Тема: «Основы управления сетями»

План

Введение

1 Одноранговые сети

2 Иерархические сети

3 Отличие между одноранговой сетью и иерархической

4 Windows Server 2003 — серверная операционная система

5 Служба каталога Active Directory

Все существующие локальные сети по своей архитектуре подразделяются на одноранговые и иерархические (или сети с выделенным сервером). Рассмотрим их особенности, преимущества и недостатки.

1 Одноранговые сети

Одноранговая сеть представляет собой сеть равноправных компьютеров – рабочих станций, каждая из которых имеет уникальное имя и адрес. Все рабочие станции объединяются в рабочую группу. В одноранговой сети нет единого центра управления – каждая рабочая станция сети может отвечать на запросы других компьютеров, выступая в роли сервера, и направлять свои запросы в сеть, играя роль клиента. Пример такой сети представлен на рисунке 1.

Рисунок 1 – Пример одноранговой сети

Одноранговые сети являются наиболее простым для монтажа и настройки, а также дешевым типом сетей. Для построения одноранговой сети требуется всего лишь несколько компьютеров с установленными клиентскими ОС, и снабженных сетевыми картами. Все параметры безопасности определяются исключительно настройками каждого из компьютеров.

К основным достоинствам одноранговых сетей можно отнести:

•          простоту работы в них;

•          низкую стоимость, поскольку все компьютеры являются рабочими станциями;

•          относительную простоту администрирования.

Недостатки одноранговой архитектуры таковы:

•          эффективность работы зависит от количества компьютеров в сети;

•          защита информации и безопасность зависит от настроек каждого компьютера.

Серьезной проблемой одноранговой сетевой архитектуры является ситуация, когда компьютеры отключаются от сети. В этих случаях из сети исчезают все общесетевые сервисы, которые они предоставляли (например, общая папка на диске отключенного компьютера, или общий принтер, подключенный к нему).

Администрировать такую сеть достаточно просто лишь при небольшом количестве компьютеров. Если же число рабочих станций, допустим, превышает 25-30 – то это будет вызывать определенные сложности.

2 Иерархические сети

В иерархических сетях выделяется один или несколько специальных компьютеров – серверов. Серверы обычно представляют собой высокопроизводительные ПК с серверной операционной системой (например, Windows Server 2003 или Windows Server 2008), отказоустойчивыми дисковыми массивами и системой защиты от сбоев. Как правило, на этих компьютерах локальные пользователи не работают, поэтому принято говорить о выделенном сервере. Серверы управляют сетью и хранят информацию, которую совместно используют остальные компьютеры сети. Компьютеры, с которых осуществляется доступ к информации на сервере, называются клиентами. Пример такой сети представлен на рисунке 2.

Рисунок 2 – Пример иерархической компьютерной сети

По-настоящему иерархической сеть становится тогда, когда в ней задействуются службы Active Directory и создается домен Windows. Дело в том, что на локальном компьютере – изолированном, или входящем в одноранговую сеть, все учетные записи пользователей и настройки доступа хранятся на самом компьютере. Конкретнее, учетные записи и параметры безопасности хранятся в реестре, а права доступа к файлам – в файловой системе NTFS.

А в иерархической сети один из компьютеров назначается сервером – контроллером домена. На этом компьютере может работать только серверная ОС. Именно этот сервер хранит все учетные записи пользователей и групп и параметры безопасности. Все остальные компьютеры присоединяются к домену. После присоединения изменяется сам принцип входа пользователей в систему. Теперь при входе пользователей в систему каждый компьютер должен запросить и получить разрешение у контроллера домена. Сеть становится доменом Windows. Ее можно присоединить к домену старшего уровня, и так далее – образуется иерархическая древовидная структура.

Таким образом, в одноранговой сети вполне могут работать разные серверы – например, файловый сервер; прокси-сервер, через который осуществляется общий доступ к интернету; сервер печати и т.д. Иерархической сеть делает лишь развертывание в ней домена Windows и служб активного каталога (Active Directory).

С точки зрения системного администрирования, сеть с выделенным сервером хотя и более сложная в создании и обслуживании, но в, тоже время, наиболее управляемая и контролируемая.

Иерархические сети обладают рядом преимуществ по сравнению с одноранговыми:

•          выход из строя рабочих станций никак не сказывается на работоспособности сети в целом;

•          проще организовать локальные сети с большим количеством рабочих станций;

•          администрирование сети осуществляется централизованно — с сервера;

•          обеспечивается высокий уровень безопасности данных.

Тем не менее, клиент-серверной архитектуре присущ ряд недостатков:

•          неисправность или сбой единственного сервера может парализовать всю сеть;

•          наличие выделенных серверов повышает общую стоимость сети;

•          it-персонал должен обладать достаточными знаниями и навыками администрирования домена.

Выбор архитектуры сети зависит от специфики организации, назначения сети и количества рабочих станций. От выбора типа сети зависит также и ее дальнейшее будущее: расширяемость, возможность использования того или иного ПО и оборудования, надежность сети и многое другое

3 Отличие между одноранговой сетью и иерархической

Одноранговая сеть представляет собой сеть равноправных компьютеров – рабочих станций, каждая из которых имеет уникальное имя и адрес. Все рабочие станции объединяются в рабочую группу.

В одноранговой сети нет единого центра управления – каждая рабочая станция сети может отвечать на запросы других компьютеров, выступая в роли сервера, и направлять свои запросы в сеть, играя роль клиента.

4 Windows Server 2003 — серверная операционная система

Windows Server 2003 — операционная система семейства Windows NT от компании Microsoft, предназначенная для работы на серверах. Windows Server 2003 серверным вариантом операционной системы Windows XP.

Высокая производительность и масштабируемость Windows Server 2003 позволяют использовать данную систему для решения любых серверных задач: ее можно использовать для поддержания работы сервера баз данных, сервера приложений, веб-сервера, файлового сервера, сервера печати, службы каталогов или службы терминалов.

5 Служба каталога Active Directory

Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003 содержит информацию обо всех ресурсах, необходимых для работы в сети. Она включает соединения, приложения, базы данных, принтеры, пользователей и группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает стандартный путь для указания, описания, управления и доступа к ресурсам.

Active Directory по умолчанию не устанавливается, поскольку она не является обязательной для простых серверных задач. Но, по мере того, как сервер начинает заниматься всё большим количеством задач, AD становится всё более и более важной. Дополнительные компоненты, типа почтового сервера Exchange Server от Microsoft, к примеру, требуют полнофункциональной Active Directory.

Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory.

Во время установки мы предполагаем, что других серверов в вашей сети нет, и поэтому нам нужен контроллер для новой инфраструктуры Active Directory.

После этого мы должны определить, будет ли новый домен AD интегрирован в существующую систему.

Active Directory использует свою собственную базу данных, чтобы наиболее эффективно работать с информацией. Поскольку ваше окружение может быстро наращиваться, а сервер может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на раздельном жёстком диске, чтобы системная производительность была максимально высока.

Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое дублируется всеми контроллерами Active Directory в домене. Она содержит скрипты входа в систему, групповые политики и другие опции, которые должны быть доступны на всех серверах. Конечно же, расположение этой папки можно менять.

Эта опция будет важна, только если у вас есть компьютеры Windows NT с доменной структурой.

Во время установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому необходимо установить и его.

Контрольные вопросы:

1. Какие типы локальных сетей существуют?
2. Опишите особенности организации одноранговых сетей.
3. Перечислите достоинства и недостатки одноранговых сетей.
4. Опишите особенности организации иерархических сетей.
5. Перечислите достоинства и недостатки иерархических сетей.
6. В чем заключается отличие между одноранговой и иерархической сетью?
7. В чем заключается отличие серверной операционной системой и клиентской операционной системой?
8. Какую информацию содержит в себе служба активного каталога?
9. Каково назначение службы активного каталога?
10. Какие серверные операционные системы вы знаете, кроме, описанной в лекции?

1. Классификация средств мониторинга и анализа

Постоянный контроль за работой локальной сети, составляющей основу любой корпоративной сети, необходим для поддержания ее в работоспособном состоянии. 

Контроль — это необходимый первый этап, который должен выполняться при управлении сетью. Ввиду важности этой функции ее часто отделяют от других функций систем управления и реализуют специальными средствами.

Такое разделение функций контроля и собственно управления полезно для небольших и средних сетей, для которых установка интегрированной системы управления экономически нецелесообразна. Использование автономных средств контроля помогает администратору сети выявить проблемные участки и устройства сети, а их отключение или реконфигурацию он может выполнять в этом случае вручную.

Процесс контроля работы сети обычно делят на два этапа — мониторинг и анализ.

На этапе мониторинга выполняется более простая процедура — процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, коммутаторов и маршрутизаторов и т.п.

Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторинга информации, сопоставления ее с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадежной работы сети.

Задачи мониторинга решаются программными и аппаратными измерителями, тестерами, сетевыми анализаторами, встроенными средствами мониторинга коммуникационных устройств, а также агентами систем управления.

Задача анализа требует более активного участия человека и использования таких сложных средств, как экспертные системы, аккумулирующие практический опыт многих сетевых специалистов.

Все многообразие средств, применяемых для анализа и диагностики вы-числительных сетей, можно разделить на несколько крупных классов.

Агенты систем управления, поддерживающие функции одной из стандартных MIB и поставляющие информацию по протоколу SNMP или CMIP. Для получения данных от агентов обычно требуется наличие системы управления, собирающей данные от агентов в автоматическом режиме.

Встроенные системы диагностики и управления (Embedded systems)

Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления многосегментным повторителем Ethernet, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам повторителя и некоторые другие. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

 Анализаторы протоколов (Protocol analyzers)

Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях, — обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, т.е. показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

Экспертные системы

Этот вид систем аккумулирует знания технических специалистов о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая система помощи. Более сложные экспертные системы представляют собой т.н. базы знаний, обладающие элементами искусственного интеллекта. Примерами таких систем являются экспертные системы, встроенные в систему управления Spectrum компании Cabletron и анализатора протоколов Sniffer компании Network General. Работа экспертных систем состоит в анализе большого числа событий для выдачи пользователю краткого диагноза о причине неисправности сети.

Оборудование для диагностики и сертификации кабельных систем

Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры.

• Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирования кабелей различных категорий. Сетевые мониторы собирают также данные о статистических показателях трафика — средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т.п. Эти устройства являются наиболее интеллектуальными устройствами из всех четырех групп устройств данного класса, т.к. работают не только на физическом, но и на канальном, а иногда и на сетевом уровнях.

• Устройства для сертификации кабельных систем выполняют сертификацию в соответствии с требованиями одного из международных стандартов на кабельные системы.

• Кабельные сканеры используются для диагностики медных кабельных систем. 

• Тестеры предназначены для проверки кабелей на отсутствие физического разрыва. 

• Многофункциональные портативные устройства анализа и диагностики. В связи с развитием технологии больших интегральных схем появилась возможность производства портативных приборов, которые совмещали бы функции нескольких устройств: кабельных сканеров, сетевых мониторов и анализаторов протоколов.

Анализаторы протоколов

Анализатор протоколов представляет собой либо специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать технологии сети (Ethernet, Token Ring, FDDI, Fast Ethernet). Анализатор подключается к сети точно так же, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция — только адресованные ей. Для этого сетевой адаптер анализатора протоколов переводится в режим «беспорядочного» захвата — promiscuous mode.

Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распространенные протоколы верхних уровней, например IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI, DECnet и т.п. В состав некоторых анализаторов может входить также экспертная система, которая позволяет выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Анализаторы протоколов имеют некоторые общие свойства.

• Возможность (кроме захвата пакетов) измерения среднестатистических показателей трафика в сегменте локальной сети, в котором установлен сетевой адаптер анализатора. Обычно измеряется коэффициент использования сегмента, матрицы перекрестного трафика узлов, количество хороших и плохих кадров, прошедших через сегмент. 

• Возможность работы с несколькими агентами, поставляющими захваченные пакеты из разных сегментов локальной сети. Эти агенты чаще всего взаимодействуют с анализатором протоколов по собственному протоколу прикладного уровня, отличному от SNMP или CMIP. 

• Наличие развитого графического интерфейса, позволяющего представить результаты декодирования пакетов с разной степенью детализации. 

• Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации задаются в зависимости от значения адресов назначения и источника, типа протокола или значения определенных полей пакета. Пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, т.к. исключает захват или просмотр ненужных в данный момент пакетов. 

• Использование триггеров. Триггеры в данном случае — это задаваемые администратором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть: время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Триггеры могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее расходовать ограниченный объем буфера захвата. 

• Многоканальность. Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для сопоставления процессов, происходящих в разных сегментах сети.

Возможности анализа проблем сети на физическом уровне у анализаторов протоколов минимальные, поскольку всю информацию они получают от стандартных сетевых адаптеров. Поэтому они передают и обобщают информацию физического уровня, которую сообщает им сетевой адаптер, а она во многом зависит от типа сетевого адаптера. Некоторые сетевые адаптеры сообщают более детальные данные об ошибках кадров и интенсивности коллизий в сегменте, а некоторые вообще не передают такую информацию верхним уровням протоколов, на которых работает анализатор протоколов.

Сетевые анализаторы

Сетевые анализаторы представляют собой эталонные измерительные приборы для диагностики и сертификации кабелей и кабельных систем. Они могут с высокой точностью измерить все электрические параметры кабельных систем, а также работают на более высоких уровнях стека протоколов. Сетевые анализаторы генерируют синусоидальные сигналы в широком диапазоне частот, что позволяет измерять на приемной паре амплитудно-частотную характеристику и перекрестные наводки, затухание и суммарное затухание. Сетевой анализатор представляет собой лабораторный прибор больших размеров, достаточно сложный в обращении.

Кабельные сканеры и тестеры

Основное назначение кабельных сканеров — измерение электрических и механических параметров кабелей: длины кабеля, параметра NEXT, затухания, импеданса, схемы разводки пар проводников, уровня электрических шумов в кабеле. Точность измерений, произведенный этими устройствами, ниже, чем у сетевых анализаторов, но вполне достаточна для оценки соответствия кабеля стандарту.

Для определения местоположения неисправности кабельной системы (обрыва, короткого замыкания, неправильно установленного разъема и т.д.) используется метод «отраженного импульса» (Time Domain Reflectometry, TDR). Суть этого метода состоит в том, что сканер излучает в кабель короткий электрический импульс и измеряет время задержки до прихода отраженного сигнала. По полярности отраженного импульса определяется характер повреждения кабеля (короткое замыкание или обрыв). В правильно установленном и подключенном кабеле отраженный импульс почти отсутствует.

Точность измерения расстояния зависит от того, насколько точно известна скорость распространения электромагнитных волн в кабеле. 

Кабельные сканеры — это портативные приборы, которые обслуживающий персонал может постоянно носить с собой.

Кабельные тестеры — наиболее простые и дешевые приборы для диагностики кабеля. Они позволяют определить непрерывность кабеля, однако, в отличие от кабельных сканеров, не дают ответа на вопрос о том, в каком месте произошел сбой.

Многофункциональные портативные приборы мониторинга

В последнее время начали выпускаться многофункциональные портативные приборы, которые объединяют в себе возможности кабельных сканеров, анализаторов протоколов и даже некоторые функции систем управления, сохраняя в то же время такое важное свойство, как портативность. Многофункциональные приборы мониторинга имеют специализированный физический интерфейс, позволяющий выявлять проблемы и тестировать кабели на физическом уровне, который дополняется микропроцессором с программным обеспечением для выполнения высокоуровневых функций.

Функции проверки аппаратуры и кабелей

многофункциональные приборы сочетают наиболее часто используемые на практике функции кабельных сканеров с рядом новых возможностей тестирования.

● Сканирование кабеля

Функция позволяет измерять длину кабеля, расстояние до самого серьезного дефекта и распределение импеданса по длине кабеля. При проверке неэкранированной витой пары могут быть выявлены следующие ошибки: расщепленная пара, обрывы, короткое замыкание и другие виды нарушения соединения. Для сетей Ethernet на коаксиальном кабеле эти проверки могут быть осуществлены на работающей сети.

● Функция определения распределения кабельных жил

Осуществляет проверку правильности подсоединения жил, наличие промежуточных разрывов и перемычек на витых парах. На дисплей выводится перечень связанных между собой контактных групп.

● Функция определения карты кабелей

Используется для составления карты основных кабелей и кабелей, ответвляющихся от центрального помещения.

● Автоматическая проверка кабеля

В зависимости от конфигурации возможно определить длину, импеданс, схему подключения жил, затухание и параметр NEXT на частоте до 100 МГц. Автоматическая проверка выполняется для коаксиальных кабелей, экранированной витой пары с импедансом 150 Ом, неэкранированной витой пары с сопротивлением 100 ОМ.

● Целостность цепи при проверке постоянным током

Эта функция используется при проверке коаксиальных кабелей для верификации правильности используемых терминаторов и их установки.

● Определение номинальной скорости распространения

Функция вычисляет номинальную скорость распространения (Nominal Velocity of Propagation, NVP) по кабелю известной длины и дополнительно сохраняет полученные результаты в файле для определяемого пользователем типа кабеля (User Defined Cable Type) или стандартного кабеля.

● Комплексная автоматическая проверка пары «сетевой адаптер-концентратор»

Этот комплексный тест позволяет последовательно подключить прибор между конечным узлом сети и концентратором. Тест дает возможность автоматически определить местонахождение источника неисправности — кабель, концентратор, сетевой адаптер или программное обеспечение станции.

 ● Автоматическая проверка сетевых адаптеров

Проверяет правильность функционирования вновь установленных или «подозрительных» сетевых адаптеров. Для сетей Ethernet по итогам проверки сообщаются: MAC-адрес, уровень напряжения сигналов (а также присутствие и полярность импульсов Link Test для 10Base-T). Если сигнал не обнаружен на сетевом адаптере, то тест автоматически сканирует соединительный разъем и кабель для их диагностики.

   Функции сбора статистики

Эти функции позволяют в реальном масштабе времени проследить за изменением наиболее важных параметров, характеризующих «здоровье» сегментов сети. Статистика обычно собирается с разной степенью детализации по разным группам.

● Сетевая статистика

В этой группе собраны наиболее важные статистические показатели — коэффициент использования сегмента (utilization), уровень коллизий, уровень ошибок и уровень широковещательного трафика. Превышение этими показателями определенных порогов в первую очередь говорят о проблемах в том сегменте сети, к которому подключен многофункциональный прибор.

● Статистика ошибочных кадров

Эта функция позволяет отслеживать все типы ошибочных кадров для определенной технологии. Например, для технологии Ethernet характерны следующие типы ошибочных кадров.

• Укороченные кадры (Short Frames). Это кадры, имеющие длину, меньше допустимой, т.е. меньше 64 байт. Иногда этот тип кадров дифференцируют на два класса — просто короткие кадры (short), у которых имеется корректная контрольная сумма, и «коротышки» (runts), не имеющие корректной контрольной суммы. Наиболее вероятными причинами появления укороченных кадров являются неисправные сетевые адаптеры и их драйверы.

 Удлиненные кадры (Jabbers). Это кадры, имеющие длину, превышающую допустимое значение в 1518 байт с хорошей или плохой контрольной суммой. Удлиненные кадры являются следствием затянувшейся передачи, которая появляется из-за неисправностей сетевых адаптеров.

• Кадры нормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры с ошибками выравнивания по границе байта. Кадры с неверной контрольной суммой являются следствием множества причин — плохих адаптеров, помех на кабелях, плохих контактов, некорректно работающих портов повторителей, мостов, коммутаторов и маршрутизаторов. Ошибка выравнивания всегда сопровождается ошибкой по контрольной сумме, поэтому некоторые средства анализа трафика не делают между ними различий. Ошибка выравнивания может быть следствием прекращения передачи кадра при распознавании коллизии передающим адаптером.

 Кадры-призраки (ghosts) являются результатом электромагнитных наводок на кабеле. Они воспринимаются сетевыми адаптерами как кадры, не имеющие нормального признака начала кадра — 10101011. Кадры-призраки имеют длину более 72 байт, в противном случае они классифицируются как удаленные коллизии. Количество обнаруженных кадров-призраков в большой степени зависит от точки подключения сетевого анализатора. Причинами их возникновения являются петли заземления и другие проблемы с кабельной системой.

Знание процентного распределения общего количества ошибочных кадров по их типам может многое подсказать администратору о возможных причинах неполадок в сети. Даже небольшой процент ошибочных кадров может привести к значительному снижению полезной пропускной способности сети, если протоколы, восстанавливающие искаженные кадры, работают с большими тайм-аутами ожидания квитанций. Считается, что в нормально работающей сети процент ошибочных кадров не должен превышать 0,01% , т.е. не более 1 ошибочного кадра из 10000.

● Статистика по коллизиям

Эта группа характеристик дает информацию о количестве и видах коллизий, отмеченных на сегменте сети, позволяет определить наличие и местонахождение проблемы. Анализаторы протоколов обычно не могут дать дифференцированной картины распределения общего числа коллизий по их отдельным типам, в то же время знание преобладающего типа коллизий может помочь понять причину плохой работы сети. Ниже приведены основные типы коллизий сети Ethernet.

• Локальная коллизия (Local Collision). Является результатом одновременной передачи двух или более узлов, принадлежащих к тому сегменту, в котором производятся измерения. Если многофункциональный прибор не генерирует кадры, то в сети на витой паре или волоконно-оптическом кабеле локальные коллизии не фиксируются. Слишком высокий уровень локальных коллизий является следствием проблем с кабельной системой.

 •  Удаленная коллизия (Remote Collision). Эти коллизии происходят на другой стороне повторителя (по отношению к тому сегменту, в котором установлен измерительный прибор). В сетях, построенных на многопортовых повторителях (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), все измеряемые коллизии являются удаленными (кроме тех случаев, когда анализатор сам генерирует кадры и может быть виновником коллизии). Не все анализаторы протоколов и средства мониторинга одинаковым образом фиксируют удаленные коллизии. Это происходит из-за того, что некоторые измерительные средства и системы не фиксируют коллизии, происходящие при передаче преамбулы.

 • Поздняя коллизия (Late Collision). Это коллизия, которая происходит после передачи первых 64 байт кадра (по протоколу Ethernetколлизия должна обнаруживаться при передаче первых 64 бай кадра). Результатом поздней коллизии будет кадр, который имеет длину более 64 байт и содержит неверное значение контрольной суммы. Чаще всего это указывает на то, что сетевой адаптер, являющийся источником конфликта, оказывается не в состоянии правильно прослушивать линию и поэтому не может вовремя остановить передачу. Другой причиной поздней коллизии является слишком большая длина кабельной системы или слишком большое количество промежуточных повторителей, приводящее к превышению максимального значения времени двойного оборота сигнала.

Средняя интенсивность коллизий в нормально работающей сети должна быть меньше 5%. Большие всплески (более 20%) могут быть индикатором кабельных проблем.

● Распределение используемых сетевых протоколов

Эта статистическая группа относится к протоколам сетевого уровня. На дисплее отображается список основных протоколов в убывающем порядке относительно процентного соотношения кадров, содержащих пакеты данного протокола к общему числу кадров в сети.

● Основные отправители (Top Sendes)

Функция позволяет отслеживать наиболее активные передающие узлы локальной сети. Прибор можно настроить на фильтрацию по единственному адресу и выявить список основных отправителей кадров для данной станции. Данные отражаются на дисплее в виде диаграммы вместе с перечнем основных отправителей кадров.

● Основные получатели (Top Receivers)

Функция позволяет следить за наиболее активными узлами-получателями сети. Информация отображается в виде, аналогичном приведенному выше.

● Основные генераторы широковещательного трафика (Top Broadcasters)

Функция выявляет станции сети, которые больше остальных генерируют кадры с широковещательными и групповыми адресами.

● Генерирование трафика (Traffic Generation)

Прибор может генерировать трафик для проверки работы сети при повышенной нагрузке. Трафик может генерироваться параллельно с активизированными функциями Сетевая статистика, Статистика ошибочных кадров и Статистика по коллизиям.

Пользователь может задать параметры генерируемого трафика, такие как интенсивность и размер кадров. Для тестирования мостов и маршрутизаторов прибор может автоматически создавать заголовки IP- и IPX-пакетов, и все что требуется от оператора — это внести адреса источника и назначения.

В ходе испытаний пользователь может увеличить на ходу размер и частоту следования кадров с помощью клавиш управления курсором. Это особенно ценно при поиске источника проблем производительности сети и условий возникновения отказов.

 Функции анализа протоколов

Обычно портативные многофункциональные приборы поддерживают декодирование и анализ только основных протоколов локальных сетей, таких как протоколы стековTCP/IP, Novell NetWare, NetBIOS и Banyan VINES.

В некоторых многофункциональных приборах отсутствует возможность декодирования захваченных пакетов, как в анализаторах протоколов, а вместо этого собирается статистика о наиболее важных пакетах, свидетельствующих о наличии проблем в сетях. Например, при анализе протоколов стека TCP/IP собирается статистика по пакетам протокола ICMP, с помощью которого маршрутизаторы сообщают конечным узлам о возникновении разного рода ошибок. Для ручной проверки достижимости узлов сети в приборы включается поддержка утилиты IP Ping, а также аналогичных по назначению утилит NetWare Ping и NetBIOS Ping.

Мониторинг локальных сетей на основе коммутаторов

Наблюдение за трафиком

Так как перегрузки процессоров портов и других обрабатывающих элементов коммутатора могут приводить к потерям кадров, то функция наблюдения за распределением трафика в сети, построенной на основе коммутаторов, очень важна.

Однако если сам коммутатор не снабжен встроенным агентом SNMP для каждого своего порта, то задача слежения за трафиком, традиционно решаемая в сетях с разделяемыми средами с помощью установки в сеть внешнего анализатора протоколов, очень усложняется.

Обычно в традиционных сетях анализатор протоколов или многофункциональный прибор подключался к свободному порту концентратора, что позволяло ему наблюдать за всем трафиком, передаваемым между любыми узлами сети.

Если же анализатор протокола подключить к свободному порту коммутатора, то он не зафиксирует почти ничего, т.к. кадры ему передавать никто не будет, а чужие кадры в его порт также направляться не будут. Единственный вид трафика, который будет фиксировать анализатор, — это трафик широковещательных пакетов, которые будут передаваться всем узлам сети, а также трафик кадров с неизвестными коммутатору адресами назначения. В случае когда сеть разделена на виртуальные сети, анализатор протоколов будет фиксировать только широковещательный трафик своей виртуальной сети, чтобы анализаторами протоколов можно было по-прежнему пользоваться и в коммутируемых сетях, производители коммутаторов снабжают свои устройства функцией зеркального отображения трафика любого порта на специальный порт. К специальному порту подключается анализатор протоколов, а затем на коммутатор подается команда через его модульSNMP-управления для отображения трафика какого-либо порта на специальный порт.

Наличие функции зеркализации портов частично снимает проблему, но оставляет некоторые вопросы. Например, как просматривать одновременно трафик двух портов или трафик порта, работающего в полнодуплексном режиме.

Более надежным способом слежения за трафиком, проходящим через порты коммутатора, является замена анализатора протокола на агенты RMON MIB для каждого порта коммутатора.

Агент RMON выполняет все функции хорошего анализатора протокола для протоколов Ethernet и Token Ring, собирая детальную информацию об интенсивности трафика, различных типах плохих кадров, о потерянных кадрах, причем самостоятельно строя временные ряды для каждого фиксируемого параметра. Кроме того, агент RMON может самостоятельно строить матрицы перекрестного трафика между узлами сети, которые очень нужны для анализа эффективности применения коммутатора.

Так как агент RMON, реализующий все 9 групп объектов Ethernet, стоит весьма дорого, то производители для снижения стоимости коммутатора часто реализуют только первые несколько групп объектов RMON MIB. Другим приемом снижения стоимости коммутатора является использование одного агента RMON для нескольких портов. Такой агент по очереди подключается к нужному порту, позволяя снять с него требуемые статистические данные.

Тема: «Управление группой компьютеров пользователей»

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.

В AD существует два типа групп:

Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.

Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило, используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Совет. Несмотря на то, группе безопасности можно также можно присвоить почтовые атрибуты и выполнять на нее почтовые рассылки, делать это не рекомендуется.

Для каждого типа группы существует три области действия:

Локальная в домене – используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.

Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.

Универсальная группа – рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличие от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Создаем группу с помощью оснастки ADUC

Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.

Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.

Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.

Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.

Тема: «Управление корпоративными ресурсами»

Файловый сервер предоставляет ресурс для чтения, хранения, изменения файлов, а также для обмена ими между сотрудниками предприятия.

В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

• Процессор может быть самый простой;
• Оперативная память также не сильно используется;
• Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
2. Сервер должен быть подключен к источнику бесперебойного питания;
3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Шаг 2. Установка Windows и настройка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

1.         Проверяем правильность настройки времени и часового пояса;

2.         Задаем понятное имя для сервера и, при необходимости, вводим его в домен;

3.         Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;

4.         Для удаленного администрирования, включаем удаленный рабочий стол;

5.         Устанавливаем все обновления системы.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление — Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

• Службы хранения;
• Файловый сервер;

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность.

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Нажимаем OK и Изменить. 

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

Анализатор соответствия рекомендациям

В диспетчере управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметром, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Мониторинг

Мониторить стоит:

1. Сетевую доступность сервера;
2. Свободное дисковое пространство;
3. Состояние жестких дисков.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
2. Выполнить действия анализатора соответствий рекомендациям.
3. Провести живой тест работы сервиса с компьютера пользователя.

Тема: «Организация учетных записей. Управление группами пользователей»

План

Введение

1 Сравнение локальных учетных записей и доменных

2 Встроенные доменные учетные записи

3 Создание учетных записей пользователя домена

4 Свойства учетной записи пользователя

Введение

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

1 Сравнение локальных учетных записей и доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) — объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей — аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

2 Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. Домены Windows Server имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

• Administrators
• Domain Admins
• Domain Users
• Enterprise Admins
• Group Policy Creator Owners
• Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

3 Создание учетных записей пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Рисунок 1 – Создание новой учетной записи пользователя: введите имя в диалоговом окне New Object — User

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object — User, изображенное на рисунке 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Рисунок 2 – Создание новой учетной записи пользователя: задайте пароль и выберите настройки пароля в диалоговом окне New Object — User

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на рисунке 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

4 Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На рисунке 3 видны категории настройки.

Рисунок 3 – Изменение настройки учетной записи пользователя по категориям

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Тема: «Подключение рабочей станции к компьютеру домена»

Добавление компьютера в домен Windows Server

Для того, чтобы можно было управлять компьютером под управлением операционной системы Windows, необходимо провести операцию добавления ПК в домен. Тогда с помощью семейства Windows Server появится возможность проводить различные операции управления, в том числе и с помощью групповой политики. Операция подключения к домену ПК несложная.

Добавление компьютера в домен.

Начало процедуры подключения к домену семейства операционных систем Windows начинается с настройки сетевого соединения и проверки связи между сервером и ПК.

1. Нажимаем комбинацию клавиш Win+R и в открывшемся окне набираем ncpa.cpl.

2. В открывшемся окне выбираем нужный сетевой контроллер (на обычном комьютере он как правило один) и нажимаем правой клавишей мышки на этом интерфейсе. Далее в появившемся меню выбираем «Свойства«.

3. Затем в новом окне выделяем «Протокол Интернета версии 4 (TCP/IPv4 IP)«. Далее «Свойства«.

4. В открывшемся окне появится возможность настройки сетевого интерфейса. Если в домене имеется DHCP сервер и клиентам не надо настраивать статические адреса, то проверяем, что чекбоксы стоят напротив «Получить IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически«. Нажимаем «ОК» и можно закрывать все открытые окна.

5. Если в домене не используется DHCP сервер или для клиентов настраивают статические адреса, то надо прописать необходимые сетевые настройки (например как на рисунке).

После того, как прописали IP-адрес, Маска подсети, Основной шлюз (если есть), Предпочитаемый DNS-сервер, Альтернативный DNS-сервер (если есть), нажимаем «ОК» и закрываем все окна.

6. После того, как настроили сеть, появится окно «Настройка сетевого размещения«. Выбираем «Сеть предприятия«.

7. Появится подтверждение сети о том, что «Расположение сети изменилось на «Предприятия».

8. Снова нажимаем комбинацию клавиш Win+R и набираем cmd для того, чтобы открылась командная строка.

9. В командной строке проверяем связь с сервером. Для этого набираем ping и IP-адрес сервера (например ping 192.168.56.10). Получаем ответ от сервера.

10. На клиентском компьютере правой клавишей мыши нажимаем на «Компьютер«, далее «Свойства«.

11. В открывшемся окне выбираем «Изменить параметры«.

12. Затем нажимаем «Изменить«.

13. Выбираем «Является членом домена:» и вписываем имя домена (например syst.local), нажимаем «ОК«.

14. Для изменения имени компьютера или домена необходимо ввести логин и пароль (доменный пользователь должен иметь права для добавления компьютера в домен), далее «ОК«.

15. После успешного добавления компьютера в домен, появится соответствующее уведомление — «Добро пожаловать в домен syst.local» (вместо syst.local будет имя домена).

16. Если открыть контроллер домена, то в остнастке «Пользователи и компьютеры Active Directory» в контейнере Computers появится ПК, который был введен в домен.

На этом процедура подключения ПК к домену закончена.

Тема: «Особенности организации домена и его структуры при управлении компьютерной сетью»

План

1. Понятие Active Directory.
2. Структура каталога Active Directory.
3. Объекты каталога и их именование.
4. Иерархия доменов.
5. Доверительные отношения.
6. Организационные подразделения.

Понятие Active Directory

В средних и крупных сетях задача настройки параметров протокола TCP/IP является очень сложной для администратора и вручную практически не выполнима. Для решения этой проблемы был разработан протокол DHCP, реализованный посредством службы DHCP.

Однако настройка сетевых параметров – лишь одна из множества задач, встающих перед системным администратором. В частности, в любой сети важнейшей является задача управления её ресурсами (файлами и устройствами, предоставленными в общий доступ), а также компьютерами и пользователями.

Для решения задач управления ресурсами в сетях под управлением Windows Server 2003 применяется служба каталога Active Directory (Активный Каталог). Данная служба обеспечивает доступ к базе данных (каталогу), в которой хранится информация обо всех объектах сети, и позволяет управлять этими объектами.

Группа компьютеров, имеющая общий каталог и единую политику безопасности, называется доменом. Каждый домен имеет один или несколько серверов, именуемых контроллерами домена, на которых хранятся копии каталога.

Основные преимущества, предоставляемые службой каталога Active Directory:

• централизованное управление – если в сети развернута служба Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;
• простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;
• обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows Server 2003 предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;
• масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним. При расширении сети организации служба каталога Active Directory способна наращивать свои возможности – увеличивать размер каталога и число контроллеров домена.

Таким образом, служба каталога Active Directory, подобно службе DHCP, существенно облегчает работу системного администратора по управлению сетевыми объектами. Кроме того, пользователи получают возможность использовать ресурсы сети, не заботясь об их месторасположении, так как все запросы обрабатываются службой Active Directory.

Структура каталога Active Directory

Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.

Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры.

Цель такой структуризации – облегчение процесса администрирования.

Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов.

Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее в этой лекции.

Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.

Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).

Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена, которой связаны высокоскоростным соединением.

Между сайтами, наоборот, установлены более медленные линии связи (рис. 7.2).

Рис. 7.2. Физическая структура Active Directory

Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать.

Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit (рис. 7.3).

В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:

• раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);
• раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;
• раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;
• раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;
• раздел глобального каталога (global catalog partition). Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.

В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:

– раздел домена реплицируется между контроллерами одного домена;

– разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;

– репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.

Объекты каталога и их именование

Объект каталога Active Directory – это элемент, содержащийся в базе данных Active Directory и имеющий набор атрибутов (характеристик).

Например, объектом является пользователь, а его атрибутами – имя, фамилия и адрес электронной почты.

Некоторые объекты являются контейнерами. Это означает, что данные объекты могут содержать в своем составе другие объекты. Например, объект домен является контейнером и может включать пользователей, компьютеры, другие домены и т. д.

Каталог Active Directory содержит следующие основные типы объектов, не являющихся контейнерами:

• пользователь (user);

• группы пользователей (group);

• контакты (contact);

• компьютеры (computer);

• принтеры (printer);

• общедоступные папки (shared folder).

В Active Directory для именования объектов используется несколько способов.

Различающееся имя (Distinguished Name, DN) – состоит из нескольких частей, например для пользователя Петрова, принадлежащего к организационному подразделению Teachers домена faculty.ru, различающееся имя выглядит так:

DC = ru, DC = faculty, OU = teachers, CN = users, CN = petrov.

При этом используются следующие сокращения:

• DC (Domain Component) – домен;

• OU (Organizational Unit) – организационное подразделение;

• CN (Common Name) – общее имя.

Различающиеся имена являются уникальными в пределах всего каталога Active Directory. В целях упрощения именования может использоваться относительное различающееся имя (Relative Distinguished Name, RDN). Для приведенного примера это имя CN = petrov. Имя RDN

должно быть уникально в рамках объекта-контейнера, т. е. в пределах контейнера CN = users пользователь petrov должен быть единственным.

Основное имя пользователя (User Principal Name, UPN) – используется для входа пользователя в систему и состоит из двух частей: имени __________учетной записи пользователя и имени домена, к которому принадлежит пользователь.

Например: petrov@faculty.ru.

Глобальный уникальный идентификатор (Global Unique Identifier, GUID) – это 128-битовое шестнадцатеричное число, которое ассоциируется с объектом в момент его создания и никогда не меняется. В случае перемещения или переименования объекта его GUID остается прежним.

Иерархия доменов

Домен является основным элементом в логической структуре Active Directory. В рамках домена действуют единые административные полномочия и политика безопасности, применяется общее пространство доменных имен.

Каждый домен имеет по крайней мере один контроллер домена, на котором хранится каталог Active Directory с информацией о домене.

Для организаций со сложной структурой может создаваться иерархия доменов. Первый образованный домен называется корневым (root domain). У него могут быть дочерние домены, имеющие общее пространство доменных имен. В свою очередь, у дочерних доменов могут быть свои домены-потомки. Таким образом, создается иерархия доменов, называемая доменным деревом (domain tree).

Если требуется в рамках одной организации организовать ещё одно пространство имен, то создается отдельное дерево доменов. При этом несколько деревьев, входящих в состав одного каталога Active Directory, образуют лес доменов (forest).

Для именования доменов используются правила, принятые в системе доменных имен DNS. Вследствие этого доменная структура организации может при необходимости (и соблюдении требования уникальности имен) встраиваться в доменную структуру Интернета. Кроме того, для разрешения доменных имен становится возможным использование службы DNS.

На рис. 7.4 приведен фрагмент доменной структуры университета. В данном примере лес состоит из двух деревьев – дерева головной организации (домен univ) и дерева филиала-института (домен institute). Корневой домен головной организации имеет три дочерних домена – rector (ректорат), math (факультет математики), physics (факультет физики). Корневой домен института является родителем для двух доменов – director (руководство __________института) и chemistry (факультет химии).

Рис. 7.4. Фрагмент возможной доменной структуры вуза Следуя правилам DNS, полное имя (FQDN) домена rector будет иметь следующий вид: rector.univ, а полное имя домена chemistry: chemistry.institute.

Вопросы планирования доменной структуры рассмотрены в следующей лекции.

Доверительные отношения

Для доступа к ресурсам своего домена пользователю достаточно ввести имя своей учетной записи и пройти процедуры аутентификации и авторизации. Аутентификация (authentication) – это процесс проверки подлинности пользователя, т. е. подтверждение того, что пользователь является тем, за кого себя выдает. Аутентификация в Windows Server 2003 осуществляется путем предъявления системе пароля. В случае успешной аутентификации наступает этап авторизации (authorization) – это определение набора прав, которыми обладает пользователь.

При наличии необходимых прав (подробнее о правах доступа – в следующей лекции) пользователь может получить доступ к любому ресурсу домена. Однако для доступа к ресурсам другого домена между доменами должны быть установлены доверительные отношения (trust relationship).

Существует два вида доверительных отношений: односторонние (oneway trust relationship) и двусторонние (two-way trust relationship).

Односторонние доверительные отношения означают, что пользователь одного домена (доверенного, trusted domain) получает доступ к ресурсам другого домена (доверяющего, trusting domain), но обратное неверно (рис. 7.5).

Рис. 7.5. Односторонние доверительные отношения

Иначе говоря, доверяющий домен делегирует право аутентификации пользователей доверенному домену.

Двусторонние доверительные отношения предполагают обоюдный процесс делегирования права аутентификации (рис. 7.6).

Рис. 7.6. Двусторонние доверительные отношения

При создании доменной структуры некоторые доверительные отношения устанавливаются автоматически, другие приходится настраивать вручную.

Перечислим автоматически устанавливаемые двусторонние доверительные отношения:

− внутри дерева доменов;

− между корневыми доменами деревьев одного леса;

− между деревьями одного леса (эти отношения являются следствием доверительных отношений между корневыми доменами деревьев).

В остальных случаях доверительные отношения следует устанавливать вручную (например, между лесами доменов или между лесом и внешним доменом, не принадлежащим этому лесу).

Организационные подразделения

Структурирование сетевых ресурсов организации при помощи доменов не всегда бывает оправданно, так как домен подразумевает достаточно крупную часть сети. Часто для администратора возникает необходимость группировки объектов внутри одного домена. В этом случае следует использовать организационные подразделения (organizational unit).

Организационные подразделения можно использовать в качестве контейнера для следующих объектов:

− пользователей;

− групп пользователей;

− контактов;

− компьютеров;

− принтеров;

− общих папок;

− других организационных подразделений.

Объекты группируются с помощью ОП для следующих целей:

1. управление несколькими объектами как одним целым – для этого используются групповые политики (см. следующую лекцию);
2. делегирование прав администрирования, – например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.

В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики

Организационные подразделения не могут использоваться для назначения прав доступа к объектам. Для этих целей следует применять группы безопасности (security group).

algebra

dekanat

geometry

math

В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).

Резюме

В целях централизованного управления ресурсами сети в операционных системах Microsoft Windows Server 2003 существует служба каталога Active Directory.

Основой логической структуры каталога является домен – это группа компьютеров, имеющая общий каталог и единую политику безопасности.

Несколько доменов могут быть объединены в дерево доменов, несколько деревьев составляют лес доменов. Для структуризации объектов внутри домена используются организационные подразделения.

Физическая структура основана на понятии сайта – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением.

Внутри сайта в процессе репликации (копирования изменений в структуре каталога на все контроллеры домена) информация не сжимается, а обмен осуществляется часто, между сайтами репликация происходит редко, а трафик репликации сжимается.

Информация как о логической, так и о физической структурах каталога хранится на контроллере домена в файле Ntds.dit.

Между доменами могут быть установлены доверительные отношения, чтобы пользователи одного домена могли получать доступ к ресурсам другого домена. Доверительные отношения между всеми доменами леса устанавливаются автоматически. В других случаях их следует настраивать вручную.

1 Политика безопасности – набор правил по применению средств обеспечения сетевой безопасности – паролей, учетных записей, протоколов аутентификации и защищенной передачи информации, шифрованной файловой системы и т. д.

План

Введение

1. Группы
2. Влияние групп на производительность сети
3. Планирование организационных единиц
4. Создание организационных единиц

Введение

Основная задача сети —  обеспечивать пользователей доступом к файлам папкам, приложениям, принтерам  и соединениям с Internet, которые требуются для выполнения их  работы. Администратору сети требуются дополнительные возможности, например, скрытие информации от тех, кому она не нужна, а также защита пользователей от них самих. Ключом к выполнению  всех этих требований является конфигурирование  организационных единиц, групп, пользователей и групповых политик.

1. Группы

По определению, группы в семействе Microsoft Windows Server 2003 являются объек­тами службы каталогов Active Directory или объектами локального компьютера, в которые входят пользователи, контакты, компьютеры или другие группы. Вообще говоря, группа — это просто набор пользовательских учетных записей. Назначение групп — упростить администрирование, чтобы администратор сети мог присваивать права и полномочия на уровне групп, а не каждому пользователю по отдельности.

1. Классификация

В Windows Server 2003 существуют два типа групп: безопасности и распростра­нения. Почти все группы, используемые в Windows 2000 и Windows Server 2003, — это группы безопасности, поскольку только этому типу групп могут присваиваться полномочия. Для каждой группы безопасности также назначается область действия группы (group scope), которая определяет, каким образом членам группы присваи­ваются полномочия. Программы, которые могут выполнять поиск в Active Directory, могут использовать группы безопасности для целей, не связанных с безопасностью, таких как отправка электронной почты, группе пользователей. Группы распространения не имеют полномочий системы безопасности, и они могут использоваться только с приложениями электронной почты для отправки сообщений наборам пользователей.

1. Назначение областей действия групп

После того, как группа создана, ей назначается область действия, которая, в свою очередь, определяет, каким образом будут присваиваться полномочия. Существует три области действия групп:

1. глобальная;
2. локальная в домене;
3. универсальная.
   1. Глобальная область действия

Группа с глобальной областью действия глобальна в том смысле, что она позволяет предоставлять полномочия доступа к ресурсам, находящимся в любом домене. Но члены группы могут принадлежать только тому домену, в котором создана данная группа, и в этом смысле она не глобальна. Глобальные группы лучше всего исполь­зовать для требующих частого обслуживания объектов каталога, таких как учетные записи пользователей и компьютеров. Глобальные группы могут быть членами уни­версальных и локальных групп в любом домене, и их членами могут быть:

• другие глобальные группы в том же домене;
• отдельные учетные записи из того же домена.
  • Локальная в домене область действия

Локальная в домене группа противоположна глобальной группе в том смысле, что ее члены могут принадлежать любому домену, но они могут иметь полномочия дос­тупа к ресурсам только того домена, в котором создана данная группа. Члены ло­кальной в домене группы имеют одинаковые требования доступа к определенным ресурсам в отдельном домене. Локальные в домене группы могут содержать одного или нескольких членов следующих типов:

• другие локальные в домене группы того же домена;
• глобальные группы из любого домена;
• универсальные группы из любого домена;
• отдельные учетные записи из любого домена.

Примечание. Правила вложенности могут применяться в полном объеме только при собственном режиме (native mode), когда все контроллеры дан­ного домена являются серверами Microsoft Windows 2000 или Windows Server 2003. В доменах со смешанным режимом (mixed mode) группы безопасно­сти с глобальной областью действия могут содержать только индивидуаль­ные учетные записи, но не другие группы. Группы безопасности с локаль­ной в домене областью действия могут содержать и глобальные группы, и учетные записи.

1. Универсальная область действия

Универсальная группа безопасности может содержать членов любого домена, и ей Могут быть присвоены полномочия доступа к ресурсам любого домена. Универсаль­ная область действия может показаться идеальным решением для организации с несколькими доменами, но ее применение возможно только для доменов, работающих в собственном режиме.

  Практические советы. Влияние групп на производительность сети

Важность планирования групп станет еще более очевидной, когда вы оцените нега­тивное влияние, которое может оказывать на производительность сети организа­ция ваших групп. Когда пользователь входит в сеть, контроллер домена определяет групповую принадлежность данного пользователя и присваивает ему маркер безо­пасности. Этот маркер содержит, помимо идентификатора учетной записи пользо­вателя, идентификаторы безопасности (S1D) всех групп, которым принадлежит дан­ный пользователь. И чем больше групп, которым он принадлежит, тем больше времени потребуется для создания маркера и входа пользователя в сеть.

Кроме того, созданный маркер безопасности передается каждому компьютеру, на который входит данный пользователь. Этот компьютер проверяет все идентифи­каторы безопасности на полномочия доступа ко всем разделяемым ресурсам дан­ного компьютера. Большое число пользователей при большом количестве разделя­емых ресурсов (включая отдельные папки) может потребовать использования значительной доли пропускной способности сети и длительного времени на обра­ботку. Одно из решений этой проблемы — ограничение состава групп безопасности. Для пользователей, которым не требуются специальные полномочия и права, ис­пользуйте группы распространения.

Группы с универсальной областью действия сами по себе оказывают влияние на производительность сети, поскольку все такие группы вместе со своими членами представлены в глобальном каталоге (Global Catalog). При любом изменении в со­ставе группы с универсальной областью действия этот факт должен быть передан всем серверам глобального каталога в дереве доменов, что увеличивает трафик реп­ликации в сети. Группы с глобальной или локальной в домене областью действия также представлены в глобальном каталоге (но не их отдельные члены), поэтому решение заключается в том, чтобы ограничить состав универсальных групп, сведя его преимущественно к глобальным группам.

• Планирование организационных единиц

Организационная единица (OU) используется в соответствии с ее названием как средство организации набора объектов внутри домена. OU может содержать любой набор объектов Active Directory, таких как: принтеры, компьютеры, группы и т.д.

Раньше при излишнем разрастании домена обычно происходило разбиение этого домена на несколько доменов. Организационные единицы представляют альтерна­тивную административную подструктуру, которая является намного более гибкой. Их можно формировать в виде иерархии внутри домена, а административное уп­равление можно делегировать по функциям в одном OU или в целом поддереве организационных единиц. (OU — это минимальный компонент, которому вы можете делегировать административное управление.) В то же время организационные еди­ницы можно легко модифицировать, перемещать, переименовывать и даже удалять. Еще одно преимущество состоит в том что, в отличие от домена, поддереву органи­зационных единиц не требуется контроллер домена.

 Практические советы. Организационные единицы или новый домен?

К сожалению, не существует твердых правил для выбора между разбиением разрас­тающейся сети на домены и использованием новых OU. Если выполняется любое из следующих условий, то, видимо, нужно использовать несколько доменов:

• требуется децентрализованное администрирование;
• сеть охватывает конкурирующие деловые подразделения или совместные пред­приятия;
• части сети соединены очень медленными каналами (например, с помощью ана­логовых модемов), поэтому полная репликация вызовет серьезные проблемы
  трафика. Если это не слишком медленный канал, то вы можете использовать
  несколько сайтов (областей) в одном домене, и тогда репликация будет менее частой;
• требуются различные политики учетных записей. Поскольку политики учетных
  записей применяются на уровне домена, очень отличающиеся политики могут
  потребовать создания отдельных доменов.

К ситуациям, когда стоит использовать организационные единицы, относятся следующие случаи:

• требуется локализованное и/или жестко контролируемое администрирование;
• структура данной организации требует распределения сетевых объектов по от­дельным контейнерам;
• структура, которую вы хотите разделить на отдельные части, видимо, со време­нем изменится.

Поэтому обычно в ситуациях, требующих гибкой и даже «подвижной» структу­ры, имеет смысл использовать организационные единицы.

Организационные единицы — это только контейнеры; они не предоставляют Членство и не являются центрами безопасности. Права и полномочия предоставляются пользователям путем их включения в группы. После создания ваших групп используйте организационные единицы или организуйте объекты-группы и назна­чайте параметры Group Policy.

• Создание групп

Для создания и удаления групп используйте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory). Группы следует созда­вать в контейнере Users (Пользователи) или в организационной единице (OU), ко­торые вы создаете специально для хранения групп. Чтобы создать группу, выпол­ните следующие шаги.

1. Откройте оснастку Active Directory Users and Computers из меню Adminislrative Tools.
2. Раскройте домен, в котором нужно создать группу.
3. Щелкните правой кнопкой на контейнере Users, укажите команду New и выбе­рите и контекстном меню пункт Group (Группа).
4. Заполните требуемую информацию.
5. Имя группы (Group name) должно быть уникальным в данном домене.
6. Имя в поле Group name будет заполнено автоматически.
7. В секции Group Scope (Область действия группы) выберите вариант DomainLocal (Локальная в домене), Global (Глобальная) или Universal (Универсаль­ная).

•    В секции Group Type (Тип группы) выберите Security (Группа безопасности) или Distribution (Группа распространения).

5. По окончании щелкните на кнопке ОК. В контейнере Users появится новая груп­па. Возможно, вам придется подождать несколько минут, пока группа не будет реплицирована в глобальный каталог, после чего вы сможете добавлять членов группы.

• Удаление групп

Не создавайте группы, которые вам не нужны, а те группы, которые вам больше не нужны, удаляйте сразу же из системы. Ненужные группы представляют риск для безопасности, поскольку вы можете случайно предоставить полномочия доступа там, где это делать не следует.

Каждая группа, как и каждый пользователь, имеет уникальный идентификатор безопасности (security identifier — SID). SID используется для идентификации груп­пы и полномочий, присвоенных этой группе. При удалении группы SID тоже уда­ляется и больше не используется. Если вы удалили группу и затем решили снова создать ее, вам придется конфигурировать пользователей и полномочия, как для новой группы.

Чтобы удалить группу, щелкните правой кнопкой на ее имени в оснастке Active Directory Users and Computers и выберите в контекстном меню пункт Delete. При удалении группы происходит удаление только самой группы и полномочий, свя­занных с этой группой. Это не влияет на учетные записи пользователей, являющих­ся членами этой группы.

• Локальная группа

Локальная группа — это набор пользовательских учетных записей на одном компь­ютере. Пользовательские учетные записи должны быть локальными дли данного компьютера, и членам локальной группы могут присваиваться полномочия доступа только к ресурсам того компьютера, на котором создана данная локальная группа. Локальные группы можно создавать на любом компьютере с Windows Server 2003, за исключением контроллера домена. Обычно вам не нужны локальные группы на компьютере, входящем в какой-либо домен, или, по крайней мере, это требуется нечасто. Локальные группы не включаются в Active Directory, поэтому вы должны администрировать их по отдельности на соответствующем компьютере. Для созда­ния локальной группы выполните следующие шаги.

1. Щелкните правой кнопкой на значке рабочего стола My Computer (Мой компь­
   ютер) и выберите в контекстном меню пункт Manage (Управление).
2. В дереве консоли раскройте узел System Tools (Системные средства) и затем рас­
   кройте узел Local Users And Groups (Локальные пользователи и группы).
3. Щелкните правой кнопкой на папке Groups (Группы) и выберите в контекст­
   ном меню пункт New Group (Создать группу).
4. В диалоговом окне New Group введите имя группы. При необходимости можно
   ввести описание группы.
5. Щелкните на кнопке Add, чтобы добавить членов в группу (вы можете сделать
   это в данный момент или позже).
6. По окончании щелкните на кнопке Create (Создать), и в списке групп правой
   панели появится новая группа.

Когда вы создаете домен Active Directory с одним или несколькими контроллерами домена Windows Server 2003, в контейнерах Users (Пользователи) и Built-in (Встроен­ные) автоматически создаются встроенные группы. Многие из этих групп имеют так­же встроенные права, которые автоматически присваиваются членам такой группы.

Но все действия по созданию  групп и пользователей выполняются в Active Directory.

• Active Directory (AD) — это объектно-ориентированная, иерархическая, распределенная система базы данных службы каталогов, которая обеспечивает централизованное хранение информации об оборудовании, программном обеспечении и человеческих ресурсах всей корпоративной сети.
  • Служба каталогов — это комплексная, жизненно важная часть инфраструктуры  корпоративной сети, и ее следует протестировать, прежде чем внедрять в работающие сети в особенности те, что выполняют критические функции.

Active Directory составлена из объектов, которые представляют различные ресурсы в сети, такие как пользователи, серверы, принтеры и приложения. Объект — это набор атрибутов, которые определяют ресурс, дают ему имя описывают его возможности и указывают тех, кому разрешено использовать его. Некоторые из атрибутов объекта присваиваются ему автоматически при его создании, такие как глобальный уникальный идентификатор (GLID) назначаемый каждому объекту, в то время как другие задает администратор сети. Объект пользователя, например, имеет атрибуты, которые хранят  информацию о самом пользователе, представляемом объектом, например, имя учетной записи, пароль, номер телефона, адрес электронной почты, а также информацию о других объектах, с которыми пользователь взаимодействуем. Существует множество различных типов объектов, каждый из которых имеет свой набор атрибутов, зависящий от функций типа.

• Типы объектов

В Active Directory существует два основных типа объектов: объекты-контейнеры и объекты-листья. Контейнер — это просто объект, который со­держит другие объекты, в то время как лист не может хранить другие объек­ты. Объекты-контейнеры фактически выполняют те же функции, что и вет­ви дерева, а объекты-листья «растут» из ветвей. Active Directory использует контейнеры в качестве организационных единиц (OU, organizational unit) и групп, чтобы хранить другие объекты. Контейнеры могут содержать иные контейнеры или объекты-листья, такие как пользователи и компьютеры. Руководящий принцип структуры дерева каталогов заключается в том, что права и разрешения распространяются вниз по дереву. Назначение контей­неру права говорит о том, что по умолчанию все объекты в контейнере на­следуют это право. Данный факт позволяет администраторам управлять дос­тупом к сетевым ресурсам, назначая права и разрешения контейнерам, а не отдельным пользователям. Пo умолчанию дерево Active Directory составлено из объектов, которые представляют пользователей и компьютеры в сети, логических объектов, исполь­зуемых для их упорядочивания, а также папок и принтеров, к которым поль­зователи должны иметь постоянный доступ. Эти объекты, их функции и пиктограммы, используемые для представления их в служебных программах, таких как Active Directory Users and Computers.

• Учетные записи.
  • Создание учетных записей пользователей

Для каждого человека, который имеет доступ к сети, требуется пользовательская учетная запись. Учетная запись пользователя позволяет:

• аутентифицировать «верительные данные» (identity) пользователя, подсоединяющегося к сети;
• управлять доступом к ресурсам домена;
• осуществлять аудит действий, выполняемых с помощью этой учетной записи.

Windows Server 2003 создает только две заранее определенные учетные записи: учетную запись Administrator, которая предоставляет все права и полномочия, и учет­ную запись Guest, которая имеет ограниченные права. Все остальные учетные за­писи создаются администратором и являются либо учетными записями на уровне Домена (действительны по умолчанию во всем домене), либо локальными учетны­ми записями (их можно применять только на машине, где они созданы).

• Имена учетных записей пользователей

В Active Directory каждая учетная запись пользователя имеет основное имя (principal пате). Это имя состоит из двух частей: основное имя безопасности и суффикс основного имени. Для существующих учетных записей пользователей Windows NT основное имя безопасности по умолчанию совпадает с именем, которое используется для входа в Домен Windows NT. Для новых учетных записей пользователей Windows Server 2003 основное имя безопасности назначает администратор. По умолчанию суффикс основного имени совпадает с DNS-именем корневого домена в дереве доменов. Таким образом, пользователь, указанный как EduardoP в домене Windows NT, имеет основное имя EduardoP@scribes.com в Windows Server 2003 (а также в Windows 2000 Server).

• Параметры учетных записей

Планирование параметров учетных записей для пользователей упрощает процесс их создания. Нужно заранее учесть следующие параметры учетных записей.

• Logon Hours (Время входа). По умолчанию пользователь может подсоединяться
  в любое время дня или ночи. По причинам безопасности, возможно, потребует­ся ограничить доступ некоторых или всех пользователей определенными перио­дами дня или определенными днями недели.
• Log On To (Подсоединяться к). По умолчанию пользователи могут входить на
  все рабочие станции. По причинам безопасности вы можете ограничить вход на
  определенную машину или машины, если в данном домене установлен прото­кол NetBIOS. Без NetBIOS система Windows 2000 не может определять местопо­ложение определенного входа.
• Account Expiration (Срок действия учетной записи). Вы можете задать при необ­ходимости срок действия учетной записи. По очевидным причинам имеет смысл
  задавать для временных работников срок действия, совпадающий с датой окон­чания из контрактов.

В учетных записях пользователей можно задавать и другие параметры — много других параметров; они подробно описываются в разделе «Задание свойств учетных записей пользователей». Три только что описанных параметра будут применяться, скорее всего, к большим группам пользователей.

Практические советы. Создание соглашения об именах

Основное имя безопасности следует присваивать с помощью постоянно действую­щего соглашения об именах, чтобы вы и ваши пользователи могли запоминать име­на пользователей и находить их в списках. Вот некоторые возможные варианты.

• Имя плюс инициал фамилии. Например, MichaelG и SusanM. В случае совпаде­ния имен можно добавлять номера (MichaelGl и MichaelG2) или достаточное количество букв, чтобы обеспечить однозначную идентификацию (IngridMat иIngridMur).
• Имя плюс номер. Например, Davel 12 и Dave 113. Здесь возможны проблемы, если
  имя имеет большое распространение. Трудно запомнить свое собственное пользо­вательское имя и еще труднее — идентифицировать других пользователей.
• Инициал имени плюс фамилия. Например, MSmith. Если у вас работают Linda
  Smith и Louise Smith, то можно использовать LiSmith и LoSmith или LSmithl и
  LSmith2.
• Фамилия плюс инициалы. Это соглашение полезно использовать в большой сети.
  При наличии нескольких пользователей с одинаковой фамилией добавьте не­
  сколько букв, например, SmithLi или SmithLo.

Независимо от выбранного способа вы должны учесть не только существующих пользователей вашей сети, но и будущих пользователей. Поэтому, если в вашей ком­пании появится сотрудник U Ti или Chomondely St.J.Montgomery-Glossup, в вашем соглашении об именах должны быть предусмотрены и такие имена.

• Пароли

Все ваши пользователи должны иметь хорошо подобранные пароли, и эти пароли должны периодически изменяться. Пароли следует выбирать согласно рекоменда­циям врезки с практическими советами «Правила для хороших паролей». Задавайте блокировку учетных записей на случай ввода неверных паролей. (Разрешите три-пять попыток, чтобы допустить возможность ошибки при вводе.)

Практические советы. Правила для хороших паролей

«Хороший» пароль имеет следующие характеристики:

• он не является перестановкой символов имени входа;
• он содержит не менее двух букв и хотя бы один небуквенный символ;
• он содержит не менее семи символов;
• это не имя и не инициалы пользователя, его детей или других близких к нему людей, и не комбинация этих элементов в сочетании с другими легкодоступны­ми личными данными, такими как дата рождения, номер телефона или номер водительских прав.

Лучше всего использовать для паролей алфавитно-цифровые акронимы фраз, которые имеют смысл для данного пользователя, но, скорее всего, не известны дру­гим людям. В результате пользователь легко запоминает пароль, и, в то же время, его трудно разгадать другим людям.

Имеет смысл научить пользователей созданию паролей и пониманию конфиден­циальности паролей, но самое главное — проследите за тем, чтобы ваш собственный пароль, выбранный для администрирования, был достаточно хорошим паролем, и почаще изменяйте его. Это позволит избежать взлома вашей системы и последствий этого взлома. Если пользователи будут подсоединяться к сети через телефонные ли­нии из дома или из удаленного сайта, вам могут потребоваться более жесткие меры безопасности по сравнению с авторизацией пароля на уровне домена.

Администраторам следую иметь две учетные записи на компьютере: одна учет­ная запись администратора и одна обычная пользовательская учетная запись. Если вы не выполняете административные задачи, используйте обычную пользовательс­кую учетную запись. Из-за привилегий, связанных с административными учетны­ми записями, они являются главной целью злоумышленников

• Создание учетной записи пользователя на уровне домена

Учетные записи пользователей на уровне домена можно создавать в используемой по умолчанию организационной единице (OU) Users или использовать для них дру­гую OU. Чтобы добавить учетную запись на уровне домена, выполните следующие шаги.

1. Откройте оснастку Active Directory Users and Computers из меню Administrative Tools.
2. Щелкните правой кнопкой на контейнере, в котором вы хотите создать учетную
   запись, укажите команду New и затем выберите в контекстном меню пункт User (Пользователь).
3. Введите имя (First name) и фамилию (Last name). Поле Full Name (Полное имя) будет заполнено автоматически. Полное имя должно быть уникальным в OU, где создается данная пользовательская учетная запись.
4. Введите имя входа пользователя (User logon name), исходя из вашего соглаше­ния об именах. Это имя должно быть уникальным в Active Directory. Поле User logon name (pre-Windows 2000) [Имя входа пользователя (пред-Windows 2000)] заполняется автоматически. Это имя, используемое для входа с компью­теров, работающих под управлением таких систем, как Windows NT. Щелкните на кнопке Next.
5. Введите пароль и задайте политики пароля. Введите пароль и задайте политики пароля. Щелкните на кнопке Next. Появит­ся окно подтверждения. 
6. Если компоненты учетной записи, которую вы собираетесь создать, заданы пра­вильно, щелкните на кнопке Finish (Готово). Иначе используйте кнопку Back (Назад), чтобы внести поправки.

На данный момент новая учетная запись пользователя добавляется в OU с при­нятыми по умолчанию настройками. Скорее всего, эти настройки по умолчанию вам не совсем подходят, поэтому измените свойства этой новой учетной записи.

• Создание локальной учетной записи пользователя

Локальная учетная запись не позволяет выполнять вход в домен; она позволяет осуществлять доступ только к ресурсам компьютера, где она создана и используется. Чтобы создать локальную пользовательскую учетную запись, выполните следующие шаги.

1. Щелкните правой кнопкой на значке My Computer и выберите в контекстном меню пункт Manage.
2. В дереве консоли щелкните на узле Local Users and Groups. Щелкните правой кнопкой на строке Users и выберите в контекстном меню пункт New User (Но­вый пользователь).
3. В диалоговом окне New User введите имя пользователя, полное имя и описание.
4. Щелкните на кнопке Create.

На дан­ный момент будет создана новая пользовательская учетная запись с настройка­ми по умолчанию. Локальные учетные записи могут принадлежать локально со­зданным группам (на одном компьютере).

Контрольные вопросы:

1. Что представляет собой учетная запись?
2. Какие группы бывают по назначению и выполнению функций?
3. Какие группы бывают по отношению к расположению компьютеров?
4. В чем заключается отличие между локальными и глобальными группами?
5. Что представляют собой объекты активного каталога?
6. Какие функции выполняет служба активного каталога?
7. Каково назначение групп?
8. Какую функцию выполняет организационная единица?
9. Каким образом должно формироваться имя учетной записи?
10. Опишите порядок создания ученой записи?

Тема: «СлужбакаталогаActiveDirectory»

План

1. Понятие Active Directory.
2. Структура каталога Active Directory.
3. Объекты каталога и их именование.
4. Иерархия доменов.
5. Доверительные отношения.
6. Организационные подразделения.

Краткие итоги

Понятие Active Directory

В средних и крупных сетях задача настройки параметров протокола TCP/IP является очень сложной для администратора и вручную практически не выполнима. Для решения этой проблемы был разработан протокол DHCP, реализованный посредством службы DHCP.

Однако настройка сетевых параметров – лишь одна из множества задач, встающих перед системным администратором. В частности, в любой сети важнейшей является задача управления её ресурсами (файлами и устройствами, предоставленными в общий доступ), а также компьютерами и пользователями.

Для решения задач управления ресурсами в сетях под управлением Windows Server 2003 применяется служба каталога Active Directory (Активный Каталог). Данная служба обеспечивает доступ к базе данных (каталогу), в которой хранится информация обо всех объектах сети, и позволяет управлять этими объектами.

Группа компьютеров, имеющая общий каталог и единую политику безопасности, называется доменом (domain). Каждый домен имеет один или несколько серверов, именуемых контроллерами домена (domain controller), на которых хранятся копии каталога.

Основные преимущества, предоставляемые службой каталога Active Directory:

• централизованное управление – если в сети развернута служба Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;
• простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;
• обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows Server 2003 предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;
• масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним. При расширении сети организации служба каталога Active Directory способна наращивать свои возможности – увеличивать размер каталога и число контроллеров домена.

Таким образом, служба каталога Active Directory, подобно службе DHCP, существенно облегчает работу системного администратора по управлению сетевыми объектами. Кроме того, пользователи получают возможность использовать ресурсы сети, не заботясь об их месторасположении, так как все запросы обрабатываются службой Active Directory.

Структура каталога Active Directory

Вся информация об объектах сети содержится в каталоге Active Directory. Физически эта база данных представляет собой файл Ntds.dit, который хранится на контроллере домена.

Каталог Active Directory может рассматриваться с двух позиций: с точки зрения логической структуры и с точки зрения физической структуры.

Все сетевые объекты (пользователи, группы пользователей, компьютеры, принтеры) объединяются в домен, который является основной структурной единицей каталога. Для удобства управления объекты также могут быть сгруппированы при помощи организационных подразделений (ОП). Несколько иерархически связанных доменов образуют дерево доменов.

Совокупность деревьев, имеющих общие части каталога Active Directory и общих администраторов, называется лесом доменов. Более подробно эти понятия будут рассмотрены далее в этой лекции.

Имея возможность такой логической структуризации, администратор может подбирать конфигурацию сети в зависимости от своих задач и масштабов организации.

Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры. Этот процесс называется репликацией (replication).

Основой физической структуры является сайт (site) – это часть сети, все контроллеры домена, которой связаны высокоскоростным соединением.

Подобная структура позволяет планировать процесс репликации следующим образом: внутри сайта репликация осуществляется часто и могут передаваться большие объемы информации без сжатия; между сайтами изменения реплицируются редко и данные требуется сжимать.

Логическая и физическая структуры предназначены для решения разных задач и поэтому между собой практически не связаны: в одном домене может быть несколько сайтов, так же как один сайт может содержать несколько доменов. Общим объектом для той и другой структуры является контроллер домена с хранящимся на нем файлом каталога Ntds.dit.

В файле каталога Active Directory содержится информация как о логической, так и о физической структурах. Этот файл состоит из нескольких разделов:

• раздел домена (domain partition) – содержатся данные обо всех объектах домена (пользователях, компьютерах, принтерах и т. д.);
• раздел схемы (schema partition) – хранится информация о типах всех объектов, которые могут быть созданы в данном лесе доменов;
• раздел конфигурации (configuration partition) – описывается конфигурация леса доменов – информация о сайтах, соединениях между сайтами и направлениях репликации;
• раздел приложений (application partition) – специальный раздел для хранения данных приложений, не относящихся к службе Active Directory. По умолчанию здесь создается подраздел для службы DNS;
• раздел глобального каталога (global catalog partition). Глобальный каталог – это база данных, в которой содержится список всех объектов леса доменов без информации об атрибутах этих объектов. Глобальный каталог необходим для поиска ресурсов леса из любого принадлежащего ему домена.

В зависимости от принадлежности к разделу информация реплицируется между контроллерами доменов следующим образом:

– раздел домена реплицируется между контроллерами одного домена;

– разделы схемы, конфигурации и глобального каталога реплицируются на все контроллеры леса;

– репликацией раздела приложений можно управлять – указывать, какие контроллеры будут получать реплику данного раздела.

Объекты каталога и их именование

Объект каталога Active Directory – это элемент, содержащийся в базе данных Active Directory и имеющий набор атрибутов (характеристик).

Например, объектом является пользователь, а его атрибутами – имя, фамилия и адрес электронной почты.

Некоторые объекты являются контейнерами. Это означает, что данные объекты могут содержать в своем составе другие объекты. Например, объект домен является контейнером и может включать пользователей, компьютеры, другие домены и т. д.

Каталог Active Directory содержит следующие основные типы объектов, не являющихся контейнерами:

• пользователь (user);

• группы пользователей (group);

• контакты (contact);

• компьютеры (computer);

• принтеры (printer);

• общедоступные папки (shared folder).

В Active Directory для именования объектов используется несколько способов.

Различающееся имя (Distinguished Name, DN) – состоит из нескольких частей, например для пользователя Петрова, принадлежащего к организационному подразделению Teachers домена faculty.ru, различающееся имя выглядит так:

DC = ru, DC = faculty, OU = teachers, CN = users, CN = petrov.

При этом используются следующие сокращения:

• DC (Domain Component) – домен;

• OU (Organizational Unit) – организационное подразделение;

• CN (Common Name) – общее имя.

Различающиеся имена являются уникальными в пределах всего каталога Active Directory. В целях упрощения именования может использоваться относительное различающееся имя (Relative Distinguished Name, RDN). Для приведенного примера это имя CN = petrov. Имя RDN должно быть уникально в рамках объекта-контейнера, т. е. в пределах контейнера CN = users пользователь petrov должен быть единственным.

Основное имя пользователя (User Principal Name, UPN) – используется для входа пользователя в систему и состоит из двух частей: имени __________учетной записи пользователя и имени домена, к которому принадлежит пользователь.

Например: petrov@faculty.ru.

Глобальный уникальный идентификатор (Global Unique Identifier, GUID) – это 128-битовое шестнадцатеричное число, которое ассоциируется с объектом в момент его создания и никогда не меняется. В случае перемещения или переименования объекта его GUID остается прежним.

Иерархия доменов

Домен является основным элементом в логической структуре Active Directory. В рамках домена действуют единые административные полномочия и политика безопасности, применяется общее пространство доменных имен.

Каждый домен имеет, по крайней мере, один контроллер домена, на котором хранится каталог Active Directory с информацией о домене.

Для организаций со сложной структурой может создаваться иерархия доменов. Первый образованный домен называется корневым (root domain). У него могут быть дочерние домены, имеющие общее пространство доменных имен. В свою очередь, у дочерних доменов могут быть свои домены-потомки. Таким образом, создается иерархия доменов, называемая доменным деревом (domain tree).

Если требуется в рамках одной организации организовать ещё одно пространство имен, то создается отдельное дерево доменов. При этом несколько деревьев, входящих в состав одного каталога Active Directory, образуют лес доменов (forest).

Для именования доменов используются правила, принятые в системе доменных имен DNS. Вследствие этого доменная структура организации может при необходимости (и соблюдении требования уникальности имен) встраиваться в доменную структуру Интернета. Кроме того, для разрешения доменных имен становится возможным использование службы DNS.

Доверительные отношения

Для доступа к ресурсам своего домена пользователю достаточно ввести имя своей учетной записи и пройти процедуры аутентификации и авторизации. Аутентификация (authentication) – это процесс проверки подлинности пользователя, т. е. подтверждение того, что пользователь является тем, за кого себя выдает. Аутентификация в Windows Server 2003 осуществляется путем предъявления системе пароля. В случае успешной аутентификации наступает этап авторизации (authorization) – это определение набора прав, которыми обладает пользователь.

При наличии необходимых прав (подробнее о правах доступа – в следующей лекции) пользователь может получить доступ к любому ресурсу домена. Однако для доступа к ресурсам другого домена между доменами должны быть установлены доверительные отношения (trust relationship).

Существует два вида доверительных отношений: односторонние (oneway trust relationship) и двусторонние (two-way trust relationship).

Односторонние доверительные отношения означают, что пользователь одного домена (доверенного, trusted domain) получает доступ к ресурсам другого домена (доверяющего, trusting domain), но обратное неверно.

Иначе говоря, доверяющий домен делегирует право аутентификации пользователей доверенному домену.

Двусторонние доверительные отношения предполагают обоюдный процесс делегирования права аутентификации.

При создании доменной структуры некоторые доверительные отношения устанавливаются автоматически, другие приходится настраивать вручную.

Перечислим автоматически устанавливаемые двусторонние доверительные отношения:

− внутри дерева доменов;

− между корневыми доменами деревьев одного леса;

− между деревьями одного леса (эти отношения являются следствием доверительных отношений между корневыми доменами деревьев).

В остальных случаях доверительные отношения следует устанавливать вручную (например, между лесами доменов или между лесом и внешним доменом, не принадлежащим этому лесу).

Организационные подразделения

Структурирование сетевых ресурсов организации при помощи доменов не всегда бывает оправданно, так как домен подразумевает достаточно крупную часть сети. Часто для администратора возникает необходимость группировки объектов внутри одного домена. В этом случае следует использовать организационные подразделения (organizational unit).

Организационные подразделения можно использовать в качестве контейнера для следующих объектов:

− пользователей;

− групп пользователей;

− контактов;

− компьютеров;

− принтеров;

− общих папок;

− других организационных подразделений.

Объекты группируются с помощью ОП для следующих целей:

1. управление несколькими объектами как одним целым – для этого используются групповые политики;
2. делегирование прав администрирования, – например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.

В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики.

Организационные подразделения не могут использоваться для назначения прав доступа к объектам. Для этих целей следует применять группы безопасности (security group).

algebra

dekanat

geometry

math

В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).

Краткие итоги

В целях централизованного управления ресурсами сети в операционных системах Microsoft Windows Server 2003 существует служба каталога Active Directory.

Основой логической структуры каталога является домен – это группа компьютеров, имеющая общий каталог и единую политику безопасности.

Несколько доменов могут быть объединены в дерево доменов, несколько деревьев составляют лес доменов. Для структуризации объектов внутри домена используются организационные подразделения.

Физическая структура основана на понятии сайта – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением.

Внутри сайта в процессе репликации (копирования изменений в структуре каталога на все контроллеры домена) информация не сжимается, а обмен осуществляется часто, между сайтами репликация происходит редко, а трафик репликации сжимается.

Информация как о логической, так и о физической структурах каталога хранится на контроллере домена в файле Ntds.dit.

Между доменами могут быть установлены доверительные отношения, чтобы пользователи одного домена могли получать доступ к ресурсам другого домена. Доверительные отношения между всеми доменами леса устанавливаются автоматически. В других случаях их следует настраивать вручную.

Тема: «Протокол DHCP – протокол динамической настройки узла»

План

1. Проблема автоматизации распределения IP-адресов.
2. Реализация DHCP в Windows.
3. Параметры DHCP.
4. Адреса для динамической конфигурации.
5. DHCP-сообщения.
6. Принцип работы DHCP.
7. Авторизация DHCP-сервера.

Проблема автоматизации распределения IP-адресов

Одной из основных задач системного администратора является настройка стека протоколов TCP/IP на всех компьютерах сети. Есть несколько необходимых параметров, которые следует настроить на каждом компьютере, – это IP-адрес, маска подсети, шлюз по умолчанию, IP-адреса DNS-серверов. Назначенные IP-адреса должны быть уникальны. В случае каких-либо изменений (например, изменился IP-адрес DNS сервера или шлюза по умолчанию) их нужно отразить на всех компьютерах. Если какие- либо параметры не указаны или не верны, сеть не будет работать стабильно.

Если в сети менее десяти компьютеров, администратор может успешно справляться с задачей настройки стека TCP/IP вручную, т. е. на каждом компьютере отдельно вводить параметры. IP-адрес, назначенный таким образом, называется статическим. При числе узлов сети более десяти (а многие сети включают десятки и сотни хостов) задача распределения параметров вручную становится трудной или вовсе не выполнимой. В стеке TCP/IP существует протокол, позволяющий автоматизировать процесс назначения IP-адресов и других сетевых параметров, который называется DHCP – Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста). Использование этого протокола значительно облегчает труд системного администратора по настройке сетей средних и больших размеров. Описание протокола DHCP приводится в документе RFC 2131.

Реализация DHCP в Windows

Протокол DHCP реализуется по модели «клиент-сервер», т. е. в сети должны присутствовать DHCP-сервер (роль которого может исполнять компьютер с операционной системой Windows Server 2003) и DHCP-клиент.

На компьютере-сервере хранится база данных с сетевыми параметрами и работает служба DHCP сервера. Компьютер-клиент (точнее, служба клиента DHCP) осуществляет запросы на автоматическую конфигурацию, и DHCP-сервер при наличии свободных IP-адресов выдает требуемые параметры.

Набор IP-адресов, выделяемых для компьютеров одной физической подсети, называется областью действия (scope). На одном сервере можно создать несколько областей действия. Важно только отслеживать, чтобы области действия не пересекались.

При запросе клиента DHCP-сервер выделяет ему произвольный свободный IP-адрес из области действия совместно с набором дополнительных сетевых параметров. При необходимости некоторые адреса из области действия можно зарезервировать (reserve) за определенным МАС-адресом. В этом случае только компьютеру с этим МАС-адресом (например, DNS-серверу, адрес которого не должен меняться) будет выделяться зарезервированный IP-адрес.

Адреса выделяются клиентам на определенное время, поэтому предоставление адреса называется арендой (lease). Время аренды в Windows Server 2003 может быть от 1 минуты до 999 дней (или неограниченно) и устанавливается администратором.

Параметры DHCP

Основная функция протокола DHCP – предоставление в аренду IP-адреса. Однако для правильной работы в сети TCP/IP хосту необходим ещё ряд параметров, которые также можно распространять посредством

DHCP. Набор параметров указан в RFC 2132.

Перечислим только основные параметры:

• Subnet mask – маска подсети;

• Router – список IP-адресов маршрутизаторов;

• Domain Name Servers – список адресов DNS-серверов;

• DNS Domain Name – DNS-суффикс клиента;

• WINS Server Names – список адресов WINS-серверов;

• Lease Time – срок аренды (в секундах);

• Renewal Time (T1) – период времени, через который клиент начинает продлевать аренду;

• Rebinding Time (T2) – период времени, через который клиент начинает осуществлять широковещательные запросы на продление аренды.

Параметры могут применяться на следующих уровнях:

• уровень сервера;

• уровень области действия;

• уровень класса;

• уровень клиента (для зарезервированных адресов).

Параметры, определенные на нижележащем уровне, перекрывают параметры вышележащего уровня, например параметры клиента имеют больший приоритет, чем параметры сервера. Самый высокий приоритет имеют параметры, настроенные вручную на клиентском компьютере.

Уровень класса используется для объединения клиентов в группы и применения для этой группы отдельных параметров. Отнести клиента к определенному классу можно, применив утилиту IPconfig с ключом /setclassid.

Адреса для динамической конфигурации

При настройке областей действия перед администратором встает вопрос, какой диапазон адресов выбрать для сети своей организации? Ответ зависит от того, подключена ли сеть к Интернету.

Если сеть имеет доступ в Интернет, диапазон адресов назначается провайдером (ISP – Internet Service Provider, поставщик интернет-услуг) таким образом, чтобы обеспечить уникальность адресов в Интернете. Чаще всего бывает так, что провайдер выделяет один или несколько адресов для прямого доступа в Интернет и они присваиваются прокси-серверам, почтовым серверам и другим хостам, которые являются буферными узлами между сетью организации и Интернетом. Большинство остальных хостов получают доступ к интернет-трафику через эти буферные узлы. В этом случае диапазон внутренних адресов организации должен выбираться из множества частных адресов.

Частные адреса(Private addresses), описанные в RFC 1918, специально выделены для применения во внутренних сетях и не могут быть присвоены хостам в Интернете. Существует три диапазона частных адресов:

• ID подсети – 10.0.0.0, маска подсети: 255.0.0.0;

• ID подсети – 172.16.0.0, маска подсети: 255.240.0.0;

• ID подсети – 192.168.0.0, маска подсети: 255.255.0.0.

Внутри этих диапазонов адресов можно организовывать любые возможные подсети.

Если сеть не имеет доступа в Интернет, то теоретически можно выбрать любой диапазон IP-адресов, не учитывая наличия хостов с такими же адресами в Интернете. Однако на практике все равно лучше выбирать адреса из диапазона частных адресов, так как для сети, не имеющей выхода в

Интернет, в ближайшем будущем подключение к глобальной сети может оказаться необходимым, и тогда возникнет проблема изменения схемы адресации.

Также следует отметить, что помимо описанных частных адресов существует диапазон автоматических частных адресов APIPA (Automatic Private IP Address): ID подсети – 169.254.0.0, маска подсети: 255.255.0.0. Адрес из этого диапазона выбирается хостом TCP/IP случайно, если отсутствует статический IP-адрес, DHCP-сервер не отвечает, и не указан альтернативный статический адрес. После выбора IP-адреса, хост продолжает посылать запросы DHCP-серверу каждые пять минут.

Принцип работы DHCP

Диаграмма переходов, иллюстрирующая принципы работы протокола DHCP, приведена на рис. 6.1. На схеме овалами обозначены состояния, в которых может находиться DHCP-клиент. Из одного состояния в другое клиент может переходить только по дугам. Каждая дуга помечена дробью, числитель которой обозначает событие (чаще всего это сообщение от DHCP-сервера), после которого клиент переходит в соответствующее состояние, а знаменатель описывает действия DHCP-клиента при переходе. Черточка в числителе означает безусловный переход. Начальное состояние, в котором оказывается служба DHCP-клиента при запуске, – это «Инициализация». Из этого состояния происходит безусловный переход в состояние «Выбор» с рассылкой широковещательного сообщения DHCPDISCOVER. DHCP-серверы (в одной сети их может быть несколько), принимая сообщение, анализируют свою базу данных на предмет наличия свободных IP-адресов. В случае успеха, серверы отправляют сообщение DHCPOFFER, которое помимо IP-адреса содержит дополнительные параметры, призванные помочь клиенту выбрать лучшее предложение.

Сделав выбор, клиент посылает широковещательное сообщение DHCPREQUEST, запрашивая предложенный IP-адрес и требуемые параметры (например, маска подсети, шлюз по умолчанию, IP-адреса DNS-серверов и др.) и переходит в состояние «Запрос». Данное сообщение требуется посылать широковещательно (т. е. оно должно доставляться всем компьютерам подсети), так как DHCP-серверы, предложения которых клиент отклонил, должны знать об отказе.

В состоянии «Запрос» клиент ожидает подтверждение сервера о возможности использования предложенных сетевых параметров. В случае прихода такого подтверждения (сообщение DHCPACK) клиент переходит в состояние «Аренда», одновременно начиная отсчет интервалов времени Т1 и Т2. Если сервер по каким-либо причинам не готов предоставить клиенту предложенный IP-адрес, он посылает сообщение DHCPNAK. Клиент реагирует на это сообщение переходом в исходное состояние «Инициализация», чтобы снова начать процесс получения IP-адреса. Состояние «Аренда» является основным рабочим состоянием – у клиента присутствуют все необходимые сетевые параметры, и сеть может успешно функционировать.

Через временной интервал Т1 от момента получения аренды (обычно Т1 равно половине общего времени аренды)1 DHCP-клиент переходит в состояние «Обновление» и начинает процесс обновления аренды IP-адреса. Сначала клиент посылает DHCP-серверу сообщение DHCPREQUEST, включающее арендованный IP-адрес. Если DHCP-сервер готов продлить аренду этого адреса, то он отвечает сообщением DHCPACK и клиент возвращается в состояние «Аренда» и заново начинает отсчитывать интервалы Т1 и Т2.

В случае, если в состоянии «Обновление» по истечении интервала времени Т2 (который обычно устанавливается равным 87,5% от общего времени аренды) все ещё не получено подтверждение DHCPACK, клиент переходит в состояние «Широковещательное обновление» с рассылкой широковещательного сообщения DHCPREQUEST. Такая рассылка делается в предположении, что DHCP-сервер поменял свой IP-адрес (или перешел в другую подсеть) и передал свою область действия другому серверу. В этом состоянии получение DHCPACK возвращает клиента в состояние «Аренда» и аренда данного IP-адреса продлевается. Если клиент получает от сервера сообщение DHCPNAK или общее время аренды истекает, то происходит переход в состояние «Инициализация» и клиент снова пытается получить IP-адрес.

В процессе работы может оказаться, что время аренды не истекло, а служба DHCP-клиента прекратила работу (например, в случае перезагрузки).

В этом случае DHCP-клиент начинает работу в состоянии «Инициализация после перезагрузки», рассылает широковещательное сообщение DHCPREQUEST и переходит в состояние «Перезагрузка». В случае подтверждения продления аренды (сообщение DHCPACK от DHCP-сервера) клиент переходит в состояние «Аренда». Иначе (сообщение DHCPNAK) клиент оказывается в состоянии «Инициализация».

Авторизация DHCP-сервера

Неправильное функционирование DHCP-сервера в любой сети может привести к нарушению работы всей сети. Ошибки в настройке могут быть вызваны неправильным планированием, когда в одной подсети оказываются несколько DHCP-серверов, или действиями некомпетентного лица (а возможно, и злоумышленника). Для предотвращения последствий таких действий в Windows Server 2003 предусмотрен механизм авторизации

1 Заблаговременные попытки продления аренды клиент предпринимает для того, чтобы в момент истечения времени аренды компьютер не оказался без IP-адреса. При этом работа клиента в сети была бы нарушена.

DHCP-серверов. Неавторизованный DHCP-сервер (unauthorized DHCP server) не будет работать в этой операционной системе.

Процедуру авторизации может выполнить только администратор. При этом адрес авторизованного DHCP-сервера регистрируется в каталоге Active Directory (см. лекцию 7). Затем при запуске служба DHCP-сервера проверяет наличие IP-адреса своего компьютера в списке авторизованных DHCP-серверов Active Directory и только после этого может продолжать свою работу.

Вывод

Существенной проблемой в компьютерных сетях является настройка сетевых параметров на всех узлах сети в условиях большого числа узлов и возможных изменений параметров. В сетях TCP/IP для решения указанной проблемы служит протокол DHCP, обеспечивающий автоматическую настройку сетевых параметров.

Протокол DHCP реализует соответствующая служба, работающая по модели «клиент-сервер». Служба DHCP по запросу клиентов выдает им IP-адреса из заданного диапазона и другие сетевые параметры в аренду на определенное время. По истечении времени аренды клиенты должны обновлять её.

Наиболее часто в локальных сетях применяются адреса из частных диапазонов, которые не используются в Интернете. В случае, если клиенту не назначен IP-адрес и он не смог получить его самостоятельно у DHCP-сервера, выбирается случайный автоматический частный адрес из подсети 169.254.0.0/16.

Для предотвращения несанкционированного использования DHCP-серверов в сетях Active Directory применяется механизм авторизации.

Контрольные вопросы

1. Для решения какой проблемы предназначен протокол DНCP?
2. Что такое область действия?
3. Почему адреса предоставляются в аренду на время, а не навсегда?
4. Перечислите основные параметры DHCP.
5. Назовите диапазоны частных адресов. Для чего они нужны?
6. Поясните значение сообщений DHCPDISCOVER, DHCPOFFER,
7. DHCPREQUEST, DHCPACK.
8. По диаграмме переходов объясните принципы работы  DHCP-клиента.