталог Active Directory содержит следующие основные типы объектов, не являющихся контейнерами:
◦ пользователь (user);
◦ группы пользователей (group);
◦ контакты (contact);
◦ компьютеры (computer);
◦ принтеры (printer);
◦ общедоступные папки (shared folder).
В Active Directory для именования объектов используется несколько способов.
Различающееся имя (Distinguished Name, DN) – состоит из нескольких частей, например для пользователя Петрова, принадлежащего к организационному подразделению Teachers домена faculty.ru, различающееся имя выглядит так:
DC = ru, DC = faculty, OU = teachers, CN = users, CN = petrov.
При этом используются следующие сокращения:
◦ DC (Domain Component) – домен;
◦ OU (Organizational Unit) – организационное подразделение;
◦ CN (Common Name) – общее имя.
Различающиеся имена являются уникальными в пределах всего каталога Active Directory. В целях упрощения именования может использоваться относительное различающееся имя (Relative Distinguished Name, RDN). Для приведенного примера это имя CN = petrov. Имя RDN должно быть уникально в рамках объекта-контейнера, т. е. в пределах контейнера CN = users пользователь petrov должен быть единственным.
Основное имя пользователя (User Principal Name, UPN) – используется для входа пользователя в систему и состоит из двух частей: имени учетной записи пользователя и имени домена, к которому принадлежит пользователь. Например: [email protected]
Глобальный уникальный идентификатор (Global Unique Identifier, GUID) – это 128-битовое шестнадцатеричное число, которое ассоциируется с объектом в момент его создания и никогда не меняется. В случае перемещения или переименования объекта его GUID остается прежним.
Иерархия доменов
Домен является основным элементом в логической структуре Active Directory. В рамках домена действуют единые административные полномочия и политика безопасности, применяется общее пространство доменных имен.
Каждый домен имеет по крайней мере один контроллер домена, на котором хранится каталог Active Directory с информацией о домене.
Для организаций со сложной структурой может создаваться иерархия доменов. Первый образованный домен называется корневым (root domain). У него могут быть дочерние домены, имеющие общее пространство доменных имен. В свою очередь, у дочерних доменов могут быть свои домены-потомки. Таким образом, создается иерархия доменов, называемая доменным деревом (domain tree).
Если требуется в рамках одной организации организовать ещё одно пространство имен, то создается отдельное дерево доменов. При этом несколько деревьев, входящих в состав одного каталога Active Directory, образуют лес доменов (forest).
Для именования доменов используются правила, принятые в системе доменных имен DNS. Вследствие этого доменная структура организации может при необходимости (и соблюдении требования уникальности имен) встраиваться в доменную структуру Интернета. Кроме того, для разрешения доменных имен становится возможным использование службы DNS.
На рис. 7.4 приведен фрагмент доменной структуры университета. В данном примере лес состоит из двух деревьев – дерева головной организации (домен univ) и дерева филиала-института (домен institute). Корневой домен головной организации имеет три дочерних домена – rector (ректорат), math (факультет математики), physics (факультет физики). Корневой домен института является родителем для двух доменов – director (руководство института) и chemistry (факультет химии).
Рис. 7.4. Фрагмент возможной доменной структуры вуза
Следуя правилам DNS, полное имя (FQDN) домена rector будет иметь следующий вид: rector.univ, а полное имя домена chemistry: chemistry.institute.
Вопросы планирования доменной структуры рассмотрены в следующей лекции.
Доверительные отношения
Для доступа к ресурсам своего домена пользователю достаточно ввести имя своей учетной записи и пройти процедуры аутентификации и авторизации. Аутентификация (authentication) – это процесс проверки подлинности пользователя, т. е. подтверждение того, что пользователь является тем, за кого себя выдает. Аутентификация в Windows Server 2003 осуществляется путем предъявления системе пароля. В случае успешной аутентификации наступает этап авторизации (authorization) – это определение набора прав, которыми обладает пользователь.
При наличии необходимых прав (подробнее о правах доступа – в следующей лекции) пользователь может получить доступ к любому ресурсу домена. Однако для доступа к ресурсам другого домена между доменами должны быть установлены доверительные отношения (trust relationship).
Существует два вида доверительных отношений: односторонние (one-way trust relationship) и двусторонние (two-way trust relationship). Односторонние доверительные отношения означают, что пользователь одного домена (доверенного, trusted domain) получает доступ к ресурсам другого домена (доверяющего, trusting domain), но обратное неверно (рис. 7.5).
Рис. 7.5. Односторонние доверительные отношения
Иначе говоря, доверяющий домен делегирует право аутентификации пользователей доверенному домену.
Двусторонние доверительные отношения предполагают обоюдный процесс делегирования права аутентификации (рис. 7.6).
Рис. 7.6. Двусторонние доверительные отношения
При создании доменной структуры некоторые доверительные отношения устанавливаются автоматически, другие приходится настраивать вручную.
Перечислим автоматически устанавливаемые двусторонние доверительные отношения:
◦ внутри дерева доменов;
◦ между корневыми доменами деревьев одного леса;
◦ между деревьями одного леса (эти отношения являются следствием доверительных отношений между корневыми доменами деревьев).
В остальных случаях доверительные отношения следует устанавливать вручную (например, между лесами доменов или между лесом и внешним доменом, не принадлежащим этому лесу).
Организационные подразделения
Структурирование сетевых ресурсов организации при помощи доменов не всегда бывает оправданно, так как домен подразумевает достаточно крупную часть сети. Часто для администратора возникает необходимость группировки объектов внутри одного домена. В этом случае следует использовать организационные подразделения (organizational unit).
Организационные подразделения можно использовать в качестве контейнера для следующих объектов:
◦ пользователей;
◦ групп пользователей;
◦ контактов;
◦ компьютеров;
◦ принтеров;
◦ общих папок;
◦ других организационных подразделений.
Объекты группируются с помощью ОП для следующих целей1:
1) управление несколькими объектами как одним целым – для этого используются групповые политики (см. следующую лекцию);
2) делегирование прав администрирования, – например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.
В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики (см. рис. 7.7).
Рис. 7.7. Домен факультета математики
В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).
Резюме
В целях централизованного управления ресурсами сети в операционных системах Microsoft Windows Server 2003 существует служба каталога Active Directory.
Основой логической структуры каталога является домен – это группа компьютеров, имеющая общий каталог и единую политику безопасности. Несколько доменов могут быть объединены в дерево доменов, несколько деревьев составляют лес доменов. Для структуризации объектов внутри домена используются организационные подразделения.
Физическая структура основана на понятии сайта – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Внутри сайта в процессе репликации (копирования изменений в структуре каталога на все контроллеры домена) информация не сжимается, а обмен осуществляется часто, между сайтами репликация происходит редко, а трафик репликации сжимается.
Информация как о логической, так и о физической структурах каталога хранится на контроллере домена в файле Ntds.dit.
Между доменами могут быть установлены доверительные отношения, чтобы пользователи одного домена могли получать доступ к ресурсам другого домена. Доверительные отношения между всеми доменами леса устанавливаются автоматически. В других случаях их следует настраивать вручную.
Контрольные вопросы
1. Какая информация хранится в каталоге Active Directory? Где находится сам каталог?
2. Что такое домен?
3. Чем отличается контроллер домена от других узлов сети?
4. Какова цель логической структуризации каталог Active Directory?
5. По какому принципу следует осуществлять деление на сайты?
6. Для чего нужна репликация?
7. Сколько всего может быть создано глобальных идентификаторов GUID?
8. Чем аутентификация отличается от авторизации?
9. Объясните понятия «доверенный» и «доверяющий» домен. В каком случае один домен может быть доверенным и доверяющим одновременно?
10. Для чего используют организационные подразделения?
Лекция 8. Планирование и управление Active Directory
План лекции
• Планирование Active Directory.
• Планирование логической структуры.
• Планирование физической структуры.
• Учетные записи.
• Группы пользователей.
• Групповые политики.
• Резюме.
• Контрольные вопросы.
Планирование Active Directory
Рассмотренная в предыдущей лекции служба каталога Active Directory играет центральную роль при выполнении задач сетевого администрирования. Успешная работа пользователей сетевых ресурсов, а также служб, реализующих протоколы TCP/IP, зависит от правильного функционирования Active Directory. Поэтому крайне важной становится задача планирования структуры каталога Active Directory. Удачно спроектированный каталог позволит сделать работу сети более эффективной и стабильной, а также намного облегчит труд администратора.
В процессе планирования Active Directory можно выделить два основных этапа (рис. 8.1):
1) планирование логической структуры, включающее проектирование доменов и организационных подразделений, а также проблему именования;
2) планирование физической структуры, состоящее из разделения сети на сайты и размещения контроллеров домена.
Рис. 8.1. Планирование Active Directory
Планирование логической структуры
При планировании доменной структуры нужно определить количество и способ организации доменов. Возможны три варианта: единственный домен, дерево доменов или лес. Критерии выбора следующие.
1. Размер организации – один домен может содержать несколько миллионов пользователей, рекомендуется не превышать 1–2 миллиона, однако организаций с таким количеством пользователей немного, поэтому данный критерий применяется нечасто.
2. Географическое расположение – имеются ли у организации филиалы или отделы, находящиеся на большом расстоянии и связанные с центральным офисом низкоскоростными каналами связи. Наличие таких филиалов при единственном в организации домене, скорее всего, вызовет перегрузку линий связи из-за трафика репликации.
3. Стабильность предприятия – насколько высока подвижность кадрового состава, не планируется ли в ближайшее время разделение предприятия или присоединения новых структур.
4. Потребности в разных доменных именах – в некоторых случаях в рамках одной организации требуются разные доменные имена. Например, в случае создания единой компьютерной сети двух университетов каждый из них, вероятно, захочет иметь свое собственное доменное имя.
5. Способ управления сетью – может быть централизованным и децентрализованным. Централизованный способ предполагает сосредоточение всей административной власти у единого коллектива администраторов и наличие однодоменной модели. При децентрализованном способе полномочия делегируются нескольким слабосвязанным удаленным группам администраторов, управляющих доменами дерева или леса.
6. Единство политики безопасности. Чаще всего политика безопасности в одной организации едина для всех отделов и сотрудников, однако бывают исключения, например, для отдельных цехов завода, работающих на нужды армии.
Исходя из перечисленных критериев, можно выделить те признаки, по которым выбирается вариант с одним доменом:
1) в организации менее миллиона пользователей;
2) отсутствие удаленных филиалов;
3) относительная стабильность структуры организации;
4) отсутствие потребности в разных доменных именах;
5) централизованный способ администрирования;
6) единая политика безопасности.
Отсутствие первых четырех признаков существенно склоняет выбор в пользу многодоменной модели. Последние два признака в меньшей степени должны влиять на выбор, так как задачи делегирования администрирования и разделения политик безопасности можно решить средствами организационных подразделений в рамках одного домена.
При выборе модели с несколькими доменами в большинстве ситуаций нужно использовать дерево доменов. Лес доменов приемлем в том случае, когда две независимые организации хотят иметь общие сетевые ресурсы.
После выбора доменной структуры следует продумать имена для создаваемых доменов. Особенно важно имя корневого домена. Хотя Windows Server 2003 позволяет переименовывать домены (при условии, что в домене нет контроллеров с Windows Server 2000 и Windows NT), делать это нежелательно: выбранное доменное имя уже может быть прочно ассоциировано с организацией.
Правил для выбора доменного имени немного: во-первых, оно должно отражать специфику организации, во-вторых, быть понятным всем пользователям ресурсов домена, а не только администратору и, в-третьих, не должно быть слишком сложным. Например, для обозначения домена университета необязательно называть его vyatka_state_humanitarian_university (хотя это имя отражает специфику организации и является понятным для пользователей, оно слишком сложное). Для имени такого домена достаточно обозначения vshu.
Планирование структуры организационных подразделений в каждом домене является важным шагом. От этой структуры зависит эффективность решения ежедневных административных задач, оптимальность управления объектами сети.
Как отмечалось в предыдущей лекции, ОП применяются в том случае, если для задач управления группой объектов или делегирования административных прав образование новых доменов нецелесообразно.
В связи с тем, что организационные подразделения можно использовать в качестве контейнеров, допускается строить иерархию ОП с несколькими уровнями вложений.
Иерархию можно строить с помощью двух основных подходов: либо следуя организационной структуре предприятия (организационный подход); либо исходя из задач управления сетевыми объектами (административный подход). Оба способа используются на практике, и задача администратора состоит в том, чтобы выяснить, какой из подходов (или их комбинация) применим в данной ситуации.
Иллюстрацией обоих подходов может служить следующий пример. На предприятии имеются три отдела – безопасности, маркетинга и планирования. Требуется спроектировать для данных отделов структуру организационных подразделений (рис. 8.2).
Рис. 8.2. Организационный и административный подходы
к планированию структуры ОП
Применяя организационный подход, следует в структуре ОП отразить структуру предприятия. Таким образом, отделы представляются как организационные подразделения Security, Marketing и Planning. Административный подход во главу угла ставит задачи управления. Допустим, сотрудники отдела безопасности регулярно устанавливают на компьютеры новые приложения, а отделам маркетинга и планирования установка программ должна быть запрещена. Из этих соображений можно отдел безопасности поместить в ОП Install с правом установки программ, а отделы маркетинга и планирования объединить в ОП NotInstall.
Планирование физической структуры
Основная цель планирования физической структуры – оптимизация трафика репликации. Цель достигается путем продуманного расположения сайтов и контроллеров домена.
В принципе та же задача может быть решена с помощью изменения доменной структуры, так как основной объем данных репликации остается в рамках одного домена, междоменный трафик репликации существенно ниже внутридоменного. Однако рекомендуется при планировании иерархии доменов применять критерии, описанные выше, а для оптимизации процесса репликации использовать механизм сайтов.
На начальном этапе следует проанализировать существующую сеть – её структуру, количество пользователей и компьютеров, пропускную способность, колебания трафика. Все эти данные нужно учитывать при планировании. Чем больше пользователей и компьютеров в сети, тем больше объем передаваемой информации при репликации. Линии с большой пропускной способностью могут быть сильно загружены, и большой трафик репликации внесет существенные проблемы, в то время как низкоскоростные каналы, возможно, практически свободны и выдержат дополнительный объем данных репликации.
Во время анализа следует учитывать возможность расширения сети и увеличения числа пользователей. Считается достаточным принимать коэффициент расширения в пределах 30–50 %.
Основной критерий при выделении сайтов – пропускная способность линий связи. Части домена, связанные высокоскоростными линиями, помещаются в один сайт. Если между частями домена имеются каналы с низкой скоростью передачи данных, их следует разместить в разных сайтах. При этом трафик межсайтовой репликации сжимается и его передача происходит во время наименьшей загрузки низкоскоростных линий.
Вопрос о необходимом количестве и размещении контроллеров домена решается тогда, когда известна доменная структура и расположение сайтов. Общее правило таково, что для каждого домена необходимо не менее двух контроллеров (при этом в случае отказа одного из контроллеров второй обеспечит работу сети). Количество контроллеров зависит от числа пользователей (а следовательно, числа обращений на контроллеры домена), принадлежащих данному домену или сайту. Например, если домен включает два сайта, связанных модемной линией, и к одному из сайтов принадлежит всего несколько пользователей, то совсем не обязательно в этом сайте располагать отдельный контроллер домена (при условии, что загрузка модемной линии невысока).
Учетные записи
После реализации спроектированной структуры Active Directory администратор должен добавить в каталог учетные записи всех пользователей системы и назначить каждой из них определенные права. Учетная запись пользователя – это набор атрибутов, сопоставленных с определенным пользователем. Самые важные атрибуты следующие:
• имя учетной записи, с помощью которого пользователь осуществляет вход в систему (в пределах домена должно быть уникально);
• полное имя пользователя;
• пароль;
• группы, в которые входит пользователь;
• права пользователя.
Создав все необходимые учетные записи, администратору следует продумать, какими правами должен обладать тот или иной пользователь. Права пользователя – это список действий, которые может выполнять пользователь. Права бывают следующих видов:
• привилегия (privilege) – право выполнения операций по изменению состояния или параметров системы (например, выключение компьютера или изменение системного времени);
• право на вход в систему (logon right);
• разрешение доступа (access permission) – право осуществления действий с файлами, папками, принтерами, объектами Active Directory, реестром (при условии, что используется файловая система NTFS).
Более подробно виды прав пользователя описаны в Приложении III.
При условии, что пользователей порядка десяти человек, определить необходимые права можно достаточно просто. Однако гораздо чаще на практике встречаются сети с сотнями и тысячами учетных записей. В таких масштабах задача распределения прав отдельным пользователям становится невыполнимой. В этом случае на помощь администратору приходит механизм групп пользователей.
Группы пользователей
Группа пользователей (группа безопасности, Security Group) – это объединение учетных записей пользователей, которому можно назначать права1. С использованием групп распределение прав осуществляется следующим образом. Сначала выбираются такие пользователи, список прав которых должен быть одинаковым. Затем создается группа, членами которой являются выбранные пользователи. Требуемые права назначаются уже не отдельным пользователям, а группе, и эти права автоматически распространяются на всех пользователей группы.
Следует отметить, что группы пользователей и организационные подразделения представляют собой разные механизмы, предназначенные для разных целей. Создание групп безопасности преследует цель распределения прав доступа к ресурсам пользователям сети, в то время как основное назначение организационных подразделений – управление пользователями (а также компьютерами) (см. рис. 8.3).
Рис. 8.3. Использование ОП и групп безопасности
Группы пользователей различаются по области действия. Выделяют три области действия:
• доменную локальную (domain local scope);
• глобальную (global scope);
• универсальную (universal scope).
Доменные локальные группы действуют в рамках только своего домена. За его пределами указывать локальную доменную группу нельзя. Такие группы обычно применяются для управления доступом к файлам, общим папкам и принтерам.
Глобальные группы могут использоваться в рамках всего леса доменов. Однако глобальная группа принадлежит определенному домену, и в её состав могут входить только объекты этого домена. Применяются глобальные группы в том случае, если пользователям одного домена нужно получить доступ к ресурсам другого домена.
Универсальные группы привязаны к корневому домену леса, но в их состав могут входить пользователи любого домена. Чаще всего универсальные группы используются для объединения глобальных групп.
Групповые политики
В заключение лекции рассмотрим один из наиболее эффективных и удобных инструментов администрирования – групповые политики.
Групповые политики1 (group policy) – это способ автоматизации работы по настройке рабочих столов пользователей и параметров компьютеров. Групповые политики представляют собой наборы правил конфигурирования, применяемых к компьютеру или пользователю. Каждый такой набор правил называется объектом групповой политики (Group Policy Object, GPO).
Один или несколько объектов групповой политики могут применяться к трем видам объединений:
• сайтам;
• доменам;
• организационным подразделениям.
Кроме того, для каждого компьютера может быть определен объект локальной групповой политики (Local Group Policy Object, LGPO).
Объекты групповых политик являются наследуемыми. Это означает, например, что GPO, применяемый к домену, наследуется всеми его организационными подразделениями. В том случае, если правила одного объекта групповой политики конфликтуют с правилами другого, наибольший приоритет имеет GPO организационного подразделения, ниже по уровню GPO домена, затем следует GPO сайта, наименьший приоритет у LGPO.
Приведем краткий обзор возможностей, предоставляемых групповыми политиками (рис. 8.4).
Рис. 8.4. Пример объекта групповой политики
Объект групповой политики содержит две основные части:
• Конфигурация компьютера (Computer Configuration);
• Конфигурация пользователя (User Configuration).
Каждая из частей включает три раздела:
• Настройки приложений (Software Settings);
• Настройки Windows (Windows Settings);
• Административные шаблоны (Administrative Templates).
В разделе Настройки приложений находится подраздел Установка приложений (Software Installation), позволяющий автоматически устанавливать выбранные программы на компьютеры пользователей.
Правила, создаваемые в разделе Настройки Windows, позволяют:
• выполнять задаваемые сценарии (Scripts) при включении-выключении компьютера, при входе пользователя в систему и выходе из неё;
• настраивать параметры безопасности (Security Settings) компьютера и пользователя (требования к паролям, доступ к реестру, политику аудита событий);
• конфигурировать Internet Explorer (Internet Explorer Maintenance);
• изменять места расположения папок пользователей (Folder Redirection).
Раздел Административные шаблоны предназначен для настройки рабочего стола пользователя, ограничения доступа к системным компонентам и компонентам приложений.
Таким образом, Windows Server 2003 предоставляет мощный набор инструментов администрирования, способствующий эффективному управлению сети любой организации.
Резюме
При развертывании службы каталога Active Directory на первый план выходит задача планирования его структуры, от успешности решения которой зависит эффективность и стабильность работы сети. В процессе проектирования выделяют два этапа – планирование логической структуры и планирование физической структуры.
В ходе планирования логической структуры следует определиться с количеством доменов и способом их организации – одиночный домен, доменное дерево или лес. Затем нужно выбрать имена для созданных доменов и построить иерархию организационных подразделений.
Основной целью планирования физической структуры является оптимизации трафика репликации. На этом этапе в сети выделяют сайты и определяют количество и размещение контроллеров домена.
После проектирования и реализации структуры каталога должны быть созданы учетные записи пользователей и определены их привилегии. Задача управления пользователями решается при помощи групп безопасности организационных подразделений и групповых политик. Группы безопасности служат для объединения тех пользователей, которые имеют одинаковые разрешения доступа к ресурсам сети. Организационные подразделения создаются для удобства управления пользователями. Управление осуществляется с использованием групповых политик, включающих множество настроек, облегчающих процесс администрирования.
Контрольные вопросы
1. В чем цель планирования логической структуры каталога?
2. В чем цель планирования физической структуры каталога?
3. Назовите признаки, по которым следует осуществлять выбор многодоменной модели?
4. Какой подход предпочтительнее при проектировании структуры организационных подразделений: организационный или административный?
5. Каким образом деление на сайты влияет на процесс репликации?
6. Как выбираются число и расположение контроллеров домена?
7. Чем отличаются организационные подразделения и группы безопасности?
8. Назовите основные элементы объектов групповых политик.
Лекция 9. Средства обеспечения безопасности
План лекции
• Средства сетевой безопасности Windows Server 2003.
• Протокол аутентификации Kerberos.
• Термины, используемые в протоколе Kerberos.
• Основные этапы аутентификации.
• Этап регистрации клиента.
• Этап получения сеансового билета.
• Этап доступа к серверу.
• Протокол IPsec.
• Функции протокола IPsec.
• Протоколы AH и ESP.
• Протокол IKE.
• Резюме.
• Контрольные вопросы.
Средства сетевой безопасности Windows Server 2003
Для обеспечения безопасности сетевого соединения в целом требуется обеспечить безопасность двух важнейших процессов:
• процесса аутентификации при установке соединения;
• процесса передачи данных.
Основной метод аутентификации в Windows Server 2003 – это протокол Kerberos v5. Также поддерживается протокол NTLM (NT LAN Manager), который был основным в операционной системе Windows NT и остался в Windows Server 2003 для совместимости со старыми версиями. В лекции будет подробно рассмотрен протокол Kerberos v5.
Для защищенной передачи сообщений наиболее надежным и перспективным считается протокол IPsec. В нем используется криптостойкое шифрование, а также собственные методы аутентификации и проверки целостности передаваемых данных. Этот протокол рассматривается во второй части лекции.
Протокол аутентификации Kerberos
Протокол аутентификации Kerberos разработан в начале 80-х годов в Массачусетском технологическом институте (Massachusetts Institute of Technology, MIT). Описан в RFC 1510. По-русски Kerberos – это Цербер, трехглавый пес, охраняющий вход в царство мертвых в древнегреческой мифологии.
В Windows Server 2003 используется модифицированная пятая версия протокола – Kerberos v5. Для шифрования применяется алгоритм DES (Data Encryption Standard – стандарт шифрования данных). Протокол обеспечивает аутентификацию в открытых сетях, т. е. там, где передаваемые пакеты могут быть перехвачены и изменены. Преимуществом протокола Kerberos по сравнению с протоколом NTLM является то, что в процессе аутентификации сервер не только удостоверяет подлинность клиента, но и по требованию клиента подтверждает свою достоверность. Ещё одно преимущество – время аутентификации при использовании Kerberos меньше, чем в случае применения NTLM.
Термины, используемые в протоколе Kerberos
Рассмотрим основные термины, используемые при описании протокола Kerberos.
Понятия аутентификации и авторизации рассматривались в лекции 7, в разделе «Доверительные отношения».
Шифрование (encryption) – процесс преобразования данных в такую форму, которая не может быть прочитана без процесса расшифрования. Шифрование осуществляется с применением шифрующего ключа (encryption key), расшифрование использует расшифровывающий ключ (decryption key).
В симметричных методах шифрования, к которым относится алгоритм DES, шифрующий и расшифровывающий ключи совпадают и такой единый ключ называется секретным ключом (secret key). Секретный ключ пользователя получается путем хеширования его пароля.
Хеширование (hashing) обозначает такое преобразование исходной последовательности данных, результат которого – хеш (hash), в отличие от результата шифрования, не может быть преобразован обратно в исходную последовательность. Это преобразование может осуществляться с помощью некоторого ключа. Хеширование часто применяют для проверки знания участниками соединения общего секретного ключа. При этом источник вычисляет хеш некоторого блока данных с использованием секретного ключа и отправляет эти данные совместно с хешем. Приемник также вычисляет хеш блока данных, и при условии совпадения ключей значения хешей должны быть равны.
Сеанс (session) – это период непрерывного соединения между двумя узлами (например, клиентом и сервером). В начале сеанса требуется пройти процедуру аутентификации. Соединение в течение сеанса осуществляется с использованием сеансового ключа.
Сеансовый ключ (session key) – секретный ключ, служащий для шифрования всех сообщений между участниками сеанса. Очевидно, должен быть известен всем участникам сеанса.
В протоколе Kerberos существует три основных участника сеансов – клиент, сервер и посредник.
Клиент – компьютер (пользователь, программа), желающий получить доступ к ресурсам сервера. Предварительно клиент должен пройти процедуры аутентификации и авторизации, используя свое удостоверение.
Сервер – компьютер (программа), предоставляющий ресурсы авторизованным клиентам.
Посредник – это специальный физически защищенный сервер, на котором работают две службы1 – центр распространения ключей (Key Distribution Center, KDC) и служба предоставления билетов (Ticket Granting Service, TGS). В сетях Active Directory этим сервером является контроллер домена.
Центр распространения ключей KDC хранит секретные ключи всех клиентов и серверов и по запросу аутентифицированного клиента выдает ему удостоверение.
Служба предоставления билетов TGS выдает сеансовые билеты, позволяющие пользователям проверять подлинность серверов.
Удостоверения (credentials) – специальные сетевые пакеты, используемые для взаимной идентификации клиента и сервера. Удостоверения бывают двух видов: билеты (tickets) и аутентификаторы (authenticators).
Билет (ticket) – специальный пакет, удостоверяющий подлинность своего владельца. В состав билета входят имя владельца, сеансовый ключ и другие параметры. Период действия билета ограничен параметром, который называется время жизни (lifetime). По умолчанию время жизни равно 5 минутам.
Существует два типа билетов: билеты TGT (Ticket-Granting Ticket – билеты на выдачу билетов) и сеансовые билеты (session ticket).
Билет TGT содержит учетные данные, выдаваемые пользователю центром распределения ключей KDC при входе пользователя в систему.
Сеансовый билет требуется для установления сеанса соединения клиента с сервером.
Аутентификатор (authenticator) – это пакет, доказывающий, что клиент действительно является обладателем секретного ключа.
Приведенные выше термины сведены в схему на рис. 9.1.
Рис. 9.1. Термины, используемые при описании протокола Kerberos
Для дальнейшего изложения введем обозначения, представленные в таблице.
Обозначение
Комментарий
AC
Аутентификатор клиента
AS
Аутентификатор сервера
KC
Секретный ключ клиента
KS
Секретный ключ сервера
{X}K
Сообщение Х, зашифрованное ключом К
{AC}KC
Аутентификатор клиента, зашифрованный секретным ключом клиента
КA,B
Сеансовый ключ для соединения узлов А и В
KC,TGS
Сеансовый ключ для соединения клиента и службы TGS
TGT
Билет TGT
TC,S
Сеансовый билет для соединения клиента и сервера
N
Имя клиента
S
Имя сервера
t
Момент времени отправки сообщения
Основные этапы аутентификации
Клиенту для получения доступа к ресурсам сервера предварительно требуется пройти проверку подлинности, т. е. аутентифицироваться. Процедура аутентификации состоит из трех основных этапов (рис. 9.2):
1) регистрация клиента;
2) получение сеансового билета;
3) доступ к серверу.
Рис. 9.2. Этапы получения клиентом доступа к ресурсам сервера
Рассмотрим эти этапы подробнее.
Этап регистрации клиента
При входе в систему под управлением Windows Server 2003 пользователь вводит имя своей учетной записи, пароль и указывает домен. Пароль при помощи хеширования преобразуется в секретный ключ клиента KC. Точно такой же ключ хранится в центре распределения ключей KDC и сопоставлен с данным пользователем. Клиент создает аутентификатор {AC}KC, зашифрованный с использованием ключа KC, и отсылает его центру распределения ключей (рис. 9.3). Аутентификатор содержит информацию об имени клиента N и время отправки аутентификатора t.
Рис. 9.3. Этап регистрации клиента
Используя свою копию ключа KC, центр распределения ключей пытается расшифровать полученное сообщение. В случае успеха вычисляется разница между временем создания аутентификатора и временем его получения. Если разница не превышает пяти минут1, то клиент считается аутентифицированным и ему высылается следующая информация:
◦ {KC,TGS}KC – сеансовый ключ KC,TGS для связи клиента и службы TGS, зашифрованный ключом KC;
◦ {TGT}KTGS – билет на выдачу билетов TGT, зашифрованный ключом KTGS, известным только службе TGS.
Сеансовый ключ KC,TGS клиент в состоянии расшифровать, используя свой ключ KC, а расшифровка билета TGT клиентом невозможна, так как ключ KTGS ему неизвестен. Билет TGT в зашифрованном виде сохраняется в кэш-память клиента и при необходимости извлекается оттуда.
В дальнейшем клиент будет использовать полученную информацию для запроса полномочий у службы TGS на доступ к конкретному серверу.
В том случае, если аутентификатор не удалось расшифровать или разница по времени превышает пять минут, клиент считается не прошедшим аутентификацию.
Этап получения сеансового билета
Когда клиенту требуется получить доступ к ресурсам некоторого сервера, он обращается к службе предоставления билетов TGS с запросом о выдаче сеансового билета для соединения с данным сервером. В запрос включается следующая информация (рис 9.4):
◦ {AC}KC,TGS – аутентификатор клиента AC, зашифрованный с помощью ключа KC,TGS;
◦ {TGT}KTGS – билет на выдачу билетов TGT, зашифрованный ключом KTGS;
◦ S – информация о сервере, с которым требуется установить соединение;
◦ t – время отправки запроса.
Рис. 9.4. Этап получения сеансового билета
Аутентификатор клиента позволяет службе TGS удостовериться, что клиент является тем, за кого себя выдает. Использование билетов TGT экономит время: служба предоставления ключей TGS не обращается к базе данных центра распределения ключей KDC.
На запрос клиента служба TGS в случае успешной аутентификации отвечает следующей информацией:
◦ {KC,S, t} KC,TGS – сеансовый ключ KC,S для связи клиента с сервером, а также время создания ключа; оба параметра зашифрованы ключом KC,TGS;
◦ {TC,S}KS – сеансовый билет TC,S, зашифрованный при помощи ключа KS, известного только службе TGS и серверу. Сеансовый билет предназначен только серверу, клиент не в состоянии его прочитать.
Сеансовый ключ KC,S генерируется случайным образом, поэтому при каждом новом запросе (даже для связи с одним и тем же сервером) клиент будет получать новые сеансовые ключи. Клиент может расшифровать сеансовый ключ, так как он зашифрован ключом KC,TGS, известным клиенту.
Сеансовый билет TC,S содержит следующие данные:
◦ имя сервера;
◦ имя клиента;
◦ сеансовый ключ;
◦ время начала действия билета;
◦ время окончания действия билета;
◦ список возможных сетевых адресов клиента.
Последний элемент является необязательным и применяется для дополнительной защиты – в этом случае клиенты не могут соединяться с сервером с адресов, не перечисленных в списке.
Сеансовые билеты, полученные клиентом для разных серверов, сохраняются в кэш-памяти. Таким образом, если клиенту требуется получить доступ к какому-либо серверу, сначала осуществляется поиск в кэш-памяти сеансовых билетов для этого сервера. При отсутствии таковых клиент извлекает билет TGT из кэш-памяти и обращается с запросом к службе TGS.
Этап доступа к серверу
Получив сеансовый билет TC,S и сеансовый ключ KC,S, клиент может проходить процедуру аутентификации на требуемом сервере и в случае успешного прохождения начинать обмен данными. Запрос на аутентификацию включает следующие параметры (рис. 9.5):
◦ {AC}KC,S – аутентификатор AC, зашифрованный ключом KC,S. Содержит информацию об имени клиента, времени отправления, а также ключ KC,S;
◦ {TC,S}KS – сеансовый билет, зашифрованный ключом KS.
Рис 9.5. Этап доступа к клиенту
Подлинность клиента удостоверятся следующим образом. В аутентификатор AC клиент записывает ключ KC,S. Сервер, расшифровав сеансовый билет TC,S с помощью своего секретного ключа KS, извлекает из него ключ KC,S и сравнивает с ключом, полученным из аутентификатора. Если ключи совпадают, клиент является подлинным, так как он не мог изменить содержимое сеансового билета TC,S.
Если клиенту требуется подтверждение подлинности сервера, тот отправляет ответ, который содержит аутентификатор сервера AS, включающий параметр времени отправления из аутентификатора клиента АС. Без знания секретного ключа KS извлечь данный параметр из запроса клиента невозможно. Следовательно, если время отправления запроса сервер передал верно, он считается аутентифицированным.
Протокол IPsec
Протокол Kerberos применяется для аутентификации участников соединения. Но и после этапа аутентификации данные, передаваемые по сети, следует защищать. Стандартные протоколы стека TCP/IP, такие, как IP, TCP, UDP, не обладают встроенными средствами защиты. На эту проблему в 1994 году обратил внимание Совет по архитектуре Интернета (Internet Architecture Board, IAB), издав RFC 1636 «Report of IAB Workshop on Security in the Internet Architecture» («Отчет семинара IAB по безопасности в архитектуре Интернета»). Инициированная этим сообщением работа привела к появлению протокола IPsec (IP Security – безопасность IP), описанного в нескольких стандартах RFC (в частности, в RFC 2401-2412). Новая технология безопасности является необходимой частью протокола IPv6, а также может применяется и в сетях IPv4.
Протокол IPsec действует на сетевом уровне модели OSI и может применяться независимо от протоколов верхнего уровня, т. е. прикладной протокол может использовать IPsec, считая, что работает с обычным протоколом IP. При этом данные протоколов верхних уровней упаковываются в пакеты IPsec, которые, в свою очередь, помещаются в пакеты протокола IP.
Функции протокола IPsec
Протокол IPsec обеспечивает наличие следующих функций:
• аутентификация – приемник пакетов в состоянии проверить подлинность их источника;
• целостность – осуществляется контроль того, что данные дойдут до получателя в неизменном виде;
• конфиденциальность – шифрование данных обеспечивает их недоступность для несанкционированного просмотра;
• распределение секретных ключей – для правильной работы протокола IPsec необходимо автоматически обеспечивать источник и приемник пакетов секретными ключами для шифрования и расшифрования данных.
Для реализации представленных функций используются три основных протокола:
• AH (Authentication Header – заголовок аутентификации) обеспечивает целостность и аутентичность;
• ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных) предоставляет функции целостности, аутентичности и конфиденциальности;
• IKE (Internet Key Exchange – обмен ключами Интернета) генерирует и распределяет секретные ключи.
Можно заметить, что протокол ESP имеет схожие функции с протоколом AH. Пересечение функций вызвано тем, что на применение протоколов шифрования во многих странах накладываются определенные ограничения. В связи с этим оба протокола могут применяться независимо, хотя наивысший уровень защиты достигается при их совместном использовании.
На рис. 9.6 представлена структура протокола IPsec и взаимосвязь основных протоколов, входящих в его состав.
Рис. 9.6. Структура протокола IPsec
Протоколы AH и ESP
Протокол AH (описан в RFC 2402) снабжает пакет IPsec своим незашифрованным заголовком, который обеспечивает:
◦ аутентификацию исходных данных;
◦ целостность данных;
◦ защиту от дублирования уже полученных данных.
Первые две функции протокола AH реализуются путем применения алгоритмов хеширования (MD51 или SHA12) к исходным данным. Процедура хеширования осуществляется источником с помощью секретного ключа, который был выдан источнику и приемнику пакета с использованием протокола IKE. Полученное значение хеша помещается в специальное поле заголовка AH. Приемник также осуществляет процедуру хеширования, применяя тот же секретный ключ. В том случае, если вычисленный хеш совпадает с хешем, извлеченным из пакета, данные считаются аутентифицированными и целостными. Иначе пакет в процессе передачи подвергся каким-либо изменениям и не является правильным.
Функция защиты от дублирования уже полученных пакетов осуществляется с помощью поля номера пакета в заголовке AH. В это поле приемник заносит значение счетчика, увеличивающееся при отправке каждого пакета на единицу. Приемник отслеживает номера получаемых пакетов, и, если такой номер совпадает с недавно полученным, пакет отбрасывается.
Протокол ESP (описан в RFC 2406) решает задачи, подобные протоколу AH, – обеспечение аутентификации и целостности исходных данных, а также защиту от дублирования пакетов. Кроме того, протокол ESP предоставляет средства обеспечения конфиденциальности данных при помощи алгоритмов шифрования.
Задачи аутентификации, целостности и защиты от дублирования решаются теми же методами, что и в протоколе AH. Передаваемый пакет, за исключением нескольких служебных полей, шифруется с применением алгоритмов шифрования DES и 3DES (DES с тремя ключами).
Протокол IKE
Управление секретными ключами в протоколе IPsec осуществляется при помощи протокола IKE (описан в RFC 2409). Данный протокол основан на двух протоколах: ISAKMP (Internet Security Association and Key Management Protocol – протокол межсетевой ассоциации защиты и управления ключами) и протоколе определения ключей Оакли (Oakley Key Determination Protocol).
Протокол IKE устанавливает соединение между двумя узлами сети, называемое безопасной ассоциацией (Security Association, SA). Безопасная ассоциация обеспечивает передачу защищенных данных только в одну сторону, поэтому для установки двустороннего соединения требуется определить две безопасные ассоциации. Для аутентификации узлов безопасной ассоциации, согласования между ними методов хеширования и шифрования IKE использует протокол ISAKMP (описан в RFC 2408).
Для генерации и обмена секретными ключами IKE использует протокол определения ключей Оакли (описан в RFC 2412), разработанный на основе метода обмена ключами Диффи-Хэллмена (Diffie-Hellman). В этом методе секретный ключ генерируется на двух узлах путем обмена двумя числами через открытую сеть. При этом перехват чисел не даст информации о ключах.
Резюме
Операционная система Windows Server 2003 предоставляет широкий набор инструментов по обеспечению безопасности в компьютерной сети. Основными инструментами являются протокол аутентификации Kerberos и протокол безопасной передачи данных IPsec.
Протокол Kerberos обеспечивает процесс безопасной аутентификации в открытых сетях, а также предоставляет возможность аутентификации сервера клиентом. Особенностью протокола является то, что в процессе аутентификации участвует кроме клиента и сервера контроллер домена, на котором работают центр распространения ключей и служба предоставления билетов.
Безопасность передачи сообщений в сетях обеспечивается протоколом IPsec. Протокол предоставляет средства аутентификации участников соединения, шифрования сообщений и процедуры обмена секретными ключами. Применение протокола IPsec является обязательным в сетях следующего поколения IPv6, а также может использоваться в современных сетях IPv4.
Контрольные вопросы
1. Безопасность каких основных процессов следует обеспечивать в сетях передачи данных?
2. Что такое сеанс?
3. Что такое хеширование?
4. Каковы функции центра распределения ключей?
5. В чем отличие билетов TGT от сеансовых билетов?
6. Опишите этап регистрации клиента.
7. Назовите основные функции протокола IPsec.
8. Для чего используются протоколы AH и ESP?
Лекция 10. Удаленный доступ и виртуальные частные сети
План лекции
• Удаленный доступ.
• Виды коммутируемых линий.
• Протоколы удаленного доступа.
• Протоколы аутентификации.
• Основные понятия и виды виртуальных частных сетей.
• Протоколы виртуальных частных сетей.
• Протокол RADIUS.
• Резюме.
• Контрольные вопросы.
Удаленный доступ
Компьютерная сеть многих организаций не ограничивается локальной сетью, размещенной в одном или нескольких близко расположенных зданиях. Пользователи могут находиться на большом удалении от основного офиса, например, если филиал находится в другом городе или если сотрудник организации уезжает в командировку в другую страну с ноутбуком.
Возможность использования удаленными пользователями ресурсов локальной сети называется удаленным доступом (remote access). Различают два основных вида удаленного доступа:
• соединение по коммутируемой линии (dial-up connection);
• соединение с использованием виртуальных частных сетей (Virtual Private Networks, VPN).
Оба вида соединений работают по модели «клиент-сервер». Клиент удаленного доступа – это компьютер, который имеет возможность подключаться к удаленному компьютеру и работать с его ресурсами или с ресурсами удаленной сети так же, как с ресурсами своей локальной сети. Единственное отличие удаленной работы от локальной с точки зрения клиента – более низкая скорость соединения. Сервер удаленного доступа (Remote Access Server, RAS) – это компьютер, способный принимать входящие запросы от клиентов удаленного доступа и предоставлять им собственные ресурсы или ресурсы своей локальной сети.
Компьютер с установленной операционной системой Windows Server 2003 может исполнять роль как клиента удаленного доступа, так и сервера. В последнем случае на нем должна быть запущена Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS).
Виды коммутируемых линий
Соединения по коммутируемым линиям могут осуществляться с использованием следующих средств связи.
◦ Телефонные сети – наиболее распространенный и дешевый вариант, хотя и самый медленный (максимальная скорость передачи данных 56,6 кбит/с). Предполагает установку модемов на клиенте и сервере.
◦ Сети ISDN (Integrated Services Digital Network – цифровая сеть с комплексными услугами) обеспечивают скорость передачи данных 128 кбит/с, но их использование дороже, чем использование обычных телефонных сетей.
◦ ATM поверх ADSL – передача трафика АТМ (Asynchronous Transfer Mode – асинхронный режим передачи) посредством линий ADSL (Asymmetric Digital Subscriber Line – асимметричная цифровая абонентская линия). В последнее время технология ADSL получила широкое развитие, так как обеспечивает высокую скорость передачи данных по обычным телефонным линиям, причем предел скорости постоянно увеличивается и составляет уже более 20 Мбит/с для входящего трафика и 1 Мбит/с для исходящего.
Для соединения посредством виртуальных частных сетей компьютер-клиент и компьютер-сервер должны быть подключены к Интернету.
В лекции сначала рассматриваются принципы организации соединений по коммутируемым линиям, затем основные понятия и протоколы виртуальных частных сетей.
Протоколы удаленного доступа
Подключение клиента к серверу удаленного доступа по коммутируемым линиям состоит из следующих основных этапов:
◦ установка соединения;
◦ аутентификация и авторизация клиента удаленного доступа;
◦ сервер удаленного доступа выступает в роли маршрутизатора, предоставляя доступ клиенту к ресурсам локальной сети – серверам баз данных, электронной почты, файловым серверам, принтерам и т. д.
Схема подключения представлена на рис. 10.1.
Рис. 10.1. Удаленный доступ по коммутируемым линиям
Для соединений удаленного доступа по коммутируемым линиям было разработано несколько специальных протоколов. Windows Server 2003 поддерживает два протокола удаленного доступа:
• протокол SLIP (Serial Line Internet Protocol – межсетевой протокол для последовательного канала);
• протокол РРР (Point-to-Point Protocol – протокол соединения «точка-точка»).
Протокол SLIP является одним из старейших протоколов удаленного доступа и предлагает передачу TCP/IP-пакетов без обеспечения безопасности данных и контроля целостности. Протокол описан в RFC 1055. В Windows Server 2003 поддержка протокола SLIP реализована только на уровне клиента.
Протокол РРР предназначен для коммутируемых соединений типа «точка-точка». Это означает, что в протоколе отсутствуют средства адресации, поэтому в процессе связи могут принимать участие только два компьютера – клиент и сервер1.
Протокол РРР, в отличие от SLIP, обеспечивает функции безопасности и контроля ошибок. Описание протокола содержится в RFC 1332, 1661 и 1662.
Соединение «точка-точка» устанавливается в четыре этапа:
1. Настройка параметров канального уровня. Клиент и сервер согласовывают максимальный размер кадра, возможность сжатия, протокол аутентификации и некоторые другие параметры.
2. Аутентификация клиента. Сервер осуществляет аутентификацию и авторизацию клиента на основе протокола, выбранного на предыдущем этапе.
3. Обратный вызов (callback). В целях безопасности может использоваться процедура обратного вызова, когда сервер разрывает соединение с клиентом и сам вызывает его по определенному телефонному номеру.
4. Настройка протоколов верхних уровней. Сервер отправляет клиенту список протоколов верхних уровней, отвечающих за передачу данных, шифрование и сжатие. Клиент выбирает один из подходящих протоколов списка.
Протоколы аутентификации
Важнейшим этапом при установлении соединения удаленного доступа является аутентификация клиента. В большинстве случаев аутентификация осуществляется путем передачи пароля. Данный процесс осложнен отсутствием защиты открытых линий связи, поэтому данные, передаваемые в ходе аутентификации, должны шифроваться.
Разработано несколько протоколов, используемых для аутентификации удаленных клиентов.
◦ PAP (Password Authentication Protocol) – протокол аутентификации по паролю (описан в RFC 1334). Самый простой протокол аутентификации, в котором имя пользователя и пароль передаются открытым, незашифрованным способом. В Windows Server 2003 протокол PAP применяется только в том случае, если клиент удаленного доступа не поддерживает больше никаких протоколов.
◦ CHAP (Challenge Handshake Authentication Protocol) – протокол аутентификации с предварительным согласованием вызова (описан в RFC 1994). В этом протоколе клиент посылает серверу пароль в виде специальной хеш-последовательности, созданной с использованием алгоритма MD-5. Сервер принимает хеш пароля клиента, вычисляет хеш по хранимому у себя паролю и сравнивает обе последовательности. В случае совпадения соединение устанавливается, иначе происходит разрыв. Недостатком является отсутствие взаимной аутентификации, т. е. сервер аутентифицирует клиента, а клиент не получает информации о подлинности сервера.
◦ MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) – реализация протокола CHAP, разработанная Microsoft (описан в RFC 2433). Действует по принципу протокола CHAP, за исключением того, что для хеширования используется алгоритм MD-4, а не MD-5.
◦ MS-CHAP v2 – вторая версия протокола MS-CHAP (описан в RFC 2759). Также применяется алгоритм хеширования MD-4, отличием является требование взаимной аутентификации. Между клиентом и сервером происходит обмен следующими сообщениями:
• сервер отправляет клиенту сообщение, содержащее некоторую последовательность символов, называемую строкой вызова;
• клиент отправляет серверу хеш-последовательность, полученную на основе строки вызова и пароля пользователя, а также свою строку вызова для сервера;
• сервер вычисляет хеш по своей строке вызова и пользовательскому паролю, сравнивает его с полученным хешем от клиента и в случае успеха отправляет хеш, вычисленный на основе своей строки вызова, строки вызова от клиента, имени и пароля пользователя;
• клиент, получая сообщение сервера, вычисляет хеш на основе тех же данных, и в случае совпадения вычисленного хеша с полученным от сервера процесс взаимной аутентификации считается законченным успешно.
◦ EAP (Extensible Authentication Protocol) – расширяемый протокол аутентификации (описан в RFC 2284). Отличается от вышеописанных протоколов тем, что выбор типа аутентификации EAP происходит в процессе соединения. В Windows Server 2003 применяются следующие типы аутентификации EAP: EAP-MD5 CHAP, EAP-TLS (Transport Level Security, безопасность на транспортном уровне), PEAP (Protected EAP, защищенный EAP).
Информацию об именах пользователей-клиентов удаленного доступа серверы могут получать, используя либо каталог Active Directory, либо сервер RADIUS, рассмотренный далее в этой лекции.
Основные понятия и виды виртуальных частных сетей
Соединение посредством коммутируемых линий долгое время оставалось единственным решением проблемы связи локальных сетей с удаленными пользователями. Однако данное решение является довольно дорогим и недостаточно безопасным.
В последние годы стоимость использования каналов связи Интернета стала уменьшаться и скоро стала ниже, чем цена использования коммутируемых линий. Однако при установлении соединения через Интернет серьезной проблемой является обеспечение безопасности, так как сеть является открытой и злоумышленники могут перехватывать пакеты с конфиденциальной информацией. Решением этой проблемы стала технология виртуальных частных сетей.
Виртуальные частные сети (Virtual Private Network, VPN) – это защищенное соединение двух узлов через открытые сети. При этом организуется виртуальный канал, обеспечивающий безопасную передачу информации, а узлы, связанные VPN, могут работать так, как будто соединены напрямую.
Компьютер, инициирующий VPN-соединение, называется VPN‑клиентом. Компьютер, с которым устанавливается соединение, называется VPN-сервером. VPN-магистраль – это последовательность каналов связи открытой сети, через которые проходят пакеты виртуальной частной сети.
Существует два типа VPN-соединений:
• соединение с удаленными пользователями (Remote Access VPN Connection);
• соединение маршрутизаторов (Router-to-Router VPN Connection).
Соединение с удаленными пользователями осуществляется в том случае, если одиночный клиент подключается к локальной сети организации через VPN (рис. 10.2). Другие компьютеры, подключенные к VPN-клиенту, не могут получить доступ к ресурсам локальной сети.
Рис. 10.2. VPN-соединение с удаленным пользователем
Соединение маршрутизаторов устанавливается между двумя локальными сетями, если узлы обоих сетей нуждаются в доступе к ресурсам друг друга (рис. 10.3). При этом один из маршрутизаторов играет роль VPN‑сервера, а другой – VPN-клиента.
Рис. 10.3. VPN-соединение между маршрутизаторами
VPN-соединение возможно не только через Интернет, но и в рамках локальной сети. Например, если нужно организовать безопасный канал связи между двумя отделами или пользователями, недоступный другим подразделениям организации, можно применить один из типов VPN-соединений.
Протоколы виртуальных частных сетей
Безопасность передачи IP-пакетов через Интернет в VPN реализуется с помощью туннелирования. Туннелирование (tunneling) – это процесс включения IP-пакетов в пакеты другого формата, позволяющий передавать зашифрованные данные через открытые сети.
В Windows Server 2003 поддерживаются следующие протоколы туннелирования:
1. PPTP (Point-to-Point Tunneling Protocol) – протокол туннелирования соединений «точка-точка», основан на протоколе РРР (описан в RFC 2637). Поддерживает все возможности, предоставляемые РРР, в частности аутентификацию по протоколам PAP, CHAP, MS-CHAP, MS-CHAP v2, EAP. Шифрование данных обеспечивается методом MPPE (Microsoft Point-to-Point Encryption), который применяет алгоритм RSA/RC4. Сжатие данных происходит по протоколу MPPC (Microsoft Point-to-Point Compression), описанному в RFC 2118.
Недостатком протокола является относительно низкая скорость передачи данных.
2. L2TP (Layer 2 Tunneling Protocol – туннельный протокол канального уровня) – протокол туннелирования, основанный на протоколе L2F (Layer 2 Forwarding), разработанном компанией Cisco, и протоколе PPTP. Описан в RFC 2661. Поддерживает те же протоколы аутентификации, что и PPP. Для шифрования данных используется протокол IPsec. Также поддерживает сжатие данных. Имеет более высокую скорость передачи данных, чем PPTP.
Протокол PPTP остается единственным протоколом, который поддерживают старые версии Windows (Windows NT 4.0, Windows 98, Windows Me). Однако существует бесплатный VPN-клиент Microsoft L2TP/IPsec, который позволяет старым операционным системам Windows устанавливать соединение VPN по протоколу L2TP.
Информация для аутентификации об именах пользователей и их паролях, так же как при удаленном доступе, извлекается либо из каталога Active Directory, либо из базы данных RADIUS-сервера.
Протокол RADIUS
Протокол RADIUS (Remote Authentication Dial-In User Service – служба аутентификации пользователей удаленного доступа) предназначен для аутентификации, авторизации и учета удаленных пользователей и обеспечивает единый интерфейс для систем на разных платформах (Windows, UNIX и т. д.). Протокол описан в RFC 2865 и 2866.
Протокол RADIUS работает по модели «клиент-сервер». RADIUS-сервер хранит данные о пользователях, RADIUS-клиенты обращаются к серверу за информацией.
В Windows Server 2003 протокол RADIUS входит в состав двух служб: служба Интернет-аутентификации IAS (Internet Authentication Service) реализует RADIUS-сервер, а при помощи службы маршрутизации и удаленного доступа RRAS можно настроить RADIUS-клиент.
Схема сети с применением RADIUS-сервера показана на рис. 10.4. В этой схеме RADIUS-сервер установлен на контроллер домена и интегрирован со службой каталога Active Directory.
Рис. 10.4. Схема применения протокола RADIUS
Резюме
Удаленный доступ – это предоставление пользователям, находящимся вне локальной сети, возможности доступа к ресурсам этой сети. Существует два способа удаленного доступа – соединение по коммутируемой линии и соединение с использованием виртуальных частных сетей VPN. Участниками обоих видов соединений являются клиент и сервер удаленного доступа.
Доступ по коммутируемым линиям может осуществляться с использованием телефонных линий, линий ISDN или посредством АТМ поверх ADSL. Для таких соединений применяются протоколы PPP и SLIP. При аутентификации клиентов удаленного доступа используются протоколы PAP, CHAP, MS-CHAP, MS-CHAP v2, EAP.
Виртуальные частные сети VPN позволяют организовать канал безопасной передачи данных в Интернете или в локальной сети. Действие VPN основано на туннелировании, т. е. включении обычных IP-пакетов в зашифрованные пакеты другого формата. В сетях VPN используются протоколы PPP и L2TP.
Для обеспечения единого интерфейса к базе данных учетных записей клиентов удаленного доступа в смешанных сетях (Windows, Unix и другие платформы) может использоваться протокол RADIUS.
Контрольные вопросы
1. Что такое удаленный доступ?
2. Назовите виды удаленного доступа.
3. В чем отличие протоколов удаленного доступа SLIP и PPP?
4. Для чего нужна аутентификация при удаленном доступе?
5. Опишите алгоритм работы MS-CHAP v2.
6. Каким образом сети VPN обеспечивают безопасную передачу пакетов?
7. Назовите виды VPN-соединений.
8. Перечислите достоинства и недостатки протоколов PPTP и L2TP.
9. Что такое RADIUS?
Библиографический список
1. Вишневский А. Windows Server 2003. Для профессионалов. – СПб.: Питер, 2004.
2. Дэвис Дж., Ли Т. Microsoft Windows Server 2003. Протоколы и службы TCP/IP. Техническое руководство. – М.: «СП ЭКОМ», 2005. – 752 с.
3. Зубанов Ф. В. Active Directory: подход профессионала. – М.: Русская редакция, 2003.
4. Иртегов Д. В. Введение в сетевые технологии. – СПб.: БХВ-Петербург, 2004.
5. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. – 3-е изд. – СПб.: Питер, 2006.
6. Реймер С., Малкер М. Active Directory для Windows Server 2003. Справочник администратора. – М.: «СП ЭКОМ», 2004.
7. Спилман Дж., Хадсон К., Крафт М. Планирование, внедрение и поддержка инфраструктуры Active Directory Microsoft Windows Server 2003. Учебный курс Microsoft. – М.: Русская редакция; СПб.: Питер, 2006.
8. Станек У. Microsoft Windows Server 2003: Справочник администратора. – М.: Русская редакция, 2006.
9. Хассел Дж. Администрирование Windows Server 2003. – СПб.: Питер, 2006.
10. Чекмарев А. П., Вишневский А. В., Кокорева О. И. Microsoft Windows Server 2003. Русская версия / Под общ. ред. Н. Чекмарева. – СПб.: БХВ-Петербург, 2004.
ПРИЛОЖЕНИЯ
Приложение I. Документы RFC
В этом приложении перечислены документы RFC, упоминаемые в лекционном курсе.
Номер
Название
Статус
Дата
выхода
791
Internet Protocol (IP) (Протокол Интернета)
STANDARD
1981
950
Internet Standard Subnetting Procedure
(Процедура деления Интернет на подсети)
STANDARD
1985
1001
Protocol standard for a NetBIOS service on a TCP/UDP transport: Concepts and methods
(Стандарт протокола для NetBIOS на TCP/UDP транспорте: концепции и методы)
STANDARD
1987
1002
Protocol standard for a NetBIOS service on a TCP/UDP transport: Detailed specifications
(Стандарт протокола для NetBIOS на TCP/UDP транспорте: детальные спецификации)
STANDARD
1987
1034
Domain names – concepts and facilities
(Доменные имена – концепции и возможности)
STANDARD
1987
1035
Domain names – implementation and specification
(Доменные имена – реализация и спецификация)
STANDARD
1987
1055
Nonstandard for transmission of IP datagrams over serial lines: SLIP
(Нестандартная передача IP-дейтаграмм через последовательные линии: SLIP)
STANDARD
1988
1332
The PPP Internet Protocol Control Protocol (IPCP) (Управляющий протокол Интернет протокола РРР)
PROPOSED
STANDARD
1992
1334
PPP Authentication Protocols
(Протоколы аутентификации РРР)
PROPOSED
STANDARD
1992
1510
The Kerberos Network Authentication Service (V5) (Служба сетевой аутентификации Kerberos,
версия 5)
PROPOSED
STANDARD
1993
1636
Report of IAB Workshop on Security in the Internet Architecture
(Отчет семинара IAB по безопасности в архитектуре Интернета)
INFORMATIONAL
1994
1661
The Point-to-Point Protocol (PPP)
(Протокол точка-точка)
STANDARD
1994
1662
PPP in HDLC-like Framing
(РРР в кадрах, подобных HDLC)
STANDARD
1994
1723
RIP Version 2 – Carrying Additional Information
(RIP версии 2 – перенос дополнительной
информации)
STANDARD
1994
1918
Address Allocation for Private Internets
(Распределение адресов для частных сетей)
BEST CURRENT PRACTICE
1996
1994
PPP Challenge Handshake Authentication Protocol (CHAP)
(Протокол аутентификации РРР с предварительным согласованием вызова)
DRAFT
STANDARD
1996
2026
The Internet Standards Process – Revision 3
(Процесс стандартизации Интернета – 3-я редакция)
BEST CURRENT
PRACTICE
1996
2118
Microsoft Point-To-Point Compression (MPPC) Protocol
(Протокол сжатия Microsoft для РРР)
INFORMATIONAL
1997
2131
Dynamic Host Configuration Protocol
(Протокол динамической конфигурации хостов)
DRAFT
STANDARD
1997
2132
DHCP Options and BOOTP Vendor Extensions
(Опции DHCP и расширения производителей)
DRAFT
STANDARD
1997
2284
PPP Extensible Authentication Protocol (EAP)
(Протокол расширяемой аутентификации РРР)
PROPOSED
STANDARD
1998
2328
OSPF Version 2 (OSPF версия 2)
STANDARD
1998
2373
IP Version 6 Addressing Architecture
(Архитектура IP-адресации версии 6)
PROPOSED
STANDARD
1998
2401
Security Architecture for the Internet Protocol
(Архитектура безопасности для протокола
Интернета)
PROPOSED
STANDARD
1998
2402
IP Authentication Header
(Заголовок аутентификации IP)
PROPOSED
STANDARD
1998
2403
The Use of HMAC-MD5-96 within ESP and AH
(Использование алгоритма HMAC-MD5-96 в протоколах ESP и АН)
PROPOSED
STANDARD
1998
2404
The Use of HMAC-SHA-1-96 within ESP and AH
(Использование алгоритма HMAC-SHA-1-96 в протоколах ESP и АН)
PROPOSED
STANDARD
1998
2406
IP Encapsulating Security Payload (ESP)
(Инкапсуляция безопасной нагрузки IP)
PROPOSED
STANDARD
1998
2408
Internet Security Association and Key Management Protocol (ISAKMP)
(Протокол межсетевой ассоциации защиты и управления ключами)
PROPOSED
STANDARD
1998
2409
The Internet Key Exchange (IKE)
(Обмен ключами Интернета)
PROPOSED
STANDARD
1998
2412
The OAKLEY Key Determination Protocol
(Протокол определения ключей Оакли)
INFORMATIONAL
1998
2433
Microsoft PPP CHAP Extensions
(Расширения Microsoft PPP CHAP)
INFORMATIONAL
1998
2460
Internet Protocol, Version 6 (IPv6) Specification
(Протокол Интернета, спецификация версии 6)
DRAFT
STANDARD
1998
2637
Point-to-Point Tunneling Protocol
(Протокол туннелирования «точка-точка»)
INFORMATIONAL
1999
2661
Layer Two Tunneling Protocol «L2TP»
(туннельный протокол канального уровня «L2TP»)
PROPOSED
STANDARD
1999
2759
Microsoft PPP CHAP Extensions, Version 2
(Расширения Microsoft PPP CHAP, версия 2)
INFORMATIONAL
2000
2865
Remote Authentication Dial In User Service (RADIUS)
(служба аутентификации пользователей удаленного доступа (RADIUS))
DRAFT
STANDARD
2000
2866
RADIUS Accounting
(Учетные записи RADIUS)
INFORMATIONAL
2000
3700
Internet Official Protocol Standards
(Стандарты официальных протоколов Интернета)
STANDARD
2004
Приложение II. Домены первого уровня
1. Домены организаций
TLD
Применение
.aero
Зарезервировано для авиационных организаций
.biz
Коммерческие организации
(домен, альтернативный домену .com)
.com
Коммерческие организации
.coop
Кооперативы
.edu
Образовательные учреждения США
.gov
Агентства правительства США
.info
Хосты домена предоставляют информацию в неограниченное пользование
.int
Международные организации
.mil
Вооруженные силы США
.museum
Музейные организации
.name
Домен для индивидуального использования
(возможно, для глобальной идентификации пользователей)
.net
Домен интернет-провайдеров
.org
Другие некоммерческие организации
.pro
Профессиональный домен
(для врачей, адвокатов, бухгалтеров и т. д.)
2. Географические домены
TLD
Страна
TLD
Страна
TLD
Страна
.ae
ОАЭ
.gi
Гибралтар
.ng
Нигерия
.al
Албания
.gl
Гренландия
.ni
Никарагуа
.am
Армения
.gm
Гамбия
.nl
Нидерланды
.ar
Аргентина
.gp
Гваделупа
.no
Норвегия
.at
Австрия
.gr
Греция
.np
Непал
.au
Австралия
.gt
Гватемала
.nz
Новая Зеландия
.ba
Босния и Герцеговина
.hk
Гонконг
.pa
Панама
.bd
Бангладеш
.hr
Хорватия
.pe
Перу
.be
Бельгия
.ht
Гаити
.ph
Филиппины
.bg
Болгария
.hu
Венгрия
.pk
Пакистан
.bh
Бахрейн
.id
Индонезия
.pl
Польша
.bo
Боливия
.ie
Ирландия
.pt
Португалия
.br
Бразилия
.il
Израиль
.py
Парагвай
.bz
Белиз
.in
Индия
.ro
Румыния
.ca
Канада
.iq
Ирак
.ru
Россия
.cd
Конго
.ir
Иран
.sa
Саудовская
Аравия
.ch
Швейцария
.is
Исландия
.sd
Судан
.ci
Кот-д’Ивуар
.it
Италия
.se
Швеция
.cl
Чили
.jo
Иордания
.sg
Сингапур
.cm
Камерун
.jp
Япония
.si
Словения
.cn
Китай
.ke
Кения
.sk
Словакия
.co
Колумбия
.kr
Южная Корея
.sl
Сьерра-Леоне
.cr
Коста-Рика
.kw
Кувейт
.sn
Сенегал
.cu
Куба
.lb
Ливан
.sy
Сирия
.cv
Кабо-Верде
.li
Лихтенштейн
.td
Чад
.cy
Кипр
.lk
Шри-Ланка
.th
Таиланд
.cz
Чехия
.lt
Литва
.tn
Тунис
.de
Германия
.lu
Люксембург
.tr
Турция
.dk
Дания
.lv
Латвия
.tw
Тайвань
.do
Доминиканская
Республика
.ly
Ливия
.ua
Украина
.dz
Алжир
.ma
Марокко
.uk
Великобритания
.ec
Эквадор
.mc
Монако
.us
США
.ee
Эстония
.md
Молдова
.uy
Уругвай
.eg
Египет
.mg
Мадагаскар
.ve
Венесуэла
.es
Испания
.mk
Македония
.vn
Вьетнам
.eu
Европейский союз
.mq
Мартиника
.ye
Йемен
.fi
Финляндия
.mt
Мальта
.za
Южная Африка
.fj
Фиджи
.mv
Мальдивы
.zm
Замбия
.fm
Микронезия
.mx
Мексика
.zw
Зимбабве
.fr
Франция
.my
Малайзия
.gh
Гана
.na
Намибия
Домен .su являлся доменом Советского Союза. После распада СССР новые страны получили свои национальные домены, однако домен .su действует до сих пор.
Приложение III. Права пользователей
В Windows Server 2003 существуют следующие типы прав пользователей:
привилегия (privilege);
право на вход в систему (logon right);
разрешение доступа (access permission)
1. Привилегии
В таблице приведены некоторые виды привилегий пользователя.
Привилегия
Примечание
Архивирование файлов и каталогов
(Back up files and directories)
Независимо от разрешений доступа
Добавление рабочих станций к домену
(Add workstations to domain)
Завершение работы системы
(Shut down the system)
Загрузка и выгрузка драйверов устройств
(Load and unload device drivers)
Позволяет пользователям устанавливать новые устройства и удалять уже установленные
Изменение системного времени
(Change the system time)
Принудительное удаленное завершение (Force shutdown of a remote system)
Позволяет пользователям выключать удаленный компьютер
2. Права на вход в систему
В таблице перечислены некоторые из возможных прав на вход в систему.
Права на вход в систему
Примечание
Доступ к компьютеру из сети
(Access this computer from the network)
Разрешает удаленный доступ к компьютеру
Отказ в доступе к компьютеру из сети
(Deny access to this computer from the network)
Запрещает удаленный доступ к компьютеру
Локальный вход в систему
(Allow logon locally)
Разрешает доступ к компьютеру с клавиатуры этого компьютера
Отклонить локальный вход
(Deny logon locally)
Запрещает доступ к компьютеру с клавиатуры этого компьютера
3. Разрешения на доступ к объектам1
В таблице приведены виды разрешений на доступ к разным типам объектов. Для каждого вида разрешений может быть выбрано Разрешить (Allow) или Запретить (Deny).
Тип объекта
Разрешение
Описание
Объекты
Active Directory
Control Access
Доступ к управлению объектом
List Object
Просмотр свойств объекта
List Contents
Просмотр содержимого объекта контейнерного типа
Create Child
Возможность создания дочерних объектов внутри объектов-контейнеров
Delete Child
Возможность удаления дочерних объектов внутри объектов-контейнеров
Write Self
Возможность добавить самого пользователя в качестве объекта
Delete Tree
Возможность удаления дерева в каталоге
Read Property
Просмотр отдельного свойства объекта
Write Property
Возможность изменения отдельного свойства объекта
Файлы
Read
Чтение файла
Read & Execute
Чтение файла и запуск на выполнение
Write
Запись в файл, а также изменение атрибутов файла
Modify
Чтение, запись и возможность удаления файла
Full Control
Полный доступ (любые действия, в том числе изменение разрешений)
Каталоги
List Folder
Contents
Просмотр содержимого каталога
Read
Просмотр содержимого каталога без возможности запуска файлов и просмотра содержимого подкаталогов
Read & Execute
Просмотр содержимого каталога и всех его файлов и подкаталогов
Write
Возможность создания файлов и подкаталогов
Modify
Чтение, запись и возможность удаления файлов и подкаталогов
Full Control
Полный доступ
Каталог общего доступа
Read
Просмотр содержимого каталога и чтение его файлов
Change
Возможность изменения содержимого каталога
Full Control
Полный доступ
Принтеры
Print
Возможность печати документов
Manage
Documents
Возможность печати документов, а также управление очередью печати
Manage Printer
Полный контроль над принтером
Базы данных
Основные понятия баз данных
Министерство образования и науки
Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образ…
А.П. Димитриев
Авторы
Информатика
Профессия CIO
ЛЕКЦИЯ
ПРОФЕССИЯ CIO
О
СПЕЦИАЛЬНОСТИ.
ПОЛНОМОЧИЯ
CIO.
ПРОФЕССИОНАЛЬНЫЕ ЗАДАЧИ. СВЯЗЬ С БУДУЩЕЙ ПРОФЕССИЕЙ.
ТРЕБОВАНИЯ
К
НЕОБХОДИМЫЕ
ПРОФЕССИИ.
ЗНАНИЯ….
Смотреть все
Поделись лекцией и получи скидку!
Заполни поля, отправь лекцию и мы вышлем тебе скидку-промокод на Автор24
Предмет
Название лекции
Авторы
Описание
Другие Технические предметы
-
Высшая математика
-
Электроника, электротехника, радиотехника
-
Программирование
-
Информационные технологии
-
Информатика
-
Физика
-
Архитектура и строительство
-
Теория вероятностей
-
Метрология
-
Машиностроение
-
Теплоэнергетика и теплотехника
-
Автоматизация технологических процессов
-
Автоматика и управление
-
Гидравлика
-
Транспортные средства
-
Металлургия
-
Сопротивление материалов
-
Технологические машины и оборудование
-
Информационная безопасность
-
Материаловедение