Компьютерная сеть – это совокупность компьютеров и различных устройств, обеспечивающих информационный обмен между компьютерами в сети без использования каких-либо промежуточных носителей информации.

Все многообразие компьютерных сетей можно классифицировать по группе признаков:

· территориальная распространенность,

· ведомственная принадлежность,

· скорость передачи информации,

· тип среды передачи.

По территориальной распространенности сети могут быть локальными, глобальными, и региональными. Локальные – это сети, перекрывающие территорию не более 10 м2, региональные – расположенные на территории города или области, глобальные на территории государства или группы государств, например, всемирная сеть Internet.

По принадлежности различают ведомственные и государственные сети. Ведомственные принадлежат одной организации и располагаются на ее территории. Государственные сети – сети, используемые в государственных структурах.

По скорости передачи информации компьютерные сети делятся на низко-, средне- и высокоскоростные.

По типу среды передачи разделяются на сети коаксиальные, на витой паре, оптоволоконные, с передачей информации по радиоканалам, в инфракрасном диапазоне.

Следует различать компьютерные сети и сети терминалов (терминальные сети). Компьютерные сети связывают компьютеры, каждый из которых может работать и автономно. Терминальные сети обычно связывают мощные компьютеры (майнфреймы), а в отдельных случаях и ПК с устройствами (терминалами), которые могут быть достаточно сложны, но вне сети их работа или невозможна, или вообще теряет смысл. Например, сеть банкоматов или касс по продажи авиабилетов. Строятся они на совершенно иных, чем компьютерные сети, принципах и даже на другой вычислительной технике.

В классификации сетей существует два основных термина: LAN и WAN.

LAN (Local Area Network) – локальные сети, имеющие замкнутую инфраструктуру до выхода на поставщиков услуг. Термин «LAN» может описывать и маленькую офисную сеть, и сеть уровня большого завода, занимающего несколько сотен гектаров. Зарубежные источники дают даже близкую оценку – около шести миль (10 км) в радиусе; использование высокоскоростных каналов.

WAN (Wide Area Network) – глобальная сеть, покрывающая большие географические регионы, включающие в себя как локальные сети, так и прочие телекоммуникационные сети и устройства. Пример WAN – сети с коммутацией пакетов (Frame Relay), через которую могут «разговаривать» между собой различные компьютерные сети.

Термин «корпоративная сеть» также используется в литературе для обозначения объединения нескольких сетей, каждая из которых может быть построена на различных технических, программных и информационных принципах.

Рассмотренные выше виды сетей являются сетями закрытого типа, доступ к ним разрешен только ограниченному кругу пользователей, для которых работа в такой сети непосредственно связана с их профессиональной деятельностью. Глобальные сети ориентированы на обслуживание любых пользователей.

1. ЛОКАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ СЕТИ

1.1. Понятие локальных сетей

Локальная вычислительная сеть (ЛВС) (LAN – Local Area Network) – это группа расположенных в пределах некоторой территории компьютеров, связанных друг с другом с помощью соответствующих средств коммуникаций, которые совместно используют программные и аппаратные ресурсы. Такая сеть обычно предназначается для сбора, передачи рассредоточенной и распределенной обработки информации в пределах одного предприятия или организации. Она может быть ориентирована на выполнение определённых функций в соответствии с профилем деятельности предприятия.

Локальные сети предназначены для реализации таких прикладных функций, как передача файлов, электронная графика, обработка текстов, электронная почта, доступ к удаленным базам данных, передача цифровой речи. Локальные сети объединяют ЭВМ, терминалы, устройства хранения информации, переходные узлы для подключения к другим сетям и др. Локальные сети составляют один из быстроразвивающихся секторов промышленной средств связи, локальную сеть часто называют сетью для автоматизированного учреждения. Локальная сеть характеризуется следующими характеристиками:

· каналы обычно принадлежат организации пользователя,

· каналы являются высокоскоростными (10- 400 Мбит\с),

· расстояние между рабочими станциями, подключаемыми к локальной сети, обычно составляет от нескольких сотен до нескольких тысяч метров,

· локальная сеть передает данные между станциями пользователей ЭВМ (некоторые локальные сети передают речевую и видеоинформацию),

· пропускная способность у локальной сети как правило больше, чем у глобальной сети,

· канал локальной сети обычно находится в монопольной собственности организации, использующей сеть,

· интенсивность ошибок в локальной сети ниже по сравнению с сетью на базе телефонных каналов,

· децентрализация терминального оборудования, в качестве которого используются микропроцессоры, дисплеи, кассовые устройства и т.д.,

· данные передаются по общему кабелю, к которому подключены все абоненты сети,

· возможность реконфигурации и развития путем подключения новых терминалов,

· наличие локальной сети позволяет упростить и удешевить персональные ЭВМ, поскольку они коллективно используют в режиме разделения времени наиболее дорогие ресурсы: дисковую память и печатающие устройства.

1.2. Классификация локальных сетей

На сегодняшний день в мире насчитывается огромное количество различных локальных сетей и для их рассмотрения и сравнения необходимо иметь систему классификации. Окончательно установившейся классификации пока не существует, однако можно выявить определенные классификационные признаки локальных сетей. К ним следует отнести классификацию по назначению, типам используемых ЭВМ, организации управления, организации передачи информации, по топологическим признакам, методам доступа, физическим носителям сигналов, управлению доступом к физической передающей среде и другие.

Существует два типа компьютерных сетей: одноранговые сети и сети с выделенным сервером. Различия между одноранговыми сетями и сетями на основе сервера имеют принципиальное значение, поскольку определяют возможности этих сетей. Выбор типа сети зависит от многих факторов:

· размера предприятия,

· необходимого уровня безопасности,

· вида бизнеса,

· уровня доступности административной поддержки,

· объема сетевого трафика,

· потребностей сетевых пользователей,

Защита подразумевает установку пароля на разделяемый ресурс, например каталог. Централизованно управлять защитой в одноранговой сети очень сложно, так как каждый пользователь устанавливает ее самостоятельно. Некоторые пользователи могут вообще не установить защиту. Если вопросы конфиденциальности являются принципиальными, рекомендуется выбрать сеть на основе сервера. Поскольку в одноранговой сети каждый компьютер функционирует и как клиент, и как сервер, пользователи должны обладать достаточным уровнем знаний, чтобы работать и как пользователи, и как администраторы своего компьютера.

Одноранговая сеть подходит там, где:

· количество пользователей не превышает 10 человек,

· пользователи расположены компактно,

· вопросы защиты данных не критичны,

· в обозримом будущем не ожидается значительного расширения фирмы, и, следовательно, сети.

Если к сети подключено более 10 пользователей, то одноранговая сеть может оказаться недостаточно производительной. Поэтому большинство сетей используют выделенные серверы.

Выделенный сервер - это такой сервер, который функционирует только как сервер (исключая функции клиента или рабочей станции). Он специально оптимизирован для быстрой обработки запросов от сетевых клиентов и для управления защитой файлов и каталогов. Диски выделенных серверов доступны всем остальным компьютерам сети. На серверах должна работать специальная сетевая операционная система.

Остальные компьютеры называются рабочими станциями. Рабочие станции имеют доступ к дискам сервера и совместно используемым принтерам, но и только. С одной рабочей станции нельзя работать с дисками других рабочих станций. С одной стороны, это хорошо, так как пользователи изолированы друг от друга и не могут случайно повредить чужие данные. С другой стороны, для обмена данными пользователи вынуждены использовать диски сервера, создавая для него дополнительную нагрузку.

Есть, однако, специальные программы, работающие в сети с централизованным управлением и позволяющие передавать данные непосредственно от одной рабочей станции к другой минуя сервер. На рабочих станциях должно быть установлено специальное программное обеспечение, часто называемое сетевой оболочкой.

1.3. Топологии вычислительной сети

Топология типа звезда

Концепция топологии сети в виде звезды пришла из области больших ЭВМ, в которой головная машина получает и обрабатывает все данные с периферийных устройств как активный узел обработки данных. Этот принцип применяется в системах передачи данных, например, в электронной почте RELCOM. Вся информация между двумя периферийными рабочими мес­тами проходит через центральный узел вычислительной сети.

Рисунок 1. Топология типа звезда

Пропускная способность сети определяется вычислительной мощностью узла и гарантируется для каждой рабочей станции. Коллизий (столкновений) данных не возникает. Кабельное соединение довольно простое, так как каждая рабочая станция связана с узлом. Затраты на прокладку кабелей высокие, особенно когда центральный узел географически расположен не в центре топологии. При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи: к новому рабочему месту необходимо прокладывать отдельный кабель из центра сети.

Топология в виде звезды является наиболее быстродействующей из всех топологий вычислительных сетей, поскольку передача данных между рабочими станциями проходит через центральный узел (при его хорошей производительности) по отдельным линиям, используемым только этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях.

Производительность вычислительной сети в первую очередь зависит от мощности центрального файлового сервера. Он может быть узким ме­стом вычислительной сети. В случае выхода из строя центрального узла нарушается работа всей сети.

Центральный узел управления - файловый сервер мотает реализо­вать оптимальный механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть может управляться из ее центра.

Кольцевая топология

При кольцевой топологии сети рабочие станции связаны одна с дру­гой по кругу, т.е. рабочая станция 1 с рабочей станцией 2, рабочая станция 3 с рабочей станцией 4 и т.д. Последняя рабочая станция связана с первой. Коммуникационная связь замыкается в кольцо.

Прокладка кабелей от одной рабочей станции до другой может быть довольно сложной и дорогостоящей, особенно если географически рабочие станции расположены далеко от кольца (например, в линию).

Рисунок 2. Кольцевая топология

Сообщения циркулируют регулярно по кругу. Рабочая станция посылает по определенному конечному адресу информацию, предварительно получив из кольца запрос. Пересылка сообщений является очень эффективной, так как большинство сообщений можно отправлять “в дорогу” по ка­бельной системе одно за другим. Очень просто можно сделать кольцевой запрос на все станции. Продолжительность передачи информации увеличи­вается пропорционально количеству рабочих станций, входящих в вычисли­тельную сеть.

Основная проблема при кольцевой топологии заключается в том, что каждая рабочая станция должна активно участвовать в пересылке информации, и в случае выхода из строя хотя бы одной из них вся сеть парализуется. Неисправности в кабельных соединениях локализуются легко.

Подключение новой рабочей станции требует кратко срочного выключения сети, так как во время установки кольцо должно быть разомкнуто. Ограниче­ния на протяженность вычислительной сети не существует, так как оно, в конечном счете, определяется исключительно расстоянием между двумя рабочими станциями.

Рисунок 3. Структура логической кольцевой цепи

Специальной формой кольцевой топологии является логическая кольцевая сеть. Физически она монтируется как соединение звездных топологий. Отдельные звезды включаются с помощью специальных коммутаторов (англ. Hub -концентратор), которые по-русски также иногда называют “хаб”. В зависимости от числа рабочих станций и длины кабеля между рабо­чими станциями применяют активные или пассивные концентраторы. Актив­ные концентраторы дополнительно содержат усилитель для подключения от 4 до 16 рабочих станций. Пассивный концентратор является исключи­тельно разветвительным устройством (максимум на три рабочие станции). Управление отдельной рабочей станцией в логической кольцевой сети про­исходит так же, как и в обычной кольцевой сети. Каждой рабочей станции присваивается соответствующий ей адрес, по которому передается управ­ление (от старшего к младшему и от самого младшего к самому старшему). Разрыв соединения происходит только для нижерасположенного (ближайшего) узла вычислительной сети, так что лишь в редких случаях мо­жет нарушаться работа всей сети.

Шинная топология

При шинной топологии среда передачи информации представляется в форме коммуникационного пути, доступного дня всех рабочих станций, к которому они все должны быть подключены. Все рабочие станции могут непосредственно вступать в контакт с любой рабочей станцией, имеющейся в сети.

Рисунок 4. Шинная топология

Рабочие станции в любое время, без прерывания работы всей вычислительной сети, могут быть подключены к ней или отключены. Функциони­рование вычислительной сети не зависит от состояния отдельной рабочей станции.

В стандартной ситуации для шинной сети Ethernet часто используют тонкий кабель или Cheapernet-кaбeль с тройниковым соединителем. Выключение и особенно подключение к такой сети требуют разрыва шины, что вы­зывает нарушение циркулирующего потока информации и зависание сис­темы.

Новые технологии предлагают пассивные штепсельные коробки, че­рез которые можно отключать и/или включать рабочие станции во время работы вычислительной сети.

Благодаря тому, что рабочие станции можно включать без прерыва­ния сетевых процессов и коммуникационной среды, очень легко прослуши­вать информацию, т.е. ответвлять информацию из коммуникационной среды.

В ЛВС с прямой (не модулируемой) передачей информации всегда может существовать только одна станция, передающая информацию. Для предот­вращения коллизий в большинстве случаев применяется временной метод разделения, согласно которому для каждой подключенной рабочей станции в определенные моменты времени предоставляется исключительное право на использование канала передачи данных. Поэтому требования к пропуск­ной способности вычислительной сети при повышенной нагрузке снижа­ются, например, при вводе новых рабочих станций. Рабочие станции при­соединяются к шине посредством устройств ТАР (англ. Terminal Access Point - точка подключения терминала). ТАР представляет собой специальный тип подсоединения к коаксиальному кабелю. Зонд игольчатой формы внедряется через наружную оболочку внешнего проводника и слой диэлектрика к внутреннему проводнику и присоединяется к нему.

В ЛВС с модулированной широкополосной передачей информации различные рабочие станции получают, по мере надобности, частоту, на которой эти рабочие станции могут отправлять и получать информацию. Пересылаемые данные модулируются на соответствующих несущих частотах, т.е. между средой передачи информации и рабочими станциями находятся соответственно модемы для модуляции и демодуляции. Техника широкопо­лосных сообщений позволяет одновременно транспортировать в коммуни­кационной среде довольно большой объем информации. Для дальнейшего развития дискретной транспортировки данных не играет роли, какая перво­начальная информация подана в модем (аналоговая или цифровая), так как она все равно в дальнейшем будет преобразована.

Таблица 1.

Характеристики топологий вычислительных сетей

Характери­стики	Топология
	Звезда	Кольцо	Шина
Стоимость расширения	Незначительная	Средняя	Средняя
Присоединение абонентов	Пассивное	Активное	Пассивное
Защита от отказов	Незначительная	Незначительная	Высокая
Размеры системы	Любые	Любые	Ограниченны
Защищенность от прослушивания	Хорошая	Хорошая	Незначительная
Стоимость подключения	Незначительная	Незначительная	Высокая
Поведение системы при высоких нагрузках	Хорошее	Удовлетворительное	Плохое
Возможность работы в реальном режиме времени	Очень хорошая	Хорошая	Плохая
Разводка ка­беля	Хорошая	Удовлетворительная	Хорошая
Обслуживание	Очень хорошее	Среднее	Среднее

Древовидная структура ЛВС

На ряду с известными топологиями вычислительных сетей кольцо, звезда и шина, на практике применяется и комбинированная, на пример древовидна структура. Она образуется в основном в виде комбинаций вышеназванных топологий вычислительных сетей. Основание дерева вычис­лительной сети располагается в точке (корень), в которой собираются ком­муникационные линии информации (ветви дерева).

Рисунок 5. Древовидная структура ЛВС

Вычислительные сети с древовидной структурой применяются там, где невозможно непосредственное применение базовых сетевых структур в чистом виде. Для подключения большого числа рабочих станций соответственно адаптерным платам применяют сетевые усилители и/или коммута­торы. Коммутатор, обладающий одновременно и функциями усилителя, на­зывают активным концентратором.

На практике применяют две их разновидности, обеспечивающие подключение соответственно восьми или шестнадцати линий.

Устройство к которому можно присоединить максимум три станции, называют пассивным концентратором. Пассивный концентратор обычно используют как разветвитель. Он не нуждается в усилителе. Предпосылкой для подключения пассивного концентратора является то, что максимальное возможное расстояние до рабочей станции не должно превышать несколь­ких десятков метров.

СЕТЕВЫЕ УСТРОЙСТВА И СРЕДСТВА КОММУНИКАЦИИ

2.1. Основные группы кабелей

На сегодняшний день подавляющая часть компьютерных сетей использует для соединения провода или кабели. Они выступают в качестве среды передачи сигналов между компьютерами. Существует три основные группы кабелей: коаксиальный кабель, витая пара и оптоволоконный кабель.

Коаксиальный кабель подразделяется на два типа – тонкий и толстый. Оба они имеют медную жилу, окруженную металлический оплеткой, которая поглощает внешние шумы и перекрестные помех. Коаксиальный кабель удобен для передачи сигналов на большие расстояния. Он прост по конструкции, имеет небольшую массу и умеренную стоимость. В тоже время обладает хорошей электрической изоляцией, допускает работу на довольно больших расстояниях (несколько километров) и высоких скоростях.

Витая пара может быть экранированной и неэкранированной. Неэкранированная витая пара (UTP) делится на пять категорий, из которых пятая – наиболее популярная в сетях. Экранированная витая пара (STP) поддерживает передачу сигналов на более высоких скоростях и на большее расстояние, чем UTP. Витая пара, хотя дешева и широко распространена, благодаря наличию на многих объектах резервных пар в телефонных кабелях, плохо защищена от электрических помех, от несанкционированного доступа, ограничена по дальности и скорости подачи данных.

Оптоволоконный кабель имеет небольшую массу, способен передавать информацию с очень высокой скоростью, невосприимчив к электрическим помехам, сложен для несанкционированного доступа и полностью пожаро- и взрывобезопасен (обгорает только оболочка), но он дороже и требует специальных навыков для установки.

Передача сигналов

Существует две технологии передачи данных: широкополосная и узкополосная. При широкополосной передачи с помощью аналоговых сигналов в одном кабеле одновременно организуется несколько каналов. При узкополосной передаче канал всего один, и по нему передаются цифровые сигналы.

2.2. Беспроводные сети

Беспроводная среда постепенно входит в нашу жизнь. Как только технология окончательно сформируется, производители предложат широкий выбор продукции по приемлемым ценам, что приведет и к росту спроса на нее, и к увеличению объема продаж. В свою очередь это вызовет дальнейшее совершенствование и развитие беспроводной среды.

Трудность установления кабеля – фактор, которой дает беспроводной среде неоспоримое преимущество. Она может оказаться особенно полезной в следующих ситуациях:

· в помещения, сильно заполненных людьми,

· для людей, которые не работают на одном месте,

· в изолированных помещениях и зданиях,

· в помещениях, планировка которых часто меняется,

· в строениях, где прокладывать кабель непозволительно.

Беспроводные соединения используются для передачи данных в ЛВС, расширенных ЛВС и мобильных сетях. Типичная беспроводная сеть работает так же, как и кабельная сеть. Плата беспроводного адаптера с трансивером установлена в каждом компьютере, и пользователи работают так, будто их компьютеры соединены кабелем.

Беспроводная сеть использует инфракрасное излучение, лазер, радиопередачу в узком и рассеянном спектре. Дополнительный метод – связь «точка-точка», при котором обмен данными осуществляется только между двумя компьютерами, а не между несколькими компьютерами и периферийными устройствами.

2.3. Платы сетевого адаптера

Платы сетевого адаптера – это интерфейс между компьютером и сетевым кабелем. В обязанности платы сетевого адаптера входит подготовка, передача и управление данными в сети. Для подготовки данных к передачи по сети плата использует трансивер, который переформатирует данные из параллельной формы в последовательную. Каждая плата имеет уникальный сетевой адрес.

Платы сетевого адаптера отличаются рядом параметров, которые должны быть правильно настроены. В их число входит: прерывание (IRQ), адрес базового порта ввода/вывода и базовый адрес памяти.

Чтобы обеспечить совместимость компьютера и сети, плата сетевого адаптера должна, во-первых, соответствовать архитектуре шины данных компьютера и, во-вторых, иметь требуемый тип соединителя с сетевым кабелем.

Плата сетевого адаптера оказывает значительное влияние на производительность всей сети. Существует несколько способов увеличить эту производительность. Некоторые платы обладают дополнительными возможностями. К их числу, например, относится: прямой доступ к памяти, разделяемая память адаптера, разделяемая системная память, управление шиной. Производительность сети можно повысить также с помощью буферизации или встроенного микропроцессора.

Разработаны специализированные платы сетевого адаптера, например, для беспроводных сетей и бездисковых рабочих станций.

3. РАЗВЕРТЫВАНИЕ ЛОКАЛЬНОЙ СЕТИ

3.1. Работа c заказчиком

Цель создания

Цель всегда определяет заказчик, задачей системного интегратора на данном этапе является консультирование и более четкое определение целей и задач создаваемой сети.

В частности, целью создания сети может быть:

· обмен файлами между компьютерами. Эта цель ставиться всегда, различия могут быть лишь в способах организации,

· использование конкретной системы электронного документооборота, отличается от первой цели тем, что известно программное обеспечение, с которым будет работать заказчик и под его особенности и проектируется сеть,

· объединение в единую сеть нескольких офисов компании-заказчика,

· контроль со стороны менеджмента компании-заказчика за действиями пользователей сети. Иными словами - удаленное администрирование,

· подключение всех компьютеров офиса к сети Интернет через один высокоскоростной канал.

Как правило, заказчик хочет реализовать все, хотя бы в минимальном варианте. Задачей любой сети является передача данных. И эту задачу сеть должна выполнять с максимальным быстродействием.

Размер сети

Скорость передачи данных зависит, в том числе, и от того, на какое расстояние их необходимо передать. Следующая вещь, которую необходимо обсудить с заказчиком, это предполагаемый размер сети. Как правило, локальные сети подразделяются на три категории в соответствии с их размером:

· малые сети (от 2х до 30-ти машин),

· средние сети (30-100 машин),

· большие сети (100-500 машин).

Стоимость работ

Одним из важнейших моментов для системного интегратора при подготовке проекта является его стоимость.

До составления технического задания можно говорить об оценочной стоимости проекта. После этого составляется смета работ и подписывается окончательный договор между заказчиком и системным интегратором. В смете указывается конкретная стоимость необходимого оборудования, стоимость труда и, иногда, стоимость необходимых для монтажа и тестирования сети инструментов.

Как правило, встречаются следующие подходы к распределению средств со стороны заказчика:

· без ограничений. Заказчик готов оплатить все необходимые расходы,

· с ограничениями. Существует верхний предел средств, которые заказчик готов выделить на создание сети и в этих пределах системный интегратор может делать любые траты,

· договорной. Каждая позиция в смете согласуется с заказчиком.

Каждый из этих подходов имеет свои плюсы и минусы. Первый подход плох при чрезмерной растрате средств и грозит непониманием со стороны заказчика. Это даже может привести к отказу заказчика от услуг интегратора. Второй подход хорош, когда цель заказчика совпадает с выделенными на нее средствами, то есть он не требует сверхпроизводительности за маленькие деньги. Третий подход плох, если у заказчика отсутствуют грамотные специалисты и приносит большую пользу, если у заказчика такие специалисты есть.

На данном этапе проекта основной задачей интегратора является согласование стоимости работ по созданию сети с заказчиком и интегратором. На этом заканчивается непосредственная работа с заказчиком и начинается проектирование сети.

3.2. Проектирование сети

Выбор архитектуры

На этом этапе системный интегратор должен спроектировать архитектуру (топологию) сети. Самым правильным является смешанный тип, но все же сейчас в большинстве случаев используется топология типа звезда. Основным преимуществом и недостатком одновременно этого типа является централизованность. Если из строя выходит центральное звено, то его проще заменить, но в это время не работает сеть целиком.

Рассмотрим несколько наиболее часто встречающихся случаев зависимости топологии от географического расположения машин и их функций:

· сеть мала по размерам и не имеет ярко выраженных серверов. В данном случае, как правило, используется топология звезда и очень редко используется тип кольцо,

· в сети мало машин, но они распределены на большой площади (независимо от их функций). Рекомендуется использовать концентратор, расположенный примерно посередине между машинами,

· средних размеров сеть не имеет ярко выраженных серверов. В этом случае все машины объединяются через один или несколько концентраторов, объединенных или через центральный концентратор (звезда), или последовательно (шина),

· средних размеров сеть имеет ярко выраженные серверы (серверы БД, файл-серверы, WWW). Здесь можно выделить несколько способов: либо все серверы выделить в отдельную группу и соединить их с надежным концентратором, достигая тем самым централизации вычислительных ресурсов в одном месте, либо каждому серверу определять по концентратору, уменьшая этим нагрузку на один концентратор

· большая сеть, расположенная в одном здании. Чаше всего используют топологию типа звезда,

· большая сеть, расположенная в нескольких зданиях. Используется высокопроизводительный центральный концентратор, на который идут все потоки в сети.

В каждом конкретном случае выбор архитектуры сети сугубо индивидуален и зависит лишь от знаний и практического опыта системного интегратора.

Масштабируемость

Самой большой проблемой не только компьютерных сетей является их емкость, иными словами - пропускная способность. Ближайшим примером тому могут служить телефонные сети - очередь на подключение может составлять несколько лет даже в городах.

Чаще всего проблемы с емкостью встречаются в маленьких организациях, где не хватает средств на создание ресурсов для последующего расширения сети.

3.3. Установка сети

Выбор оборудования

Следующим этапом построения сети является выбор оборудования. Здесь существует несколько рекомендаций, которые можно свести к следующему списку:

· кабель выбирается одинаковым на всю сеть (чаще всего используется витая пара 5-й категории),

· если в сети существуют вертикальные участки, то нужно выбирать специализированный кабель, имеющий ребра жесткости,

· по возможности использовать экранированный кабель, это уменьшает возможность потери пакетов на длинных участках сети.

· в некоторых случаях следует рассматривать возможность беспроводных сетей,

· выбирать оборудование следует по соотношению цена/качество,

· производительность коммутирующего оборудования должна быть выше производительности машин.

Выбор операционной системы

Выбор всецело зависит от пожеланий заказчика и рекомендаций и предпочтений системного интегратора. Операционная система для рабочих станций должна быть многофункциональна и при этом быть не сильно требовательной к аппаратной части компьютера. Для серверов же основной задачей становится объединение неравноценных операционных систем рабочих станций и обеспечение транспортного уровня для широкого круга задач: обработка баз данных, передача сообщений, управление распределенными ресурсами сети.

3.4. Установка, настройка программного обеспечения и сдача проекта

Установка специализированного программного обеспечения

На данном этапе системный интегратор устанавливает всё программное обеспечение, необходимое для комфортной работы администраторов и пользователей. Как правило, выделяют несколько групп специализированного программного обеспечения:

· системы электронного документооборота,

· дизайнерское,

· конструкторское,

· мониторинговые утилиты.

Окончательная наладка системы

После установки всего необходимого программного обеспечения, как правило, происходит окончательная наладка и тестирование системы. Следует заметить, что системный интегратор не должен настраивать программное обеспечение, с которым будут работать пользователи, необходимо лишь проверить, что все программы работают.

На данном этапе системный интегратор должен сдать проект заказчику. Заказчик должен самостоятельно проверить работоспособность системы и только после этого системный интегратор может завершить договор. После этого, системный интегратор не обязан производить какие-либо действия, кроме тех услуг, которые были указаны в договоре.

ЗАКЛЮЧЕНИЕ

В ходе проекта была детально описана теоретическая основа и даны практические советы для развертывания локально-вычислительной сети.

Первая глава посвящена компьютерным сетям и содержит понятия, которые формируют информационно-теоретическую базу данной темы:

· определение сетей,

· классификация сетей,

· архитектура сетей.

Далее рассматриваются средства коммутации и сетевые устройства. Большая часть компьютерных сетей использует для соединения провода или кабели, которые выступают в качестве среды передачи сигналов между компьютерами. Описаны три основные группы кабелей:

· коаксиальный кабель,

· витая пара,

· оптоволоконный кабель.

Затронута также беспроводная среда передачи данных и дана краткая характеристика сетевых адаптеров.

В третьей главе непосредственно раскрывается тема курсового проекта. Пошагово описаны основные нюансы создания сети: начиная от предварительной работы с заказчиком и заканчивая сдачей готового проекта

9. Микрюков В.Ю. «Информация, информатика, компьютер, информационные системы, сети», “Феникс”, 2007 г.

10. Нанс Б. «Компьютерные сети», “БИОНОМ”, 2005г.

11. Олифер В.Г., Олифер Н.А. «Компьютерные сети», “Питер”,2001г.

12. Степанов А.Н. «Архитектура вычислительных систем и компьютерных сетей», “Питер”, 2007 г.

13. Столлингс В. «Беспроводные линии связи и сети», “Вильямс”, 2003 г

14. Столлингс В. «Компьютерные сети, протоколы и технологии Интернета», “BHV-СПб”, 2005 г.

15. Столлингс В. «Операционные системы (4-е издание)», “Вильямс”, 2007 г.

16. Флинт Д. «Локальные сети ЭВМ: архитектура, построение, реализация», “Финансы и статистика”, 2006 г.

17. Чекмарев Ю.В. «Локальные вычислительные сети», “ДМК пресс”, 2009 г.

18. Шатт C. «Мир компьютерных сетей», “ BHV-СПб”, 2006 г.

19. Microsoft Corporation «Компьютерные сети. Учебный курс. Русскаяредакция», “Channel Trading Ltd.”. – 2007 г.

20. http://www.3dnews.ru

21. http://www.thg.ru

22. http://ru.wikipedia.org

23. http://www.unitet.ru

24. http://softrun.ru

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Технологии администрирования и контроля в компьютерных сетях

• Введение
• Основная часть
• 1. Администрирование сетей на основе Microsoft Windows NT/2000/XP
• 1.1 Домены и рабочие группы
• 1.2 Пользователи и группы пользователей домена
• 1.3 Многодоменные сети
• 1.4 Служба Active Directory в Windows 2000/XP
• 1.5 Служба DNS в Windows NT/2000/XP
• 2. Конфигурация рабочих станций
• 2.1 Размещение приложений и данных
• 2.2 Контроль реестра рабочей станции
• 3. Управление пользователями в Microsoft Windows NT/2000/XP
• 3.1 Состав бюджета пользователя
• 3.2 Управление профилями пользователей
• 3.3 Типы прав пользователей
• 3.4 Встроенные группы пользователей и их права
• 3.5 Назначение разрешений на доступ к файлам и каталогам
• Заключение
• Глоссарий
• Список использованных источников

Введение

Выпускная квалификационная работа является важнейшим итогом обучения на соответствующей стадии образования, в связи с этим содержание выпускной работы и уровень ее защиты должны учитываться как основной критерий при оценке уровня подготовки выпускника и оценке качества реализации образовательной программы в академии. В ходе выполнения выпускной квалификационной работы решается задача необходимости администрирования и контроля в компьютерных сетях.

Администрирование информационных систем включает следующие цели:

· Установка и настройка сети;

· Поддержка её дальнейшей работоспособности;

· Установка базового программного обеспечения;

· Мониторинг сети.

В связи с этим администратор сети должен выполнять следующие задачи:

· Планирование системы;

· Установка и конфигурация аппаратных устройств;

· Установка программного обеспечения;

· Установка сети;

· Архивирование (резервное копирование) информации;

· Создание и управление пользователями;

· Установка и контроль защиты;

· Мониторинг производительности.

Обеспечение работоспособности системы требует и осуществления профилактических мероприятий. Администратор должен обеспечивать удовлетворение санкционированных запросов пользователей. Очевидно, что эффективно выполнять все эти функции и задачи, особенно в сложных крупных компьютерных сетях, человеку весьма затруднительно, а порой и невозможно. Успешное администрирование, особенно сложными компьютерными сетями, реализуется путём применения новейших средств и систем автоматизации этих процессов.

Компьютерная сеть - это соединение двух или более компьютеров для решения следующих задач:

· обмен информацией;

· общее использование программного обеспечения;

· общее использование оборудования (принтеры, модемы, диски и т.п.).

Пакеты. Вся работа компьютеров в сети, независимо от назначения и размеров сети, сводится только к одному: обмену информацией. Каждый компьютер имеет встроенный сетевой адаптер, который в свою очередь подключается к кабельной системе. Перед передачей по сети информация формируется в пакеты. Сетевые адаптеры общаются между собой, передавая и принимая пакеты с информацией. Каждый пакет состоит из двух основных частей: Заголовок и Данные. Заголовок содержит адрес компьютера-отправителя и адрес компьютера-получателя. Раздел данных содержит передаваемую информацию. Иногда пакет называют кадром (Frame).

Протоколы. Для стандартизации передаваемой по сети информации, разработаны так называемые сетевые протоколы. Протокол представляет собой набор правил и соглашений для оформления и передачи информации по компьютерной сети. Пакет, созданный по выбранному сетевому протоколу, имеет строго определенный формат. Если на компьютерах сети установлен одинаковый сетевой протокол, то они смогут "понимать" друг друга, т.е. читать пакеты. Компьютеры с разными протоколами имеют разный формат пакетов и соответственно друг друга не поймут, также как люди, сидящие в одной комнате, но говорящие на разных языках. Есть три наиболее распространенных протокола, используемых в компьютерных сетях Microsoft - NetBEUI, TCP/IP, IPX/SPX.

Классификация локальных сетей. Каждый компьютер в сети может иметь один из двух статусов:

· Сервер;

· Рабочая станция.

Серверы предоставляют свои ресурсы (диски, папки с файлами, принтеры, устройство для чтения CD/DVD и т.п.) другим компьютерам сети. Как правило, это специально выделенный высокопроизводительный компьютер, оснащенный специальной серверной операционной системой (Windows Server 2003), центрально управляющий сетью.

Рабочая станция (клиентский компьютер) - это компьютер рядового пользователя, получающий доступ к ресурсам серверов.

По типу организации работы компьютеров в сети различают:

· Одноранговые сети;

· Сети с выделенным сервером.

Выбор типа локальной сети в большей степени зависит от требований к безопасности работы с информацией и уровня подготовки администратора сети.

Одноранговые сети. В одноранговой сети все компьютеры имеют одинаковый приоритет и независимое администрирование.

Сети с выделенным сервером. В сети с выделенным сервером управление ресурсами сервера и рабочих станций централизовано и осуществляется с сервера. Отпадает необходимость обходить все компьютеры сети и настраивать доступ к разделяемым ресурсам. Включение новых компьютеров и пользователей в сеть также упрощается. Повышается безопасность использования информации в сети. Это удобно для сетей, в которых работают различные категории пользователей и много разделяемых ресурсов.

Актуальность данной темы заключается в том, что постоянно растет число пользователей персональных компьютеров, желающих объединится в компьютерную сеть.

Объектом исследования данной выпускной квалификационной работы является администрирование операционных систем Windows.

Предметом исследования является анализ возможности администрирования операционных систем Windows.

Цель выполнения данной выпускной квалификационной работы является рассмотрение перспектив развития администрирования операционных систем Windows.

Для достижения поставленных целей необходимо выполнение следующих задач:

· Рассмотрение понятия рабочих групп и доменов;

· Исследование службы Active Directory;

· Исследование службы DNS;

· Исследование конфигураций рабочих станций;

· Изучение управления пользователями в компьютерных сетях.

Несмотря на то, что корпоративные сети обычно используют множество операционных систем, особенно на серверах, на большинстве пользовательских рабочих станций установлена какая-либо из версий Windows.

Независимо от того, согласны ли вы с тем, что интерфейс Windows является интуитивным и дружественным пользователю или не согласны, нет никаких сомнений в том, что администрирование сотен или тысяч рабочих станций Windows представляет собой крайне масштабную задачу. Операционные системы Windows 95, Windows 98, Windows NT Workstation, Windows 2000 Professional и Windows XP включают различные инструменты, которые администраторы сетей могут применять для облегчения процессов установки, управления и обслуживания операционных систем большого числа рабочих станций

1. Администрирование сетей на основе Microsoft Windows NT/2000/XP

1.1 Домены и рабочие группы

Компьютеры, входящие в сети, логически объединяют в группы или иерархии. Домены и рабочие группы. Рабочие группы объединяют компьютеры для более удобной работы с сетевыми сервисами. Каждый сервер в рабочей группе должен вести собственную независимую БД пользователей. Домены логически группируют серверы и рабочие станции; в каждом домене ведется одна БД учетных записей, действительная для всех серверов домена. Эта БД хранится на главном контроллере домена (PDC), на остальных серверах ведется копия центральной БД реплицируемая (5 мин) с PDC. Запрос на вход в систему может проверить любой сервер. Для доступа пользователя к любому из серверов домена нужна только одна учетная запись и единственная процедура подключения. Доверительные отношения между доменами позволяют получать доступ к нескольким доменам, не дублируя учетные записи. Домен - это понятие, определяющее централизованно управляемый набор ресурсов общего пользования (файл-серверов и серверов приложений, принтеров, модемов и других устройств). Доступ к ресурсам, входящим в домен, предоставляется только пользователям, подключившимся (log on) к домену, и, кроме того, обладающим необходимыми допусками (permission). Ресурсы обычно объединяют в домены по географическому или функциональному признаку ("Киевский филиал", "Отдел продаж").

1.2 Пользователи и группы пользователей домена

Учетные записи пользователей. Учетная запись содержит идентификатор безопасности (SID), пользовательские права и права доступа. При подключении (logon), диспетчер безопасности (SAM) сверяет регистрационную информацию с данными из БД с тем, чтобы аутентифицировать вход в систему. После того, как доступ предоставлен, распорядитель локальной безопасности (LSA) создает для этого пользователя маркер безопасности (security access token).

Учетная запись глобального пользователя (global user account): обычная учетная запись; таковы все записи на NT Workstation, и на NT Server - не контроллерах. Аутентифицируются PDC или BDC в домене, или через доверительные отношения.

Учетная запись локального пользователя (local user account): пользователь доступный только через удаленный вход в систему, аутентифицируется на локальном компьютере, обрабатывающем подключение. Невозможно аутентифицировать через доверительные отношения.

При инсталляции Windows NT создаются три учетные записи:

· Administrator (может все; если забыт пароль - можно воспользоваться диском Emergency Repair или переисталлировать систему);

· Guest (ограниченный доступ, например может только посылать документы на принтер).

Группы пользователей. Удобно организовать пользователей с одинаковыми административными требованиями в группы пользователей, что упрощает администрирование, группе можно присвоить общий скрипт, права доступа к файлам, разрешения и профиль пользователя. Группы могут быть локальными и глобальными.

Глобальная группа - это набор пользовательских учетных записей из одного домена. Такая группа может содержать только учетные записи пользователей из того домена, в котором она сама создана (не может содержать другие группы и чужих пользователей). Другие домены могут назначать чужим глобальным группам (из доменов, оторым они доверяют) допуски к своим ресурсам.

Локальная группа - это набор пользовательских учетных записей и/или учетных записей глобальных групп, которой могут быть назначены допуски к ресурсам только в том домене, где она создана. Локальные группы удобно использовать, когда нужно предоставить допуски к ресурсам пользователям из других доменов.

Аутентификация пользователей:

1. Обнаружение (Discovery);

2. Установление безопасного канала (Secure channel setup);

3. Сквозная (pass-through) аутентификация (при необходимости).

При недоступности всех контроллеров при интерактивном входе в систему может использоваться кэшированная информация (Default - 10 users).

1.3 Многодоменные сети

Доверительные взаимоотношения между доменами. Связь между двумя доменами, позволяющая пользователям, имеющих учетную запись в одном домене (доверяемом), получать доступ к ресурсам другого (доверяющего) без заведения дополнительной учетной записи. Домен, с которым устанавливаются доверительные отношения (доверяемый) позволяет использовать свои учетные записи в домене, который устанавливает доверительные отношения (доверяющем). При установлении доверительных отношений, в SAM доверяемого домена создается невидимая учетная запись междоменных доверительных отношений (с флагом USER_INTERDOMAIN_TRUST_ACCOUNT и случайным паролем). Доверительные отношения - односторонние (несимметричные), не транзитивные.

Модели доменов:

· Одиночный домен - <10000 (NT3.5) или 26000 (NT4) пользователей, взаимное доверие между подразделениями; вариант: множество одиночных доменов;

· Главный домен - <10000 (NT3.5) или 26000 (NT4) пользователей,: один домен является доверяемым для всех остальных, сам не доверяет никому, несет все пользовательские учетные записи; остальные домены могут доверять другдругу по необходимости.

Множественные главные домены: крупные организации; несколько главных доменов, каждый из которых доверяет всем остальным главным доменам, все главные домены являются доверяемыми для всех остальных, а сами не доверяет ни одному из субдоменов; хорошо масштабируема. Множественные доверительные отношения; каждый домен доверяет всем остальным; хорошо масштабируема.

1.4 Служба Active Directory в Windows 2000/XP

Active Directory ("Активные директории", AD) -- LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

Представление Active Directory состоялось в 1999 году, продукт был впервые выпущен с Windows 2000 Server, а затем был модифицирован и улучшен при выпуске Windows Server 2003. Впоследствии Active Directory был улучшен в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services. Ранее служба каталогов называлась NT Directory Service (NTDS), это название до сих пор можно встретить в некоторых исполняемых файлах.

В отличие от версий Windows до Windows 2000, которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory интегрирована с DNS и TCP/IP. Для аутентификации по умолчанию используется протокол Kerberos. Если клиент или приложение не поддерживает аутентификацию Kerberos, используется протокол NTLM

Устройство. Объекты. Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и люди (учётные записи пользователей и групп пользователей). Active Directory предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.

Объекты могут быть вместилищами для других объектов. Объект уникально определяется своим именем и имеет набор атрибутов -- характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект "Пользователь"), а один объект атрибута схемы определяет атрибут, который объект может иметь.

Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо. Однако каждый объект схемы является частью определений объектов Active Directory, поэтому отключение или изменение этих объектов могут иметь серьёзные последствия, так как в результате этих действий будет изменена структура Active Directory. Изменение объекта схемы автоматически распространяется в Active Directory. Будучи однажды созданным, объект схемы не может быть удалён, он может быть только отключён. Обычно все изменения схемы тщательно планируются.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Структура. Верхним уровнем структуры является лес -- совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS -- пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры -- подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Microsoft рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

Другим способом деления Active Directory являются сайты, которые являются способом физической (а не логической) группировки на основе маски подсети. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.

Ключевым решением при проектировании Active Directory является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

Физическая структура и репликация. Физически информация хранится на одном или нескольких равнозначных контроллерах доменов, заменивших использовавшиеся в Windows NT основной и резервные контроллеры домена, хотя для выполнения некоторых операций сохраняется и так называемый сервер "операций с одним главным сервером", который может эмулировать главный контроллер домена. Каждый контроллер домена хранит копию данных, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при репликации. Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен Active Directory, называются рядовыми серверами.

Репликация Active Directory выполняется по запросу. Служба Knowledge Consistency Checker создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партнёров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) -- различная "оценка" (или "стоимость") может быть назначена каждому каналу (например DS3, T1, ISDN и т. д.), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитивно передаваться через несколько сайтов через мосты связи сайтов, если "оценка" низка, хотя AD автоматически назначает более низкую оценку для связей "сайт-сайт", чем для транзитивных соединений. Репликация сайт-сайт выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC по протоколу IP, междоменная -- может использовать также протокол SMTP.

Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две -- уникальны в рамках всего леса.

Базу Active Directory можно разделить на три логические хранилища или "раздела". Схема является шаблоном для Active Directory и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). Конфигурация является структурой леса и деревьев Active Directory. Домен хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично -- на сервера глобального каталога.

База данных (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения Microsoft Jet Blue (англ.), которая позволяет для каждого контроллера домена иметь базу размером до 16 терабайт и 1 миллиард объектов (теоретическое ограничение, практические тесты выполнялись только с приблизительно 100 миллионами объектов). Файл базы называется NTDS.DIT и имеет две основные таблицы -- таблицу данных и таблицу связей. В Windows Server 2003 добавлена ещё одна таблица для обеспечения уникальности экземпляров дескрипторов безопасности. Именование. Active Directory поддерживает следующие форматы именования объектов: универсальные имена типа UNC, URL и LDAP URL. Версия LDAP формата именования X.500 используется внутри Active Directory.

Каждый объект имеет различающееся имя (англ. distinguished name, DN). Например, объект принтера с именем HPLaser3 в подразделении "Маркетинг" и в домене foo.org будет иметь следующее различающееся имя: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=org, где CN -- это общее имя, OU -- раздел, DC -- класс объекта домена. Различающиеся имена могут иметь намного больше частей, чем четыре части в этом примере. У объектов также есть канонические имена. Это различающиеся имена, записанные в обратном порядке, без идентификаторов и с использованием косых черт в качестве разделителей: foo.org/Маркетинг/HPLaser3. Чтобы определить объект внутри его контейнера, используется относительное различающееся имя: CN=HPLaser3. У каждого объекта также есть глобально уникальный идентификатор (GUID) -- уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Определённые объекты также имеют имя участника-пользователя (UPN, в соответствии с RFC 822) в формате объект@домен.

1.5 Служба DNS в Windows NT/2000/XP

DNS (англ. Domain Name System -- система доменных имён) -- компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу.

Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения -- другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за "свою" часть доменного имени. Начиная с 2010 года, в систему DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами.

Ключевые характеристики DNS. DNS обладает следующими характеристиками:

· Распределённость администрирования, ответственность за разные части иерархической структуры несут разные люди или организации;

· Распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности и (возможно) адреса корневых DNS-серверов;

· Кеширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть;

· Иерархическая структура, в которой все узлы объединены в дерево, и каждый узел может или самостоятельно определять работу нижестоящих узлов, или делегировать (передавать) их другим узлам;

· Резервирование. За хранение и обслуживание своих узлов (зон) отвечают (обычно) несколько серверов, разделённые как физически, так и логически, что обеспечивает сохранность данных и продолжение работы даже в случае сбоя одного из узлов.

DNS важна для работы Интернета, так как для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла hosts, который составлялся централизованно и автоматически рассылался на каждую из машин в своей локальной сети. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.

DNS была разработана Полом Мокапетрисом в 1983 году; оригинальное описание механизмов работы содержится в RFC 882 и RFC 883. В 1987 публикация RFC 1034 и RFC 1035 изменила спецификацию DNS и отменила RFC 882 и RFC 883 как устаревшие.

Дополнительные возможности

· поддержка динамических обновлений;

· защита данных (DNSSEC) и транзакций (TSIG);

· поддержка различных типов информации (SRV-записи)

Терминология и принципы работы. Ключевыми понятиями DNS являются:

· Домемн (англ. domain -- область) -- узел в дереве имён, вместе со всеми подчинёнными ему узлами (если таковые имеются), то есть именованная ветвь или поддерево в дереве имен. Структура доменного имени отражает порядок следования узлов в иерархии; доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости), корневым доменом всей системы является точка ("."), ниже идут домены первого уровня (географические или тематические), затем -- домены второго уровня, третьего и т. д. (например, для адреса ru.wikipedia.org домен первого уровня -- org, второго wikipedia, третьего ru). На практике точку в конце имени часто опускают, но она бывает важна в случаях разделения между относительными доменами и FQDN (англ. Fully Qualifed Domain Name, полностью определённое имя домена);

· Поддомен (англ. subdomain) -- подчинённый домен (например, wikipedia.org -- поддомен домена org, а ru.wikipedia.org -- домена wikipedia.org). Теоретически такое деление может достигать глубины 127 уровней, а каждая метка может содержать до 63 символов, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения. Например, если у вас есть домен вида mydomain.ru, вы можете создать для него различные поддомены вида mysite1.mydomain.ru, mysite2.mydomain.ru и т. Д;

· Ресурсная запись -- единица хранения и передачи информации в DNS. Каждая ресурсная запись имеет имя (то есть привязана к определенному Доменному имени, узлу в дереве имен), тип и поле данных, формат и содержание которого зависит от типа;

· Зона -- часть дерева доменных имен (включая ресурсные записи), размещаемая как единое целое на некотором сервере доменных имен (DNS-сервере, см. ниже), а чаще -- одновременно на нескольких серверах (см. ниже). Целью выделения части дерева в отдельную зону является передача ответственности (см. ниже) за соответствующий Домен другому лицу или организации, так называемое Делегирование (см. ниже). Как связная часть дерева, зона внутри тоже представляет собой дерево. Если рассматривать пространство имен DNS как структуру из зон, а не отдельных узлов/имен, тоже получается дерево; оправданно говорить о родительских и дочерних зонах, о старших и подчиненных. На практике, большинство зон 0-го и 1-го уровня (".", ru, com, …) состоят из единственного узла, которому непосредственно подчиняются дочерние зоны. В больших корпоративных доменах (2-го и более уровней) иногда встречается образование дополнительных подчиненных уровней без выделения их в дочерние зоны;

· Делегирование -- операция передачи ответственности за часть дерева доменных имен другому лицу или организации. За счет делегирования в DNS обеспечивается распределенность администрирования и хранения. Технически делегирование выражается в выделении этой части дерева в отдельную зону, и размещении этой зоны на DNS-сервере (см. ниже), управляемом этим лицом или организацией. При этом в родительскую зону включаются "склеивающие" ресурсные записи (NS и А), содержащие указатели на DNS-сервера дочерней зоны, а вся остальная информация, относящаяся к дочерней зоне, хранится уже на DNS-серверах дочерней зоны;

· DNS-сервер -- специализированное ПО для обслуживания DNS, а также компьютер, на котором это ПО выполняется. DNS-сервер может быть ответственным за некоторые зоны и/или может перенаправлять запросы вышестоящим серверам;

· DNS-клиент -- специализированная библиотека (или программа) для работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента;

· Авторитетность (англ. authoritative) -- признак размещения зоны на DNS-сервере. Ответы DNS-сервера могут быть двух типов: авторитетные (когда сервер заявляет, что сам отвечает за зону) и неавторитетные (англ. Non-authoritative), когда сервер обрабатывает запрос, и возвращает ответ других серверов. В некоторых случаях вместо передачи запроса дальше DNS-сервер может вернуть уже известное ему (по запросам ранее) значение (режим кеширования);

· DNS-запрос (англ. DNS query) -- запрос от клиента (или сервера) серверу. Запрос может быть рекурсивным или нерекурсивным (см. Рекурсия).

Система DNS содержит иерархию DNS-серверов, соответствующую иерархии зон. Каждая зона поддерживается как минимум одним авторитетным сервером DNS (от англ. authoritative -- авторитетный), на котором расположена информация о домене.

Имя и IP-адрес не тождественны -- один IP-адрес может иметь множество имён, что позволяет поддерживать на одном компьютере множество веб-сайтов (это называется виртуальный хостинг). Обратное тоже справедливо -- одному имени может быть сопоставлено множество IP-адресов: это позволяет создавать балансировку нагрузки.

Для повышения устойчивости системы используется множество серверов, содержащих идентичную информацию, а в протоколе есть средства, позволяющие поддерживать синхронность информации, расположенной на разных серверах. Существует 13 корневых серверов, их адреса практически не изменяются.

Протокол DNS использует для работы TCP- или UDP-порт 53 для ответов на запросы. Традиционно запросы и ответы отправляются в виде одной UDP датаграммы. TCP используется для AXFR-запросов.

Рекурсия. Термином Рекурсия в DNS обозначают алгоритм поведения DNS-сервера, при котором сервер выполняет от имени клиента полный поиск нужной информации во всей системе DNS, при необходимости обращаясь к другим DNS-серверам. DNS-запрос может быть рекурсивным -- требующим полного поиска, -- и нерекурсивным -- не требующим полного поиска.

Аналогично, DNS-сервер может быть рекурсивным (умеющим выполнять полный поиск) и нерекурсивным (не умеющим выполнять полный поиск). Некоторые программы DNS-серверов, например, BIND, можно сконфигурировать так, чтобы запросы одних клиентов выполнялись рекурсивно, а запросы других -- нерекурсивно.

При ответе на нерекурсивный запрос, а также -- при неумении или запрете выполнять рекурсивные запросы, -- DNS-сервер либо возвращает данные о зоне, за которую он ответствен, либо возвращает адреса серверов, которые обладают большим объёмом информации о запрошенной зоне, чем отвечающий сервер, чаще всего -- адреса корневых серверов.

В случае рекурсивного запроса DNS-сервер опрашивает серверы (в порядке убывания уровня зон в имени), пока не найдёт ответ или не обнаружит, что домен не существует. (На практике поиск начинается с наиболее близких к искомому DNS-серверов, если информация о них есть в кеше и не устарела, сервер может не запрашивать другие DNS-серверы.)

Обратный DNS-запрос. DNS используется в первую очередь для преобразования символьных имён в IP-адреса, но он также может выполнять обратный процесс. Для этого используются уже имеющиеся средства DNS. Дело в том, что с записью DNS могут быть сопоставлены различные данные, в том числе и какое-либо символьное имя. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соответствующее символьное имя. Обратный порядок записи частей IP-адреса объясняется тем, что в IP-адресах старшие биты расположены в начале, а в символьных DNS-именах старшие (находящиеся ближе к корню) части расположены в конце.

Ресурсные записи DNS. Записи DNS, или Ресурсные записи (англ. Resource Records, RR) -- единицы хранения и передачи информации в DNS. Каждая ресурсная запись состоит из следующих полей:

· имя (NAME) -- доменное имя, к которому привязана или которому "принадлежит" данная ресурсная запись;

· TTL (Time To Live) -- допустимое время хранения данной ресурсной записи в кэше неответственного DNS-сервера;

· тип (TYPE) ресурсной записи -- определяет формат и назначение данной ресурсной записи;

· класс (CLASS) ресурсной записи; теоретически считается, что DNS может использоваться не только с TCP/IP, но и с другими типами сетей, код в поле класс определяет тип сети;

· длина поля данных (RDLEN);

· поле данных (RDATA), формат и содержание которого зависит от типа записи.

Наиболее важные типы DNS-записей:

· Запись A (address record) или запись адреса связывает имя хоста с адресом IP. Например, запрос A-записи на имя referrals.icann.org вернет его IP адрес -- 192.0.34.164;

· Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6. Например, запрос AAAA-записи на имя K.ROOT-SERVERS.NET вернет его IPv6 адрес -- 2001:7fd::1;

· Запись CNAME (canonical name record) или каноническая запись имени (псевдоним) используется для перенаправления на другое имя;

· Запись MX (mail exchange) или почтовый обменник указывает сервер(ы) обмена почтой для данного домена;

· Запись NS (name server) указывает на DNS-сервер для данного домена;

· Запись PTR (pointer) или запись указателя связывает IP хоста с его каноническим именем. Запрос в домене in-addr.arpa на IP хоста в reverse форме вернёт имя (FQDN) данного хоста (см. Обратный DNS-запрос). Например, (на момент написания), для IP адреса 192.0.34.164: запрос записи PTR 164.34.0.192.in-addr.arpa вернет его каноническое имя referrals.icann.org. В целях уменьшения объёма нежелательной корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии;

· Запись SOA (Start of Authority) или начальная запись зоны указывает, на каком сервере хранится эталонная информация о данном домене, содержит контактную информацию лица, ответственного за данную зону, тайминги (параметры времени) кеширования зонной информации и взаимодействия DNS-серверов;

· SRV-запись (server selection) указывает на серверы для сервисов, используется, в частности, для Jabber и Active Directory.

Зарезервированные доменные имена. Документ RFC 2606 (Reserved Top Level DNS Names -- Зарезервированные имена доменов верхнего уровня) определяет названия доменов, которые следует использовать в качестве примеров (например, в документации), а также для тестирования. Кроме example.com, example.org и example.net, в эту группу также входят test, invalid и др.

Интернациональные доменные имена. Доменное имя может состоять только из ограниченного набора ASCII символов, позволяя набрать адрес домена независимо от языка пользователя. ICANN утвердил основанную на Punycode систему IDNA, преобразующую любую строку в кодировке Unicode в допустимый DNS набор символов.

Программное обеспечение DNS. Серверы имен:

· BIND (Berkeley Internet Name Domain);

· djbdns (Daniel J. Bernstein"s DNS);

· MaraDNS;

· NSD (Name Server Daemon);

· PowerDNS;

· OpenDNS

· Microsoft DNS Server (в серверных версиях операционных систем Windows NT);

· MyDNS;

2 . Конфигураци я рабочих станций

Одной из первичных задач любого администратора сети должно стать создание конфигураций рабочих станций, которые были бы постоянными и едиными. В таком случае, если возникнут какие-либо проблемы, обслуживающий персонал сети будет располагать полной информацией о рабочей конфигурации пользователя. Невозможность сделать это обычно приводит к существенному увеличению времени и затрат, необходимых для устранения неисправностей, и повышает стоимость эксплуатации машины. К несчастью, пользователи имеют тенденцию экспериментировать со своими рабочими станциями, изменяя настройки конфигурации или устанавливая нелицензионное программное обеспечение. Это может привести к тому, что система будет работать нестабильно, а также затруднять процессы обслуживания и отладки. Поэтому администраторам настоятельно рекомендуется предпринимать ряд ограничительных мер по отношению к рабочим станциям сети, чтобы предотвратить эти неавторизованные эксперименты. Такие возможности, как создание профилей пользователей и правил системной политики, являются базовыми инструментами, которые можно использовать в системах Windows для выполнения указанных задач независимо от предполагаемого уровня ограничительных мер для пользователей сети. Применяя эти инструменты, можно ограничить набор программ, разрешенных для запуска в данной системе, запретить доступ к отдельным элементам операционной системы, а также контролировать использование сетевых ресурсов. Эти инструменты, как и некоторые другие, являются частью того, что фирма Microsoft называет Zero Administration Initiative (ZAI, инициатива нулевого администрирования). Сущность ZAI неправильно понимается многими людьми, которые склонны считать, что ее цель заключается в создании рабочей станции, не требующей вообще никакого обслуживания и административного вмешательства любого рода. На самом же деле, ZAI была разработана для того, чтобы не допускать проведения пользователями мероприятий по системному администрированию, для которых они не имеют соответствующей квалификации. С помощью настройки тщательно спланированной и протестированной конфигурации и последующего запрещения любых ее изменений пользователями можно значительно уменьшить стоимость обслуживания рабочих станций. Проведение ограничительной политики и уменьшение количества пользователей, имеющих доступ к рабочим станциям, способно привести к серьезным последствиям, поэтому администраторы всегда должны учитывать возможности пользователей сети, прежде чем принимать подобные решения. Неопытные пользователи компьютеров могут счесть очень удобным и даже приветствовать ограниченную конфигурацию, изолирующую их от сложных и непонятных элементов операционной системы. Однако пользователи с более высоким уровнем навыков в сфере применения компьютеров вполне могут негативно воспринять ограничение доступа лишь небольшой частью возможностей компьютера, из-за чего в свою очередь может упасть эффективность их работы.

2.1 Размещение приложений и данных

Одной из главных задач любого администратора сети является принятие решения о том, в каком именно месте сети будут храниться определенные данные. Рабочим станциям сети требуется доступ к файлам операционной системы, приложениям и рабочим файлам, поэтому определение мест расположения этих элементов представляет собой важнейшую часть процесса создания стабильной и безопасной сети. Некоторые администраторы вообще не контролируют, где пользователи хранят свои рабочие файлы. К счастью, большинство приложений, работающих в среде Windows, устанавливаются по умолчанию в каталог C:\Program Files локального диска, и это уже обеспечивает некоторую меру последовательности, если нет ничего более существенного. Некоторые приложения даже создают рабочие каталоги по умолчанию на локальном диске, однако оставлять пользователей наедине с их собственными устройствами, когда речь идет о хранении файлов данных, обычно представляет собой крайне опасную практику. Многие пользователи не имеют вообще никаких или имеют очень мало знаний о структуре каталогов своих компьютеров, а также не обладают опытом в управлении файлами. Это может привести к тому, что файлы для разных приложений окажутся беспорядочно "свалены" в один общий каталог и оставлены без всякой защиты от случайного повреждения или удаления.

Размещение операционной системы на сервере. На заре Windows запуск операционной системы с диска сервера являлся практической альтернативой установки ОС на каждую рабочую станцию. Хранение файлов операционной системы на сервере позволяло администратору не только предотвратить их повреждение или случайное удаление, но и обновлять версию ОС для всех рабочих станций одновременно. Подобное решение также помогает экономить дисковое пространство локальной машины. Однако с годами емкость диска средней рабочей станции возросла неимоверно, а размер самой операционной системы Windows превысил все мыслимые пределы.

В настоящее время простая установка стандартной операционной системы на отображенный диск сервера уже не может считаться практичной. Рабочая станция, использующая операционную систему Windows 95/98 или Windows NT/2000, Windows XP должна загрузить многие мегабайты информации только для запуска системы. Если умножить эту цифру на общее количество рабочих станций сети, исчисляемое сотнями, можно легко представить, что общий объем сетевого трафика, генерируемого при этом, будет способен лечь тяжким грузом даже на самую быструю сеть. Кроме того, недостаток дискового пространства более не является проблемой, когда самые обыкновенные рабочие станции оснащаются жесткими дисками, способными хранить от 80 до 750 Гбайт информации и даже больше. Установка операционной системы на локальный диск представляется в большинстве случаев более очевидным решением. С другой стороны, в настоящее время появился целый ряд новых технологий, позволяющих снова сделать практичной исполнение операционной системы Windows с сервера. Однако в нынешнем варианте рабочие станции не загружают операционную систему целиком с диска сервера. Вместо этого, рабочие станции функционируют в качестве клиентов-терминалов, которые соединяются с сервером терминалов. Операционная система и приложения рабочей станции фактически исполняются сервером, в то время как функции терминала исчерпываются исключительно вводом/выводом. В результате, рабочие станции требуют минимального количества ресурсов, так как сервер берет на себя львиную долю нагрузки.

При использовании подобной схемы терминалы могут быть относительно слабыми компьютерами, исполняющими программу эмуляции терминала, или же специализированными терминалами Windows, разработанными для запуска исключительно клиентского программного обеспечения. В любом случае, стоимость подобной рабочей станции даже близко нельзя сравнивать с ценой нового персонального компьютера, чье аппаратное обеспечение достаточно для исполнения индивидуальной копии Windows NT/2000 или Windows XP. Операционная система Windows NT 4.0 имеет специальную версию, поддерживающую данную технологию, которая носит название Windows NT Server Terminal Server Edition, a операционная система Windows 2000 и Windows XP уже включает возможность сервера терминалов в основной набор. Существуют также продукты независимых разработчиков, обеспечивающие аналогичные возможности, наиболее известным из которых является WinFrame от Citrix Systems.

Эксплуатация сети Windows, основанной на терминалах, коренным образом отличается от обслуживания стандартной ЛВС, и данный вариант нельзя назвать альтернативой для тех сетей, что уже используют полные версии операционных систем Windows на своих рабочих станциях. Однако, если формируется новая сеть или проводится масштабное расширение, использование терминалов Windows может стать одним из тех вариантов решения, которые следует рассмотреть.

Размещение приложений на сервере. Запуск приложений с диска сервера вместо диска рабочей станции представляет собой еще один способ обеспечения стабильной рабочей конфигурации для пользователей и сведения к минимуму нагрузки по администрированию сети. В простейшей форме процесс сводится к установке приложения обычным образом с указанием каталога сетевого диска, вместо локального каталога, в качестве места расположения файлов программы. Однако приложения Windows никогда не отличались простотой, поэтому в реальности этот процесс выглядит намного сложнее. Запуск приложений с диска сервера имеет как достоинства, так и недостатки. Положительным фактором, как и в случае с размещением на сервере операционной системы, можно назвать экономию пространства локальных дисков, защиту файлов приложений от повреждения или удаления, а также возможность улучшения и обслуживания единственной копии приложения, а не индивидуальных копий на каждой рабочей станции. Среди недостатков на первый план выступает тот факт, что приложения, размещенные на сервере, обычно работают сравнительно медленнее, чем их локальные аналоги, а также генерируют существенный объем сетевого трафика и не могут функционировать, если сервер неисправен или недоступен по иным причинам. Во времена DOS приложения были самодостаточными и обычно состояли не более чем из одного программного каталога, который содержал все файлы данного приложения. Тогда можно было установить приложение на сервер и позволить другим системам использовать его, просто запуская исполняемый файл. Сегодняшние приложения Windows намного сложнее, и программа их инсталляции не исчерпывается простым копированием файлов.

Кроме программных файлов приложение Windows обычно включает определенные установки системного реестра, наличие некоторых DLL-файлов Windows, которые должны присутствовать на локальном диске, а также процедуру создания строк в меню кнопки Start (Пуск) и пиктограмм, необходимых для запуска приложения. Если есть желание совместно использовать несколькими рабочими станциями приложение, размещенное на сервере, то, как правило, по-прежнему придется провести его полную установку на каждой машине. Это делается для того, чтобы быть уверенным, что каждая рабочая станция имеет соответствующие файлы Windows, установки реестра и пиктограммы, необходимые для работы приложения. Один из способов практической реализации приложения, размещенного на сервере, заключается в проведении полной инсталляции программы на каждую рабочую станцию, с указанием имени одного и того же каталога сервера в качестве места расположения файлов программы в каждом отдельном случае. Таким образом, каждая рабочая станция получит все необходимые файлы и модификации, а на сервере останется всего одна копия файлов приложения.

Другой важной проблемой является способность поддерживать индивидуальные параметры конфигурации для каждой рабочей станции, получающей доступ к приложению. Например, если один из пользователей модифицирует интерфейс совместно используемого приложения, весьма нежелательно, чтобы эти изменения отражались на других пользователях. В результате, каждый из пользователей приложения должен поддерживать собственную копию параметров конфигурации данного приложения. Является это простой или сложной задачей и выполнимо ли вообще, целиком и полностью зависит от того, где именно данное приложение хранит свои конфигурационные установки. Если, например, установки сохраняются в системном реестре или INI-файле Windows, в процессе инсталляции будет создана отдельная конфигурация для каждой рабочей станции. Однако, если по умолчанию установки конфигурации приложения размещаются вместе с файлами программы на сервере, то следует предпринять ряд шагов, направленных на то, чтобы не допустить ситуации, когда изменения, вносимые одним пользователем, аннулируют изменения других пользователей.

В некоторых случаях существует возможность конфигурирования приложения для хранения установок конфигурации в альтернативном месте, что позволяет переместить их на локальный диск каждой из рабочих станций или в индивидуальный каталог каждого пользователя на сервере. Если такой возможности нет, данное приложение нельзя считать подходящим для совместного использования в сети. Во многих случаях наиболее практичным способом исполнения приложений, размещенных на сервере, является применение приложения, которое имеет свои собственные сетевые возможности. Например, Microsoft Office позволяет создавать на сервере точку управляемой инсталляции (administrative installation point), которую можно затем использовать для установки приложения на рабочие станции. Проводя каждую инсталляцию, можно выбирать, будут ли файлы приложения копироваться на локальный диск, запускаться с диска сервера или распределяться между сервером и рабочей станцией.

Хранение рабочих файлов. В большинстве современных сетей Windows как операционная система, так и файлы приложений устанавливаются на локальных дисках рабочих станций. Однако по-прежнему только от администратора сети зависит принятие решения о том, где именно будут храниться файлы данных, создаваемые и изменяемые пользователями. При решении данного вопроса следует обращать особое внимание на некоторые принципиальные моменты, а именно, доступность этих файлов для пользователей и их безопасность. Естественно, пользователи должны получать доступ к своим файлам данных, но существуют также файлы, которые должны совместно использоваться многими пользователями. Важные файлы данных также должны быть защищены от модификации и удаления неавторизованным персоналом и к тому же дублироваться на альтернативном носителе в целях страховки от непредвиденных обстоятельств, например, выхода диска из строя или пожара. Рабочие файлы могут иметь различный формат, что не может не отражаться на том, каким способом их надлежит хранить. Например, документы индивидуальных пользователей, созданные с помощью текстовых редакторов или электронных таблиц, предназначены для использования одним человеком в каждый момент времени, в то время как базы данных поддерживают одновременный доступ нескольких пользователей. В большинстве случаев файлы баз данных хранятся на компьютерах, исполняющих приложения серверов баз данных, поэтому администраторы могут регулировать доступ к ним с помощью разрешений файловой системы и защищать регулярным резервным копированием. Другие типы файлов могут требовать дополнительного планирования. Так как операционные системы Windows 95/98 и Windows NT/2000 Windows XP все относятся к одноранговым сетевым операционным системам, можно разрешить пользователям хранить свои документы как на локальных дисках, так и на дисках сервера, и по-прежнему иметь возможность их совместного использования с другими пользователями сети. Однако есть несколько достаточно веских причин, по которым более правильным решением представляется хранение всех рабочих файлов на жестких дисках сервера. Первая и наиболее важная из этих причин заключается в том, что так намного проще защищать файлы от потери из-за сбоя диска рабочей станции. Серверы с большей вероятностью оснащены всевозможными защитными механизмами, такими как, например, RAID-массивы или зеркальные тома. Кроме того, серверам проще использовать резервное копирование. В конце концов, серверы позволяют сделать данные доступными в любое время, тогда как рабочая станция может быть выключена при отсутствии пользователя. Вторая причина относится к управлению доступом. Несмотря на то, что и серверы, и рабочие станции Windows имеют сходные возможности по предоставлению определенных прав конкретным пользователям, сами пользователи крайне редко обладают достаточным уровнем навыков или желанием для того, чтобы эффективно защитить свои собственные файлы. Поэтому администраторам сети намного проще управлять правами на одном сервере, чем на множестве рабочих станций. Еще одна немаловажная причина состоит в том, что присутствие дисков совместного использования у каждой рабочей станции делает крайне трудным обнаружение конкретной информации в сети. Если только бегло взглянуть на домен Windows NT/2000 или Windows XP и увидеть там десятки или сотни компьютеров, каждый из которых имеет собственные ресурсы совместного использования, можно легко понять, насколько сложной будет задача по определению местоположения конкретного файла. Ограничение ресурсов совместного использования рамками относительно небольшого числа серверов способно упростить подобный процесс. В результате наилучшей стратегией для большинства сетей Windows представляется установка операционной системы и всех приложений на локальные диски рабочих станций в сочетании с хранением всех рабочих файлов на серверах сети. Наиболее распространенная практика заключается в создании на сервере индивидуального каталога для каждого пользователя, причем пользователю предоставляется полный контроль над собственным каталогом. Затем следует сконфигурировать все приложения для хранения рабочих файлов в этом каталоге по умолчанию, чтобы никакой ценной информации не оставалось на локальном диске. В зависимости от нужд пользователей сети вы можете сделать домашние каталоги частными (private), чтобы только данный пользователь имел доступ к своему каталогу, или же разрешить всем пользователям доступ типа "только чтение" к индивидуальным каталогам других пользователей. Это позволит каждому пользователю совместно использовать любой рабочий файл с другим пользователем, просто сообщив ему имя и место расположения этого файла.

Подобные документы

Применение службы каталога Active Directory для решения задач управления ресурсами в сетях под управлением Windows. Обеспечение доступа к базе данных, в которой хранится информация об объектах сети. Логическая и физическая структура Active Directory.

презентация , добавлен 10.09.2013


Контроллер домена в компьютерных сетях. Настройка контроллера домена. Создание пользователя для службы RMS. Действия, которые необходимо выполнить на клиенте. Установка Report Viewer, Windows Server Update Services. Поиск и одобрение обновлений WSUS.

дипломная работа , добавлен 11.09.2012


Роль службы каталога Active Directory при выполнении задач сетевого администрирования. Планирование структуры каталога. Критерии выбора доменной структуры. Планирование структуры организационных подразделений. Учетные записи, самые важные атрибуты.

презентация , добавлен 10.09.2013


Понятия доменной архитектуры. Модели управления безопасностью. Реализации службы каталогов. Возможности Active Directory. Установка контроллеров домена. Поиск объектов в глобальном каталоге. Использование сайтов, упрощение процессов Active Directory.

презентация , добавлен 05.12.2013


Принципы организации компьютерной сети, предъявляемые к ней требования, используемые устройства и технологии. Методы и средства администрирования сетей. Администрирование Active Directory, этапы и направления данного процесса, оценка результата.

дипломная работа , добавлен 13.05.2014


История развития операционных систем семейства Windows и основные понятия системного администрирования. Определение востребованности операционных систем Windows, сравнительная характеристика их функции и возможностей, особенности применения на практике.

курсовая работа , добавлен 08.05.2011


Изучение базовых понятий и общих сведений о компьютерных и корпоративных сетях с последующим комплексным изучением способов и методов защиты информации в них. Классификация данных видов сетей. Существующие службы безопасности доступа. Профиль защиты.

контрольная работа , добавлен 24.01.2009


История развития вычислительных сетей. Понятия рабочих групп и доменов. Подключение к Интернет через прокси-сервер локальной сети. Возможности администрирования операционных систем Windows. Организация локальной вычислительной сети в компьютерном классе.

курсовая работа , добавлен 23.05.2013


Управление доступом и распространение электронных документов в компьютерных сетях, обеспечение контроля информационных потоков в организации при помощи системы электронного документооборота. Обзор современных СЭД по соотношению цены и функциональности.

презентация , добавлен 27.11.2013


Изучение понятия локальной вычислительной сети, назначения и классификации компьютерных сетей. Исследование процесса передачи данных, способов передачи цифровой информации. Анализ основных форм взаимодействия абонентских ЭВМ, управления звеньями данных.

Администрирование сетей Windows

Краткое знакомство со службой каталогов Windows 2000

Служба каталогов используется для уникальной идентификации пользователей и ресурсов в сети. Для работы службы каталогов Win­dows 2000 применяет Active Directory. Важно понимать основную цель Active Directory и ее ключевые возможности.

Что такое служба каталогов

Каталог (Directory) - сохраненный набор информации об объектах, связанных друг с другом некоторым способом. Например, в телефон­ном справочнике хранятся имена объектов и соответствующие им телефонные номера. Телефонный справочник также может содержать адрес или другую информацию об объекте.

В распределенных компьютерных системах или глобальных сетях типа Интернета существует множество объектов, например файловые серверы, принтеры, службы факсов, приложения, базы данных и пользователи, которые находят и используют эти объекты.

Необхо­димо, чтобы администраторы имели возможность управлять этими объектами. Служба каталогов централизованно хранит всю информа­цию, требуемую для использования и управления этими объектами, упрощая процесс поиска и управления данными ресурсами.

В данном курсе термины каталог и служба каталогов относятся к каталогам, расположенным в глобальных и частных сетях.

Каталог предоставляет средство хранения информации, относящейся к сете­вым ресурсам, облегчая их поиск и управление ими.

Служба каталогов - сетевая служба, которая идентифицирует все ресурсы сети и де­лает их доступными пользователям. Служба каталогов отличается от каталога тем, что хотя они оба являются источниками информации, служба делает ее доступной для пользователей.

Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет идентификацией и отношениями между распределен­ными ресурсами и позволяет им работать вместе. Ввиду поддержки службой каталогов этих фундаментальных функций ОС, они должны быть тесно связаны с механизмами управления и безопасности ОС для обеспечения целостности и защищенности сети. Они также не­обходимы для определения и поддержания инфраструктуры сети организации, администрирования системы и контроля активности пользователей информационной службы компании.

Назначение службы каталогов

Служба каталога предоставляет средства организации и упрощения доступа к ресурсам сетевой компьютерной системы. Пользователи и администраторы могут не знать точное название необходимых им объектов. Им достаточно знать один или несколько атрибутов рас­сматриваемых объектов. Пользователи обращаются к службе катало­гов для запроса списка объектов, отвечающих известным атрибутам. Например, в ответ на запрос «Найти все цветные принте­ры на третьем этаже» каталог выдаст сведения обо всех объектах цвет­ных принтеров с атрибутами «цветной» и «третий этаж» (или у кото­рых атрибут местоположения равен «третий этаж»). Служба каталогов позволяет искать объект по одному или нескольким его атрибутам.

Служба каталогов выполняет и другие функции:

Назначение безопасности для защиты объектов БД от внешних вторжений или внутренних пользователей, не имеющих доступа к данным объектам;

Распространение каталога на множество компьютеров сети;

Дублирование каталога для предоставления доступа большему ко­личеству пользователей и отказоустойчивости;

Деление каталога на несколько хранилищ, расположенных на раз­ных компьютерах сети. Это увеличивает доступное для каталога пространство в целом и позволяет хранить больше объектов.

Служба каталогов является как инструментом администрирова­ния, так и инструментом пользователя. При расширении сети прихо­дится управлять все большим количеством объектов ресурсов, и на­личие службы каталога становится насущной необходимостью.

Возможности службы каталогов Windows 2000

Active Directory - это служба каталогов в Windows 2000 Server . Active Directory содержит каталог, в котором хранится информация о сете­вых ресурсах и службы, предоставляющие доступ к этой информации. Ресурсы, хранящиеся в каталоге, такие, как данные, сведения о прин­терах, серверах, базах данных, группах, службах, компьютерах, поли­тике безопасности, - называются объектами (object).

Active Directory встроена в Windows 2000 Server и обеспечивает:

Упрощенное администрирование;

Масштабируемость;

Поддержку открытых стандартов;

Поддержку стандартных форматов имен.

Упрощенное администрирование

Active Directory иерархически упорядочивает ресурсы в домене (domain) - логическом объединении серверов и других сетевых ресурсов в единое имя домена. Домен является основной единицей репликации и безопасности в сети Windows 2000.

Каждый домен включает один или несколько контроллеров домена. Контроллер домена (domain controller) - компьютер под управлением Windows 2000 Server, обеспечивающий доступ пользователей в сеть: вход в систему, проверку подлинности и доступ к каталогу и общим ресурсам. Для простоты администрирования все контроллеры домена равнозначны. Изменения, сделанные на любом из них, реплицируются на остальные контроллеры в домене.

Active Directory дополнительно упрощает администрирование, предоставляя единую точку администрирования всех объектов сети. Благодаря этому администратор может, войдя в систему на одном компьютере, управлять объектами, расположенными на любом компьютере в сети.

Масштабируемость

В Active Directory каталог помещает информацию в разделы, позво­ляющие хранить множество объектов. В результате каталог расширя­ется с ростом организации. Это позволяет переходить от небольших установок с несколькими сотнями объектов к большим с миллиона­ми объектов.

Поддержка открытых стандартов

Active Directory соответствует концепции пространства имен Интер­нета в части службы каталогов Windows 2000. Это позволяет унифи­цировать и управлять множеством пространств имен, существующих в настоящее время в разнородном программном и аппаратном окру­жении корпоративных сетей. В качестве системы именования Active Directory использует DNS и способен обмениваться информацией с любым приложением или каталогом, использующим LDAP или про­токол передачи гипертекста (HTTP).

DNS

Поскольку Active Directory для доменного именования и службы по­иска использует DNS, имена доменов Windows 2000 также являются именами DNS. Windows 2000 Server применяет динамическую DNS (DDNS), позволяющую клиентам с динамически назначенными ад­ресами напрямую регистрироваться на сервере с работающей служ­бой DNS и динамически обновлять таблицу DNS. В однородной среде DDNS устраняет потребность в других службах именования Ин­тернета, например в службе имен Интернета для Windows (Windows Internet Name Service, WINS).

Поддержка LDАР и HTTP

Active Directory отвечает стандартам Интернета и напрямую поддер­живает LDAP и HTTP. LDAP - версия протокола доступа к каталогу Х.500, разработан в качестве упрощенной альтернативы протокола доступа к каталогам (Directory Access Protocol, DAP). Active Directory поддерживает обе версии LDAP: 2 и 3. HTTP является стандартным протоколом для отображения страниц во всемирной сети Интернет. Пользователи могут просматривать каждый объект в Active Directory, как HTML-страницу в обозревателе Web, пользуясь при запросах и просмотре объектов Active Directory всеми преимуществами знакомой модели обозревателя Web.

Для обмена информацией между каталогами и прило­жениями Active Directory использует LDAP.

Active Directory поддерживает несколько общих форматов имен, сле­довательно, для обращения к Active Directory пользователи могут выб­рать наиболее привычный формат.

Active Directory работает в безопасной подсистеме в пользовательском режиме. Тесная взаимосвязь службы каталога и подсистемы безопасности является основой для работы распределенных систем Windows 2000. Доступ к любому объекту каталога требует сначала удостоверения личности (проверки подлинности), а затем и проверки разрешений Доступа (авторизации), которая выполняется компонентами подсистемы безопасности вместе с эталонным монитором безопасности.

Архитектура Active Directory

Функциональную структуру Active Directory можно представить в виде многоуровневой архитектуры, в которой уровни являются процесса­ми, предоставляющими клиентским приложениям доступ к службе каталога. Active Directory состоит из трех уровней служб и нескольких интерфейсов и протоколов, совместно работающих для предоставления доступа к службе каталога. Три уровня служб охватывают различные типы информации, необходимой для поиска записей в БД каталога. Выше уровней служб в этой архитектуре находятся протоколы и API-интерфейсы, осуществляющие связь между клиентами и службой каталога.

На рис. изображены уровни службы Active Directory и соответствующие им интерфейсы и протоколы. Стрелки показывают, как различные клиенты получают при помощи интерфейсов доступ к Active Directory.

· Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию родительско-дочерних отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу.

· Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняют­ся напрямую к БД, а только через уровень БД.

· Расширяемое ядро хранения. Напрямую взаимодействует с конк­ретными записями в хранилище каталога на основе атрибута от­носительного составного имени объекта.

· Хранилище данных (файл БД NTDS.DIT). Управляется при помо­щи расширяемого механизма хранения БД, расположенного в пап­ке WinntNTDS на контроллере домена.

· Клиенты получают доступ к Active Directory, используя механиз­мы, поддерживаемые DSA.

· LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2 (описан в RFC 1777). Клиенты Windows 2000, Windows 98 и Win­dows 95 с установленными клиентскими компонентами Active Directory для связи с DSA используют LDAP версии 3.

· API- интерфейс обмена сообщениями (Messaging API, MAPI, Messaging Application Programming Interface ). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC(Remote Procedure Call)

· Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Клиенты Windows NT версии 4.0 или более ран­ней используют интерфейс SAM для связи с DSA. Репликация с резервных контроллеров в домене смешанного режима также вы­полняется через интерфейс SAM.

· Репликация (REPL). При репликации каталога, агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC.

Active Directory

Средства Active Directory позволят вам спроектировать структуру каталога так, как это нужно вашей организации.

Объекты Active Directory

Active Directory хранит информацию о сетевых ресурсах. Как уже было сказано эти ресурсы, например данные пользователей, описания принтеров, серверов, баз данных, групп, компьютеров и политик безопасности, и называются объектами (object).

Объект - это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс. Атрибуты (attribute) объекта являются его характеристиками в каталоге. Например, атрибуты учетной записи пользователя (user account) могут включать в себя его имя и фамилию, отдел, а также адрес электронной почты

В Active Directory объекты могут быть организованы в классы, то есть в логические группы. Примером класса является объединение объектов, представляющих учетные записи пользователей, группы, компьютеры, домены или организационные подразделения (ОП).

Примечание Объекты, которые способны содержать другие объекты, называются контейнерами (container). Например, домен - это контейнерный объект, который может содержать пользователей, компьютеры и другие объекты.

Какие именно объекты могут храниться в Active Directory, определяется ее схемой.

Схема Active Directory

Схема Active Directory - это список определений (definitions), задающих виды объектов, которые могут храниться в Active Directory, и типы сведений о них. Сами эти определения также хранятся в виде объектов, так что Active Directory управляем ими посредством тех же операций, которые используются и для остальных объектов в Active Directory.

В схеме существуют два типа определений : атрибуты и классы . Также они называются объектами схемы (schema objects) или мета­данными (metadata).

Атрибуты определяются отдельно от классов. Каждый атрибут оп­ределяется только один раз, при этом его разрешается применять в нескольких классах. Например, атрибут Description используется во многих классах, однако определен он в схеме только однажды, что обеспечивает ее целостность.

Классы , также называемые классами объектов (object classes), опи­сывают, какие объекты Active Directory можно создавать. Каждый класс является совокупностью атрибутов. При создании объекта ат­рибуты сохраняют описывающую его информацию. Например, в чис­ло атрибутов класса User входят Network Address, Home Directory и пр. Каждый объект в Active Directory - это экземпляр класса объектов.

В Windows 2000 Server встроен набор базовых классов и атрибутов.

Определяя новые классы и новые атрибуты для уже существующих классов, опытные разработчики и сетевые администраторы могут динамически расширить схему. Например, если Вам нужно хранить информацию о пользователях, не определенную в схеме, можно расширить схему для класса Users. Однако такое расширение схемы - достаточно сложная операция с возможными серьезными последствиями.

Компоненты Active Directory

Active Directory использует компоненты для построения структуры каталога, отвечающей требованиям вашей организации. Логическую структуру организации представляют домены, организационные подразделения, деревья, леса. Физическая структура организации представлена узлами (физически­ми подсетями) и контроллерами доменов. В Active Directory логическая структура полностью отделена от физической.

Логическая структура

В Active Directory ресурсы организованы в логическую структуру, от­ражающую структуру вашей организации. Это позволяет находить ресурс по его имени, а не физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая 1 структура сети не важна для пользователей.

Домен

Основным элементом логической структуры в Active Directory являет­ся домен, способный содержать миллионы объектов. В домене хранят­ся объекты, которые считаются «интересными» для сети. «Интересные» объекты - это то, в чем члены сетевого сообщества нуждаются для сво­ей работы: принтеры, документы, адреса электронной почты, базы дан­ных, пользователи, распределенные компоненты и прочие ресурсы. Active Directory может состоять из одного или более доменов.

Объединение объектов в один или более доменов позволяет отра­зить в сети организационную структуру компании. Общие характе­ристики доменов таковы:

Все сетевые объекты существуют в пределах домена, а каждый до­мен хранит информацию только о тех объектах, которые содер­жит. Теоретически каталог домена может содержать до 10 милли­онов объектов, но фактически - это около 1 миллиона объектов на домен;

Домен обеспечивает безопасность. В списках управления доступом(access control lists, ACL) определяется доступ к объектам домена. В них заданы разрешения для пользователей, которые могут полу­чить доступ к объекту, и указан тип этого доступа. В Windows 2000 объекты включают файлы, папки, общие ресурсы, принтеры и другие объекты Active Directory. В разных доменах никакие пара­метры безопасности, например административные права, полити­ки безопасности, списки управления доступом, не пересекаются между собой. Администратор домена имеет абсолютное право ус­танавливать политики только внутри данного домена.

Организационное подразделение (ОП) - это контейнер, используе­мый для объединения объектов домена в логические административ­ные группы, отражающие деятельность или бизнес-структуру органи­зации. Организационное подразделение (ОП) может содержать объек­ты, например учетные записи пользователей, группы, компьютеры, принтеры, приложения, совместно используемые файловые ресурсы, а также другие ОП из того же домена. Иерархия ОП одного домена не зависит от иерархической структуры другого домена, а каждый домен может иметь свою собственную структуру ОП.

ОП представляют собой средства выполнения административных задач, поскольку являются объектами наименьшего масштаба, которым разрешается делегировать административные полномочия, то есть администрирование пользователей и ресурсов.

Дерево (tree) - это группа, или иерархически упорядоченная сово­купность из одного или более доменов Windows 2000, созданная пу­тем добавления одного или более дочерних доменов к уже существу­ющему родительскому домену. Все домены в дереве используют свя­занное пространство имен и иерархическую структуру именования.

Харак­теристики деревьев таковы:

Согласно стандартам доменной системы имен (Domain Name System, DNS), доменным именем дочернего домена будет объединение его относительного имени и имени родительского домена.

Все домены в пределах одного дерева совместно используют об­щую схему, которая служит формальным определением всех ти­пов объектов, находящихся в Вашем распоряжении при разверты­вании Active Directory;

Все домены в пределах одного дерева совместно используют об­щий глобальный каталог, который служит центральным хранили­щем информации об объектах в дереве.

Лес (forest) - это группа, или иерархически упорядоченная совокуп­ность, из одного или более отдельных и полностью независимых до­менных деревьев. Деревья обладают следующими характеристиками:

У всех деревьев в лесе общая схема;

У всех деревьев в лесе разные структуры именования, соответствующие своим доменам;

Все домены в лесе используют общий глобальный каталог;

Домены в лесе функционируют независимо друг от друга, однако лес допускает обмен данными в масштабе всей организации;

Между доменами и деревьями доменов существуют двусторонние доверительные отношения.

Физическая структура

Физические компоненты Active Directory - это узлы и контроллеры домена. Эти компоненты применяются для разработки структуры ка­талога, отражающей физическую структуру вашей организации.

Сайт

Сайт (site) - это объединение одной или более подсетей IP для со­здания максимально возможного ограничения сетевого трафика, вы­соконадежным каналом связи с высокой пропускной способностью. Как правило, границы узла совпадают с границами ЛВС. Когда Вы группируете подсети, следует объединять только те из них, которые между собой связаны быстрыми, дешевыми и надежными сетевыми соединениями. В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры и пользователи сгруппированы в домены и ОП, а не в сайты. Сайты содержат лишь объекты компьютеров и соединений, нужные для настройки межсайтовой репликации.

Контроллеры домена

Контроллер домена - это компьютер с Windows 2000 Server, хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену.

Концепции работы Active Directory

Вместе с Active Directory введено несколько новых понятий, например, глобальный каталог, репликация, доверительные отношения, пространство имен DNS и правила наименования. Важно понимать их значение применительно к Active Directory.

Глобальный каталог (global catalog) - это центральное хранилище ин­формации об объектах в дереве или лесе (рис. 2-6). По умолчанию глобальный каталог автоматически создается на первом контроллере домена в лесе, и этот контроллер становится сервером глобального каталога (global catalog server). Он хранит полную реплику атрибутов всех объектов в своем домене, а также частичную реплику атрибутов всех объектов для каждого домена в лесе. Эта частичная реплика хранит те атрибуты, которые чаще других нужны при поиске (например, по имени или фамилии пользователя, по регистрационному имени пользователя и т. д.). Атрибуты объекта в глобальном каталоге наследуют исходные разрешения доступа из тех доменов, откуда они были реплицированы, и таким образом, в глобальном каталоге обеспечивается безопасность данных.

Глобальный каталог выполняет две важные функции: 1.обеспечивает регистрацию в сети, предоставляя контроллеру домена информацию о членстве в группах;

2.обеспечивает поиск информации в каталоге независимо от расположения данных.

Когда пользователь регистрируется в сети, глобальный каталог предоставляет контроллеру домена, который обрабатывает информацию о процессе регистрации в сети, полные данные о членстве учетной записи в группах. Если в домене только один контроллер, сервер глобального каталога и контроллер домена - это один и тот же сер­вер. Если же в сети несколько контроллеров домена, то глобальный каталог располагается на том из них, который сконфигурирован для этой роли. Если при попытке регистрации в сети глобальный каталог недоступен, то пользователю разрешается зарегистрироваться, лишь на локальном компьютере.

Глобальный каталог позволяет максимально быстро и с минимальным сетевым трафиком отвечать на запросы программ и пользователей об объектах, расположенных в любом месте леса или дерева доменов. Глобальный каталог может разрешить запрос в том же домене, в котором этот запрос был инициирован, так как информация обо всех объектах всех доменов в лесе содержится в едином глобальном каталоге. Поэтому поиск информации в каталоге не вызывает лишнего трафика между доменами.

В качестве сервера глобального каталога вы можете по своему выбору настроить любой контроллер домена либо дополнительно назначить на эту роль другие контроллеры домена. Выбирая сервер глобального каталога, надо учесть, справится ли сеть с трафиком репликации и запросов. Впрочем, дополнительные серверы позволят ускорить время отклика на запросы пользователей. Рекомендуется, чтобы каждый крупный сайт предприятия имел собственный сервер глобального каталога.

Репликация

Необходимо, чтобы с любого компьютера в дереве доменов или лесе пользователи и службы могли все время получать доступ к информации в каталоге. Репликация позволяет отражать изменения в одном контроллере домена на остальных контроллерах в домене. Информация каталога реплицируется на контроллеры домена как в пределах узлов, так и между ними.

Виды реплицируемой информации

Хранимая в каталоге информация делится на три категории, которые называются разделами каталога (directory partition). Раздел каталога служит объектом репликации. В каждом каталоге содержится следующая информация:

информация о схеме - определяет, какие объекты разрешается создавать в каталоге и какие у них могут быть атрибуты;

информация о конфигурации - описывает логическую структуру развернутой сети, например структуру домена или топологию репликации. Эта информация является общей для всех доменов в де­реве или лесе;

данные домена - описывают все объекты в домене. Эти данные относятся только к одному определенному домену. Подмножество свойств всех объектов во всех доменах хранится в глобальном каталоге для поиска информации в дереве доменов или лесе.

Схема и конфигурация реплицируются на все контроллеры домена в дереве или лесе. Все данные определенного домена реплицируются на каждый контроллер именно этого домена. Все объекты каждого домена, а также часть свойств всех объектов в лесе реплицируются в глобальный каталог.

Контроллер домена хранит и реплицирует: информацию о схеме дерева доменов или леса; информацию о конфигурации всех доменов в дереве или лесе; все объекты и их свойства для своего домена. Эти данные реплицируются на все дополнительные контроллеры в домене. Часть всех свойств объектов домена реплицируется в глобальный ката­лог для организации поиска информации. Глобальный каталог хранит и реплицирует:

Информацию о схеме в лесе;

Информацию о конфигурации всех доменов в лесе;

Часть свойств всех объектов каталога в лесе (реплицируется только между серверами глобального каталога);

Все объекты каталога и все их свойства для того домена, в котором расположен глобальный каталог.

Внимание! Из-за полной синхронизации всех данных в домене расширение схемы может пагубно влиять на большие сети.

Как работает репликация

Active Directory реплицирует информацию в пределах сайта чаще, чем между сайтами, сопоставляя необходимость в обновленной информации каталога с ограничениями по пропускной способности сети.

В пределах сайта Active Directory автоматически создает топологию репликации между контроллерами одного домена с использованием кольцевой структуры. Топология определяет путь передачи обновлений каталога между контроллерами домена до тех пор, пока обновле­ния не будут переданы на все контроллеры домена.

Кольцевая структура обеспечивает существование минимум двух путей репликации от одного контроллера домена до другого, и если один контроллер домена временно становится недоступен, то репликация на остальные контроллеры домена все равно продолжится.

Дабы убедиться, что топология репликации все еще эффективна, Active Directory периодически ее анализирует. Если вы добавите или уберете контроллер домена из сети или узла, то Active Directory соответственно изменит топологию.

Репликация между сайтами

Для обеспечения репликации между узлами нужно представить сетевые соединения в виде связей сайтов (site link). Active Directory использует информацию о сетевых соединениях для создания объектов-соединений, что обеспечивает эффективную репликацию и отказоустойчивость.

Вы должны предоставить информацию о применяемом для репликации протоколе, стоимости связи сайтов, о времени доступности связи и о том, как часто она будет использоваться. Исходя из этого, Active Directory определит, как связать сайты для репликации. Лучше выполнять репликацию в то время, когда сетевой трафик минимален.

Доверительные отношения

Доверительное отношение (trust realtionship) - это такая связь между двумя доменами, при которой доверяющий домен признает регистрацию в сети в доверяемом домене. Active Directory поддерживает две формы доверительных отношений.

Неявные двусторонние транзитивные доверительные отношения (implicit two-way transitive trust). Это отношения между родительским и дочерним доменами в дереве и между доменами верхнего Уровня в лесе. Они определены по умолчанию, то есть доверительные отношения между доменами в дереве устанавливаются и поддерживаются неявно (автоматически). Транзитивные доверительные отношения - это функция протокола идентификации Кегberos, по которому в Windows 2000 проводится авторизация и ре­гистрация в сети.

Как показано на рис. 2-8, транзитивные доверительные отношения означают следующее: если Домен А доверяет Домену В, а До­мен В доверяет Домену С, то Домен А доверяет Домену С. В результате присоединенный к дереву домен устанавливает доверительные отношения с каждым доменом в дереве. Эти доверитель­ные отношения делают все объекты в доменах дерева доступными Для всех других доменов в дереве.

Транзитивные доверительные отношения между доменами устраняют необходимость в междоменных доверительных учетных записях. Домены одного дерева автоматически устанавливают с родительским доменом двусторонние транзитивные доверительные отношения. Благодаря этому пользователи из одного домена могут получить доступ к ресурсам любого другого домена в дереве (при условии, что им разрешен доступ к этим ресурсам).

Явные односторонние нетранзитивные доверительные отношения (explicit one-way nontransitive trust). Это отношения между доменами, которые не являются частью одного дерева. Нетранзитивные доверительные отношения ограничены отношениями двух доменов и не распространяются ни на какие другие домены в лесе. В большинстве случаев вы сами можете явно (вручную) создать нетранзитивные доверительные отношения. Так, на рис. 2-8 показаны односторонние транзитивные доверительные отношения, в ко­торых Домен С доверяет Домену 1, так что пользователи в Домене 1 могут получить доступ к ресурсам в Домене С. Явные односторон­ние нетранзитивные доверительные отношения - это единственно возможные отношения между:

Доменом Windows 2000 и доменом Windows NT;

Доменом Windows 2000 в одном лесе и доменом Windows 2000 в другом лесе;

Доменом Windows 2000 и сферой (realm) MIT Kerberos V5, что позволяет клиентам из сферы Kerberos регистрироваться в домене Active Directory для получения доступа к сетевым ресурсам.

Привет, хабрахабр! Эта моя первая статья и посвящена она удаленному администрированию. Надеюсь, что она будет интересна не только системным администраторам, но и просто продвинутым юзерам, так как использование некоторых компонентов может вам пригодиться.

В основном речь пойдет об администрировании компьютеров до загрузки операционной системы. Когда количество компьютеров невелико, на поддержку их работоспособности не требуется много человеческих ресурсов. С расширением парка компьютеров, их обслуживание становится более затратным. В моем случае, организация обладает около 100 компьютеров. Переустановка операционных систем, восстановление образов операционных систем занимает много времени. Мне приходилось обслуживать каждую единицу техники отдельно. Поэтому, встала задача разработать систему, которая упростит жизнь администратора и увеличит количество свободного времени, которое можно потрать на более интересные вещи.

Существует множество софта, который умеет делать подобные вещи, тем не менее, каждый из них обладает недостатками, которые я постарался убрать и разработать такую систему, которая удовлетворяет моим требованиям.

Что для этого нужно?
Клиентская машина должна обладать сетевой картой, которая поддерживает стандарт PXE (есть практически в каждой сетевой карте). Не буду описывать принцип работы данного стандарта, в интернете есть много информации для ознакомления. Скажу лишь, что он позволяет загружать файлы по сети. Ну и в BIOS нужно включить загрузку по сети. Настройка клиентской части на этом закончена.

Сервер должен включать DHCP и TFTP. Чтобы не заморачиваться с настройками, я использовал программу TFTPD32, которая уже включает все нужные компоненты. Программа находится в свободно доступе с открытым исходным кодом.

Для настройки DHCP пришлось побегать и снять MAC адреса с каждого компьютера. Это нужно для идентификации компьютеров в сети. В TFTP сервере нужно было указать только папку выгрузки файлов и поместить в нее все необходимое. Загрузчик, который будет выполнять все операции - grub4dos. Был выбран именно этот загрузчик, так как опыта по созданию загрузочных USB-накопителей с ним достаточно, да и информации куча в интернете.

Теперь о принципе действия.

1. При включении, компьютер обращается к DHCP серверу за IP адресом.

2. DHCP сервер, согласно своей настройке, выдает нужный IP клиенту, так же IP адрес TFTP сервера и имя загрузочного файла. В моем случае файл загрузчика grub4dos - grldr.

3. Клиентский компьютер, приняв запрос, устанавливает себе IP и обращается к TFTP серверу с запросом загрузочного файла.

4. TFTP сервер отдает запрашиваемый файл. Выглядит это так:

Ответ сервера

5. Загрузив файл, PXE запускает загрузчик и заканчивает свою работу. Дальнейшая работа выполняется загрузчиком. После запуска загрузчик запрашивает файл menu.lst. В этом файле содержаться инструкции для установки ОС или запуска утилит.

6. Сервер передает файл menu.lst

7. Программа-загрузчик на клиенте «читает» инструкции и выполняет их, загружая с TFTP сервера требуемые файлы.

Суть в том, что программа TFTPD32 всегда выдает один и тот же файл инструкций menu.lst. То есть, без изменений нельзя было назначать разным компьютерам разные задачи. Раз программа с открытыми исходниками, я нашел в коде то место, где программа отправляет файл menu.lst и изменил его.

В итоге, как только клиентская машина запрашивает у сервера файл menu.lst, программа, посредством http протокола отправляет GET запрос на веб-сервер (http://localhost/getmenulst.php?ip=IP) для запроса файла инструкций для конкретного IP. Файлы инструкции хранятся в базе.

Для наглядности, приведу новую схему.

Далее стояла задача подготовить образы для установки ОС систем и загрузки утилит, а так же написать файлы инструкций menu.lst.
Например, menu.lst для установки windows 7 выглядит так:

Install Windows 7

color blue/green yellow/red white/magenta white/magenta timeout 0 default 0 title Install Windows 7 pxe keep chainloader --raw (pd)/pxeboot.n12

Для загрузки Acronis True Image:

color blue/green yellow/red white/magenta white/magenta timeout 0 default 0 title boot acronis #root (hd0,0) kernel /kernel.dat vga=788 ramdisk_size=32768 acpi=off quiet noapicmbrcrcs on initrd /ramdisk.dat boot

Не буду приводить все опции, чтобы не нагружать статью.

Очень много времени ушло на сборку образов с требуемым софтом и подготовки их для установки по сети, так как это не просто копирование файл в каталог. Из ОС систем я собрал только Windows 7 и Windows XP. Пришлось влезать в Acronis True Image, чтоб сделать автоматическое восстановление системы из образа. Так же закачал ISO образы нескольких нужных утилит.

Для управления всем этим «чудом» написал небольшую панель администрирования на PHP+MySQL. Она позволяет добавлять/удалять компьютеры, добавлять/удалять опции, а так же устанавливать опции загрузки. Так же мы можем увидеть время последнего включения компьютера и опцию, которая ему установлена. По умолчанию устанавливается «Загрузка с жесткого диска».

Не обращайте внимания на первую часть панели администрирования. Там реализована возможность удаленного управления установкой программ с помощью программы uTorrnet, о чем я напишу в следующей статье, если это кого-то заинтересует.

Подведу итоги. Данная система работает в реальном времени. Порой я нахожу баги и исправляю их, добавляю новые опции.

Порядок работы такой: мне звонят и говорят, что не загружается система на компьютере «Имя». Я захожу в панель администрирования, ставлю опцию «Загрузка Acronis» и прошу человека на том конце провода перезагрузить компьютер. Дальше система восстановит сама все из образа и сообщит пользователю, что он может работать. Если устанавливается новый компьютер, его MAC вносится в базу данных, в панели ставится опции установки ОС и Windows устанавливается сама без какого-либо участия.

Это очень удобно, потому что часто мне приходится уезжать, а так я могу исправлять проблемы, находясь где угодно. Стоит отметить, что нет финансов на приобретение качественного оборудования. Живем, как можем.

Конечно, до полной автоматизации еще много работы, но поверьте, жить мне стало легче.

Администрирование сети заключается ъ обеспечении ее работоспособности и безопасности. Это достаточно сложная работа, связанная с решением большого числа постоянно возникаю! ци;; проблем. В локальной сети значительного размера, тем более имеющей постоянный выход в Интернет, эти обязанности обычно возлагаются на сетевого администратора, который занимается исключительно этими вопросами и отвечает за надежность работы сети и сетевую безопасность.

Каковы обязанности администратора сети?

Администратор сети отвечает за общую работоспособность сети (наличие физических соединений, работоспосда-юсть необходимых устройств и так далее), за обеспечение доступа пользователей к сети (распределение имен пользователей и паролей, обеспечение доступа к необходимым общим ресурсам), за сетевую безопасность (огра иичение доступа к конфиденциальной информации, управление достуш)]!1 < ресурсам, защита сети от внешнего проникновения). Кроме того, на администратора обычно также возлагаются вопросы обратной связи с пользе, зателями, помощь при разрешении возникающих у них проблем, содействие при освоении работы с сетевыми средствами.

Какие существуют способы управления доступом к ресурсам?

Контроль доступа к ресурсам лежит я основе обеспечения сетевой безопасности, ограничивает доступ к конфиденциальной или чувствительной информации. Существует два основных способа управления доступом пользователя к ресурсам: на уровне ргсурсов и на уровне пользователей.

В чем особенность управления доступом на уровне ресурсов?

При управлении доступом на уровне ресурсов доступ к ресурсу предоставляется тем, кто знает необходимый пароль. Это самый простой способ управления: для доступа к ресурсу нужен пароль, который известен тем, кому разрешен доступ. Недостаток этого метода - угроза «расползания» паролей, которые, по случайности или по небрежности* могут стать известны посторонним. Этот метод доступа применялся в операционных системах линии Windows 9x/Me. В Windows XP он не поддерживается.

В чем особенность управления доступом на уровне пользователей?

При управлении доступом на уровне пользователей каждому пользователю, зарегистрированному в системе, предоставлено право доступа к определенным сетевым ресурсам. Он получает это право уже при входе в сеть, и никаких дополнительных паролей при этом не требуется. Пользователь, не имеющий прав доступа, не может получить их никаким способом. Управление доступом на уровне пользователей предоставляет более гибкие, более мощные и более безопасные возможности управления по сравнению с управлением на уровне ресурсов, но настройка доступа несколько усложняется. Управление доступом на уровне пользователей возможно во всех операционных системах семейства Windows, а в Windows ХРэто единственный способ управления доступом.

Какие инструменты управления доступны сетевому администратору?

В версии Windows XP Home Edition набор доступных сетевых инструментов сильно ограничен. Полноценные возможности управления администратор имеет только в версии Windows XP Professional. Наиболее мощным инструментом для управления доступом пользователей и для обеспечения сетевой безопасности служит средство Локальные параметры безопасности (Пуск > Настройка * Панель управления > Администрирование > Локальная политика безопасности). Существует и ряд других инструментов, причем все они доступны только пользователю, наделенному правами администратора.

Как можно провести диагностику сети?

Средство для диагностики работы сети доступно из справочной системы Windows XP (Пуск » Справка и поддержка > Использование служебных программ для просмотра информации о компьютере и диагностики неполадок V Диагностика сети). Это средство способно проверить все сетевые компоненты, установленные на данном компьютере. Чтобы выбрать нужные компоненты, щелкните на ссылке Настроить параметры сбора информации. Сохранить сделанные настройки позволяет кнопка Сохранить параметры. Чтобы запустить тест, щелкните на кнопке Собрать информацию. Для успешного прохождения некоторых тестов требуется наличие подключения к Интернету. Результаты диагностики выдаются в этом же окне и могут быть сохранены. Сохраненный файл к формате HTML записывается на Рабочий стол и в специальную служебную папку операционной системы.

Каковы основные принципы обеспечения сетевой безопасности?

Сетевая безопасность подразумевает защиту сети от внешнего вмешательства, а также защиту конфиденциальной информации от несанкционированного доступа. К числу мер сетевой безопасности относятся ограничения на вход в сеть, обычно задаваочсые путем использования имен пользователей и паролей, ограничена, доступа к программным файлам, предоставление доступа к данным только тем пользователям, которым это необходимо, запрет на доступ к критическим системным файлам всем лицам, кроме квалифицированных ^д;м.шистраторов, и так далее.

Система управления доступом к файлам и папкам в WindowsХР выглядит несколько примитивной. Нет ли у меня каких-нибудь дополнительных возможностей?

Содержимое вкладки Доступ в окн<: а.ойств папки было максимально упрощено, чтобы облегчить р;и:оту малоопытным пользе- *fjjj вателям. Чтобы получить возможное: ь более тонкой настройки, откройте диалоговое окно Свойства папки (Пуск > Настройка > Панель управления > Свойства папки) и на вкладке Вид сбросьте флажок Использовать простой общий доступ к файлам (рекомендуется). Эта возможность действует только в Windows XP Professional.

Как производится управление доступом к файлам и папкам врасширенном режиме для дисков, использующих файловуюсистему на основе FAT?

По сравнению с системой NTFS файловая система на основе FAT предоставляет ограниченные возможности травления доступом. При переходе в режим расширенного управления о^ ним доступом вид вкладки Доступ в диалоговом окне свойств папки и,меняется. Здесь теперь, в частности, можно ограничить число пользователей, одновременно подключающихся к данной общей папке. Кроме того, можно использовать кнопку Разрешения, которая позволяет управлятыфавами доступа для отдельных пользователей, в том числе дать разным но. ьзователям разные права.

Какие дополнительные возможности управления доступом кфайлам и папкам есть на дисках с файловой системой NTFS?

Файловая система NTFS основана на более современных принципах, чем системы FA T16 и FA Т32, и поэтому обеспечивает дополнительные возможности управления доступом к файлам. Она, например, позволяет управлять локальным доступом не только к папкам, но и к отдельным файлам, причем независимо от их местоположения. Список атрибутов доступа также существенно расширяется по сравнению с возможностями систем FAT. Соответствующие настройки выполняются на вкладке Безопасность в диалоговых окнах свойств папок и файлов. Еще одна интересная возможность - это задание дисковых квот. Обычно на персональных компьютерах пользователь может расходовать дисковое пространство по своему усмотрению, однако за компьютером работают несколько человек, это может приводить к конфликтам. В файловой системе NTFS объем пространства, которое может занять один пользователь, можно ограничить. Для этого используется вкладка Квота в диалоговом окне свойств диска. Имеется два возможных режима работы квоты. В первом случае при приближении к заданному порогу пользователь получает предупреждение, но реально его права не ограничиваются. Во втором случае операционная система запрещает пользователю занимать больше места на диске, чем предусмотрено квотой.

Какие дополнительные возможности предоставляет средствоЛокальные параметры безопасности?

Это очень мощный инструмент, подробное рассмотрение которого выходит за пределы этой книги. Вот краткий перечень некоторых возможностей этого средства:

Управление паролями, в том числе задание ограничений на срок их действия и на сложность пароля, а также блокирование учетной записи в случае попытки подбора пароля;

Назначение прав пользователя (на вход в систему, на изменение важных настроек и многое другое), не связанных с доступом к файлам и папкам;

Настройка параметров безопасности системы;

Настройка параметров запуска и работы системных служб;

Настройка разрешений на доступ к файлам.