Реферати

Реферат: Адміністрування корпоративної мережі на основі Microsoft Windows 2000 Advanced Server

Колиза хуна. У жовтні 1965 року в Москву була завезена партія акваріумних риб із ГДР. Серед них була нова для нас риба - колиза хуна (Colisa chuna), чи, як неї називають у ГДР, медяний гурами.

"Зайві люди" в творах Пушкіна і Лермонтова. "Лишний человек", "лишние люди", "галерея зайвих людей" - звідки з'явився цей термін в російській літературі. Хто вперше так вдало застосував його, що він міцно і надовго утверділся в творах Пушкіна, Лермонтова, Тургенева, Гончарова?

Технологія й організація будівництва об'єктів природообустройства. Методика рішень розрахункових завдань для будівництва об'єктів природообустройства. Розрахунок витрат машинного часу на виконання будівельно-монтажних робіт згідно вихідних даних. Визначення робочих параметрів, вибір схем розробки глинистого ґрунту.

Сербські землі в VII-середині XIV століття. Складання сербської державності, виникнення й історія держави Неманичей. Сербія в період правління Стефана Душана, розпад Сербського царства і початок османської експансії на Балканах. Положення сербського народу під владою османської імперії.

Декларація промислової безпеки термічного цеху. Основні напрямки діяльності організації, зв'язані з експлуатацією декларируемого об'єкта. Найменування небезпечної речовини, характер його впливу на організм людини і навколишню природне середовище. Забезпечення вимог промислової безпеки.

Міністерство загального і професійного освіти

Калінінградський Державний Університет

Центр додаткової професійної освіти

Атестаційна робота по темі:

"Адміністрування корпоративної мережі на основі

MicrosoftWindows2000AdvancedServer"

Виконала _/Корнишева И. В./

Перевірив _/Молчанов С. В./

Калінінград 2003 р.

Зміст

ВВЕДЕННЯ. 5

1. проектування корпоративної мережі. 6

1.1. Особливості проектування корпоративних мереж. 6

1.2. Етапи проектування корпоративних мереж. 7

1.2.1. Аналіз вимог. 8

1.2.2. Побудова функціональної моделі виробництва. 9

1.2.3. Побудова технічної моделі. 9

2.1. Інформаційні потоки в ЛВС підприємства. 11

3. Вибір операційної системи.12

3.1 Огляд операційних систем. 12

3.1.1 ОС Nowell NetWare. 12

3.1.2. Сімейство ОС Windows 2000.15

3.1.2.1 Windows 2000 Server15

3.1.2.2 Windows 2000 Advanced Server16

3.1.2.3 Windows 2000 Datacenter Server16

3.1.3. ОС Windows Server 2003.16

3.1.4. ОС Unix, Linux. 17

3.2. Обгрунтування вибору Операційної системи Windows 2000 Advanced Server. 19

4. Планування структури мережі. 24

4.1. Спосіб управління мережею.. 24

4.2. Розміщення сервера. 26

4.3. Мережева архітектура. 27

4.4. Мережеві ресурси.. 30

5. Організація мережі на основі Windows 2000.33

5.1. Служба каталогів Windows 2000. 33

5.1.1. Найменування об'єктів. 33

5.1.2. Логичеськаструктура Active Directory. 35

5.1.2.1. Домени.. 35

5.1.2.2 Дерево. 36

5.1.2.3 Ліс. 37

5.1.2.4 Організаційні одиниці.. 38

5.1.3. Фізична структура. 39

5.1.3.1 Сайти.. 39

5.1.3.2 Контроллери доменов. 40

5.2. Служба DHCP.44

5.2.1. Настройка служби DHCP.47

5.2.2. Кластерізация. 52

5.3. Служба DNS. 53

5.3.1. Планування впровадження DNS для Active Directory. 57

5.3.2. Нові властивості DNS в Windows 2000. 60

5.3.3 Настройка сервера DNS.62

5.4. Служба WINS. 63

5.4.1. Нові можливості WINS в Windows 2000. 64

5.4.2. Компоненти служби WINS. 65

5.4.3. Планування мережі з використанням WINS. 66

5.4.4. Управління базою даних WINS. 67

5.5. Конфігурування сервера. 69

5.5.1. Вибір сервера. 69

5.5.2. Установка Windows 2000 AdvancedServer73

5.5.2.1. Запуск процедури попереднього копіювання файлів і текстового режиму Windows 2000 AdvancedServer73

5.5.2.2. Графічний режим установки і збір інформації. 75

5.5.2.3. Завершення установки обладнання. 77

5.5.3. Управленієвсреде Windows 2000 Advanced Server78

5.5.4. Вимоги до домену. 79

5.5.5. Вибір моделі організації мережі. 80

5.6. Служба RoutingandRemoteAccess. 81

5.7. Вимірювання мережевого трафіка. 82

6. Захист інформації в мережі. 84

6.1. Аналіз можливостей системи розмежування доступу Windows 2000 AdvancedServer85

6.1.1. Стеження за діяльністю мережі. 85

6.1.2. Початок сеансу на робочій станції. 86

6.1.3. Облікові картки користувачів. 86

Logon hours. 87

6.1.4. Журнал подій безпеки. 88

6.1.5. Права користувача. 91

6.1.6. Установка пароля і політика облікових карток. 92

6.1.7. Шифрована файлова система EFS. 93

Висновок. 95

Список використаної літератури.. 98

ВВЕДЕННЯ

В даній атестаційній роботі розглядається проблема побудови локальної обчислювальної мережі організації під управлінням операційної системи Windows 2000 AdvancedServer.

Реалізація запропонованого проекту дозволить скоротити паперовий документообіг всередині підрозділу, підвищити продуктивність труда, скоротити час на обробку інформації. Як наслідок, утворяться додаткові тимчасові ресурси для розробки і реалізації нових економічних і інвестиційних проектів. Таким чином, вирішиться проблема окупності і рентабельність впровадження корпоративної мережі.

Локальна обчислювальна мережа повинна бути спроектована таким чином, щоб забезпечити належну міру захищеності даних.

Метою атестаційної роботи є організація корпоративної комп'ютерної мережі.

Для рішення поставленої мети в роботі вирішуються наступні задачі:

- вибір операційної системи;

- вибір способу управління мережею;

- управління мережевими ресурсами і користувачами мережі;

- розгляд питань безпеки мережі;

Необхідно розробити раціональну, гнучку структурну схему мережі підприємства, вибрати апаратну і програмну конфігурацію сервера, а так само проробити питання забезпечення необхідного рівня захисту даних.

1. проектировани я корпоративної мережі

Корпоративна мережа обслуговує одне велике підприємство і називається також мережею масштабу підприємства. Структура корпоративної мережі виглядає таким чином: є ряд подсетей, що являють собою ЛВС типу Ethernet або Token Ring і обслуговуючих кожна окремий підрозділ, розташований в одній або декількох близкорасположенних кімнатах; подсети пов'язані між собою з помощьюсерверов доступу; звичайно є вихід у зовнішню територіальну мережу. Як сервери доступу можуть використовуватися мости, комутатори, маршрутизатори, шлюзи. [5]

1.1. Особливості проектування корпоративних мереж

При проектуванні корпоративної мережі корисне її представлення у вигляді багатошарової піраміди. Хоч шари цієї піраміди пов'язані і впливають безпосередній чином один на одну, звичайно кожний шар проектується досить автономно, фахівцями і фірмами відповідного профілю.

У залежності від напряму руху по цій піраміді: зверху вниз - від бізнесу-додатків до апаратної платформи, або знизу вгору - від апаратури до додатків, або від середини - від конкретної СУБД, - всі фірми, працюючі в області мережевої інтеграції, можна умовно розділити на три групи:

Фірми-виробники або дистриб'ютори апаратури, виступаючі в ролі інтеграторів. У цих інтеграторів піраміда спирається на дуже вузьку основу з однієї платформи від одних-двох виробників. Мінуси і деякі плюси в роботі такого інтегратора досить очевидні.

Фірми, що орієнтуються на одну з СУБД, наприклад, тільки на Oracle або Informix. У цьому випадку вузьким місцем піраміди є середина: при спробі використати трохи апаратних платформ і широкий спектр прикладного програмного забезпечення, обмеження диктуються СУБД, що використовується.

Нарешті, третя група - незалежні інтегратори, які можуть пропонувати будь-які рішення на кожному з рівнів піраміди і якому не можна викрити в особливій прихильності до певної платформи, мережевих конфігурацій або додатків. У таких інтеграторів єдиним критерієм вибору кожного конкретного рішення в ідеалі є вимога досягнення максимального ефекту в рамках заданих ресурсів. У такому випадку є можливість гнучко будувати будь-які конфігурації, що дозволяє досить просто вирішувати проблеми, пов'язані з тим, що замовник вже використовує, наприклад, яку-небудь СУБД і не хоче переучувати свій персонал для роботи з іншою базою даних.

При цьому, при проектуванні якого-небудь шара характеристики інших шарів, що впливають на прийняття проектних рішень, беруться у вигляді початкових даних, частіше за все у вельми узагальненому вигляді. Наприклад, при проектуванні додатків враховуються швидкості, які може забезпечити сьогоднішнє комунікаційне обладнання цілком певного діапазону вартості - того діапазону, який є в розпорядженні підприємства. І навпаки, розробники транспортної системи орієнтуються на усереднені дані про трафік, який можуть створити додатки, що є на підприємстві і ті додатки, які намічено ввести в дію в найближчі рік-два. [9]

1.2. Етапи проектування корпоративних мереж

При проектуванні будь-який ЛВС існують типові етапи виконання мережевих проектів.

1.2.1. Аналіз вимог

Аналіз вимог до мережі допоможе оцінити ділову значущість інформаційно-технологічних рішень, визначити головні цілі і вибрати пріоритети для окремих частин комп'ютерної системи, яку ви хочете поліпшити або розширити. Чітке визначення вимог до функцій мережі допоможе уникнути реалізації не потрібних властивостей мережі, що зекономить кошти вашого підприємства. Ретельний аналіз вимог до мережі є основою для написання хорошого технічного завдання, на базі якого системні інтегратори зможуть розробити проект мережі. Нарешті, ясне розуміння цілей допоможе сформулювати критерії якості для оцінки і тестування реалізованої мережі.

На цьому етапі формулюються основні ділові цілі підприємства, для якого розробляється проект, наприклад, скорочення виробничого циклу, більш оперативний прийом замовлень або підвищення продуктивності труда за рахунок більш ефективної взаємодії співробітників, тобто ті цілі підприємства, які в даний момент, при існуючих коштах і технологіях не цілком досягаються. Здійснюється пошук аналогічних систем, аналізуються їх сильні і слабі сторони, визначається можливість використання вдалого досвіду для системи, що проектується.

Для виконання аналізу вимог до корпоративної мережі необхідно:

оцінити поточний стан локальних мереж і парку комп'ютерів на підприємстві, що допоможе виявити, які проблеми вимагають рішення;

- визначити цілі і вигоди від корпоративної мережі, що допоможе вам правильно спроектувати мережу;

- обгрунтувати перед керівництвом підприємства необхідність купівель;

- написати ефективне технічне завдання;

- визначити критерії для оцінки якості мережі. [9]

1.2.2. Побудова функціональної моделі виробництва

Мережа підприємства призначена для того, щоб виконувати виробничі функції, тому потрібно оцінити її роль у виробничій структурі підприємства. Для успішної побудови корпоративної мережі треба побудувати функціональну модель (або, по-іншому, бізнес-модель), з якої потім отримати технічну і фізичну моделі мережі.

Бізнес-модель описує ділові процедури, послідовність і взаємозалежність всіх робіт, що виконуються на підприємстві. При цьому увага концентрується не на комп'ютерній системі, а концентрується на діловій практиці і послідовності робіт.

Архітектура додатків і обчислювальної системи грає ключову роль в діловій архітектурі підприємства. Бізнес підприємства базується на архітектурі управління даними, на додатках і архітектурі мережі. Успішний аналіз вимог і успішна побудова корпоративної мережі вимагають від технічного фахівця уміння думати як бізнесмен.

1.2.3. Побудова технічної моделі

Після розробки бізнесу-моделі підприємства і визначення того, які процедури вимагають зміни або поліпшення, необхідно побудувати технічну модель мережі. Технічна модель описує в досить загальних термінах, яке комп'ютерне обладнання треба використати, щоб досягнути цілей, визначених в бізнесі-моделі. Щоб побудувати технічну модель, треба проаналізувати існуюче обладнання, визначити системні вимоги, оцінити сьогоднішнє і завтрашнє стану техніки.

Проектувальник також повинен забезпечити потрібний набір функцій і необхідний час доступності мережі. Наприклад, якщо мережа повинна бути доступна ночами і у вихідні дні, у відповідальних файлі-серверах треба передбачити надлишкові диски і джерела безперебійного живлення. Необхідно вирішити, чи досить застосування способу дзеркального відображення дисків або потрібно використати дисковий масив. [10]

Далі треба з'ясувати, які технології і технічні засоби стануть доступними найближчим часом, а також які довгострокові перспективи цих новин. Необхідно оцінити, чи зможе мережа, що проектується прийняти завтрашні технологічні новинки.

Мистецтво проектувальника полягає в оцінці що є на сьогодні рішень, передбаченні того, що стане доступним завтра, і об'єднанні цих рішень в елегантну і ефективну мережу.

Після того, як вибрана технічна модель, що описує мережу в загальних термінах, створюється так звана фізична модель, яка є докладним описом конкретних продуктів, їх кількості, технічних параметрів і способів взаємодії.

Установка і наладка системи. Даний етап має на увазі координування постачання від субпідрядників, управління конфігуруванням, інсталяцію і наладку обладнання, навчання персоналу.

Тестування системи. На цьому етапі повинні провестися приймальні випробування.

Супровід і експлуатація системи. Цей етап не має чітко певних тимчасових меж, а являє собою безперервний процес. [5]

2.1. Інформаційні потоки в ЛВС предпри ятия

Розглянемо організаційно-штатну структуру підрозділу. У розділі підрозділу стоїть генеральний директор підприємства. До складу підрозділу входять 4 відділи, один з яких - спеціалізований відділ прямого підкорення начальнику. Кожний відділ має в підкоренні різну кількість відділень. У кожному відділенні, в свою чергу, служать співробітники згідно з штатно-облікового розкладу.

Все вищесказане ілюструє мал. 2.1.

- розпорядження

- оперативна інформація

- доповіді

Рис. 1.1. Організаційна структура підрозділу

Всього в підрозділі введено в дію 30 чоловік, кожну з яких передбачається виділити в користування персональний комп'ютер.

3. Вибір операційної системи.

3.1 Огляд операційних систем

Практично всі сучасні ОС підтримують роботу в мережі. Однак як ОСИ для сервера частіше за все використовуються NowellNetWare, Unix, Linuxи Windows2000 Server.

3.1.1 ОС Nowell NetWare

Одна з перших комерційних мережевих ОС, що дозволили будувати мережі довільної топології, що складаються з різнорідних комп'ютерів. Якщо раніше мережеві ОС сильно залежали від конкретної конфігурації мережі, то ОС NowellNetWareстала першої універсальної мережевої ОС. Будь-яка мережева карта, що має драйвер ODI(OpenDatalinkInterface) може використовуватися в мережах Nowell. Завдяки такої універсальності ОС швидко завоювала ринок, і довгий час залишалася основною ОС для локальних мереж. З 1990 року навіть фірма IBMстала перепродувати NetWare, і по сьогоднішній день ця ОС використовується досить широко.

Поточною версією ОС є NetWare6.x. Крім зручного графічного інтерфейса, ця версія NetWareимеет ряд інших характерних особливостей:

1) NetWare6.0 використовує як основний мережевий протокол TCP/IP (протокол, що використовується в мережі Internet). Якщо попередні версії NetWareработали на власному протоколі фірми Novell- протоколі IPX/SPX, а протокол ТСР/IР міг використовуватися тільки понад IPX/SPX(також емулювався NetBIOS), то тепер NetWare5.0 пропонує наступні варіанти:

- тільки протокол TCP/IP

- протокол TCP/IP в режимі "сумісності" (може використовуватися IPX/SPXповерх ТСР/IР)

- спільне використання протоколів TCP/IP і IPX/SPX(ба протоколу працюють паралельно і

незалежно)

- тільки протокол IPX/SPX.

2) У NetWareиспользуется служба каталога NDS(NowellDirectoryService), яка являє собою єдину розподілену базу даних у вигляді дерева каталогів, в якій описуються всі об'єкти мережі (користувачі, групи користувачів, принтери і т. д.), з вказівками прав доступу. База даних NDSявляется загальної для всієї мережі. Якщо в попередніх версіях NetWare3.x і 2.x необхідно було створювати обліковий запис користувача (ім'я і пароль) на кожному сервері мережі, то в NetWare6.0 досить один раз зареєструвати користувача в NDSи він отримає доступ до всіх серверів мережі.

3) У NetWareиспользуется могутня і гнучка модель розмежування доступу. Система безпеки підключення до мережі включає в себе: обмеження на термін дії і частоту зміни пароля, заборона на повторне використання старих паролів, обмеження часу діб і адрес комп'ютерів, з яких користувач може підключатися до мережі, заборона одному і тому ж користувачу на підключення до мережі з декількох машин одночасно. Система безпеки файлової системи дозволяє для кожного файла і каталога призначити різним користувачам будь-яку комбінацію наступних прав доступу: читання, запис, створення, видалення, модифікація (імені файла і його атрибутів), перегляд (каталога, що міститься ), зміна прав доступу, супервизор (повний набір всіх прав). Аналогічно регулюється доступ і до будь-яких інших об'єктів NDS(права на перегляд, створення, видалення, перейменування об'єктів, читання, запис, порівняння і додавання їх властивостей, права супервизора). NetWareимеет також двосторонню систему аудиту: зовнішні незалежні аудитори можуть аналізувати події в мережі, не маючи доступу до секретних даних, в той же час, адміністратори мережі не мають доступу до даних аудиту.

4) У NetWare6.0 підтримуються як традиційні томи (аналог логічних дисків), так і томи NSS(NovellStorageServices). Традиційні томи забезпечують надійну файлову систему, засновану на обробці транзакцій (при збої, файли відновлюються в стан "до збою"), стиснення файлів і систему дзеркального відображення дисків (дані паралельно пишуться на два різних вінчестери: при пошкодженні одного, інформація буде прочитана з іншого). Томи NSSмогут мати розмір до 8 терабайт і зберігати до 8 трильйонів файлів. Доступ до томів NSSпроисходит набагато швидше, ніж до традиційних томів. Як том NSSможет монтуватися CD розділи DOS.

5) У NetWare6.0 реалізована розподілена система друку NDPS(NovellDistributedPrintServices), яка була розроблена спільно з компаніями Hewlett Xeroxи дозволяє реалізувати:

- двосторонній обмін даними (комп'ютер має можливість передавати дані на принтер, і принтер має можливість передавати дані в комп'ютер).

- сповіщення про події (принтер по мережі має можливість оповістити технічний персонал, наприклад про те, що кінчився тонер).

- автоматичне завантаження драйверів принтера, шрифтів і інш. ресурсів на комп'ютери, яким потрібно проводити роздрук документів.

6) У комплект постачання NetWare6.0 входить могутній і простій у використанні Web-сервер FastTrackServerforNetWare, тісно інтегрований з NDSи підтримуючий більшість мов розробки прикладних застосувань для Web. FastTrackServerпризван замінити собою NovellWebServer, що використовувався в попередніх версіях NetWare.

7) До складу сервера NetWare6.0 входить віртуальна машина Java, що дозволяє запускати додатки і апплети Javaна сервері. Наприклад, графічна утиліта управління сервером ConsoleOneнаписана на мові Java.

3.1.2. Сімейство ОС Windows2000.

3.1.2.1 Windows2000Server

Включає засновані на відкритих стандартах служби каталогів, Web, додатків, комунікацій, файлів і друку, відрізняється високою надійністю і простотою управління, підтримує новітнє мережеве обладнання для інтеграції з Інтернетом. У Windows2000 Serverреализовани:

- службиInternet Information Services 5.0 (IIS);

- середа програмування Active Server Pages (ASP);

- XML-інтерпретатор;

- архітектура DNA;

- модель СОМ +;

- мультимедійні можливості;

- підтримка додатків, взаємодіючих зі службою каталогів;

- Web-папки;

- друк через Інтернет.

Мінімальні апаратні вимоги Windows2000 Server:

- Pentium-сумісний процесор з тактовою частотою не нижче за 133 МГц - Windows2000 Serverподдерживает до 4 процесорів:

- 128 Мб ОЗУ (рекомендується 256 Мб). Більша кількість пам'яті значно збільшує швидкодію системи. Windows2000 Serverподдерживает ОЗУ об'ємом до 4 Гб;

- 2 Гб вільних дискових простори - для установки Windows2000 Serverтребуется біля 1 Гб. Додаткове місце на диску необхідне для установки мережевих компонентів.

3.1.2.2 Windows2000Advanced Server

Ця ОС, по суті, являє собою нову версію Windows NT Server 4.0 Enterprise Edition. Windows2000 AdvancedServer- ідеальна система для роботи з вимогливими до ресурсів науковими додатками і додатками електронної комерції, де дуже важливі масштабованість і висока продуктивність[1]. Апаратні вимоги для Windows2000 AdvancedServerне відрізняються від вимог для Windows2000 Server, однак ця більш могутня ОС включає додаткові можливості:

- балансування мережевого навантаження;

- підтримує ОЗУ об'ємом до 8 Гб на системах з IntelPageAddressExtension(РАЇ);

- підтримує до 8 процесорів.

3.1.2.3 Windows2000Datacenter Server

Це серверний ОС, що ще більше розширює можливості Windows2000 AdvancedServer. Підтримує до 32 процесорів і більший об'єм ОЗУ, ніж будь-яка інша ОС Windows2000:

- до 32 Гб для комп'ютерів з процесорами Alpha;

- до 64 Гб для комп'ютерів з процесорами Intel.

Питання про установку Windows2000 DatacenterServerследует розглядати тільки в тому випадку, якщо вам потрібно підтримувати системиоперативной обробки транзакцій (onlinetransactionprocessing, OLTP), великі сховища даних або надавати послуги Інтернету[1].

3.1.3. ОС WindowsServer2003.

Сімейство продуктів Windows Server 2003 бере все саме краще від технології ОС Windows 2000 Server, спрощуючи при цьому розгортання, управління і використання. У результаті користувач отримує інфраструктуру високої продуктивності, що допомагає перетворити мережу в стратегічні активи організації.

Технологія Windows Server 2003 містить всі функції, очікувані користувачами від серверний ОС Windows, що використовується для виконання відповідальних задач, такі як безпека, надійність, доступність і масштабованість. Крім того, корпорація Microsoft удосконалила і розширила серверний ОС Windows для того, щоб організація могла оцінити переваги технології Microsoft. NET, розробленої для зв'язку людей, систем, пристроїв і обміну даними.

Windows Server 2003 є багатозадачною операційною системою, здатною централізовано або розподілено управляти різними наборами ролей, в залежності від потреб користувачів. Деякі з ролей сервера:

- файловий сервер і сервер друку;

- веб-сервер і веб-сервер додатків;

- поштовий сервер;

- сервер терміналів;

- сервер видаленого доступу/сервера віртуальної приватної мережі (VPN);

- служба каталогів, система доменних імен (DNS), сервер протоколу динамічної настройки вузлів (DHCP) і служба Windows Internet Naming Service (WINS);

- сервер потокового мультимедіа-віщання.

3.1.4. ОСUnix, Linux

ОС Unixявляется найстарішою мережевою операційною системою (створена в 1969 р.) і по сьогоднішній день що використовується в Internet. Існує безліч клонов Unix- практично нічим не відмінних один від одного операційних систем різних виробників: FreeBSD, BSDUnix(університет Berkley), SunOS, Solaris(фірма SunMicrosystems), AIX(фірма IBM), HP-UX(фірми HewletPackard), SCO(фірми SCO) і інш. Самим популярним клоном Unixпожалуй є FreeBSD, в основному через те, що її початкові тексти розповсюджуються вільно, що дозволяє довільно переробляти ОС "під себе", а також тестувати систему на відсутність помилок і "чорного ходу". У зв'язку з цим, FreeBSDсодержит набагато менше помилок, ніж комерційні варіанти Unix, т. до. відладкою і усуненням помилок займалася не одна компанія, а все программистское співтовариство.

До клонам Unixможно віднести і Linux, однак останнім часом він виділився в самостійну операційну систему і продовжує бурхливо розвиватися. Існує безліч дистрибутивів (пакетів установки) Linuxразличних фірм. Самі популярні з них - це RedHatLinux(США) і Mandrake(Європа). Існують також SlackwareLinux, CorelLinux, CalderaOpenLinux, DebianLinux, SuSELinux, BlackCatLinux, ConnectivaLinuxи інш. Структура файлової системи, система розмежування доступу і основні команди в Linuxи Unixсходни. З точки зору користувача, основним відрізняємо Linuxот ранніх версій Unixявляется зручний графічний інтерфейс, багато в чому схожий з інтерфейсом Windows(особливо у графічної робочої середи Gnome), а основною перевагою, в порівнянні з Windows, - велика надійність і швидкість роботи, велика захищеність файлової системи (в тому числі і від вірусів) і більш професійні кошти роботи з локальною мережею і Internet. Для Linuxсуществует і розробляється велика кількість програмного забезпечення: від офісного пакету StarOfficeи графічного редактора CorelDraw, до могутньої СУБД (DB2 фірми IBM) і систем розробки програм на З++, Perl, Javaи інш. І хоч поки ще рано рекомендувати недосвідченому користувачу перейти на Linux(в основному через проблеми з використанням російських шрифтів в додатках - відсутня єдина прозора схема настройки), проте, в майбутньому, Linuxвозможно поміститься значну в ніші ОС для домашніх комп'ютерів.

3. 2. Обгрунтування вибору Операційної системиWindows 2000 Advanced Server.

Як операційна система було вирішено використати Windows 2000 Advanced Server. Ця версія Windows 2000 підтримує роботу з великим об'ємом оперативної пам'яті і великою кількістю процесорів. Вона включає в себе кошти організації кластерів і механізми розподілу навантаження. [13]

Таблиця 3.2.1

Характеристики різних версийWindows 2000.

Характеристика

Windows 2000 Professional

Windows 2000 Server

Windows 2000 Advanced Server

Windows 2000 Datacenter Server

Максимальний об'єм пам'яті, що підтримується, Гбайт

4

4

8

64

Кількість процесорів, що підтримується відразу ж після установки

2

4

8

32

Максимальна допустима кількість процесорів

10

Обмежено можливостями апаратної платформи

Обмежено можливостями апаратної платформи

Обмежено можливостями апаратної платформи

Служба каталога Active Directory

Клієнт

Контроллер домена або член домена

Контроллер домена або член домена

Контроллер домена або член домена

Сервер Web

Одноранговие служби Web

Internet Information Server v. 5.0

Internet Information Server v. 5.0

Internet Information Server v. 5.0

Мережеві служби

Немає

Так

Так

Так

DHCP, DNS, WINS, маршрутизація і служба видаленого доступу RAS

Немає

Так

Так

Так

Термінальні служби

Немає

Так

Так

Так

Служби стеження за транзакціями

Немає

Так

Так

Так

Отказоустойчивие дискові томи (відображення дисків і RAID-5)

Немає

Так

Так

Так

Розподіл мережевого навантаження

Немає

Немає

Так

Так

Робота в кластері

Немає

Немає

Так

Так

В порівнянні з Windows NT 4.0 версія Windows 2000 Server володіє наступними новими можливостями:

- Active Directory. Нова служба каталога, заснована на специфікаціях Х.500 і замінююча собою домени Windows NT 4.0. Служба Active Directory інтегрована з DNS, використовує аутентификація Kerberos, підтримує успадковані довірчі відносини і реплікацію з декількома головними контроллерами домена.

- Поліпшена керованість. Нова система включає в себе продуманий і послідовний інтерфейс управління системою (Microsoft Management Console, MMC), підтримку групової політики (Group Policy), засіб автоматичної установки Microsoft Installer, засобу синхронізації папок у відключеному від мережі стані, а також служби Telnet і Terminal Services (служби терміналів) для забезпечення видаленого адміністрування.

- Поліпшена підтримка мережі. Серед нововведень, пов'язаних з роботою в мережі, потрібно згадати поліпшені служби DNS, WINS і DHCP, підтримку технології Quality of Service (QoS), стиснення HTTP, захист даних IP Security (IPSec), підтримку Asynchronous Transfer Mode (ATM), спільне використання каналу зв'язку з Інтернетом (Internet Connection Sharing), под-дежку Virtual Private Network (VPN), а також службу маршрутизації і видаленого доступу Routing and Remote Access Service (RRAS).

- Поліпшена підтримка апаратних пристроїв. Нова система включає в себе поліпшені драйвери існуючого апаратного забезпечення, а також цифрових відеодисків DVD (Digital Video Disks), пристроїв USB (Universal Serial Bus), нових мережевих адаптерів, сканерів, принтерів, модемів і інших апаратних пристроїв. У переважній більшості випадків установка нових драйверів не вимагає перезавантаження системи. Якщо раніше перезавантаження системи було потрібен приблизно в п'ятдесяти випадках з ста, то тепер цей параметр знижений усього до семи випадків з ста.

- Управління системою довготривалого зберігання даних. Нова система включає в себе поліпшені механізми зберігання файлів, а також управління даними, що зберігаються на дисках і інших пристроях довготривалого зберігання інформації. Серед нових механізмів - квотирование дискового простору, шифрування даних, управління змінними носіями інформації, контекстне індексування і розподілена файлова система DPS (Distributed File System).

- Поліпшена продуктивність. Додана підтримка більшого об'єму оперативної пам'яті, більшої кількості процесорів. Нова система більш ефективно використовує апаратні ресурси комп'ютера, а також дозволяє стежити за витрачанням процесорного часу і управляти цим витрачанням.

ОсновниеотлічияWindows 2000 Advanced Server від Windows 2000 Server:

Організація роботи в кластері. Кластери використовуються для підвищення міри надійності мережевої системи як єдиного цілого. Якщо дані або мережеві додатки розташовуються в кластері, що складається з декількох серверів, вони будуть доступні для користувачів навіть при великому навантаженні на мережу або у випадку, якщо один з серверів вийде з ладу. Windows 2000 підтримує дві основні різновиди кластерних технологій: розподіл мережевого навантаження (NetworkLoadBalancing) і серверний кластери. Ці кластерні технології можуть використовуватися або спільно, або окремо.

Підтримка многопроцессорних систем. Кожна з версій Windows 2000 може підтримувати обмежену кількість процесорів, встановлених на многопроцессорной системі. Windows 2000 Server підтримує до чотирьох процесорів, Windows 2000 AdvancedServer підтримує до восьми процесорів, aWindows 2000 DatacenterServer буде підтримувати до 32 процесорів.

Підтримка великих об'ємів оперативної пам'яті.Windows 2000 Professional і Windows 2000 Server підтримують роботу з оперативною пам'яттю об'ємом до 4 Гбайт. Windows 2000 AdvancedServer підтримує роботу з оперативною пам'яттю об'ємом до 8 Гбайт (з використанням технології Intel РАЇ - PhysicalAddressExtention). Windows 2000 DatacenterServer може працювати на комп'ютерах, оснащених 64 Гбайт оперативних пам'яті (з використанням технології Intel РАЇ).

Технологія РАЇ дозволяє встановити на одному комп'ютері до 64 Гбайт оперативної пам'яті, використання якої здійснюється сторінками по 4 Кбайт. Це значно більше, ніж дозволяв більш ранній драйвер IntelPSE36.

Як операційна система робітників станції була вибрана - Windows 2000 Professional, вона розроблена для оснащення настільних робочих станцій корпоративних користувачів. Вона оптимізована для виконання функцій мережевого клієнта і управління роботою персональної робочої станції.

Це настільна ОС, що розширює можливості WindowsNTв області безпеки і отказоустойчивости, вона успадкувала від Windows98 легкість в управлінні, підтримку безлічі пристроїв і РnР. Windows2000 Professionalможно встановити шляхом оновлення будь-якої ОС, починаючи з WindowsNTWorkstation3.51 і до Windows98. Мінімальні системні вимоги Windows2000 Professional:

- Pentium-сумісний процесор з тактовою частотою не нижче за 133 МГц - Windows2000 Professionalподдерживает до двох процесорів;

- 64 Мб ОЗУ - більша кількість пам'яті підвищує швидкодію системи;

- жорсткий диск об'ємом не менше за 2 Гб - для установки самої ОС Windows2000 Professionalна вашому жорсткому диску повинне бути вільно мінімум 650 Мб. [2]

4. Планування структури мережі

Комп'ютерна мережа - це декілька комп'ютерів в межах обмеженої території (що знаходяться в одному приміщенні, в одному або декількох близько розташованих будівлях) і підключених до єдиних лініям зв'язку. Сьогодні більшість комп'ютерних мереж - це локальні комп'ютерні мережі (Local-AreaNetwork), які розміщуються всередині однієї конторської будівлі і засновані на комп'ютерній моделі клієнт/сервер. Мережеве з'єднання складається з двох комп'ютерів, що беруть участь в зв'язку і шляху між ними. Можна створити мережу, використовуючи беспроводние технології, але поки це не поширене. [7]

У моделі клієнт/сервер зв'язок по мережі ділиться на дві області: сторону клієнта і сторону сервера. По визначенню, клієнт запитує інформацію або послуги з сервера. Сервер в свою чергу, обслуговує запити клієнта. Часто кожна сторона в моделі клієнт/сервер може виконувати функції, як сервера, так і клієнта. При створенні комп'ютерної мережі необхідно вибрати різні компоненти, що визначають, яке програмне забезпечення і обладнання ви зможете використати, формуючи свою корпоративну мережу. Комп'ютерна мережа - це невід'ємна частина сучасної ділової інфраструктури, а корпоративна мережа - лише одна з додатків, що використовуються в ній і, відповідно, не повинна бути єдиним чинником, що визначає вибір компонентів мережі. Необхідні для Intranetкомпоненти повинні стати доповненням до мережі, що є, не приводячи до істотної зміни її архітектури. [6]

4.1. Спосіб управлени я мережею

Кожна організація формулює власні вимоги до конфігурації мережі, визначувані характером задач, що вирішуються. Насамперед необхідно визначити, скільки чоловік будуть працювати в мережі. Від цього рішення, по суті, будуть залежати всі подальші етапи створення мережі.

Кількість робочих станцій прямо залежить від передбачуваного числа співробітників. Іншим чинником є ієрархія компанії. Для фірми з горизонтальною структурою, де всі співробітники повинні мати доступ до даних один одного, оптимальним рішенням є проста одноранговая мережа. [2]

Фірмі, побудованій за принципом вертикальної структури, в якій точно відомо, який співробітник і до якої інформації повинен мати доступ, потрібно орієнтуватися на більш дорогий варіант мережі - з виділеним сервером. Тільки в такій мережі існує можливість адміністрування прав доступу (мал. 4.1).

Кількість робочих станцій в мережі

5 і більш робочих станцій

Від 3 до 5 робочих станцій

Вертикальна структура підприємства

Горизонтальна структура підприємства

Вертикальна структура підприємства

Горизонтальна структура підприємства

Потрібно установка сервера

Можливо використання одноранговой мережі

Бажана установка сервера

Потрібно установка сервера

Рис. 4.1 Вибір типу мережі.

У цьому випадку на підприємстві є 30 робітників станції, які і потрібно об'єднати в корпоративну мережу. Причому вони об'єднані в наступні групи:

- директор підприємства - 1 робоча станція;

- відділ прямого підкорення - 2 робітників станції;

- секретар - 1 робоча станція;

- відділення 1, 2 і 3 2-го відділи по 3, 3 і 4 робітників станції відповідно;

- відділення 4 і 5 3-го відділи по 4 і 4 робітників станції;

- відділення 6 4-го відділу - 4 робітників станції.

Виходячи з схеми вибору типу мережі, можна вирішити, що в цьому випадку потрібно установка сервера, оскільки ми маємо вертикальну структуру підприємства, тобто розмежований доступ до інформації.

Одним з головних етапів планування є створення попередньої схеми. При цьому в залежності від типу мережі виникає питання про обмеження довжини кабельного сегмента. Це може бути неістотне для невеликого офісу, однак якщо мережа охоплює декілька поверхів будівлі, проблема з'являється в абсолютно інакшому світлі. У такому випадку необхідна установка додаткових репітерів (repeater).

У ситуації з підприємством вся мережа буде розташовуватися на одному поверсі, і відстань між сегментами мережі не так велика, щоб було потрібен використання репітерів.

4.2. Розміщення сервера

На відміну від установки одноранговой мережі, при побудові ЛВС з сервером виникає ще одне питання - де найкраще встановити сервер.

На вибір місця впливає декілька чинників:

- через високий рівень шуму сервер бажано встановити окремо від інших робочих станцій;

- необхідно забезпечити постійний доступ до сервера для технічного обслуговування;

- по міркуваннях захисту інформації потрібно обмежити доступ до сервера;

Рис. 4.2. План приміщення.

Сервер розташований в кімнаті мережевого адміністратора, оскільки тільки це приміщення задовольняє вимогам, тобто рівень шуму в приміщенні мінімальний, приміщення ізольовано від інших, отже, доступ до сервера буде обмежений.

Мережевий адміністратор зможе постійно стежити за роботою сервера і здійснювати обслуговування сервера, оскільки при установці сервера.

4.3. Мережева архітектура

Мережева архітектура - це поєднання топології, методу доступу, стандартів, необхідної для створення прецездатний мережі.

Вибір топології визначається, зокрема, плануванням приміщення, в якому розвертається ЛВС. Крім того, велике значення мають витрати на придбання і установку мережевого обладнання, що є важливим питанням для фірми, розкид цін тут також досить великий.

Топологія типу «зірка» являє собою більш продуктивну структуру, кожний комп'ютер, в тому числі і сервер, сполучається окремим сегментом кабеля з центральним концентратором (HAB).

Основною перевагою такої мережі є її стійкість до збоїв, виникаючих внаслідок неполадка на окремих ПК або через пошкодження мережевого кабеля. [12]

Рис. 4.3 Топологія мережі підприємства.

Найважливішою характеристикою обміну інформацією в локальних мережах є так звані методи доступу (accessmethods), що регламентують порядок, в якому робоча станція отримує доступ до мережевих ресурсів і може обмінюватися даними.

За абревіатурою CSMA/CD переховується англійське вираження «CarrierSenseMultipleAccesswithCollisionDete» (колективний доступ з контролем несучої і виявленням колізій). За допомогою даного методу всі комп'ютери отримують рівноправний доступ в мережу. Кожна робоча станція перед початком передачі даних перевіряє, чи вільний канал. По закінченні передачі кожна робоча станція перевіряє, чи досяг адресата відправлений пакет даних. Якщо відповідь негативна, вузол проводить повторний цикл передачі/контролю прийому даних і так доти, поки не отримає повідомлення про успішний прийом інформації адресатом. [6]

Оскільки цей метод добре зарекомендував себе саме в малих і середніх мережах, для підприємства даний метод підійде. До того ж мережева архітектура Ethernet, яку і буде використовувати мережу підприємства, використовує саме цей метод доступу.

Специфікацію Ethernet в кінці сімдесятих років запропонувала компанія Xerox Corporation. Пізніше до цього проекту приєдналися компанії Digital Equipment Corporation (DEC) і Intel Corporation. У 1982 році була опублікована специфікація на Ethernet версії 2.0. На базі Ethernet інститутом IEEE був розроблений стандарт IEEE 802.3. [12]

У цей час технологія, що застосовує кабель на основі пари (10Base- Т), що виється, є найбільш популярною. Такий кабель не викликає труднощів при прокладці.

Мережа на основі пари, що виється, на відміну від тонкого і товстого коаксиала, будується по топології зірка. Щоб побудувати мережу по зореподібній топології, потрібно більша кількість кабеля (але ціна пари, що виється не велика). Подібна схема має і неоцінима перевага - високу отказоустойчивость. Вихід з ладу однієї або декількох робочих станцій не приводить до відмови всієї системи. Правда якщо з ладу вийде хаб, його відмова торкнеться всі підключені через нього пристрої.

Ще однією перевагою даного варіанту є простота розширення мережі, оскільки при використанні додаткових хабов (до чотирьох послідовно) з'являється можливість підключення великої кількості робочих станцій (до 1024). При застосуванні неекранованої пари (UTP), що виється довжина сегмента між концентратором і робочою станцією не повинна перевищувати 100 метрів, чого не спостерігається в підприємстві.

4.4. Мережеві ресурси

Наступним важливим аспектом планування мережі є спільне використання мережевих ресурсів (принтерів, факсів, модемів).

Перераховані ресурси можуть використовуватися як в однорангових мережах, так і в мережах з виділеним сервером. Однак у разі одноранговой мережі відразу виявляються її недоліки. Щоб працювати з перерахованими компонентами, їх треба встановити на робочу станцію або підключити до неї периферійні пристрої. При відключенні цієї станції всі компоненти і відповідні служби стають недоступними для колективного користування. [2]

У мережах з сервером такий комп'ютер існує по визначенню. Мережевий сервер ніколи не вимикається, якщо не вважати коротких зупинок для технічного обслуговування. Таким чином, забезпечується цілодобовий доступ робочих станцій до мережевої периферії.

На підприємстві є десять принтерів: в кожному відособленому приміщенні. Адміністрація пішла на витрати для створення максимально комфортних умов роботи колективу.

Тепер питання підключення принтера до ЛВС. Для цього існує декілька способів.

1. Підключення до робочої станції.

Принтер підключається до тієї робочої станції, яка знаходитися до нього ближче усього, внаслідок чого дана робоча станція стає сервером друку. Нестача такого підключення в тому, що при виконанні завдань на друк продуктивність робочої станції на деякий час знижується, що негативно позначиться на роботі прикладних програм при інтенсивному використанні принтера. Крім того, якщо машина буде вимкнена, сервер друку стане недоступним для інших вузлів.

2. Пряме підключення до сервера.

Принтер підключається до паралельного порту сервера за допомогою спеціального кабеля. У цьому випадку він постійно доступний для всіх робочих станцій. Нестача подібного рішення зумовлена обмеженням в довжині принтерний кабеля, що забезпечує коректну передачу даних. Хоч кабель можна простягнути на 10 і більше за метри, його потрібно прокладати в коробах або в перекриттях, що підвищить витрати на організацію мережі.

3. Підключення до мережі через спеціальний мережевий інтерфейс.

Принтер обладнується мережевим інтерфейсом і підключається до мережі як робоча станція. Інтерфейсна карта працює як мережевий адаптер, а принтер реєструється на сервері як вузол ЛВС. Програмне забезпечення сервера здійснює передачу завдань на друк по мережі безпосередньо на підключений мережевий принтер.

У мережах з шинною топологією мережевий принтер, як і робочі станції сполучається з мережевим кабелем за допомогою Т-коннектора, а при використанні «зірки» - через концентратор.

Інтерфейсну карту можна встановити в більшість принтерів, але її вартість досить висока.

4. Підключення до виділеного сервера друку.

Альтернативою третьому варіанту є використання спеціалізованих серверів друку. Такий сервер являє собою мережевий інтерфейс, скомпонованний в окремому корпусі, з одним або декількома роз'єм (портами) для підключення принтерів. Однак в цьому випадку використання сервера друку є непрактичним.

У нашому випадку в зв'язку з нерентабельністю установки спеціального мережевого принтера, купівлею окремої інтерфейсної карти для принтера самим відповідним способом підключення мережевого принтера є підключення до робочої станції. На це рішення вплинув ще і той факт, що принтери розташовані біля тих робочих станцій, потреба яких в принтері найбільша. [10]

5. Організація мережі на основі Windows 2000

5.1. Служба каталогів Windows 2000

Безумовно, найбільш значуща зміна, в порівнянні з Windows NT 4, це включення в Windows 2000 важливої нової служби - Active Directory. Active Directory - це «рідна» служба каталогів для Windows 2000. У NT 4 домен був дуже схожий на видалений острів, з яким ми могли сполучитися тільки використовуючи механізм довірчих відносин. Active Directory - полнофункциональная служба каталогів.

Каталог може зберігати різну інформацію, що відноситься до користувачів, груп, комп'ютерів, принтерів, загальних ресурсів і так далі - все це називаетсяобъектами.

Каталог зберігає також інформацію про сам об'єкт, або його властивості - атрибутами. Наприклад, атрибутами, що зберігаються в каталозі про користувача, може бути ім'я його керівника, номер телефону, адреса, ім'я для входу в систему, пароль, групи, в які він входить і багато що інше. [4]

5.1.1. Найменування об'єктів

Active Directory використовує Lightweight Directory Access Protocol (LDAP) - простий протокол доступу до каталогів, як головний протокол доступу. LDAP діє понад TCP/IP і визначає способи звертання і доступу до об'єктів між клієнтом і сервером Active Directory. У LDAP кожний об'єкт має своє особливе Distinguished Name (відмітне ім'я), і це ім'я відрізняє його від інших об'єктів Active Directory, а також підказує нам, де даний об'єкт розташований. Два головних складових частини відмітного імені - це CN (common name) - загальне ім'я і DC (domain component) - доменна складова. Загальне ім'я визначає об'єкт або контейнер, в якому цей об'єкт знаходиться, в той час як доменний компонент визначає домен, в якому об'єкт знаходиться. Наприклад, відмітне ім'я може бути наступним:

CN=PeterIvanoff, CN=Users, DC=firma, DC=ru

В цьому прикладі у нас є користувач PeterIvanoff, який знаходиться всередині контейнера, званого Users, в домене firma, який є поддоменом. ru. Відмітне ім'я об'єкта повинне бути унікальним всередині лісу Active Directory.

У той час як відмітне ім'я дає нам повну інформацію про розташування об'єкта, relative distinguished name (відносне відмітне ім'я) визначає об'єкт всередині його батьківського контейнера. Наприклад, якщо я здійснюю пошук всередині контейнера Users, відносне відмітне ім'я об'єкта, який я шукаю, може бути PeterIvanoff.

Коли користувач входить в домен, розташовану в Active Directory, у нього може бути два типи імені. Перше з них - традиційне NetBIOS - ім'я. У Windows 2000 на нього посилаються як на downlevel logon name (ім'я реєстрації в ранніх версіях Windows). Цей тип імені існує для сумісності з ранніми версіями Windows, процес входу в які був заснований на використанні імен NetBIOS (такі OS як NT 4, Windows 9x і так далі). Коли ви використовуєте downlevel logon name (на вкладці властивостей -«ім'я входу користувача пред 2000») для входу, користувач повинен ввести ім'я користувача, пароль і вибрати відповідну домен, в який він має намір входити. Друге ім'я - і це новинка в Windows 2000 - це можливість входу в систему з використанням того, що називається User Principal Name (основне ім'я користувача) або UPN. Основне ім'я користувача має наступний формат - user@domain.com (на вкладці властивостей користувача це називається - User logon name (ім'я входу користувача)). Якщо ця угода діє, то користувачу не треба визначати домен, в який він хоче увійти. Фактично, коли для входу в Windows 2000используется UPN, доменна частина вікна імені для входу в систему зафарбована сірим. Приклад цих двох типів імен показаний на вкладці властивостей облікового запису користувача Active Directory:

Рис. 5.1. Active Directory

5.1.2. Логичеськаструктура Active Directory

Логічна структура Active Directory залежить від потреб вашої організації. Логічні елементи Active Directory це ліси, дерева, домени і OU.

5.1.2.1. Домени

Домен в Windows 2000 дуже нагадує домен в Windows NT. Для різних намірів і цілей, домен є логічною групою користувачів і комп'ютерів (об'єктів), які пов'язані як одиниця для адміністрування і реплікації. Передусім домен - це адміністративна одиниця. Отже, адміністратор цього домена може його адмініструвати і для цього не потрібен ніхто інший. Крім того, всі контроллери одного домена повинні здійснювати реплікацію один з одним.

У Windows 2000 домени іменуються відповідно до угоди про іменування DNS, а не іменування NetBIOS. Прикладом імені домена в Active Directory може бути 2000trainers.com. У Windows NT мали обмеження по величині, до якої вони могли збільшуватися і цей розмір обмежувався допустимим розміром бази даних SAM (40 Мб або біля того). Тому доводилося створювати множини доменов в компанії, в якій діяли тисячі користувачів і комп'ютерів. Тепер же безліч доменов не є необхідністю в подібному сценарії під Windows 2000, оскільки Active Directory може вмістити в себе багато які мільйони об'єктів. Облікові записи користувачів в Windows 2000 існують так само як і в Windows NT. Active Directory також дозволяє мати безліч доменов, формуючи структури, які називаються деревами і лісами. [4]

5.1.2.2 Дерево

В Windows 2000, декілька доменов може все ж зажадатися, особливо у великих організаціях, які продовжують вимагати надійного контролю над їх середою, їх індивідуальністю (як у разі різних організаційних одиниць для ведіння бізнесу) і особливого адміністративного контролю. У Active Directory набір доменов може створюватися в порядку, що нагадує структуру дерева. У цьому випадку «дочірній» домен успадковує своє ім'я від «батьківського» домена:

Рис. 5.2. Домени

Кожний домен в дереві є окремою і явно вираженою адміністративною одиницею, так само як і межею для цілей реплікації. Тобто, якщо ви створили обліковий запис користувача в домене filial1.firma.ru, то цей обліковий запис, існуючий на контроллері домена, буде реплицирована на всі контроллери домена filial2.firma.ru.

Кожний новий «дочірній» домен має transitive (транзитивние) двонапрямний довірчі відносини з «батьківським» доменом. Це досягається автоматично в Active Directory і дозволяє користувачам з одного домена дерева мати доступ до ресурсів в іншому. Навіть не маючи прямих довірчих відносин, користувачі в filial1 можуть отримувати доступ до ресурсів (для чого у них повинні бути відповідні дозволи) в filial2 і навпаки, до того ж довірчі відносини транзитивни (filial1 довіряє своєму «батьківському» домену firma, який в свою чергу «довіряє» filial2 - таким чином filial1 довіряє filial2 і навпаки).

Дерево, у загальних рисах, можна визначити як набір доменов, які пов'язані відносинами «дочірній»/«батьківський» і підтримують пов'язаний простір імен. [4]

5.1.2.3 Ліс

Ліс - це термін, вживаний для опису сукупності Active Directory дерев. Кожне дерево в лесе має власний окремий простір імен. Наприклад, давайте передбачимо, що наша фірма володіє ще однією більше за дрібну, звану ЧП Сидоров. Щоб ЧП Сидоров мало свій власний окремий простір імен, я можу досягнути цього об'єднавши дерева і сформувати ліс, як показано нижче:

Рис. 5.3. Ліс

Домен Sidoroff.ru є частиною лісу, так само як і firma.ru, але як і раніше залишається доменом і може мати власне дерево. Помітьте, що тут існують транзитивние довірчі відносини між «кореневими» доменами кожного дерева в лісі - це дозволить користувачам домена acmeplunbing.com отримувати доступ до ресурсів в дереві firma.ru і навпаки, в той же час підтримує перевірку автентичності у власному домене.

Перший домен, створений в лісі, розглядається як «корінь» лісу. Одна з самих важливих особливостей лісу - це те, що кожний окремий домен підтримує загальну схему - визначення для різних об'єктів і пов'язаних з ними атрибутів, які створені в лісі. Важливо усвідомити, що ліс може бути створений з одного дерева, яке містить усього одну домен. Це буде маленький ліс, але формально це буде ліс. [4]

5.1.2.4 Організаційні одиниці

Організаційні одиниці (звичайно звані OU) - це контейнери всередині Active Directory які створюються для об'єднання об'єктів з метою делегування адміністративних прав і застосування групових політик в домене. OU можуть бути створені для організації об'єктів декількома шляхами, відповідно до їх функцій, місцеположення, ресурсів і так далі. Прикладом об'єктів, які можуть бути об'єднані в OU можуть служити облікові записи користувачів, комп'ютерів, груп і т. д. Малюнок 5.1.3 показує приклад OU, заснованої на місцеположенні користувачів і ресурсів:

Рис. 5.4. Організаційні одиниці.

OU може містити тільки об'єкти з того домена, в якому вони розташовані. Також помітьте, що структура OU може широко варіюватися від компанії до компанії. Вона розробляється з метою полегшити адміністрування ресурсів і застосування групових політик. У той час як повний адміністративний контроль може бути даний (делегований) користувачу через OU, для великих організацій ставати можливим мати тільки одну домен, в якому кожна структура буде має власний контроль тільки над своєї OU. [1]

5.1.3. Фізична структура

Фізична структура Active Directory пов'язана з двома головними типами об'єктів - сайтами і контроллерами доменов.

5.1.3.1 Сайти

На відміну від NT 4, в Windows 2000 Active Directory передбачає концепцію фізичного місцеположення всередині структури. У Active Directory сайт - це сукупність подсетей TCP/IP, між якими існує високошвидкісне з'єднання. Хоч «високошвидкісне» - це відносне поняття, звичайно під цим мається на увазі з'єднання на швидкостях, відповідних LAN - з'єднанням. Ви визначаєте сайт в Active Directory для контролю реплікації, аутентификація і місцеположень служб. Як тільки сайт буде створений, комп'ютери клієнтів будуть намагатися аутентифицироваться на контроллері домена, який знаходиться на даному сайте, замість того, щоб посилати запити по WAN (глобальної мережі).

Сайти також дозволяють вам контролювати, коли реплікація може відбуватися між контроллерами доменов. Наприклад, в NT 4, все BDC отримують дані від PDC в процесі реплікації, використовуючи 5-хвилинний інтервал повідомлення про зміни. Оскільки в NT не було передбачено простого шляху для контролю реплікації між фізичними місцеположеннями (це можна зробити, використовуючи спеціальну скрипти для регістра), трафік реплікації може перевантажити лінії і знизити продуктивність мережі. Якщо ж ви визначите сайт в Active Directory, ви можете також визначити час і дні, в які реплікація між сайтами повинна відбуватися, як часто вона повинна відбуватися, і переважні шляхи для її проходження. Ви повинні помітити, однак, що за умовчанням існує тільки один сайт, і поки ви не створите інші, реплікація буде відбуватися, як і раніше, кожний 5-хвилинний інтервал повідомлення про зміни. Також важливо відмітити, що сайти - це інший елемент, який дозволяє великим компаніям мати тільки одну домен. Оскільки не існує співвідношення між логічною і фізичною структурою Active Directory, ви можете мати одну домен і сотню сайтов. Можливість контролювати трафік реплікації - одна з найбільших переваг керованості Active Directory.

5.1.3.2 Контроллери доменов

Домена не може існувати без принаймні одного контроллера домена, де зберігатися база даних Active Directory. На відміну від Windows NT, де була тільки одна копія бази, що дозволяє робити запис (що зберігається на PDC; копії, ті, що зберігаються на BDC мали атрибут «тільки для читання»), в Windows 2000 кожний контроллер домена має копію бази даних Active Directory, в яку можна проводити запис. Тому всі контроллери домена в середовищі Active Directory досить равноправни. Однак, це ускладнює картину, оскільки тепер кожний контроллер домена може робити записи в базу даних. Як і в NT 4, повинне бути як мінімум два контроллери в домене для цілей надмірності, а, як правило, і набагато більше, в залежності від розміру організації. [4]

Створюєте контроллер домена в Windows 2000, при допомозі Installation Wizard (майстер установки Active Directory) -dcpromo.exe. Цей інструмент не тільки дозволяє створювати нові контроллери домена, і нову домени, дерева і ліси. Він дозволяє також знижувати контроллер домена до рядового сервера, якщо виникне така необхідність.

Рис. 5.5. Installation Wizard

Після того, як контроллер домена створений, він зберігає копію бази даних Active Directory (ntds.dit) і може провести аутентификація користувачів домена. База даних Active Directory складається з того, що прийнято називати трьома розділами, як показано на малюнку 5.1.5.

Рис. 5.6. БазаданнихActive Directory.

Розділ «домен» реплицируется між контроллерами тільки всередині одного домена, в той час як розділи «конфігурація» і «схема» реплицируются в кожний з доменов, розташованих в лісі. Деякі з контроллерів домена відрізняються від інших спеціальними ролями, які вони виконують:

Global Catalog Server(сервер Глобального Каталога) - сервер Глобального Каталога - це контроллер домена, який знає про кожний одиничний об'єкт, який існує в Active Directory, в кожному з доменов. Однак, він зберігає тільки частину атрибутів кожного об'єкта, які вважаються найбільш важливими. За умовчанням тільки один контроллер домена у всьому лісі виконує цю роль - перший контроллер домена, створений в лісі. Більше число серверів Глобального Каталога може (і повинне) бути створене в лісі. Коли контроллер домена діє як сервер Глобального Каталога він зберігає четвертий розділ, як частина бази даних Active Directory - розділ Глобального Каталога.

Крім ролі сервера Глобального Каталога, контроллери домена можуть виконувати ще п'ять спеціальних ролей, званих Operations Masters (основні контроллери операцій). Вони перераховані нижче:

Schema Master(господар схеми) - в лісі тільки один контроллер домена може виконувати цю роль. Schema Master підтримує схему Active Directory і підтримує копію схеми, доступну для запису. За умовчанням перший контроллер домена, створений в кореневому домене лісу, виконує цю роль.

Domain Naming Master(Господар іменування доменов) - цей контроллер домена відстежує домени, які створюються і видаляються з лісу, підтримуючи цілісність структури лісу, якщо які-небудь зміни мають місце. У лісі існує тільки один Domain Naming Master і, за умовчанням, цю роль виконує перший контроллер, створений в кореневому домене лісу.

PDC Emulator(господар PDC) - ця роль існує по парі причин, одна з яких - зворотна сумісність з NT 4 контроллерами. Коли домен підвищується до Windows 2000, перша система, яка зазнає модернізації - це PDC (головний контроллер домена), і цей новий контроллер домена Windows 2000 емулює (імітує) старий PDC для BDC (резервних контроллерів домена), що залишилися, працюючих під Windows NT. PDC Emulator відстежує зміни паролів і виступає «арбітром» перед тим, як пароль може бути знехтуваний системою. За умовчанням клієнти попередніх Windows OS, таких як Windows 9x і NT продовжують змінювати свої паролі на PDC Emulator (доти, поки на систему не буде встановлений клієнт Active Directory). Один контроллер в кожному домене виконує роль PDC Emulator, за умовчанням, це перший контроллер створений в домене.

Relative Identifier (RID) Master(Господар RID (relative identificator)) - в NT 4, PDC відповідає за створення всіх SID (security identificator), тобто відповідає за створення всіх об'єктів безпеки («користувач», «група», «комп'ютер»). У Windows 2000 кожний контроллер домена може створювати об'єкти безпеки. Насправді SID складається з двох частин - SID (який визначає домен) і RID (який визначає унікальний об'єкт всередині домена). Для того, щоб бути упевненим, що SID унікальний, один контроллер в кожному домене виконує роль RID Master, що відповідає за створення доменного пулу RID, і розміщення цих RID на інших контроллерах в домене. Це дозволяє бути упевненим, що не станеться дублювання об'єктів SID. У кожному домене Active Directory діє один RID Master, за умовчанням, це перший контроллер, створений в домене.

Infrastructure Master(Господар інфраструктури) - Infrastructure Master відстежує інформацію про те, які користувачі (з інших доменов) є членами тієї або інакшої групи даного домена і всі зміни, які мають місце. Це дозволяє бути упевненим в несуперечності участі користувачів в групах в Active Directory. Кожний домен в Active Directory має одного Infrastructure Master, за умовчанням, це перший контроллер, створений в домене. [1]

5.2. Служба DHCP.

Dynamic Host Configuration Protocol (протокол динамічної конфігурації хоста) є базовою мережевою службою, що пропонується Windows 2000 для динамічного розподілу IP-адрес і пов'язаної з ними інформації клієнтам, що використовують TCP/IP. Хоч функції, що виконуються DHCP в Windows 2000 багато в чому схожі на ті, що були в Windows NT, деяка кількість неістотних відмінностей.

DHCP - розвиток протоколу ВООТР (RFC 951 і 1084), що дозволяв динамічно призначати IP-адреси (в доповнення до видаленого завантаження бездискових станцій). При цьому DHCP надає всі дані для настройки стека протоколів TCP/IP і додаткові дані для функціонування певних серверів (Додаток 2).

Область DHCP. Область (scope) DHCP - адміністративна група, що ідентифікує повні послідовні діапазони можливих IP-адрес для всіх клієнтів DHCP в фізичної подсети. Області визначають логічну подсеть, для якої повинні надаватися послуги DHCP, і дозволяють серверу задавати параметри конфігурації, що видаються всім клієнтам DHCP в подсети. Область повинна бути визначена раніше, ніж клієнти DHCP зможуть використати сервер DHCP для динамічної конфігурації TCP/IP.

Пул адрес. Якщо визначена область DHCP і задані діапазони виключення, то частина адрес, що залишилася називається пулом доступних адрес (address pool) (в межах області). Ці адреси можуть бути динамічно призначені клієнтам DHCP в мережі.

Діапазони виключення. Діапазон виключення (exclusion range) - обмежена послідовність IP-адрес в межах області, які повинні бути виключені з надання службою DHCP.

Резервування. Резервування (reservation) дозволяє призначити клієнту постійну адресу і гарантувати, що вказаний пристрій в подсети може завжди використати одну і ту ж IP-адресу.

Суперобласті. Це поняття, що використовується в Диспетчерові DHCP, яке задає безліч областей, згрупованих в окремий адміністративний об'єкт - суперобласть (superscope). Суперобласти корисні для рішення різних задач служби DHCP.

Орендні договори. Орендний договір (lease) - відрізок часу, що визначає період, під час якого клієнтський комп'ютер може використати призначену IP-адресу. При видачі орендного договору він стає активним. У момент половини терміну дії орендного договору клієнт повинен відновити призначення адреси, звернувшись до сервера повторно. Тривалість орендного договору впливає на частоту оновлення орендних договорів (інтенсивність звернень до сервера).

Опції DHCP- додаткові параметри настройки клієнтів, які сервер DHCP може призначати при обслуговуванні орендних договорів клієнтів DHCP. Наприклад, IP-адреси маршрутизатора або шлюзу за умовчанням, серверів WINS або серверів DNS звичайно надаються для кожної області або глобально для всіх областей, керованих сервером DHCP. Крім стандартних опцій, сервер DHCP Microsoft дозволяє визначати і додавати опції користувача. [4]

Служба DHCP в Windows 2000 складається з трьох основних компонентів.

Сервери DHCP. До складу сервера DHCP входить оснащення DHCP - зручний в роботі графічний інструмент, який дозволяє адміністратору настроювати конфігурації для клієнтів DHCP. Сервер DHCP також містить базу даних для призначення IP-адрес і інших параметрів настройки. Сервер DHCP підтримує більше за 30 опцій DHCP згідно RFC 2132. Параметри конфігурації TCP/IP, які можуть бути призначені сервером DHCP, включають: IP-адресу для кожного мережевого адаптера на клієнтському комп'ютері, маску подсети, шлюзи за умовчанням, додаткові параметри конфігурації, наприклад, IP-адреса сервера DNS або WINS. Один або більше за комп'ютери в мережі повинні працювати під управлінням Windows 2000 Server з протоколом TCP/IP і встановленим сервером DHCP. Якщо служба сервера DHCP встановлена на комп'ютері, то відразу після завдання і активізації областей автоматично створюється база даних DHCP.

Клієнти DHCP. Клієнтами сервера DHCP з складу Windows 2000 можуть бути комп'ютери, працюючі на будь-якій платформі. Комп'ютери під управлінням ОС виробництва Microsoft можуть діяти як клієнти DHCP: Windows NT Server/Workstation (всі версії), Windows 98/95, Windows for Workgroups 3.11 (з встановленим 32-розрядним протоколом TCP/IP), Microsoft Network Client 3.0 for MS-DOS (з встановленим драйвером реального режиму), LAN Manager версії 2.2 з.

Робота протоколів ВООТР і DHCP заснована на механізмах широковещания. Маршрутизатори звичайно за умовчанням не ретранслюють широкомовні посилки, тому передача таких посилок виконується агентом ретрансляції. Агент ретрансляції DHCP - це маршрутизатор, або хост, який слухає широкомовні повідомлення DHCP/BOOTP і переадресовує їх на заданий сервер (сервери) DHCP. Використання агентів ретрансляції позбавляє від необхідності встановлювати сервер DHCP в кожному фізичному сегменті мережі. Агент не тільки обслуговує прямі локальні запити клієнта DHCP і перенаправляти їх на видалені сервери DHCP, але також повертає відповіді видалених серверів DHCP клієнтам DHCP.

Адміністратор може відмінити параметри динамічної настройки, настроївши їх вручну. Будь-яка інформація, вручну введена на клієнтові, відміняє параметри динамічної настройки.

5.2.1. Настройка служби DHCP.

Служба сервера DHCP встановлюється автоматично на сервер Windows 2000, але не є сконфигурированной (і навіть може бути відключена) без додаткової настройки. Вона може бути видалена і додана у разі необхідності, за допомогою використання вкладки Add/Remove Windows Components програми Add/Remove Programs в Control Panel (в розділі Networking Services). Після установки, сервер DHCP настроюється за допомогою оснащення DHCP ММС, яка знаходиться в Administrative Tools. Якщо сервер Windows 2000 є частиною робочої групи або домена, заснованого на Windows 2000, то сервер DHCP буде запущений за умовчанням, але необхідно буде вручну настроїти області IP-адрес, що використовуються для розподілу їх службою DHCP. Якщо DHCP встановлена на систему, що є частиною домена Windows 2000, то служба DHCP не зможе бути запущена доти, поки сервер DHCP не буде авторизован в Active Directory. Авторизація сервера DHCP в Active Directory може бути здійснена тільки членом групи Enterprise Admins. Ця особливість використовується як контрольний механізм, що дозволяє уникнути такої проблеми, як установка незареєстрованих серверів DHCP (користувачами з адміністративними привілеями), що можуть створити проблеми з настройкою TCP/IP мереж (оскільки клієнт отримує IP-адресу від першого ж сервера DHCP, який відповідає на його запит).

У Active Directory домене (Windows 2000), тільки авторизованние Windows 2000 сервера DHCP можуть виконувати розподіл IP-адрес. У Windows NT 4.0 сервер DHCP може (і буде) розподіляти адреси і не попаде під дію авторизації. Однак якщо інший адміністратор спробує встановити Windows 2000 сервер DHCP і запустити службу без попередньої авторизації, то сервер здійснить запит AD і не запустить службу, якщо не знайде підтвердження її авторизації в мережі. Неавторизований сервер DHCP з'являється в консолі DHCP з вказуючою вниз червоною стрілкою (яка може означати також, що служба не запущена або область адрес не настроєна), як показаний на малюнку 5.7.

Рис. 5.7. Консоль DHCP.

Для авторизації DHCP сервер, треба клацнути правою кнопкою миші на значку сервера і вибрати опцію Authorize (авторизувати) з меню, що з'явилося. Для управління авторизованним DHCP сервером (включаючи додавання або видалення авторизованних серверів), клацніть правою кнопкою миші на іконці DHCP і виберіть Manage Authorized Servers (управління авторизованними серверами), як показано на малюнку 5.8:

Рис. 5.8 Рис. Управління авторизованними серверами

Помітьте, що сервер DHCP не буде виконувати ніяких функцій, доти, поки ви не сконфигурируете область адрес - набір настройок, які будуть розподілятися групі клієнтів. Як і більшість інших речей в Windows 2000, процес створення області здійснюється із застосуванням відповідного майстра. Для створення області адрес, клацніть правою кнопкою миші на значку сервера DHCP і виберіть опцію New Score (нова область). Майстер проведе вас через довгий процес, що включає в себе настройку допустимого діапазону IP-адрес, маски подсети і таких опцій, як адреса шлюзу за умовчанням (маршрутизатора), серверів, що використовуються DNS і так далі. Після того, як область буде настроєна, вона буде продовжувати потребувати активізації (праве натиснення миші і вибір Activate (активізувати)). Кожна область включає в себе: набір адрес, активні виділені адреси, резервування і властивості області, як показано на малюнку 5.9 (властивості області виділені):

Рис. 5.9. Консоль DHCP.

Після того, як сервер авторизован і область настроєна, стрільця на іконці сервера міняється на зелену і тепер вказує вгору.

Областів Windows 2000 Advanced Server:

- Області можуть бути зібрані або об'єднані для створення суперобластей. Вони дозволяють розподіляти діапазони IP-адрес, які не примикають один до одного, але розташовані на однієї подсети.

- Для зміни маски подсети, пов'язаної з областю, необхідно буде видалити область і створити її наново.

- Час оренди адреси за умовчанням для області - 8 днів, що відрізняється від значення в Windows NT, де воно становило 72 години. Це значення може бути змінене в залежності від потреб мережі.

- Кожний діапазон IP-адрес може бути представлений тільки в одній з областей. Якщо сервери DHCP не будуть скоординовані і два сервери будуть мати однакові діапазони адрес в своїх областях, тоді одна і та ж адреса може бути призначена різним клієнтам в одній мережі. Також треба бути упевненим, що виключені всі статично призначені IP-адреси з областей.

- Для створення отказоустойчивих областей необхідно настроїти 2 (або більш) сервери DHCP і розділити діапазони адрес з кожної області між ними. При такій конфігурації, якщо один з серверів вийде з ладу, інший буде продовжувати розподіляти допустимі адреси між клієнтами.

- Настройки DHCP можуть бути здійснені на 4 різних рівнях: на уровнеServer(сервера) (установки впливають на всі області), Score(область) (установки впливають тільки на область), Client(клієнт) (установки для зарезервованого клієнта)Class(клас) (для комп'ютерів, які входять в різні, зазделегідь визначені, класи).

Протокол спрощує роботу мережевого адміністратора, який повинен вручну конфігурувати тільки один сервер DHCP. Коли новий комп'ютер підключається до мережі, що обслуговується сервером DHCP, on запитує унікальну IP-адресу, а сервер DHCP призначає його з пулу доступних адрес, Цей процес складається з чотирьох кроків:

1. Клієнт DHCP запитує IP-адресу (DHCP Discover, виявлення),

2. DHCP-сервер пропонує адресу (DHCP Offer, пропозиція),

3. Клієнт приймає пропозицію і запитує адресу (DHCP Request, запит) і адресу офіційно призначається сервером (DHCP Acknowledgement, підтвердження).

Щоб адреса не "простоювала", сервер DHCP надає його на певний адміністратором термін, це називається орендним договором (lease). Після закінчення половини терміну орендного договору клієнт DHCP запитує його поновлення, і сервер DHCP продовжує орендний договір. Це означає, що коли машина припиняє використати призначену IP-адресу (наприклад, внаслідок переміщення в інший мережевий сегмент), орендний договір закінчується, і адреса повертається в пул для повторного використання.

Протокол DHCP в Microsoft Windows 2000 Server був доповнений новими функціями, що спростило розгортання, інтеграцію і настройку мережі.

Інтеграція з DNS. Сервери DNS забезпечують дозвіл імен для мережевих ресурсів і тісно пов'язані зі службою DHCP. У Windows 2000 сервери DHCP і клієнти DHCP можуть реєструватися в DNS.

Поліпшене управління і моніторинг. Нова можливість забезпечує повідомлення про рівень використання пулу IP-адрес. Сповіщення проводиться за допомогою відповідного значка або за допомогою передачі повідомлення.

Розподіл групових адрес. Додана можливість призначення групових адрес. Типові додатки для групової роботи - конференції або радіотрансляція вимагають спеціальної настройки групових адрес.

Захист від появи неправомочних серверів DHCP. Наявність декількох серверів DHCP в одному сегменті мережі може привести до конфлікту. Нові механізми дозволяють виявити конфлікт такого роду і деактивизировать роботу сервера, забезпечивши правильну роботу DHCP.

Захист від підміни серверів. Реєстрація уповноважених (авторизированних) серверів DHCP виконується при допомозі Active Directory. Якщо сервер не виявлений в каталозі, то він не буде функціонувати і відповідати на запити користувачів.

5.2.2. Кластерізация

Кластерні служби, працюючі на Windows 2000 Advanced Server і Datacenter підтримують DHCP-сервер як ресурс кластера, що дозволяє підвищити доступність DHCP-сервера.

Автоматична настройка клієнтів. Клієнти з підтримкою DHCP. початківці роботу в мережі, можуть конфігуруватися самостійно з використанням тимчасової конфігурації IP (якщо сервер DHCP недоступний). Клієнти продовжують спроби зв'язатися з сервером DHCP для отримання орендного договору в фоновому режимі кожні 5 мін. Автоматичне призначення завжди прозоре для користувачів. Адреси для такого роду клієнтів вибираються з діапазону приватних мережевих адрес TCP/IP і не використовуються в Інтернеті.

Нові спеціалізовані опції і підтримка призначених для користувача класів. Сервер DHCP в Windows 2000 може призначати спеціалізовані опції, скорочуючи час на отримання схвалення нової стандартної опції в IETF. Механізм призначених для користувача класів дозволяє застосовувати DHCP в рекомендованих додатках для мереж масштабу підприємства. Обладнання більшості постачальників мережевого апаратного забезпечення також може використати різні номери опцій для різних функцій. [3]

5.3. Служба DNS

Domain Name System (система доменних імен) - це стандарт служби імен для Інтернету, який використовується Windows 2000 для допомоги клієнтам в дозволі імен вузлів в їх IP-адреси і для пошуку служб в мережі.

DNS - це розподілена система серверів імен. У цій системі групи серверів імен відповідають за записи, що відносяться до вузлів, в доменах і поддоменах. Ці групи називаються зонами. Зона є повноважною або відповідальною для записів, що відносяться до даного домену або групи доменов. Наприклад, Microsoft може мати декілька серверів, повноважних для домена microsoft.com і всього пов'язаних поддомени повинні бути частиною цього домена. Як наслідок, якщо ці сервера не можуть надати вам відповідь на запит IP-адреси для імені bluscreen.microsoft.com, то це означає, що його просто не існує.

Сервери імен зберігають те, що прийнято називати записами ресурсів. Записи ресурсів зіставляють ім'я вузла його IP-адресі або окремої служби і імені вузла. Наприклад, сервер DNS може містити запис (звану А записом) для сервера, званого Cerver2, якому відповідає IP-адреса 147.2.3.45. Якщо клієнт іншого сервера DNS запитає пов'язану IP-адресу, він може бути знайдений і повернений (посланий) клієнту. Подібним образом, деякий поштовий сервер може запитати сервер DNS знайти поштовий сервер, діючий в домене mailfirma.ru. У цьому випадку DNS сервер запитується на наявність запису про систему обміну поштою (запис МХ), яка надає FGDN (повністю певне ім'я домена) поштового сервера, яке, в свою чергу, може бути дозволено в IP-адресу.

Існує ще один тип серверів імен, які не є повноважними для якої-небудь зони. Ці сервера називаються caching-only (тільки кеширующими) - вони просто перенаправляти запити клієнтів іншим серверам імен і кешируют їх відповіді.

DNS реалізована як служба на сервері Windows 2000, а раз так, то вона може бути запущена і зупинена, як будь-яка інша служба. Вона також може бути додана або видалена за допомогою програми Add/Remove, вкладка Windows Components. DNS не встановлюється автоматично при установці Windows 2000, тому необхідно встановлювати її вручну. Число серверів DNS, присутніх в мережі залежить від ряду чинників, таких, як потреба в отказоустойчивости, швидкодія і т. д. DNS потрібно для установки Active Directory, оскільки домени Active Directory слідують угоді про іменування DNS. Помітьте, що попередній приклад розказував про DNS дозвіл через Internet. Подібним образом DNS може бути використана для дозволу внутрішніх вузлів або для комбінованих ситуацій, майте це внаслідок.

У традиційних конфігураціях DNS є як мінімум 2 DNS сервера, які є повноважними в зоні. Зона - це адміністративна одиниця DNS, представлена набором серверів DNS, які відповідальні за підтримку інформації, що відноситься до одного або більш домену або поддомену. Один сервер виступає як основний сервер імен і це єдиний сервер, який підтримує копію файла зони, що перезаписується. Періодично, основний сервер імен реплицирует файл зони на інший сервер (або сервера), призначені повторними серверами імен. Цей сервер (сервера) також підтримує файл зони, але копію, призначену тільки для читання. Процес реплікації часто називають передачею зон. Головна причина для того, щоб мати 2 або більше за сервер DNS - це упевненість, що якщо один з них вийде з ладу, інший може бути доступний для обробки запитів, що відносяться до домену, що міститься в файлі зони.

Такий тип конфігурації продовжує підтримуватися і в Windows 2000 і на нього посилаються як на «стандартну» конфігурацію DNS. Однак Windows 2000 також підтримує і інший вигляд конфігурації, що є новинкою в Windows 2000. Ця конфігурація називається «DNS, інтегрована в Active Directory». У даній конфігурації інформація про зону DNS зберігатися в Active Directory, а не в окремому наборі файлів. Як наслідок, DNS-інформація реплицируется автоматично, як частина загальної реплікації Active Directory, і не вимагає створення додаткової топології реплікації. Це не означає, однак, що кожний контроллер домена автоматично ставати сервером DNS. Це означає тільки, що кожний контроллер домена може стати сервером DNS, якщо служба DNS буде встановлена на комп'ютер. DNS, інтегрована в Active Directory, також має в своєму розпорядженні ряд достоїнств, таких як, наприклад те, що кожний з серверів DNS може вносити зміни в зону і, у разі відмови однієї з серверів, оновлення зони DNS не припиняються. У стандартній конфігурації DNS оновлення неможливі, якщо припиняє роботу основний сервер імен.

Інша велика перевага Windows 2000 DNS - це те, що вона динамічна. Це означає, що вузол може реєструвати і відміняти реєстрацію записів в DNS самостійно, включаючи запис відповідності імені і IP-адреси (А), а також запису служб (це ми обговоримо пізніше). Перевага динамічної DNS очевидні, оскільки в попередніх реалізаціях DNS всі записи було потрібен створювати вручну, що віднімало багато часу і породжувало безліч помилок. Багато які порівнюють динамічне оновлення DNS з функціонуванням WINS. Оскільки ці ідеї дійсно схожі, пам'ятайте, що мета WINS - дозвіл імен NetBIOS в IP-адресу, в той час як DNS зіставляє імена вузлів їх IP-адресам.

DNS використовується Windows 2000 не тільки для дозволу імен вузлів в їх IP-адреси. Ця служба також допомагає системі знаходити служби в мережі, такі як службу аутентификація контроллера домена. Коли користувач намагається увійти в домен, його Windows 2000-система запитує DNS про наявність одного або більше за контроллери домена на даному фізичному сайте. Контроллери домена автоматично реєструються в DNS і також реєструють записи, що відносяться до деяких, працюючим на них, служб. Точно також, клієнти Windows 2000 можуть реєструвати себе в DNS самостійно, а можуть і через сервер DHCP, який дає клієнту його IP-адресу. Обидва ці механізми вимагають пильного розгляду і ми повернемося до них в нашій серії.

Хоч цей розділ тільки введення в DNS, хочу привести декілька додаткових важливих нотаток об DNS:

- Windows 2000 DNS підтримує IXFR або инкрементальний (додатковий) трансфер зони. При цій настройці, якщо відбуваються зміни в файлі зони, тільки ці зміни реплицируются на інші сервера DNS. Якщо ви пам'ятаєте, в Windows NT DNS підтримувало тільки АXFR - повний трансфер зони, при якому зміни в зоні викликали необхідність реплікації всього файла зони на всі додаткові сервера імен.

- Якщо використовується DNS, інтегрований в Active Directory, то можна активізувати функцію, звану Secure Dynamic Updates (безпечні динамічні оновлення). При цьому сервер DNS буде дозволяти оновлення або реєстрацію записів тільки з систем, які мають правомочні облікові записи в Active Directory. Якщо ця настройка не активізована, то будь-яка система може робити зміни в DNS, що представляє, звичайно ж, загрозу безпеки мережі.

5.3.1. Планування впровадження DNS для Active Directory

Перш ніж встановлювати Active Directory в середу Windows 2000, важливо розробити реалізацію DNS, яка б відповідала як вашій системі дозволу імен, так і вимогам Active Directory. DNS необхідний Active Directory як для дозволу імен, так і для визначення простору імен, оскільки доменні імена в Windows 2000 базуються на угоді про іменування DNS. Як наслідок, будь-який сервер, на який встановлюється Active Directory, повинен мати в своїх настройках протоколу TCP/IP вказівку на сервер DNS, який необхідно встановити і настроїти заздалегідь. Якщо не сделаеть це зазделегідь, то інсталяція Active Directory автоматично створить структуру DNS, яка, можливо, не буде відповідати вашим побажанням.

Перша концепція - це використання DNS для дозволу імен вузлів (знаходження відповідної вузлу IP-адреси) або дозволу FQDN (Fully Qualified Domain Name - повністю певне ім'я домена) в його IP-адресу. Щоб нагадати вам, FQDN представляє ім'я вузла у вигляді доменного імені системи. Наприклад:

www.firma.ru

В цьому прикладі ім'я вузла - ліва частина повного імені, а саме www. Імена вузла також можуть дозволятися за допомогою файла HOSTS, який є статичним текстовим файлом і знаходиться в папці %systemroot%\system32\drivers\etc на локальному комп'ютері. Не варто плутати DNS з WINS, яка ставить у відповідність Netbios імені відповідну IP-адресу (також є текстовий еквівалент даної служби, файл LMHOSTS).

Служба DNS зберігає велике число записів ресурсів різного типу, крім простого запису хоста, т. н. «А» записи. Типи записів, що Найбільш використовуються, які можна зустріти в файлі зони, розглянуті нижче:

SOA- представляє з себе запис ресурсу початкового запису зони, і надає інформацію про зону, включаючи відомості про те, який сервер є основним, хто відповідає за адміністративний контакт, як часто файл бази даних перевіряється на наявність змін, серійний номер бази даних, значення часу життя, і т. д.

А- представляє унікальну адресу вузла в мережі, зіставляючи його ім'я IP-адресі.

NS- означає доменне ім'я і пов'язане з ним FQDN сервера імен, який є повноважним для домена.

MX- означає, що даний вузол є поштовою службою (сервером пошти або сервером пересилки) для певного домена.

PTR- надає можливість для зворотного перегляду (зіставляє IP-адресі вузла його FQDN). Це дозволяє знаходити ім'я вузла, пов'язане з IP-адресою. Записи PTR знаходяться в файлеreverse lookup zone(зони зворотного перегляду).

SRV- зіставляє окремі служби одному або декільком вузлам і навпаки. Наприклад, записи можуть означати сервер як сервер Глобального Каталога, контроллер домена і т. д.

Друга головна концепція - ця концепцияЗони. Зона - це область простору імен DNS, яка функціонує як адміністративна одиниця. Тобто група серверів відповідальна (має повноваження) за записи, що відносяться до деякого домену або поддомену. Головною причиною для того, щоб мати декілька зон, є розділення адміністративної відповідальності, так само як і задача пересилки зон.

Існує 5 основних типів серверів DNS. Це основні, повторні, інтегровані в Active Directory, сервери пересилки і кеширующие сервера.

Основний сервер DNS- основним сервером DNS є сервер, який повноважний для зони. По суті це означає, що в зоні є тільки один сервер, на якому можна проводити зміни в базі даних зони.

Повторний сервер DNS- повторний сервер DNS містить копії «тільки для читання» інформації, що зберігається на основному сервері DNS, і отримують оновлення в ході передачі зони. Один повторний сервер є мінімально необхідним, але і інші можуть створюватися з метою вирівнювання навантаження і забезпеченню отказоустойчивости.

Інтегрований в Active Directory сервер DNS- можливий тільки для серверів DNS на базі OS Windows 2000, в даній реалізації DNS файл зони зберігається як об'єкт в Active Directory, а не як декілька файлів на жорсткому диску. У даному сценарії кожний контроллер домена, на якому встановлена DNS по суті діє як основний сервер DNS, допускає зміни в зоні і здійснює синхронізацію файла зони через реплікацію Каталога. Як наслідок, якщо який-небудь сервер DNS вийде з ладу, будь-який інший сервер, інтегрований в Active Directory може продовжувати здійснювати зміни.

Кеширующий тільки- кеширующий сервер DNS не є повноважним для зони. Як наслідок, він тільки отримує клієнтські запити, здійснює запити інших серверів DNS, кеширует результати і посилає відповіді клієнтам. За умовчанням кеширующий сервер DNS пересилає всі запити, відповіді на які не знайдені в його кеше, кореневому серверу DNS.

Сервер пересилки DNS- сервери DNS можуть бути настроєні так, що будуть пересилати запити, які не можуть дозволити до якого-небудь певного сервера. Такі сервери називаютсяforwarder(сервер пересилки). Сервери пересилки можуть згодом обробляти запити, замість інших серверів DNS. Це дозволяє зменшити час обробки деяких запитів по пошуку вузлів (в Інтернеті, наприклад), т. до. сервер пересилки обробляє запити і кеширует результат, який потім повертається до комп'ютера, що зробив запит. Це може поліпшити і швидкість і продуктивність.

5.3.2. Нові властивості DNS в Windows 2000

В реалізації DNS в Windows 2000 є ряд змін в порівнянні з NT 4. Найбільш важливі з них це - підтримка записів служб, динамічна DNS, безпечне динамічне оновлення, додаткова передача зони і інтегрування з Active Directory.

Записи для служб- в реалізації DNS в Windows 2000 підтримуються запису для такого важливого типу ресурсів, як запису служб (що часто згадуються як SRV запису). Записи служб дозволяють клієнтам запитувати DNS-пошук для систем, на яких запущені певні служби, такі як Глобальний Каталог (який означається як GC-запис).

Динамічна DNS- в традиційних реалізаціях DNS всі записи було необхідно створювати і змінювати вручну на DNS сервері, що могло віднімати безліч часу. Реалізація DNS в Windows 2000 підтримує RFC 2136 і звичайно називається Dynamic DNS або DDNS. У даній реалізації клієнти мають можливість автоматично оновлювати свої записи, які головним чином використовуються в середовищі, де клієнти підключаються до сервера DHCP для отримання IP-адрес. Windows 2000 є єдиною OS фірми Microsoft (тепер ще і Windows XP), яка підтримує динамічне оновлення. Однак можна настроїти сервер DHCP в Windows 2000 так, що він зможе оновлювати DNS на стороні клієнтів, що дозволяє клієнтам, працюючим під іншими (не 2000) OS, оновлювати інформацію про себе в DNS. Динамічна DNS також дуже зручна для контроллерів домена, які також можуть автоматично реєструвати записи своїх сервісів, в іншому випадку, все це було б необхідно робити вручну.

Безпечне динамічне оновлення- якщо DNS зона є інтегрованою в Active Directory, то Windows 2000 дозволяє вам використати щось, що називається безпечним динамічним оновленням. Помітьте, що прості динамічні оновлення можуть бути потенційно небезпечними, тому що будь-який клієнт може бути зареєстрований в DNS, оскільки динамічна DNS тільки відповідає на запити, але не аутентифицирует їх. Якщо встановлене безпечне динамічне оновлення, тільки користувач або система, які мають відповідні дозволи на пов'язаних ACL (access control list - списках контролю доступу) для зони, можуть додавати записи в DNS. За умовчанням Група Аутентіфіцированних Користувачів має необхідні дозволи. Клієнтські системи спочатку роблять спробу використати звичайний запит за умовчанням і, якщо він буде знехтуваний, безпечне оновлення.

Додаткова передача зони - реалізація NT 4 DNS підтримує толькоAXFR, або повну передачу зони. При цій конфігурації кожний раз, коли основний сервер імен здійснював передачу зони повторному серверу, файл бази даних зони передавався цілком, навіть якщо в ньому сталася одинична зміна. Windows 2000 поддерживаетIXFRили додаткову передачу зони. У даній реалізації, тільки зміни передаються в ході передачі зони, замість передачі всього файла бази даних зони.

Інтеграція з Active Directory- Windows 2000 продовжує підтримувати традиційну реалізацію по схемі основній/повторній сервера DNS. У даному сценарії, зміни в файлі зони можуть бути зроблені тільки на основному сервері, оскільки тільки він містить копію файла зони, що редагується. У Windows 2000 вводиться нова концепція - DNS, інтегрована в Active Directory. У цій реалізації файл зони DNS і пов'язана з ним інформація зберігається як об'єкт в Active Directory замість того, щоб знаходитися в папці DNS на жорсткому диску. Ця інтеграція дозволяє будь-якому контроллеру домена, на якому запущена служба DNS, робити зміни в базі даних DNS, при цьому зміни в зоні реплицируются як частина процесу реплікації Active Directory. Це також дозволяє зробити службу DNS більш отказоустойчивой. У традиційному середовищі DNS, якщо основний сервер імен виходить з ладу, всі динамічні зміни в DNS стають неможливими, оскільки копія зони, що редагується недоступна. У DNS, інтегрованої в Active Directory, все DNS сервера можуть здійснювати оновлення. Традиційні сервера DNS можуть продовжувати існувати в такому середовищі - вони можуть бути повторними і використати сервер DNS, інтегрований в Active Directory, як основний сервер для отримання файла зони.

5.3.3 Настройка сервера DNS.

Настройка і зміна конфігурації сервера DNS можуть знадобитися з різних причин, наприклад:

1. При зміні імені комп'ютера-сервера

2. При зміні імені домена для комп'ютера-сервера

3. При зміні IP-адреси комп'ютера-сервера

4. При видаленні сервера DNS з мережі

5. При зміні основного сервера (primary server) зони

Управління клієнтами

Для клієнтів Windows конфігурація DNS при настройці властивостей TCP/IP для кожного комп'ютера включає наступні задачі:

1. Установка імені хоста DNS для кожного комп'ютера або мережевого підключення.

2. Установка імені батьківського домена, яке вміщується після імені хоста, щоб формувати повне (fully qualified) ім'я домена для кожного клієнта.

3. Установка основного DNS-сервера і списку додаткових DNS-cep-веров, які будуть використовуватися, якщо основний сервер недоступний.

4. Установка черговості списку пошуку доменов, що використовується в запитах для доповнення не повністю заданого імені комп'ютера.

Управління зонами

Після додавання зони за допомогою оснащення DNS можна управляти наступними загальними властивостями зони:

1. Забороняти або дозволяти використання зони

2. Змінювати або перетворювати тип зони

3. Дозволяти або забороняти динамічне оновлення зони

Також можна настроювати початкові записи зони (Start Of Authority, SOA), ресурсні записи, делегування зон, списки сповіщення, використання перегляду WINS, а також управляти зонами зворотного перегляду (reverse zone), необхідними для зворотного дозволу імен - з адреси в ім'я.

Моніторинг і оптимізація

В Windows 2000 AdvancedServer можна проводити моніторинг і за його результатами оптимізувати настройки служби DNS при допомозі:

1. Системного монітора (Performance Monitor)

2. Опцій протоколювання

3. Статистики по DNS-серверу

4. Настройки додаткових параметрів

5.4. Служба WINS

Служба WINS (Windows Internet Name Service, служба імен Windows) забезпечує підтримку розподіленої бази даних для динамічної реєстрації і дозволу імен NetBIOS для комп'ютерів і груп, що використовуються в мережі. Служба WINS відображає простір імен NetBIOS і адресний простір IP один на одну і призначена для дозволу імен NetBIOS в маршрутизируемих мережах, що використовують NetBIOS понад TCP/IP. Імена NetBIOS використовуються більш ранніми версіями операційних систем Microsoft для ідентифікації комп'ютерів і інших загальнодоступних ресурсів. [12]

Хоч протокол NetBIOS може застосовуватися з іншими мережевими протоколами, крім TCP/IP (наприклад, NetBEUI або IPX/SPX), служба WINS була розроблена для підтримки NetBIOS понад TCP/IP (NetBT). WINS спрощує управління простором імен NetBIOS в мережах на базі TCP/IP. WINS застосовується для розпізнавання імен NetBIOS, але для прискорення дозволу імен клієнти повинні динамічно додавати, видаляти або модифікувати свої імена в WINS.

5.4.1. Нові можливості WINS в Windows 2000

В Windows 2000 WINS забезпечує наступні розширені можливості:

1. Постійні з'єднання. Тепер можна настроїти кожний WINS-сервер на обслуговування постійного з'єднання з однією або великою кількістю партнерів реплікації. Це збільшує швидкість реплікації і знижує витрати на відкриття і завершення з'єднань.

2. Управління "захороненням". Можна вручну відмічати записи для захоронення (відмітка для подальшого видалення, tombstoning). Стан "захоронення" запису копіюється для всіх серверів WINS, що запобігає відновленню копії з баз даних інших серверів.

3. Поліпшена утиліта управління. Утиліта управління WINS реалізована у вигляді оснащення ММС, що спрощує використання WINS для адміністратора.

4. Розширена фільтрація і пошук записів. Поліпшена фільтрація і нові пошукові функції допомагають знаходити записи, показуючи тільки записи, відповідні заданим критеріям. Ці функції особливо корисні для аналізу дуже великих баз даних WINS.

5. Динамічне стирання записів і множинний вибір. Ці особливості спрощують управління базою даних WINS. За допомогою оснащення WINS можна легко маніпулювати з одним (або більш) записом WINS динамічного або статичного типу.

6. Перевірка записів і перевірка правильності номера версії. Ці можливості перевіряють послідовність імен, збережених і скопійованих на серверах WINS. Перевірка записів порівнює IP-адреси, що повертаються по запиту на ім'я NetBIOS з різних серверів WINS. Перевірка правильності номера версії перевіряє номер власника таблиці відображення "адреса-версія".

7. Функція експорту. При експорті дані WINS зберігаються в текстовому файлі з комами як роздільники. Можна імпортувати цей файл в Microsoft Excel і інші програми для аналізу і складання звітів.

8. Збільшена отказоустойчивость клієнтів. Клієнти під управлінням Windows 2000 або Windows 98 можуть використати більш двох серверів WINS (максимально - 12 адрес) на інтерфейс. Додаткові адреси серверів WINS будуть використовуватися, якщо первинні і повторні сервери WINS не відповідають на запити.

9. Консольний доступ тільки для читання до WINS Manager. Ця можливість надається групі Користувачі WINS (WINS Users), яка автоматично створюється при установці сервера WINS. Додаючи членів до цієї групи, можна надати доступ тільки для читання до інформації об WINS. Це дозволяє користувачу-члену групи переглядати, але не змінювати інформацію і властивості, що зберігаються на певному сервері WINS.[1]

5.4.2. Компоненти служби WINS

Основні компоненти WINS - сервер WINS і клієнти WINS, а також посередники WINS (WINS proxy).

Сервери WINS. Сервер WINS обробляє запити на реєстрацію імен від клієнтів WINS, реєструє їх імена і IP-адреси і відповідає на запити дозволу імен NetBIOS від клієнтів, повертаючи IP-адресу на ім'я, якщо це ім'я знаходиться в базі даних сервера (мал. 17.8). Сервер WINS підтримує базу даних WINS.

Клієнти WINS. Клієнти WINS реєструють свої імена на сервері WINS, коли вони запускаються або підключаються до мережі.

Microsoft підтримує клієнтів WINS на платформах Windows 2000 Server/Professional, Windows NT Server/Workstation, Windows 9x, Windows for Workgroups, Microsoft LAN Manager, MS-DOS, OS/2, Linux/Unix (з встановленою службою Samba) [7].

Клієнти WINS звертаються до сервера WINS, щоб зареєструвати/оновити/видалити ім'я клієнта в базі даних WINS, а також для дозволу імен користувачів, імен NetBIOS, імен DNS і адрес IP.

Посередники WINS. Посередник WINS - клієнтський комп'ютер WINS, настроєний так, щоб діяти від імені інших хостов, які не можуть безпосередньо використати WINS.

5.4.3. Планування мережі з використанням WINS

Перед установкою серверів WINS в мережі необхідно вирішити наступні задачі:

Визначити число необхідних серверів WINS

Спланувати партнерів реплікації

Оцінити вплив трафіка WINS на самих повільних з'єднаннях

Оцінити рівень отказоустойчивости в межах мережі для WINS

Скласти і оцінити план інсталяції WINS

До настройки реплікації треба ретельно спроектувати топологію реплікації WINS. У глобальних мережах це дуже важливе для успішного розгортання і використання WINS.

Настройка статичного відображення:

Запис, що відображає ім'я в IP-адресу, може бути доданий в базу даних WINS двома способами:

1. Динамічно (клієнтами WINS, безпосередньо при зв'язку з сервером WINS).

2. Статично (вручну, адміністратором, за допомогою оснащення WINS або утиліт командного рядка).

Статичні (що додаються адміністратором вручну) записи корисні, коли треба додати відображення "ім'я-адреса" до бази даних сервера для комп'ютера, який безпосередньо не використовує WINS. Наприклад, в деяких мережах сервери під управлінням інших операційних систем не можуть реєструвати ім'я NetBIOS безпосередньо на сервері WINS. Хоч ці імена можна було б додати за допомогою файла Lmhosts або через запит

5.4.4. Управління базою даних WINS

Оснащення WINS забезпечує підтримку, перегляд, копіювання і відновлення бази даних WINS. Основні задачі по роботі з базою:

Стиснення бази

Резервне копіювання бази

Перевірка цілісності бази

Перехід від WINS до DNS

В мережах, що використовують тільки Windows 2000, можна зменшити або навіть усунути застосування WINS. Видалення встановлених серверів WINS з мережі називається відгуком (decommissioning).

Після розгортання сервера DNS в мережі відгук сервера WINS виконується в такій послідовності:

1. Клієнтські комп'ютери перенастроюються, щоб вони не використали WINS, а тільки DNS.

2. На кожному сервері WINS окремо запускається процес відгуку:

- В дереві WINS вибрати сервер WINS, який треба відкликати, потім вибрати опцію Активні реєстрації (Active Registrations).

- В меню Дія (Action) виберать пункт «Знайти по власнику» (Show recordsforthesleetedowner).

- В вікні, що з'явилося в списку тільки для вибраного власника (only for selected owner) вибрати сервер WINS, який необхідно відкликати, і натиснути кнопку ОК.

- В подокне докладного перегляду виділити всі елементи.

- В меню Дія (Action) виберать команду Видалити (Delete).

- В діалоговому вікні Підтвердження видалення записів (Confirm WINS Record Delete) встановити перемикач Реплікувати видалення запису на інші сервери (Tombstone WINS records on all WINS servers) перемикача і нажмать кнопку ОК.

- Підтвердити видалення, натиснувши кнопку Так (Yes) у вікні запиту.

- В дереві виберать елемент Партнери реплікації (Replication Partners).

- В меню Дія (Action) вибрати команду Запустити реплікацію

(Replicate Now).

- Після перевірки реплікації вибраних записів на інші сервери зупинити і видалити службу WINS на відкликаному сервері.

3. Робиться необов'язкова настройка для зменшення і переадресації трафіка WINS. Може зажадатися настроїти додатковий дозвіл імен DNS через WINS.

Після заключного кроку процесу відгуку WINS можна настроїти клієнтські комп'ютери під управлінням Windows 2000, щоб вони не використали підтримку NetBIOS понад TCP/IP (NetBIOS over TCP/IP). Цей крок потрібен, тільки якщо треба зменшити трафік запитів імені NetBIOS і трафік реєстрації WINS. Однак в більшості мереж обмежене застосування WINS якийсь час ще буде необхідно.

5.5. Конфігурування сервера

Мережева операційна система виконується на мережевому сервері. З іншого боку, комп'ютери-клієнти можуть працювати під управлінням різних операційних систем. Щоб операційна система клієнта могла використати мережу, треба встановити спеціальні драйвери, які дозволять платі мережевого інтерфейса комп'ютера-клієнта зв'язатися з мережею. Ці драйвери працюють подібно драйверам принтера, що дозволяють прикладним програмам посилати інформацію на принтер. Програмне забезпечення мережевого драйвера дає можливість програмам посилати і приймати інформацію по мережі. Кожний комп'ютер в мережі містить одну або більше за плати мережевого інтерфейса, які з'єднують комп'ютер з мережею.

5.5.1. Вибір сервера

Очевидно, що продуктивність ЛВС не в останню чергу залежить від комп'ютера, що використовується як сервер. При використанні Windows 2000 Serverнеобходимо орієнтуватися на найбільш високошвидкісний комп'ютер. У цьому випадку, як завжди, існує можливість вибору між готовими серверами, що пропонуються виробниками і постачальниками комп'ютерної техніки, і серверами самостійної зборки. При наявності певного досвіду, самостійно зібраний під замовлення сервер може скласти альтернативу готовому продукту. Велика різноманітність компонентів не дає можливості назвати конкретні види «заліза» для закупівлі і зборки. Тому потрібно звернути увагу на наступні моменти.[13]

1. На питання про шину, що використовується відповідь однозначна - PCI. Крім високої продуктивності (за рахунок 64-битной розрядності шини), PCI - компоненти допускають програмне конфігурування. Завдяки останній обставині, можливі конфлікти між апаратними ресурсами, що підключаються майже завжди запобігаються автоматично.

2. Windows 2000 Server спочатку пред'являє високі вимоги до об'єму оперативної пам'яті. І вони ще більш зростають у разі застосування мережевого сервера (тут об'єм ОЗУ повинен бути не менше за 64 Мб).

3. У сервері повинні використовуватися, як мінімум, вінчестери і відповідні адаптери SCSI. Новітні диски даного стандарту при частоті обертання шпинделя 15000 про/міна забезпечують максимально високу швидкість передачі даних практично незалежну від завантаження дискової підсистеми.

4. Ідеальним корпусом буде спеціальний корпус для сервера, забезпечені могутніми блоками живлення, додатковими вентиляторами, знімними заглушками і захисною передньою панеллю. Як більш економічне рішення допустиме використання корпусів типу BigTower, минулих сертифікацію фірми-виробника материнської плати.

5. Швидкісний привід CD-ROM не тільки зекономить час при установці ОС і прикладного ПО, але і виявиться надзвичайно корисним при роботі з централізованою довідковою системою.

6. Оскільки всі підключені до мережі робочі станції будуть постійно звертатися до сервера, одним з його найважливіших компонентів є продуктивна 32-юшок або 64-х битная мережева карта. Вона повинна ефективно управляти інформаційним обміном, тобто мати співпроцесор, що приймає на себе основні функції центрального процесора по обробці поступаючих на сервер даних. Для забезпечення додаткової надійності можна використати 2 і більш мережевих карти одночасно.

Виходячи з вищевикладеного, пропонується наступна модель корпоративного сервера Klondike President 2000A.

Klondike President 2000A - універсальний сервер середнього рівня. Може використовуватися як сервер служб обміну електронними повідомленнями, сервер служби доменних імен, сервер служби доступу до інформаційних ресурсів. Побудований на базі продуктивної материнської плати Intel SDS2.

Таблиця 5.1.

Конфігурація сервера.

Склад системного блоку

Процесор

2 Intel Xeon DP 1,8 - 2,8 ГГц

Кеш-пам'ять

512 Кбайт (L2)

Чипсет

ServerWorks Server Set GC-LE

Оперативна пам'ять

до 12 Гбайт ECC DDR200/266

Слоти розширення

3 х PCI 32-біт/33 МГц

2 х PCI 64-біт/100 МГц

1 х PCI 64-біт/133 МГц

Контроллери жорстких дисків

- Adaptec AIC-7899W Ultra3Wide SCSI (2 канали, вбудований)

Жорсткі диски

18 - 146 Гбайт (Ultra160 SCSI, 10000-15000 про/міна)

Місця для жорстких дисків

10 х 3,5" (гаряча заміна)

Пристрою введення/висновку

FDD 3,5" 1,44 Мбайт

CD-ROM 50x

Місця для додаткових пристроїв

1 х 3.5" (зайняте FDD)

3 х 5,25 (одне зайняте CD-ROM)

Пристрій резервного копіювання

- 4 мм SCSI стрічкові накопичувачі DAT стандарту DDS-3 і DDS-4 ємністю до 40 Гбайт

Відеоконтроллер

PCI, ATI Rage XL 8 Мбайт (вбудований)

Мережевий адаптер

Intel PRO/100+

Intel PRO/1000 XT

Порти введення/висновку

COM1, COM2, LPT, 4 USB

Корпус

Hudson3 - Tower (HxWxD - 45x22x69 см)

Блоки живлення

- 2*350 Вт

Діагностика несправностей

відмова вентиляторів охолоджування (прогноз відмови), відмова жорстких дисків (прогноз відмови, SMART), відмова живильних напружень, відмова блоків живлення, помилки в пам'яті (з вказівкою сбойного модуля пам'яті фізичної адреси), помилки PCI, збій або перевищення робочої температури процесорів, перевищення робочої температури електронних компонентів, перевищення робочої температури в отсеках для жорстких дисків, зависання операційної системи

Усунення несправностей

автоматична корекція помилок в пам'яті, автоматичне відключення несправного процесора (FRB level 1,2,3), автоматичне перезавантаження або вимкнення системи в критичних ситуаціях, автоматичне апаратне перезавантаження при зависанні операційної системи.

Безпека

контроль трьох датчиків відкриття корпусу і отсека з жорсткими дисками, блокування клавіатури і миші, блокування кнопок вимкнення живлення і перезавантаження, вимкнення відео і дисковода, доступ по паролю.

ПО управління

Intel Server Management

Предустанавліваємая ОС

Microsoft,

5.5.2. Установка Windows 2000 AdvancedServer

Комп'ютер, на який Ви хочете встановити операційну систему, не повинен містити форматованих розділів. Розділ на жорсткому диску для установки Windows 2000 AdvancedServer як ізольований сервер робочої групи можна створити безпосередньо в процесі установки.

На Вашому комп'ютері повинна працювати MS-DOS або будь-яка версія Windows. Крім того, він повинен уміти поводитися до каталога Bootdisk настановного компакт-диска з Windows 2000 AdvancedServer. Якщо Ваш комп'ютер настроєний для завантаження з CD-ROM, Ви можете встановити Windows 2000, не використовуючи настановні дискети.

5.5.2.1. Запуск процедури попереднього копіювання файлів і текстового режимаWindows2000AdvancedServer

Вставте завантажувальний диск Windows 2000AdvancedServer і перезавантажите комп'ютер

1. Після перезапуску комп'ютера з'явиться повідомлення, що виконується перевірка вашої системної конфігурації, і невдовзі відкриється вікно Windows 2000 Setup.

Зверніть увагу на сірий рядок внизу екрана. У ній повідомляється, що виконується перевірка комп'ютера і завантаження Windows 2000 Executive - мінімальної версії ядра Windows 2000.

2. Установник зробить завантаження HAL, шрифтів, драйверів шини і інших програм, що забезпечують роботу материнської плати, шини і інших апаратних коштів вашого комп'ютера. Крім того, будуть завантажені здійснимі файли Windows 2000 Setup.

3. Установник зробить завантаження драйверів контроллера дисковода і ініціалізацію драйверів, що забезпечують підтримку доступу до дисковода. Під час цього процесу Setup може декілька разів зупинятися.

4. Установник завантажить драйвери периферійних пристроїв, наприклад драйвер дисковода і файлових систем, після чого буде виконана ініціалізація частини Windows 2000, що виконується і завантаження настановних файлів, що залишилися.

Якщо Ви встановлюєте пробну версію Windows 2000, програма установки попередить Вас про це.

5. Прочитавши повідомлення установника Windows 2000, натисніть Enter. Помітьте, що програма установки дозволяє Вам зробити не тільки первинну установку, але і відновити пошкоджену версію Windows 2000.

6. Прочитайте повідомлення, що міститься в окнеWelcomeToSetup, і натисніть Enter для продовження установки. Відкриється окноLicenseAgreement.

7. Прочитайте ліцензійну угоду. Для прокрутки тексту користуйтеся клавішею PageDown.

8. Виберіть I Accept The Agreement, нажавклавишу F8.

Відкриється вікно Windows 2000 AdvancedServerSetup, де Вам пропонується вибрати область диска (або вже існуючий розділ) для установки Windows 2000. На цьому етапі Ви можете створювати і видаляти розділи на жорсткому диску.

Якщо жорсткий диск раніше не містив розділів, то Ви побачите на диску нерозмічений простір.

9. Пересвідчившись, що вибране Unpartitionedspace (нерозмічений простір), натисніть клавішу C. Появітся повідомлення про створення нового розділу з вказівкою мінімально і максимально можливих розмірів цього розділу.

10. Вибравши розмір розділу (мінімум 2 Гб), натисніть Enter. Новий розділ буде названий З: New (Unformatted).

11. Пересвідчившись, що вибраний новий розділ, натисніть Enter. Установник запропонує вибрати файлову систему для нового розділу.

12. Скориставшись клавішами управління курсором, виберіть FormatThePartitionUsingTheNTFSFileSystem і натисніть Enter. Установник отформатирует розділ під NTFS, перевірить жорсткий диск на наявність помилок, здатних спричинити збої в установці, після чого скопіює файли на диск. Це займе декілька хвилин.

По завершенні копіювання комп'ютер буде перезавантажений.

13. Вийміть настановний диск.

14. Програма установки скопіює додаткові файли, потім перезавантажить ваш комп'ютер і запустить майстер установки Windows 2000.

5.5.2.2. Графічний режим установки і збір інформації

З цього моменту установник починає працювати в графічному режимі.

1. У вікні майстра установки Windows 2000 клацніть кнопку Next для збору інформації про комп'ютер.

Установник сконфигурирует папки і дозволу NTFS для файлів операційної системи. Після цього виконується пошук пристроїв, підключених до комп'ютера, а також установка і конфігурування драйверів цих пристроїв. Це займе декілька хвилин.

2. Пересвідчившись, що в системних і призначених для користувача параметрах, а також для розкладки клавіатури вказані потрібні Вам мова і регіон, клацніть Next.

3. На страницеPersonalizeYourSoftwareвведите Ваше ім'я в поле Name (Ім'я) і ім'я Вашої організації в полеOrganization(Організація), потім клацніть Next.

Ці дані використовуються в подальшому для генерації імені комп'ютера за умовчанням, а також додатками - для реєстрації ПО і ідентифікації документів.

Відкриється окноLicensingModesс пропозицією вибрати режим ліцензування. За умовчанням встановлюється режим лицензированияPerServer(на сервер). Установник попросить Вас ввести кількість придбаних для цього сервера ліцензій.

4. Клацніть переключательPerServerNumberOfConcurrentCon встановите число одночасних з'єднань рівним придбаній кількості ліцензій (для цього введіть кількість ліцензій у відповідне поле). Далі клацніть Next.

У поляAdministratorPasswordиConfirmPasswordвв малими буквами пароль адміністратора і клацніть кнопку Next. Пароль чутливий до регістра.

У реальних ситуаціях для пароля адміністратора рекомендується вибирати більш складне поєднання символів (яке було б важко вгадати). Зокрема, Microsoft рекомендує, щоб пароль містив великі і малі букви, а також числа і інші символи (наприклад, Lp6*g9).

Відкриється окноWindows2000Components, в якому перераховані доступні компоненти Windows 2000. Клацніть Next.

Після установки Windows 2000 додаткові компоненти встановлюються средствамиAdd/RemoveProgramsпанели управління. Поки ж Вам треба встановити тільки компоненти, вибрані за умовчанням. Додаткові компоненти Ви встановите пізніше.

Якщо під час установки на Вашому комп'ютері був виявлений модем, відкриється окноModemDialingInformation. У окноModemDialingInformationвведите, що відкрилося в нього код регіону або міста і клацніть Next. Відкриється окноDateAndTimeSettings.

Після перезавантаження буде запущена щойно встановлена версія Windows 2000 AdvancedServer.

5.5.2.3. Завершення установки обладнання

На цьому етапі виконується пошук пристроїв PlugandPlay, не виявлених раніше.

1. Увійдіть в систему, натиснувши Ctrl+Alt+Delete.

2. У діалоговому окнеEnterPasswordвведитеadministratorв полеUserNameи пароль- в полеPassword.

3. Клацніть кнопкуОК.

4. Якщо Windows 2000 знайде пристрої, які не були виявлені при установці, відкриється вікно мастераFoundNewHardwareс повідомленням, що Windows 2000 встановлює відповідні драйвери.

Якщо відкриється вікно мастераFoundNewHardware, пересвідчіться, що флажокRestartTheComputerWhenIClickFinishне встановлений, і клацніть кнопкуFinishдля завершення роботи майстра FoundNewHardware.

Відкриється окноConfigureYourServer, що дозволяє Вам сконфигурировать безліч різних параметрів і служб.

5. УстановітефлажокI Will Configure This Server Laterищелкнитекнопку Next.

6. ВследующемокнесбросьтефлажокShow This Screen At Startup.

7. ЗакройтеокноConfigure Your Server.

Установка Windows 2000 AdvancedServer завершена, і Ви увійшли в систему під обліковим записом Administrator. [11]

5.5.3. Управління в середовищі Windows2000 AdvancedServer

Після успішної установки Windows2000 Server виконується настройка користувачів.

Основним елементом централізованого адміністрування в Windows 2000 Server є домен. Домен - це група серверів, працюючих під управлінням Windows 2000 Server, яка функціонує, як одна система. Всі сервери Windows 2000 в домене використовують один і той же набір облікових карток користувача, тому досить заповнити облікову картку користувача тільки на одному сервері домена, щоб вона розпізнавалася всіма серверами цього домена.

Зв'язки довір'я - це зв'язки між доменами, які допускають крізну ідентифікацію, при якій користувач, що має єдину облікову картку в домене, отримує доступ до цілої мережі. Якщо домени і зв'язки довір'я добре сплановані, то всі комп'ютери Windows 2000 розпізнають кожну облікову картку користувача і користувачу треба буде ввести пароль для входу в систему тільки один раз, щоб потім мати доступ до будь-якого сервера мережі. [3]

Групування комп'ютерів в домени дає дві важливих переваги мережевим адміністраторам і користувачам. Найбільш важливе - сервери домена складають (формують) єдиний адміністративний блок, що спільно використовує службу безпеки і інформацію облікових карток користувача. Кожний домен має одну базу даних, вмісну облікові картки користувача і груп, а також настановні параметри політики безпеки. Всі сервери домена функціонують або як первинний контроллер домена, або як резервний контроллер домена, вмісний копію цієї бази даних. Це означає, що адміністраторам треба управляти тільки однією обліковою карткою для кожного користувача, і кожний користувач повинен використати (і пам'ятати) пароль тільки однієї облікової картки. Розширюючи адміністративний блок з єдиного комп'ютера на цілу домен, Windows 2000 Server зберігає зусилля адміністраторів і час користувачів.

Друга перевага доменов зроблена для зручності користувачів: коли користувачі переглядають мережу в пошуках доступних ресурсів, вони бачать мережу, згруповану в домени, а не розкидані по всій мережі сервери і принтери.

5.5.4. Требовани я до домену

Мінімальна вимога для домена - один сервер, працюючий під управлінням Windows 2000 Server, який служить як первинний контроллер домена і зберігає оригінал бази даних облікових карток користувача і груп домена. У доповнення до сказаного, домен може також мати інші сервери, працюючі під управлінням Windows 2000 Server і службовців як резервні контроллери домена, а також комп'ютери, службовці як стандартні сервери, сервери LAN Manager 2.x, клієнти Windows 2000 Workstation і інші клієнти, як наприклад, працюючих з MS-DOS.

Первинний контроллер домена повинен бути сервером, працюючим під управлінням Windows 2000 Server. Всі зміни бази даних, облікових карток користувача і груп домена повинні виконуватися в базі даних первинного контроллера домена.

Резервні контроллери домена, працюючі під управлінням Windows 2000 Server, зберігають копію бази даних облікових карток домена. База даних облікових карток копіюється у всі резервні контроллери домена.

Всі резервні контроллери домена доповнюють первинний контроллер і можуть обробляти запити на початки сеансу від користувачів облікових карток домена. Якщо домен отримує запит на початок сеансу, первинний контроллер домена або будь-якої з резервних контроллерів домена може ідентифікувати спробу початку сеансу.

Додатково до первинних і резервних контроллерів домена, працюючих під управлінням Windows 2000 Server, є інший тип серверів. Під час установки Windows 2000 вони визначаються, як "сервери", а не контроллери домена. Сервер, який входить в домен, не отримує копію бази даних користувачів домена. [12]

5.5.5. Вибір моделі організації мережі

Проаналізувавши організаційно-штатну структуру підприємства, можна укласти, що оптимальним вибором є модель основного домена. Її достоїнства і недоліки зведені в табл. 5.1.

Таблиця 5.2

Переваги і нестачі моделі основного домена.

Переваги

Недоліки

Облікові картки користувачів можуть справлятися централізовано.

Погіршення продуктивності у випадку, якщо домен буде доповнений великим числом користувачів і груп.

Ресурси згруповані логічно. Що актуально в зв'язку з територіальною разбросанностью робочих станцій підприємства.

Локальні групи повинні бути визначені в кожному домене, де вони будуть використовуватися.

Домени відділень можуть мати своїх власних адміністраторів, які управляють ресурсами у відділі. Що є актуальним для підприємства оскільки в комп'ютерних класах обов'язково повинне бути адміністрування мережі.

Глобальні групи повинні бути визначені тільки один раз (в основному домене).

5.6. Служба RoutingandRemoteAccess

Служба RoutingandRemoteAccess (Маршрутизація і видалений доступ) - це фактично повноцінний многофункциональний маршрутизатор, підтримуючий безліч протоколів. Используйтся RoutingandRemoteAccess для підтримки маршрутизації в приватних мережах і між різними сегментами мережі.

Функції, що забезпечуються службою RoutingandRemoteAccess:

підтримка безлічі протоколів, в тому числі IP, IPX і AppleTalk;

- одноадресная (unicast) IP-маршрутизація коштами протоколів:

1. Open Shortest Path First (OSPF);

2. Routing Information Protocol (RIP) версій 1 і 2, протоколмаршрутизації IP;

- многоадресная (multicast) IP-маршрутизациясредствамимаршрутизатора IGMP (Internet Group Membership Protocol), втомчислеприработеврежимепрокси-сервера;

- маршрутизація виклику на вимогу по комутованому WAN-підключенні;

- підтримка VPN-мереж по тунельному протоколу Point-to-PointTunnelingProtocol (PPTP);

- підтримка VPN-мереж по тунельному протоколу LayerTwoTunnelingProtocol (L2TP);

- фільтрація IP- і IPX-пакетів;

- агент ретрансляції DHCP (DHCPRelayAgent) для IP;

- підтримка носіїв, в тому числі Ethernet, TokenRing, FiberDistributedDataInterface (FDDI), ATM (AsynchronousTransferMode), IntegratedServicesDigitalNetwork (ISDN), T-Carrier, FrameRelay, xDSL, кабельних модемів, Х.25 і аналогових модемів.

5.7. Вимірювання мережевого трафіка

Спостереження за мережевою активністю включає:

- спостереження за продуктивністю сервера;

- вимірювання загального мережевого трафіка.

З мережевою активністю пов'язана велика кількість лічильників. Всі мережеві компоненти - Server, Redirector, протоколи NetBIOS, NWLink, TCP/IP - генерують набір статистичних параметрів. Ненормальне значення мережевого лічильника часто говорить про проблеми з пам'яттю, процесором або диском сервера. Отже, найкращий спосіб спостереження за сервером складається в спостереженні за мережевими лічильниками в поєднанні з спостереженням за такими лічильниками, як %Processor Time, %Disk Time і Pages/sec.

Наприклад, якщо сервер показує різке збільшення лічильника Pages/sec одночасно з падінням лічильника Total bytes/sec, то це може говорити про те, що комп'ютеру не вистачає фізичної пам'яті для мережевих операцій.

Розрахунок мережевого навантаження

де: n - кількість запитів;

- тривалість передачі ед. обсягу інформації

Т - час роботи мережі

А=0.25

Під час роботи користувача в середньому за один діалоговий крок передається 1,5 - 2,0 Кб даних, а одна операція вимагає в середньому проходу по 3 - 4 екранам, тому середній об'єм операції приймається рівним 16000 байт. Для того, щоб забезпечити необхідний час відповіді (response time) утилізація мережі не повинна перевищувати 50%. Оптимальної вважає навантаження 30%, в нашій мережі отримане навантаження 25%, що свідчить про оптимальну роботу мережі.

6. Захист інформації в мережі

Дослідження і аналіз численних випадків впливів на інформацію і несанкціонованого доступу до неї показують, що їх можна розділити на випадкові і навмисні.

Для створення коштів захисту інформації необхідно визначити природу загроз, форми і шляхи їх можливого вияву і здійснення в автоматизованій системі. Для рішення поставленої задачі все різноманіття загроз і шляхів їх впливу приводиться до найпростіших видів і форм, які були б адекватні їх безлічі в автоматизованій системі.

Дослідження досвіду проектування, виготовлення, випробувань і експлуатації автоматизованих систем говорять про те, що інформація в процесі введення, зберігання, обробки і передач зазнає різних випадкових впливів.

Причинами таких впливів можуть бути:

- відмови і збої апаратури;

- перешкоди на лінії зв'язку від впливів зовнішньої середи;

- помилки людини як ланки системи;

- системні і системотехнические помилки розробників;

- структурні, алгоритмічні і програмні помилки;

- аварійні ситуації;

- інші впливи.

Навмисні загрози пов'язані з діями людини, причинами яких можуть бути певне невдоволення своєю життєвою ситуацією, суто матеріальний інтерес або проста розвага з самоствердженням своїх здібностей, як у хакерів, і т. д.[12]

Немає ніяких сумнівів, що на підприємстві стануться випадкові або навмисні спроби злому мережі ззовні. У зв'язку з цією обставиною потрібно ретельно передбачити захисні заходи.

Для обчислювальних систем характерні наступні штатні канали доступу до інформації:

- термінали користувачів, самі доступні з яких це робочі станції в комп'ютерних класах;

- термінал адміністратора системи;

- термінал оператора функціонального контролю;

- кошти відображення інформації;

- кошти завантаження програмного забезпечення;

- кошти документування інформації;

- носії інформації;

- зовнішні канали зв'язку.

Прийнято розрізнювати п'ять основних коштів захисту інформації:

- технічні;

- програмні;

- криптографічні;

- організаційні;

- законодавчі.

6.1. Аналіз можливостей системи разграничени я доступу Windows2000 AdvancedServer

Windows 2000 AdvancedServerимеет засобу забезпечення безпеки, вбудовані в операційну систему. Нижче розглянуті найбільш значущі з них.

6.1.1. Стеження за діяльністю мережі

Windows 2000 Server дає багато інструментальних засобів для стеження за мережевою діяльністю і використанням мережі. ОС дозволяє переглянути сервер і побачити, які ресурси він використовує; побачити користувачів, підключених до теперішнього часу до сервера і побачити, які файли у них відкриті; перевірити дані в журналі безпеки; записи в журналі подій; і указати, про які помилки адміністратор повинен бути попереджений, якщо вони стануться. [3]

6.1.2. Початок сеансу на робочій станції

Всякий раз, коли користувач починає сеанс на робочій станції Windows 98, екран початку сеансу запитує ім'я користувача, пароль і домен. Потім робоча станція посилає ім'я користувача і пароль в домен для ідентифікації. Сервер в домене перевіряє ім'я користувача і пароль в базі даних облікових карток користувачів домена. Якщо ім'я користувача і пароль ідентичні даним в обліковій картці, сервер повідомляє робочу станцію про початок сеансу. Сервер також завантажує іншу інформацію при початку сеансу користувача, як наприклад установки користувача, свій каталог і змінні середи.

За умовчанням не всі облікові картки в домене дозволяють входити в систему. Тільки карткам груп адміністраторів, операторів сервера, операторів управління друком, операторів управління обліковими картками і операторів управління резервним копіюванням дозволено це робити.

Для всіх користувачів мережі підприємства передбачене своє ім'я і пароль.

6.1.3. Облікові картки користувачів

Кожний клієнт, який використовує мережу, повинен мати облікову картку користувача в домене мережі. Облікова картка користувача містить інформацію про користувача, що включає ім'я, пароль і обмеження по використанню мережі, що накладається на нього. Є можливість також згрупувати користувачів, які мають аналогічні ресурси, в групи; групи полегшують надання прав і дозволів на ресурси, досить зробити тільки одну дію, що дає права або дозвіл всій групі.

Таблиця 6.1 показує вміст облікової картки користувача.

Таблиця 6.1

Вміст облікової картки.

Облікова картка користувача.

Елемент облікової картки.

Коментарі.

Username

Password

Full name

Logon hours

Ім'я користувача

Пароль

Повне ім'я

Години початку сеансу

Унікальне ім'я користувача, вибирається при реєстрації.

Пароль користувача.

Повне ім'я користувача.

Години, протягом яких користувачу дозволяється входити в систему. Вони впливають на вхід в систему мережі і доступ до сервера. Так чи інакше, користувач вимушений буде вийти з системи, коли

його часи сеансу, визначені політикою безпеки, закінчаться

Logonworkstations

Expiration date

Робочі станції

Дата витікання терміну

Імена робочих станцій, на яких користувачу дозволяється працювати. За умовчанням користувач може використати будь-яку робочу станцію, але можливо введення обмежень.

Дата в майбутньому, коли облікову картку автоматично виключають з бази, корисна при прийнятті на роботу тимчасових службовців

Облікова картка користувача.

Елемент облікової картки.

Коментарі.

Home directory

Logon script

Profile

Account type

Власний каталог

Сценарій почала сеансу

Установки (параметри)

Тип облікової картки

Каталог на сервері, який належить користувачу; користувач управляє доступом до цього каталога.

Пакетний або файл, що виконується, який запускається автоматично, коли користувача починає сеанс.

Файл, вмісний запис про параметри середи робочого стола (Desktop) користувача, про таких, наприклад, як мережеві з'єднання, кольори екрана і настановні параметри, що визначають, які аспекти середи, користувач може змінити.

Тип облікової картки - глобальний або локальний.

6.1.4. Журнал подій безпеки

Windows 2000 Serverпозволяет визначити, що увійде в ревізію і буде записано в журнал подій безпеки всякий раз, коли виконуються певні дії або здійснюється доступ до файлів. Елемент ревізії показує виконану дію, користувача, який виконав його, а також дату і час дії. Це дозволяє контролювати як успішні, так і невдалі спроби яких-небудь дій.

Журнал подій безпеки для умов предприятиа є обов'язковим, оскільки у разі спроби злому мережі можна буде відстежити джерело.

Таблиця 6.2 включає категорії подій, які можуть бути вибрані для ревізії, а також події що покриваються кожною категорією.

Таблиця 6.2

Категорії подій для ревізії.

Категорія

Події

Початок і кінець сеансу

Доступ до файлів і об'єктів

Спроби початку сеансу, спроби кінця сеансу; створення і завершення мережевих з'єднань до сервера

Доступи до каталога або файла, які встановлюються для ревізії в диспетчерові файлів; використання принтера, управління комп'ютером

Використання прав користувача

Управління користувачами і групами

Зміни поліса безпеки

Перезапуск, вимкнення і система

Трасування процесу

Успішне використання прав користувача і невдалі спроби використати права, не призначені користувачам

Створення, видалення і модифікація облікових карток користувача і груп

Надання або відмінена прав користувача користувачам і групам, установка і розрив зв'язку довір'я з іншими доменами

Зупинка і перезапуск комп'ютера, заповнення контрольного журналу і відкидання даних перевірки якщо контрольний журнал вже повний

Початок і зупинка процесів в комп'ютері

Таблиця 6.3 показує типи доступу до каталогів і файлів, які можна перевірити.

Таблиця 6.3

Типи доступу до каталогів і файлів.

Доступ до каталога

Доступ до файла

Відображення імен файлів в каталозі

Відображення атрибутів каталога

Зміна атрибутів каталога

Відображення даних, що зберігаються в файлі

Відображення атрибутів файла

Відображення власника файла і дозволів

Створення підкаталогів і файлів

Перехід в підкаталогах каталога

Відображення власника каталога і дозволів

Видалення каталога

Зміна дозволів каталога

Зміна власника каталога

Зміна файла

Зміна атрибутів файла

Запуск файла

Видалення файла

Зміна файлових дозволів

Зміна власника файла

6.1.5. Права користувача

Права користувача визначають дозволені типи дій для цього користувача. Дії, регульовані правами, включають вхід в систему на локальний комп'ютер, вимкнення, установку часу, копіювання і відновлення файлів сервера і виконання інших задач.

У домене Windows 2000 Server права надаються і обмежуються на рівні домена; якщо група знаходиться безпосередньо в домене, учасники мають права у всіх первинних і резервних контроллерах домена. У кожній робочій станції Windows 98 і в кожному комп'ютері Windows 2000 Server, який не є контроллером домена, надані права застосовуються тільки до цього єдиного комп'ютера.

Для кожного користувача підприємства обов'язково встановлюються свої права доступу до інформації, дозвіл на копіювання і відновлення файлів. [2]

6.1.6. Установка пароля і політика облікових карток

Для домена можна визначити всі аспекти політики пароля: мінімальну довжину пароля (за умовчанням 6 символів), мінімальний і максимальний вік пароля (за умовчанням встановлюється 14 і 30 днів) і виключність пароля, який оберігає користувача від зміни його пароля на той пароль, який користувач використав недавно (за умовчанням повинен оберегти користувачів від повторного використання їх останніх трьох паролів).

Дається можливість також визначити і інші аспекти політики облікових карток:

- чи повинне відбуватися блокування облікової картки;

- чи повинні користувачі насильно відключатися від сервера після закінчення часів початку сеансу;

- чи повинні користувачі мати можливість входу в систему, щоб змінити свій пароль.

Коли дозволене блокування облікової картки, тоді облікова картка блокується у разі декількох безуспішних спроб початку сеансу користувача, і не більш, ніж через певний період часу між будь-якими двома безуспішними спробами початку сеансу. Облікові картки, які заблоковані, не можуть бути використані для входу в систему. Блокування облікової картки обов'язково повинне бути встановлене в підприємство, що б запобігти спробам входу в систему.

Якщо користувачі примусово відключаються від серверів, коли час його сеансу закінчився, то вони отримують попередження якраз перед кінцем встановленого періоду сеансу. Якщо користувачі не відключаються від мережі, то сервер зробить відключення примусово. Однак відключення користувача від робочої станції не станеться. Часи сеансу в фірмі встановлюватися не будуть, оскільки в успішній діяльності зацікавлені всі співробітники і часто деякі залишаються працювати понаднормово або у вихідні дні.

Якщо від користувача потрібно змінити пароль, то, коли він цього не зробив при простроченому паролі, він не зможе змінити свій пароль. При простроченні пароля користувач повинен звернутися до адміністратора системи за допомогою в зміні пароля, щоб мати можливість знов входити в мережу. Якщо користувач не входив в систему, а час зміни пароля підійшов, то він буде попереджений про необхідність зміни, як тільки він буде входити. Зміна свого пароля буде дозволена не для всіх користувачів, в комп'ютерних класах буде заборонено міняти пароль, ця можливість буде тільки у адміністрації мережі.

6.1.7. Шифрована файлова системаEFS

Windows2000 надає можливість ще більше захистити зашифровані файли і папки на томах NTFSблагодаря використанню шифрованої файлової системи EFS(EncryptingFileSystem). При роботі в середовищі Windows2000 можна працювати тільки з тими томами, на які є права доступу. У файлових системах, в яких не використовується шифрування, якщо запускається комп'ютер по мережі або скористатися завантажувальною дискетою MSDOSили Windows98, можна отримати доступ до всіх файлів, що зберігаються на диску, оскільки на користувача в цьому випадку не розповсюджуються обмеження доступу, відомості про яких містяться в спеціальних списках контролю доступу.

При використанні шифрованої файлової системи EFSможно файли і папки, дані яких будуть зашифровані за допомогою пари ключів. Будь-який користувач, який захоче отримати доступ до певного файла, повинен володіти особистим ключем, за допомогою якого дані файла будуть розшифровуватися. Система EFSтак же забезпечує схему захисту файлів в середовищі Windows2000. Однак не треба

забувати про те, що при використанні шифрування продуктивність роботи системи знижується.[2]

Висновок

У атестаційній роботі розглянуті питання організації корпоративної мережі.

Дана тема має важливе значення для подальшого розвитку підприємства. На сьогоднішній день розробка і впровадження локальних інформаційних систем є однією з самих цікавих і важливих задач в області інформаційних технологій. З'являється потреба у використанні новітніх технологій передачі інформації. Інтенсивне використання інформаційних технологій вже зараз є найсильнішим аргументом в конкурентній боротьбі, що розвернулася на світовому ринку.

Особлива увага приділена питанням безпеки і адміністрування мережі.

Як ОСИ вибрано сервера Windows 2000 Advanced Server, ОС робочих станцій Windows 2000 Рrofessional, т. до. ці ОС найбільш надійні і більша кількість сучасного ПО розраховано на ці ОС. Крім ОС Windows 2000 володіє гнучкістю, що дозволяє розширювати, звужувати або розподіляти серверний системи без збитку для многофункциональности і співвідношення ціна/швидкодія для платформи операційної системи.

Так само операційна система Windows 2000 надає кошти для забезпечення конфіденційності і цілісності даних на наступних рівнях:

- при вході в мережу;

- в локальних мережах і при переході між мережами;

- при локальному зберіганні даних.

Зроблений також докладний огляд служб Windows 2000 AdvancedServer:

Головною відмінністю Windows 2000 є ActiveDirectory (служба каталогів) - один з найбільш важливих компонентів розподіленої комп'ютерної системи. Вона вирішує наступні задачі:

- Забезпечує задану адміністраторами безпеку для захисту даних від потенційних порушників.

- Розподіляє вміст каталога по багатьох комп'ютерах мережі.

- Реплицирует каталог, щоб зробити його доступним для більшого числа користувачів, а також підвищити його отказоустойчивость.

- Розбиває каталог на розділи по декількох сховищах, створюючи можливість зберігання дуже великого числа об'єктів.

DHCP (DynamicHostConfigurationProtocol) - це стандарт, описаний в документах RFC (RequestforComments) і що дозволяє DHCP-серверам динамічно розподіляти IP-адреси, а також управляти відповідними параметрами конфігурації протоколу IP для мережевих клієнтів, підтримуючих стандарт DHCP. DHCP спрощує і скорочує зусилля, що затрачуються на конфігурування вузлів TCP/IP. Кожний комп'ютер в мережі повинен мати унікальне ім'я і IP-адресу. При його переміщенні в іншу подсеть необхідно змінити IP-адресу і інші параметри конфігурації. Включення в проект сервера DHCP дозволить Вам динамічно оновлювати конфігурацію клієнтів.

DNS мережева служба дозволу імен, яка дозволяє комп'ютерам мережі реєструвати і виконувати прямий і зворотний дозвіл доменних імен в IP-адреси. Користувачі і додатки використовують доменні DNS-імена для пошуку і звернення до ресурсів, що надаються іншими комп'ютерами в корпоративній мережі і/або інших мережах, наприклад в Інтернеті.

DNS підтримує розподілену базу даних для реєстрації і обробки запросовполних доменних імен.

- DNS-сервер імен, відповідний вимогам документів RFC;

- підтримка взаємодії з іншими реалізаціями серверів DNS;

- інтеграція зі службами ActiveDirectory, WINS і DHCP;

- динамічне оновлення зон відповідно до рекомендацій RFC;

- додаткові зонні передачі між серверами DNS.

WINS підтримує розподілену базу даних для автоматичної реєстрації і обробки запитів на дозвіл NetBIOS-імен від комп'ютерів в мережі. Включіть в проект WINS, якщо потрібно дозвіл NetBIOS-імен в маршрутизируемой IP-середовищі.

Служба RoutingandRemoteAccess (Маршрутизація і видалений доступ) підтримує доступ видалених користувачів до ресурсів, розташованих в приватній мережі організації. Використайте RoutingandRemoteAccess, коли потрібно забезпечити доступ видаленим користувачам - по телефонній лінії або по VPN-каналу через Інтернет.

Так само в атестаційній роботі вибрана оптимальна апаратна конфігурація сервера і зроблений розрахунок навантаження спроектованої ЛВС.

Список використаної літератури

1. Windows 2000 Server. Учбовий курс MCSE. - М.: изд-у Російська редакція, 2000. - 612с.

2. Адміністрування мережі на основі Microsoft Windows 2000. Учбовий курс MCSE. - М.: изд-у Російська редакція, 2000. - 512с.

3. Андрія А. Г. Новие технології Windows 2000 / під ред. А. Н. Чекмарева - СПб.: БХВ - Санкт-Петербург, 1999. - 592с.

4. Вишневский А. Служба каталога Windows 2000. Учбовий курс. - СПб.: Питер, 2001. - 464с.

5. Кульгин М. Технология корпоративних мереж. Енциклопедія. - СПб.: Питер, 2001. - 704с.

6. Мілославська Н. Г/ Інтрасеті: доступ в Internet, захист. Учбова допомога для ВУЗов. - М.: ЮНИТИ, 1999 - 468 з.

7. Новиков Ю. Локальние мережі: архітектура, алгоритми, проектування. - М.: изд-у ЯКОМУ, 2000. - 568 з.

8. Норенков И. П., Трудоношин В. А. Телекоммуникационние технології і мережі. - М.: изд-у МГТУ ім. Н. Е. Баумана, 1999 - 392с.

9. Олифер В. Г., Оліфер Н. А. Компьютерние мережі. Принципи, технології, протоколи. Підручник для вузів. 2-е изд - СПб.: Питер-прес, 2002 - 864с.

10. Олифер В. Г., Оліфер Н. А. Новие технології і обладнання IP-мереж - СПб.: БХВ - Санкт-Петербург, 2000. - 512с.

11. Розробка інфраструктури мережевих служб MicrosoftWindows 2000. Учбовий курс MCSEМ.: изд-у Російська редакція, 2001. - 992с.

12. Сосински Би., Дж. Моськовіц Дж. Windows 2000 Server за 24 години. - М.: Видавничий будинок Вільямс, 2000. - 592с.

13. Тейт С. Windows 2000 для системного адміністратора. Енциклопедія. - СПб.: Питер, 2001. - 768с.