РУБРИКИ

Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

 РЕКОМЕНДУЕМ

Главная

Валютные отношения

Ветеринария

Военная кафедра

География

Геодезия

Геология

Астрономия и космонавтика

Банковское биржевое дело

Безопасность жизнедеятельности

Биология и естествознание

Бухгалтерский учет и аудит

Военное дело и гражд. оборона

Кибернетика

Коммуникации и связь

Косметология

Криминалистика

Макроэкономика экономическая

Маркетинг

Международные экономические и

Менеджмент

Микроэкономика экономика

ПОДПИСАТЬСЯ

Рассылка

ПОИСК

Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

использует именно этот метод доступа.

Спецификацию Ethernet в конце семидесятых годов предложила компания

Xerox Corporation. Позднее к этому проекту присоединились компании Digital

Equipment Corporation (DEC) и Intel Corporation. В 1982 году была

опубликована спецификация на Ethernet версии 2.0. На базе Ethernet

институтом IEEE был разработан стандарт IEEE 802.3. [12]

В настоящее время технология, применяющая кабель на основе витой пары

(10Base – T), является наиболее популярной. Такой кабель не вызывает

трудностей при прокладке.

Сеть на основе витой пары, в отличие от тонкого и толстого коаксиала,

строится по топологии звезда. Чтобы построить сеть по звездообразной

топологии, требуется большее количество кабеля (но цена витой пары не

велика). Подобная схема имеет и неоценимое преимущество – высокую

отказоустойчивость. Выход из строя одной или нескольких рабочих станций не

приводит к отказу всей системы. Правда если из строя выйдет хаб, его отказ

затронет все подключенные через него устройства.

Еще одним преимуществом данного варианта является простота расширения

сети, поскольку при использовании дополнительных хабов (до четырех

последовательно) появляется возможность подключения большого количества

рабочих станций (до 1024). При применении неэкранированной витой пары (UTP)

длина сегмента между концентратором и рабочей станцией не должна превышать

100 метров, чего не наблюдается в предприятии.

4.4. Сетевые ресурсы

Следующим важным аспектом планирования сети является совместное

использование сетевых ресурсов (принтеров, факсов, модемов).

Перечисленные ресурсы могут использоваться как в одноранговых сетях,

так и в сетях с выделенным сервером. Однако в случае одноранговой сети

сразу выявляются её недостатки. Чтобы работать с перечисленными

компонентами, их нужно установить на рабочую станцию или подключить к ней

периферийные устройства. При отключении этой станции все компоненты и

соответствующие службы становятся недоступными для коллективного

пользования. [2]

В сетях с сервером такой компьютер существует по определению. Сетевой

сервер никогда не выключается, если не считать коротких остановок для

технического обслуживания. Таким образом, обеспечивается круглосуточный

доступ рабочих станций к сетевой периферии.

На предприятии имеется десять принтеров: в каждом обособленном

помещении. Администрация пошла на расходы для создания максимально

комфортных условий работы коллектива.

Теперь вопрос подключения принтера к ЛВС. Для этого существует

несколько способов.

1.Подключение к рабочей станции.

Принтер подключается к той рабочей станции, которая находиться к нему

ближе всего, в результате чего данная рабочая станция становится сервером

печати. Недостаток такого подключения в том, что при выполнении заданий на

печать производительность рабочей станции на некоторое время снижается,

что отрицательно скажется на работе прикладных программ при интенсивном

использовании принтера. Кроме того, если машина будет выключена, сервер

печати станет недоступным для других узлов.

2.Прямое подключение к серверу.

Принтер подключается к параллельному порту сервера с помощью

специального кабеля. В этом случае он постоянно доступен для всех рабочих

станций. Недостаток подобного решения обусловлен ограничением в длине

принтерного кабеля, обеспечивающего корректную передачу данных. Хотя

кабель можно протянуть на 10 и более метров, его следует прокладывать в

коробах или в перекрытиях, что повысит расходы на организацию сети.

3. Подключение к сети через специальный сетевой интерфейс.

Принтер оборудуется сетевым интерфейсом и подключается к сети как

рабочая станция. Интерфейсная карта работает как сетевой адаптер, а принтер

регистрируется на сервере как узел ЛВС. Программное обеспечение сервера

осуществляет передачу заданий на печать по сети непосредственно на

подключенный сетевой принтер.

В сетях с шинной топологией сетевой принтер, как и рабочие станции

соединяется с сетевым кабелем при помощи Т-коннектора, а при использовании

«звезды» - через концентратор.

Интерфейсную карту можно установить в большинство принтеров, но её

стоимость довольно высока.

4. Подключение к выделенному серверу печати.

Альтернативой третьему варианту является использование

специализированных серверов печати. Такой сервер представляет собой сетевой

интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими

разъемами (портами) для подключения принтеров. Однако в данном случае

использование сервера печати является непрактичным.

В нашем случае в связи с нерентабельностью установки специального

сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым

подходящим способом подключения сетевого принтера является подключение к

рабочей станции. На это решение повлиял ещё и тот факт, что принтеры

расположены около тех рабочих станций, потребность которых в принтере

наибольшая. [10]

5. Организация сети на основе Windows 2000.

5.1. Служба каталогов Windows 2000

Безусловно, наиболее значимое изменение, по сравнению с Windows NT

4, это включение в Windows 2000 важной новой службы – Active Directory.

Active Directory – это «родная» служба каталогов для Windows 2000. В NT 4

домен был очень похож на удаленный остров, с которым мы могли соединиться

только используя механизм доверительных отношений. Active Directory –

полнофункциональная служба каталогов.

Каталог может хранить различную информацию, относящуюся к

пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее

– все это называется объектами.

Каталог хранит также информацию о самом объекте, или его свойства –

атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе,

может быть имя его руководителя, номер телефона, адрес, имя для входа в

систему, пароль, группы, в которые он входит и многое другое. [4]

5.1.1. Наименование объектов

Active Directory использует Lightweight Directory Access Protocol

(LDAP) – простой протокол доступа к каталогам, как главный протокол

доступа. LDAP действует поверх TCP/IP и определяет способы обращения и

доступа к объектам между клиентом и сервером Active Directory. В LDAP

каждый объект имеет свое особенное Distinguished Name (отличительное имя),

и это имя отличает его от других объектов Active Directory, а также

подсказывает нам, где данный объект расположен. Два главных составных части

отличительного имени – это CN (common name) – общее имя и DC (domain

component) – доменная составляющая. Общее имя определяет объект или

контейнер, в котором этот объект находится, в то время как доменный

компонент определяет домен, в котором объект находится. Например,

отличительное имя может быть следующим:

CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru

В этом примере у нас есть пользователь Peter Ivanoff, который

находится внутри контейнера, называемого Users, в домене firma, который

является поддоменом .ru. Отличительное имя объекта должно быть уникальным

внутри леса Active Directory.

В то время как отличительное имя дает нам полную информацию о

расположении объекта, relative distinguished name (относительное

отличительное имя) определяет объект внутри его родительского контейнера.

Например, если я осуществляю поиск внутри контейнера Users, относительное

отличительное имя объекта, который я ищу, может быть Peter Ivanoff.

Когда пользователь входит в домен, расположенный в Active Directory, у

него может быть два типа имени. Первое из них – традиционное NetBIOS -имя.

В Windows 2000 на него ссылаются как на downlevel logon name (имя

регистрации в ранних версиях Windows). Этот тип имени существует для

совместимости с ранними версиями Windows, процесс входа в которые был

основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так

далее). Когда вы используете downlevel logon name (на вкладке свойств –«имя

входа пользователя пред-Windows 2000») для входа, пользователь должен

ввести имя пользователя, пароль и выбрать соответствующий домен, в который

он собирается входить. Второе имя – и это новинка в Windows 2000 – это

возможность входа в систему с использованием того, что называется User

Principal Name (основное имя пользователя) или UPN. Основное имя

пользователя имеет следующий формат – user@domain.com (на вкладке свойств

пользователя это называется – User logon name (имя входа пользователя)).

Если это соглашение действует, то пользователю не нужно определять домен, в

который он хочет войти. Фактически, когда для входа в Windows

2000используется UPN, доменная часть окна имени для входа в систему

закрашена серым. Пример этих двух типов имен показан на вкладке свойств

учетной записи пользователя Active Directory:

|[pic] |

Рис. 5.1. Active Directory

5.1.2. Логическая структура Active Directory

Логическая структура Active Directory зависит от нужд вашей

организации. Логические элементы Active Directory это леса, деревья, домены

и OU.

5.1.2.1. Домены

Домен в Windows 2000 очень напоминает домен в Windows NT. Для

различных намерений и целей, домен является логической группой

пользователей и компьютеров (объектов), которые связаны как единица для

администрирования и репликации. Прежде всего домен – это административная

единица. Следовательно, администратор этого домена может его

администрировать и для этого не нужен никто другой. Кроме того, все

контроллеры одного домена должны осуществлять репликацию друг с другом.

В Windows 2000 домены именуются в соответствии с соглашением об

именовании DNS, а не именовании NetBIOS. Примером имени домена в Active

Directory может быть 2000trainers.com. В Windows NT имели ограничения по

величине, до которой они могли увеличиваться и этот размер ограничивался

допустимым размером базы данных SAM (40 Мб или около того). Поэтому

приходилось создавать множества доменов в компании, в которой действовали

тысячи пользователей и компьютеров. Теперь же множество доменов не являются

необходимостью в подобном сценарии под Windows 2000, так как Active

Directory может вместить в себя многие миллионы объектов. Учетные записи

пользователей в Windows 2000 существуют так же как и в Windows NT. Active

Directory также позволяет иметь множество доменов, формируя структуры,

которые называются деревьями и лесами. [4]

5.1.2.2 Дерево

В Windows 2000, несколько доменов может все же потребоваться, особенно

в больших организациях, которые продолжают требовать надежного контроля над

их средой, их индивидуальностью (как в случае различных организационных

единиц для ведения бизнеса) и особого административного контроля. В Active

Directory набор доменов может создаваться в порядке, напоминающем структуру

дерева. В этом случае «дочерний» домен наследует свое имя от

«родительского» домена:

|[pic] |

Рис. 5.2. Домены

Каждый домен в дереве является отдельной и явно выраженной

административной единицей, так же как и границей для целей репликации. То

есть, если вы создали учетную запись пользователя в домене

filial1.firma.ru, то эта учетная запись, существующая на контроллере

домена, будет реплицирована на все контроллеры домена filial2.firma.ru.

Каждый новый «дочерний» домен имеет transitive (транзитивные)

двунаправленные доверительные отношения с «родительским» доменом. Это

достигается автоматически в Active Directory и позволяет пользователям из

одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых

доверительных отношений, пользователи в filial1 могут получать доступ к

ресурсам (для чего у них должны быть соответствующие разрешения) в filial2

и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет

своему «родительскому» домену firma , который в свою очередь «доверяет»

filial2 – таким образом filial1 доверяет filial2 и наоборот).

Дерево, в общих чертах, можно определить как набор доменов, которые

связаны отношениями «дочерний»/«родительский» и поддерживают связанное

пространство имен. [4]

5.1.2.3 Лес

Лес – это термин, применяемый для описания совокупности Active

Directory деревьев. Каждое дерево в лесе имеет собственное отдельное

пространство имен. Например, давайте предположим, что наша фирма владеет

еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое

собственное отдельное пространство имен, я могу достичь этого объединив

деревья и сформировать лес, как показано ниже:

|[pic] |

Рис. 5.3. Лес

Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по-

прежнему остается доменом и может иметь собственное дерево. Заметьте, что

здесь существуют транзитивные доверительные отношения между «корневыми»

доменами каждого дерева в лесу – это позволит пользователям домена

acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в

то же время поддерживает проверку подлинности в собственном домене.

Первый домен, созданный в лесу, рассматривается как «корень» леса.

Одна из самых важных особенностей леса – это то, что каждый отдельный домен

поддерживает общую схему – определения для различных объектов и связанных с

ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть

создан из одного дерева, которое содержит всего один домен. Это будет

маленький лес, но формально это будет лес. [4]

5.1.2.4 Организационные единицы

Организационные единицы (обычно называемые OU) – это контейнеры внутри

Active Directory которые создаются для объединения объектов в целях

делегирования административных прав и применения групповых политик в

домене. OU могут быть созданы для организации объектов несколькими путями,

в соответствии с их функциями, местоположением, ресурсами и так далее.

Примером объектов, которые могут быть объединены в OU могут служить учетные

записи пользователей, компьютеров, групп и т.д. Рисунок 5.1.3 показывает

пример OU, основанной на местоположении пользователей и ресурсов:

| |

|[pic] |

Рис. 5.4. Организационные единицы.

OU может содержать только объекты из того домена, в котором они

расположены. Также заметьте, что структура OU может широко варьироваться от

компании к компании. Она разрабатывается с целью облегчить

администрирование ресурсов и применения групповых политик. В то время как

полный административный контроль может быть дан (делегирован) пользователю

через OU, для больших организаций становиться возможным иметь только один

домен, в котором каждая структура будет имеет собственный контроль только

над своей OU. [1]

5.1.3. Физическая структура

Физическая структура Active Directory связана с двумя главными типами

объектов – сайтами и контроллерами доменов.

5.1.3.1 Сайты

В отличии от NT 4, в Windows 2000 Active Directory предусматривает

концепцию физического местоположения внутри структуры. В Active Directory

сайт – это совокупность подсетей TCP/IP, между которыми существует

высокоскоростное соединение. Хотя «высокоскоростное» - это относительное

понятие, обычно под этим подразумевается соединение на скоростях,

соответствующих LAN – соединениям. Вы определяете сайт в Active Directory

для контроля репликации, аутентификации и местоположения служб. Как только

сайт будет создан, компьютеры клиентов будут пытаться аутентифицироваться

на контроллере домена, который находится на данном сайте, вместо того,

чтобы посылать запросы по WAN (глобальной сети).

Сайты также позволяют вам контролировать, когда репликация может

происходить между контроллерами доменов. Например, в NT 4, все BDC получают

данные от PDC в процессе репликации, используя 5-минутный интервал

уведомления об изменениях. Так как в NT не было предусмотрено простого пути

для контроля репликации между физическими местоположениями (это можно

сделать, используя специальные скрипты для регистра), трафик репликации

может перегрузить линии и снизить производительность сети. Если же вы

определите сайт в Active Directory, вы можете также определить время и дни,

в которые репликация между сайтами должна происходить, как часто она должна

происходить, и преимущественные пути для ее прохождения. Вы должны

заметить, однако, что по умолчанию существует только один сайт, и пока вы

не создадите другие, репликация будет происходить, как и раньше, каждый 5-

минутный интервал уведомления об изменениях. Также важно отметить, что

сайты – это другой элемент, который позволяет большим компаниям иметь

только один домен. Так как не существует соотношения между логической и

физической структурой Active Directory, вы можете иметь один домен и сотню

сайтов. Возможность контролировать трафик репликации – одно из наибольших

преимуществ управляемости Active Directory.

5.1.3.2 Контроллеры доменов

Домена не может существовать без по крайней мере одного контроллера

домена, где храниться база данных Active Directory. В отличие от Windows

NT, где была только одна копия базы, позволяющая делать запись (хранящаяся

на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»), в

Windows 2000 каждый контроллер домена имеет копию базы данных Active

Directory, в которую можно производить запись. Поэтому все контроллеры

домена в среде Active Directory достаточно равноправны. Однако, это

усложняет картину, так как теперь каждый контроллер домена может делать

записи в базу данных. Как и в NT 4, должно быть как минимум два контроллера

в домене для целей избыточности, а, как правило, и гораздо больше, в

зависимости от размера организации. [4]

Создаете контроллер домена в Windows 2000, при помощи Installation

Wizard (мастер установки Active Directory) – dcpromo.exe. Этот инструмент

не только позволяет создавать новые контроллеры домена, и новые домены,

деревья и леса. Он позволяет также понижать контроллер домена до рядового

сервера, если возникнет такая необходимость.

|[pic] |

Рис. 5.5. Installation Wizard

После того, как контроллер домена создан, он хранит копию базы данных

Active Directory (ntds.dit) и может проводить аутентификацию пользователей

домена. База данных Active Directory состоит из того, что принято называть

тремя разделами, как показано на рисунке 5.1.5.

|[pic] |

Рис. 5.6. База данных Active Directory.

Раздел «домен» реплицируется между контроллерами только внутри одного

домена, в то время как разделы «конфигурация» и «схема» реплицируются в

каждый из доменов, расположенных в лесу. Некоторые из контроллеров домена

отличаются от других специальными ролями, которые они выполняют:

Global Catalog Server (сервер Глобального Каталога) – сервер

Глобального Каталога – это контроллер домена, который знает о каждом

единичном объекте, который существует в Active Directory, в каждом из

доменов. Однако, он сохраняет только часть атрибутов каждого объекта,

которые считаются наиболее важными. По умолчанию только один контроллер

домена во всем лесу выполняет эту роль – первый контроллер домена,

созданный в лесу. Большее число серверов Глобального Каталога может (и

должно) быть создано в лесу. Когда контроллер домена действует как сервер

Глобального Каталога он хранит четвертый раздел, как часть базы данных

Active Directory – раздел Глобального Каталога.

Помимо роли сервера Глобального Каталога, контроллеры домена могут

выполнять еще пять специальных ролей, называемых Operations Masters

(основные контроллеры операций). Они перечислены ниже:

Schema Master (хозяин схемы) – в лесу только один контроллер домена

может выполнять эту роль. Schema Master поддерживает схему Active Directory

и поддерживает копию схемы, доступную для записи. По умолчанию первый

контроллер домена, созданный в корневом домене леса, выполняет эту роль.

Domain Naming Master (Хозяин именования доменов) – этот контроллер

домена отслеживает домены, которые создаются и удаляются из леса,

поддерживая целостность структуры леса, если какие-либо изменения имеют

место. В лесу существует только один Domain Naming Master и, по умолчанию,

эту роль выполняет первый контроллер, созданный в корневом домене леса.

PDC Emulator (хозяин PDC) – эта роль существует по паре причин, одна

из которых – обратная совместимость с NT 4 контроллерами. Когда домен

повышается до Windows 2000, первая система, которая подвергается

модернизации – это PDC (главный контроллер домена), и этот новый контроллер

домена Windows 2000 эмулирует (имитирует) старый PDC для оставшихся BDC

(резервных контроллеров домена), работающих под Windows NT. PDC Emulator

отслеживает изменения паролей и выступает «арбитром» перед тем, как пароль

может быть отвергнут системой. По умолчанию клиенты предыдущих Windows OS,

таких как Windows 9x и NT продолжают изменять свои пароли на PDC Emulator

(до тех пор, пока на систему не будет установлен клиент Active Directory).

Один контроллер в каждом домене выполняет роль PDC Emulator, по умолчанию,

это первый контроллер созданный в домене.

Relative Identifier (RID) Master (Хозяин RID (relative identificator))

– в NT 4, PDC отвечает за создание всех SID (security identificator), то

есть отвечает за создание всех объектов безопасности («пользователь»,

«группа», «компьютер»). В Windows 2000 каждый контроллер домена может

создавать объекты безопасности. На самом деле SID состоит из двух частей -

SID (который определяет домен) и RID (который определяет уникальный объект

внутри домена).Для того, чтобы быть уверенным, что SID уникален, один

контроллер в каждом домене выполняет роль RID Master, отвечающего за

создание доменного пула RID, и размещения этих RID на других контроллерах в

домене. Это позволяет быть уверенным, что не произойдет дублирования

объектов SID. В каждом домене Active Directory действует один RID Master,

по умолчанию, это первый контроллер, созданный в домене.

Infrastructure Master (Хозяин инфраструктуры) - Infrastructure Master

отслеживает информацию о том, какие пользователи (из других доменов)

являются членами той или иной группы данного домена и все изменения,

которые имеют место. Это позволяет быть уверенным в непротиворечивости

участия пользователей в группах в Active Directory. Каждый домен в Active

Directory имеет одного Infrastructure Master, по умолчанию, это первый

контроллер, созданный в домене. [1]

5.2. Служба DHCP.

Dynamic Host Configuration Protocol (протокол динамической

конфигурации хоста) является базовой сетевой службой, предлагаемой Windows

2000 для динамического распределения IP-адресов и связанной с ними

информации клиентам, использующим TCP/IP. Хотя функции, выполняемые DHCP в

Windows 2000 во многом похожи на те, что были в Windows NT, некоторое

количество несущественных отличий.

DHCP — развитие протокола ВООТР (RFC 951 и 1084), позволявшего

динамически назначать IP-адреса (в дополнение к удаленной загрузке

бездисковых станций). При этом DHCP предоставляет все данные для настройки

стека протоколов TCP/IP и дополнительные данные для функционирования

определенных серверов (Приложение 2).

Область DHCP. Область (scope) DHCP — административная группа,

идентифицирующая полные последовательные диапазоны возможных IP-адресов для

всех клиентов DHCP в физической подсети. Области определяют логическую

подсеть, для которой должны предоставляться услуги DHCP, и позволяют

серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в

подсети. Область должна быть определена прежде, чем клиенты DHCP смогут

использовать сервер DHCP для динамической конфигурации TCP/IP.

Пул адресов. Если определена область DHCP и заданы диапазоны

исключения, то оставшаяся часть адресов называется пулом доступных адресов

(address pool) (в пределах области). Эти адреса могут быть динамически

назначены клиентам DHCP в сети.

Диапазоны исключения. Диапазон исключения (exclusion range) —

ограниченная последовательность IP-адресов в пределах области, которые

должны быть исключены из предоставления службой DHCP.

Резервирование. Резервирование (reservation) позволяет назначить

клиенту постоянный адрес и гарантировать, что указанное устройство в

подсети может всегда использовать один и тот же IP-адрес.

Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое

задает множество областей, сгруппированных в отдельный административный

объект — суперобласть (superscope). Суперобласти полезны для решения

различных задач службы DHCP.

Арендные договоры. Арендный договор (lease) — отрезок времени,

определяющий период, во время которого клиентский компьютер может

использовать назначенный IP-адрес. При выдаче арендного договора он

становится активным. В момент половины срока действия арендного договора

клиент должен возобновить назначение адреса, обратившись к серверу

повторно. Продолжительность арендного договора влияет на частоту обновления

арендных договоров (интенсивность обращений к серверу).

Опции DHCP — дополнительные параметры настройки клиентов, которые

сервер DHCP может назначать при обслуживании арендных договоров клиентов

DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов

WINS или серверов DNS обычно предоставляются для каждой области или

глобально для всех областей, управляемых сервером DHCP. Кроме стандартных

опций, сервер DHCP Microsoft позволяет определять и добавлять

пользовательские опции. [4]

Служба DHCP в Windows 2000 состоит из трех основных компонентов.

Серверы DHCP. В состав сервера DHCP входит оснастка DHCP — удобный в

работе графический инструмент, который позволяет администратору настраивать

конфигурации для клиентов DHCP. Сервер DHCP также содержит базу данных для

назначения IP-адресов и других параметров настройки. Сервер DHCP

поддерживает более 30 опций DHCP согласно RFC 2132. Параметры конфигурации

TCP/IP, которые могут быть назначены сервером DHCP, включают: IP-адрес для

каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы по

умолчанию, дополнительные параметры конфигурации, например, IP-адрес

сервера DNS или WINS. Один или более компьютеров в сети должны работать под

управлением Windows 2000 Server с протоколом TCP/IP и установленным

сервером DHCP. Если служба сервера DHCP установлена на компьютере, то сразу

после задания и активизации областей автоматически создается база данных

DHCP.

Клиенты DHCP. Клиентами сервера DHCP из состава Windows 2000 могут

быть компьютеры, работающие на любой платформе. Компьютеры под управлением

ОС производства Microsoft могут действовать как клиенты DHCP: Windows NT

Server/Workstation (все версии), Windows 98/95, Windows for Workgroups 3.11

(с установленным 32-разрядным протоколом TCP/IP), Microsoft Network Client

3.0 for MS-DOS (с установленным драйвером реального режима), LAN Manager

версии 2.2с.

Работа протоколов ВООТР и DHCP основана на механизмах широковещания.

Маршрутизаторы обычно по умолчанию не ретранслируют широковещательные

посылки, поэтому передача таких посылок выполняется агентом ретрансляции.

Агент ретрансляции DHCP — это маршрутизатор, либо хост, который слушает

широковещательные сообщения DHCP/BOOTP и переадресовывает их на заданный

сервер (серверы) DHCP. Использование агентов ретрансляции избавляет от

необходимости устанавливать сервер DHCP в каждом физическом сегменте сети.

Агент не только обслуживает прямые локальные запросы клиента DHCP и

перенаправляет их на удаленные серверы DHCP, но также возвращает ответы

удаленных серверов DHCP клиентам DHCP.

Администратор может отменить параметры динамической настройки,

настроив их вручную. Любая информация, вручную введенная на клиенте,

отменяет параметры динамической настройки.

5.2.1. Настройка службы DHCP.

Служба сервера DHCP устанавливается автоматически на сервер Windows

2000, но не является сконфигурированной (и даже может быть отключена) без

дополнительной настройки. Она может быть удалена и добавлена в случае

необходимости, посредством использования вкладки Add/Remove Windows

Components программы Add/Remove Programs в Control Panel (в разделе

Networking Services). После установки, сервер DHCP настраивается при помощи

оснастки DHCP ММС, которая находится в Administrative Tools. Если сервер

Windows 2000 является частью рабочей группы или домена, основанного на

Windows 2000, то сервер DHCP будет запущен по умолчанию, но необходимо

будет вручную настроить области используемых IP-адресов для распределения

их службой DHCP. Если DHCP установлена на систему, являющуюся частью домена

Windows 2000, то служба DHCP не сможет быть запущена до тех пор, пока

сервер DHCP не будет авторизован в Active Directory. Авторизация сервера

DHCP в Active Directory может быть осуществлена только членом группы

Enterprise Admins. Эта особенность используется как контрольный механизм,

позволяющий избежать такой проблемы, как установка незарегистрированных

серверов DHCP (пользователями с административными привилегиями), могущих

создать проблемы с настройкой TCP/IP сетей (так как клиент получает IP-

адрес от первого же сервера DHCP, который отвечает на его запрос).

В Active Directory домене (Windows 2000), только авторизованные

Windows 2000 сервера DHCP могут выполнять распределение IP-адресов. В

Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не попадет

под действие авторизации. Однако если другой администратор попытается

установить Windows 2000 сервер DHCP и запустить службу без предварительной

авторизации, то сервер осуществит запрос AD и не запустит службу, если не

найдет подтверждения ее авторизации в сети. Неавторизованный сервер DHCP

появляется в консоли DHCP с указывающей вниз красной стрелкой (которая

может обозначать также, что служба не запущена или область адресов не

настроена), как показано на рисунке 5.7.

|[pic] |

Рис. 5.7. Консоль DHCP.

Для авторизации DHCP сервер, нужно щелкнуть правой кнопкой мыши на

значке сервера и выбрать опцию Authorize (авторизовать) из появившегося

меню. Для управления авторизованным DHCP сервером (включая добавление или

удаление авторизованных серверов), щелкните правой кнопкой мыши на иконке

DHCP и выберите Manage Authorized Servers (управление авторизованными

серверами), как показано на рисунке 5.8:

|[pic] |

Рис. 5.8 Рис. Управление авторизованными серверами

Заметьте, что сервер DHCP не будет выполнять никаких функций, до тех

пор, пока вы не сконфигурируете область адресов – набор настроек, которые

будут распределяться группе клиентов. Как и большинство других вещей в

Windows 2000, процесс создания области осуществляется с применением

соответствующего мастера. Для создания области адресов, щелкните правой

кнопкой мыши на значке сервера DHCP и выберите опцию New Score (новая

область). Мастер проведет вас через длинный процесс, включающий в себя

настройку допустимого диапазона IP-адресов, маски подсети и таких опций,

как адрес шлюза по умолчанию (маршрутизатора), используемых серверов DNS и

так далее. После того, как область будет настроена, она будет продолжать

нуждаться в активизации (правый щелчок мыши и выбор Activate

(активизировать)). Каждая область включает в себя: набор адресов, активные

выделенные адреса, резервирование и свойства области, как показано на

рисунке 5.9 (свойства области выделены):

|[pic] |

Рис. 5.9. Консоль DHCP.

После того, как сервер авторизован и область настроена, стрелка на

иконке сервера меняется на зеленую и теперь указывает вверх.

Области в Windows 2000 Advanced Server:

- Области могут быть собраны или объединены для создания

суперобластей. Они позволяют распределять диапазоны IP-адресов, которые не

примыкают друг к другу, но расположены на одной подсети.

- Для изменения маски подсети, связанной с областью, необходимо будет

удалить область и создать ее заново.

- Время аренды адреса по умолчанию для области – 8 дней, что

отличается от значения в Windows NT, где оно составляло 72 часа. Это

значение может быть изменено в зависимости от потребностей сети.

- Каждый диапазон IP-адресов может быть представлен только в одной из

областей. Если серверы DHCP не будут скоординированы и два сервера будут

иметь одинаковые диапазоны адресов в своих областях, тогда один и тот же

адрес может быть назначен разным клиентам в одной сети. Также надо быть

уверенным, что исключены все статически назначенные IP-адреса из областей.

- Для создания отказоустойчивых областей необходимо настроить 2 (или

более) сервера DHCP и разделить диапазоны адресов из каждой области между

ними. При такой конфигурации, если один из серверов выйдет из строя, другой

будет продолжать распределять допустимые адреса между клиентами.

- Настройки DHCP могут быть осуществлены на 4 различных уровнях: на

уровне Server (сервера) (установки влияют на все области), Score (область)

(установки влияют только на область), Client (клиент) (установки для

зарезервированного клиента) Class (класс) (для компьютеров, которые входят

в различные, заранее определенные, классы).

Протокол упрощает работу сетевого администратора, который должен

вручную конфигурировать только один сервер DHCP. Когда новый компьютер

подключается к сети, обслуживаемой сервером DHCP, on запрашивает уникальный

IP-адрес, а сервер DHCP назначает его из пула доступных адресов, Этот

процесс состоит из четырех шагов:

1. Клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение),

2. DHCP-сервер предлагает адрес (DHCP Offer, предложение),

3. Клиент принимает предложение и запрашивает адрес (DHCP Request,

запрос) и адрес официально назначается сервером (DHCP Acknowledgement,

подтверждение).

Чтобы адрес не "простаивал", сервер DHCP предоставляет его на

определенный администратором срок, это называется арендным договором

(lease). По истечении половины срока арендного договора клиент DHCP

запрашивает его возобновление, и сервер DHCP продлевает арендный договор.

Это означает, что когда машина прекращает использовать назначенный IP-адрес

(например, в результате перемещения в другой сетевой сегмент), арендный

договор истекает, и адрес возвращается в пул для повторного использования.

Протокол DHCP в Microsoft Windows 2000 Server был дополнен новыми

функциями, что упростило развертывание, интеграцию и настройку сети.

Интеграция с DNS. Серверы DNS обеспечивают разрешение имен для

сетевых ресурсов и тесно связаны со службой DHCP. В Windows 2000 серверы

DHCP и клиенты DHCP могут регистрироваться в DNS.

Улучшенное управление и мониторинг. Новая возможность обеспечивает

уведомление об уровне использования пула IP-адресов. Оповещение

производится при помощи соответствующего значка либо при помощи передачи

сообщения.

Распределение групповых адресов. Добавлена возможность назначения

групповых адресов. Типичные приложения для групповой работы — конференции

или радиотрансляция требуют специальной настройки групповых адресов.

Защита от появления неправомочных серверов DHCP. Наличие нескольких

серверов DHCP в одном сегменте сети может привести к конфликту. Новые

механизмы позволяют обнаружить конфликт такого рода и деактивизировать

работу сервера, обеспечив правильную работу DHCP.

Защита от подмены серверов. Регистрация уполномоченных

(авторизированных) серверов DHCP выполняется при помощи Active Directory.

Если сервер не обнаружен в каталоге, то он не будет функционировать и

отвечать на запросы пользователей.

5.2.2. Кластеризация

Кластерные службы, работающие на Windows 2000 Advanced Server и

Datacenter поддерживают DHCP-сервер в качестве ресурса кластера, что

позволяет повысить доступность DHCP-сервера.

Автоматическая настройка клиентов. Клиенты с поддержкой DHCP.

начинающие работу в сети, могут конфигурироваться самостоятельно с

использованием временной конфигурации IP (если сервер DHCP недоступен).

Клиенты продолжают попытки связаться с сервером DHCP для получения

арендного договора в фоновом режиме каждые 5 мин. Автоматическое назначение

всегда прозрачно для пользователей. Адреса для такого рода клиентов

выбираются из диапазона частных сетевых адресов TCP/IP и не используются в

Интернете.

Новые специализированные опции и поддержка пользовательских классов.

Сервер DHCP в Windows 2000 может назначать специализированные опции,

сокращая время на получение одобрения новой стандартной опции в IETF.

Механизм пользовательских классов позволяет применять DHCP в заказных

приложениях для сетей масштаба предприятия. Оборудование большинства

поставщиков сетевого аппаратного обеспечения также может использовать

различные номера опций для различных функций. [3]

5.3. Служба DNS

Domain Name System (система доменных имен) – это стандарт службы имен

для Интернета, который используется Windows 2000 для помощи клиентам в

разрешении имен узлов в их IP-адреса и для поиска служб в сети.

DNS – это распределенная система серверов имен. В этой системе группы

серверов имен отвечают за записи, относящиеся к узлам, в доменах и

поддоменах. Эти группы называются зонами. Зона является полномочной или

ответственной для записей, относящихся к данному домену или группе доменов.

Например, Microsoft может иметь несколько серверов, полномочных для домена

microsoft.com и все связанные поддомены должны быть частью этого домена.

Как следствие, если эти сервера не могут предоставить вам ответ на запрос

IP-адреса для имени bluscreen.microsoft.com, то это означает, что его

просто не существует.

Серверы имен хранят то, что принято называть записями ресурсов. Записи

ресурсов сопоставляют имя узла его IP-адресу или отдельной службы и имени

узла. Например, сервер DNS может содержать запись (называемую А записью)

для сервера, называемого Cerver2, которому соответствует IP-адрес

147.2.3.45. Если клиент другого сервера DNS запросит связанный IP-адрес, он

может быть найден и возвращен (послан) клиенту. Подобным образом, некоторый

почтовый сервер может запросить сервер DNS найти почтовый сервер,

действующий в домене mailfirma.ru. В данном случае DNS сервер запрашивается

на наличие записи о системе обмена почтой (запись МХ), которая

предоставляет FGDN (полностью определенное имя домена) почтового сервера,

которое, в свою очередь, может быть разрешено в IP-адрес.

Cуществует еще один тип серверов имен, которые не являются

полномочными для какой-либо зоны. Эти сервера называются caching-only

(только кэширующими) – они просто перенаправляют запросы клиентов другим

серверам имен и кэшируют их ответы.

DNS реализована как служба на сервере Windows 2000, а раз так, то она

может быть запущена и остановлена, как любая другая служба. Она также может

быть добавлена или удалена при помощи программы Add/Remove, вкладка Windows

Components. DNS не устанавливается автоматически при установке Windows

2000, поэтому необходимо устанавливать ее вручную. Число серверов DNS,

присутствующих в сети зависит от ряда факторов, таких, как потребность в

отказоустойчивости, быстродействие и т.д. DNS требуется для установки

Active Directory, поскольку домены Active Directory следуют соглашению об

именовании DNS. Заметьте, что предыдущий пример рассказывал о DNS

разрешении через Internet. Подобным образом DNS может быть использована для

разрешения внутренних узлов или для комбинированных ситуаций, имейте это

ввиду.

В традиционных конфигурациях DNS имеется как минимум 2 DNS сервера,

которые являются полномочными в зоне. Зона – это административная единица

DNS, представленная набором серверов DNS, которые ответственны за поддержку

информации, относящейся к одному или более домену или поддомену. Один

сервер выступает как основной сервер имен и это единственный сервер,

который поддерживает перезаписываемую копию файла зоны. Периодически,

основной сервер имен реплицирует файл зоны на другой сервер (или сервера),

назначенные вторичными серверами имен. Этот сервер (сервера) тоже

поддерживает файл зоны, но копию, предназначенную только для чтения.

Процесс репликации часто называют передачей зон. Главная причина для того,

чтобы иметь 2 или более сервера DNS – это уверенность, что если один из них

выйдет из строя, другой может быть доступен для обработки запросов,

относящихся к домену, содержащемуся в файле зоны.

Такой тип конфигурации продолжает поддерживаться и в Windows 2000 и на

него ссылаются как на «стандартную» конфигурацию DNS. Однако Windows 2000

также поддерживает и другой вид конфигурации, являющийся новинкой в Windows

2000. Эта конфигурация называется «DNS, интегрированная в Active

Directory». В данной конфигурации информация о зоне DNS храниться в Active

Directory, а не в отдельном наборе файлов. Как следствие, DNS-информация

реплицируется автоматически, как часть общей репликации Active Directory, и

не требует создания дополнительной топологии репликации. Это не означает,

однако, что каждый контроллер домена автоматически становиться сервером

DNS. Это означает только, что каждый контроллер домена может стать сервером

DNS, если служба DNS будет установлена на компьютер. DNS, интегрированная в

Active Directory, также располагает рядом достоинств, таких как, например

то, что каждый из серверов DNS может вносить изменения в зону и, в случае

отказа одного из серверов, обновления зоны DNS не прекращаются. В

стандартной конфигурации DNS обновления невозможны, если прекращает работу

основной сервер имен.

Другое большое преимущество Windows 2000 DNS – это то, что она

динамическая. Это означает, что узел может регистрировать и отменять

регистрацию записей в DNS самостоятельно, включая запись соответствия имени

и IP-адреса (А), а также записи служб (это мы обсудим позднее).

Преимущество динамической DNS очевидны, так как в предыдущих реализациях

DNS все записи требовалось создавать вручную, что отнимало много времени и

Страницы: 1, 2, 3


© 2008
Полное или частичном использовании материалов
запрещено.