Проектирование инфраструктуры Active Directory и сети на основе MS Windows Server 2003

Официальное

пособием для

самоподготоики

Проектирование инфраструктуры Active Directory' и сети на основе Microsoft®

Windows erver 2003 Экзамен 7 0 - 2 9 7

Москва * Санкт-Петербург * Нижний Новгород * Воронеж Новосибирск * Ростов-на-Дону * Екатеринбург * Самара Киев * Харьков * Минск 2006

М . РУССКАЯ Р Е И К Ш

[^ППТЕР

Оф и ц и *шь н о с п о с о б и с дл я само п од го то i J I % .> i

» »,«,.

m i l l ,

j Li iP'

Проектирование инфраструктуры Active Direct и сети на основе Microsoft8

indows erver 2003 Экзамен 7<

ICS Москва * Санкт-Петербург * Нижний Новгород * Ворон Новосибирск * Ростов-на-Дону * Екатеринбург * Сама| Киев * Харьков * Минск 2006

ML РУССКАЯ Р Е П

Е^ППТЕР*

УДК 004 Б Б К 32.973.81-018.2 Г53

Уолтер Гленн при участии Майкла Т. Симпсона

Г53

Проектирование инфраструктуры Active Directory и сети на ос­ нове Microsoft Windows Server 2003. Учебный курс Microsoft / пер. с англ. — М. : Издательско-торговый дом «Русская Редакция»; СПб.: Питер, 2006. - 364 стр.: ил. ISBN 5-7502-0031-0 ISBN 5-469-01180-1 Этот учебный курс посвящен проектированию инфраструктуры службы ката­ логов Active Directory и сетей на основе Microsoft Windows Server 2003. Книга содержит необходимые сведения о сетевых технологиях Windows Server 2003, опи­ сание основных принципов проектирования сети, отвечающей требованиями кон­ кретной организации, и внедрения в ней Active Directory. Освоив теоретические материалы и выполнив практические задания курса, вы получите знания и навы­ ки, необходимые проектировщику сетевой инфраструктуры и службы каталогов. Книга адресована всем, кто хочет освоить методологию проектирования сетей на основе Microsoft Windows Server 2003 и внедрения Active Directory. Настоящий учебный курс поможет вам самостоятельно подготовиться к сдаче экзамена по программе сертификации Microsoft (сертификат Microsoft Certified System Engi­ neer) 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure. Книга состоит из 10 глав и предметного указателя, содержит множество иллюстраций и примеров из практики. На прилагаемом компакт-диске находятся электронная версия книги на английском языке, вопросы пробного экзамена, словарь терминов и др. справочные материалы. УДК 004 Б Б К 32.973.81-018.2 Подготовлено к изданию по лицензионному договору с Microsoft Corporation, Редмонд, Вашингтон, США. Active Directory, Authenticode, Microsoft, Microsoft Press, NetMeeting, логотипы Windows, Windows NT и Windows Server являются товарными знаками или охраня­ емыми товарными знаками корпорации Microsoft в США и/или других странах. Все другие товарные знаки являются собственностью соответствующих фирм. Все адреса, названия компаний, организаций и продуктов, а также имена лиц, используемые в примерах, вымышлены и не имеют никакого отношения к реаль­ ным компаниям, организациям, продуктам и лицам.

ISBN 0-7356-1970-0 (англ.) ISBN 5-7502-0031-0 ISBN 5-469-01180-1

© Оригинальное издание на английском языке, Microsoft Corporation, 2003-2005 © Перевод на русский язык, Microsoft Corporation, 2005 © Оформление и подготовка к изданию, издательскоторговый дом «Русская Редакция», 2005

Содержание

Об этой книге Глава 1 Введение в Active Directory и инфраструктуру сетей Занятие 1. Обзор Active Directory Что такое Active Directory? Потребность в службах каталогов Что дают службы каталогов? Как Active Directory отвечает на предъявляемые требования Логическая структура Active Directory Объекты Домены Деревья Леса Организационные единицы Доверительные отношения Доверие к родительскому и дочернему доменам, а также к корневому домену дерева Внешнее доверие Доверие к сокращению Доверие к сфере Доверие к лесу Разбиение базы данных Active Directory на разделы Физическая структура сети Контроллер домена Сайт Репликация в Active Directory Закрепление материала : Резюме Занятие 2. Обзор DNS Разрешение имен Введение в DNS Пространство доменных имен Зоны и серверы имен Процесс разрешения имен Записи ресурсов Как Active Directory использует DNS Закрепление материала Резюме

XVII 1 2 2 2 2 4 4 4 5 6 7 7 8 8 9 9 10 10 10 11 11 13 13 15 15 16 16 17 17 19 20 22 23 24 24

Содержание Занятие 3. Обзор TCP/IP Архитектура TCP/IP Прикладной уровень Транспортный уровень Межсетевой уровень Уровень сетевого доступа IP-адресация Классы IP-адресов Classless Internet Domain Routing (CIDR) Частные адреса IP-маршрутизация Автоматическое назначение IP-адресов через DHCP Закрепление материала Резюме Занятие 4. Базовые сведения об удаленном доступе Что дает удаленный доступ Типы соединений удаленного доступа Протоколы, используемые при маршрутизации и удаленном доступе Протоколы удаленного доступа Защита при удаленном доступе Защита на основе аутентификации пользователей Защита на основе управления соединением Защита на основе управления доступом Закрепление материала Резюме Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

25 25 26 26 27 28 28 29 30 31 32 33 34 34 35 35 35 36 36 37 37 38 39 39 40 40 41 41 42 43

Глава 2 Анализ существующей инфраструктуры Занятие 1. Изучение структуры организации Учет географии организации Локальная модель Региональная модель Национальная модель Международная модель Филиалы Дочерние компании Запись результатов анализа Оценка текущего использования WAN-соединений Информационные потоки Анализ текущей модели администрирования Планирование на будущее Закрепление материала Резюме Занятие 2. Анализ топологии существующей сети Сетевая среда Маршрутизаторы и другое сетевое оборудование IP-адресация Серверы и рабочие станции Создание инвентарного списка В какое время используется система

46 47 47 48 48 49 49 49 50 51 52 52 53 54 54 55 55 55 55 56 56 57 57

Содержание

у||

Анализ требований к производительности Изучение нерешенных проблем Проверка текущей производительности Оценка требований Закрепление материала Резюме Занятие 3. Анализ структуры существующих каталогов Анализ существующей инфраструктуры Windows 2000 Текущая модель доменов Текущая структура организационных единиц Текущая структура сайтов и контроллеров домена Анализ существующей инфраструктуры Windows NT 4.0 Функциональные уровни Windows 2003 Функциональность домена Функциональность леса Лабораторная работа. Анализ существующей структуры каталогов Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

58 58 58 59 59 59 59 60 60 61 62 62 64 64 64 65 65 66 66 67 67 67 67 67 68 68 68 68 68 69 69 70 70

Глава 3 Планирование структуры Active Directory Занятие 1. Проектирование модели лесов и доменов Применение одного домена Применение нескольких доменов Применение нескольких деревьев в лесу Применение нескольких лесов Лабораторная работа. Создание модели лесов и доменов Сценарий Вопросы по лабораторной работе Закрепление материала : Резюме Занятие 2. Выработка стратегии именования LDAP и именование в Active Directory Относительные составные имена Составные имена Канонические имена Основные имена пользователей Идентификаторы защиты Определение стратегии именования

74 75 75 77 81 82 84 84 85 86 86 86 86 87 87 88 88 88 89

¥111

Содержание

Поддержка зарегистрированных DNS-имен Выбор доменных имен Именование участников системы безопасности Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

90 91 91 92 93 93 93 93 93 94 94 94 94 95 95 95 96 96

Глава 4 Проектирование административной структуры защиты

100

Занятие 1. Проектирование структуры OU Введение в OU Применение OU для делегирования административного управления Архитектура, основанная на объектах Архитектура, основанная на задачах Планирование структуры OU Применение OU для ограничения видимости объектов Применение OU для управления групповой политикой Контейнеры и OU по умолчанию Планирование наследования Стандартные модели структуры OU Модель на основе местонахождения Модель на основе структуры организации Модель на основе функций Смешанная модель — сначала по местонахождению, затем по структуре организации Смешанная модель — сначала по структуре организации, затем по местонахождению Лабораторная работа. Проектирование структуры OU Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 2. Планирование стратегии управления учетными записями Типы учетных записей Планирование учетных записей компьютеров Планирование учетных записей пользователей Типы учетных записей пользователей Встроенные учетные записи пользователей Именование учетных записей пользователей Планирование политики управления паролями Выработка стратегии аутентификации

101 102 !02 103 104 104 106 107 108 109 109 110 111 112 113 114 114 115 116 116 116 117 117 118 118 119 119 120 120 121

Содержание

|)(

Планирование групп 122 Типы групп 122 Области действия групп 122 Вложение групп 124 Именование групп 124 Взаимодействие пользователей и групп 124 Лабораторная работа. Планирование стратегии управления учетными записями .. 125 Закрепление материала 126 Резюме 126 Занятие 3. Планирование реализации групповой политики 126 Введение в групповую политику 127 Параметры программ 127 Параметры Windows 128 Административные шаблоны 128 Разрешение GPO из нескольких источников 129 Наследование групповой политики 130 Фильтрация GPO с помощью разрешений 131 Планирование структуры GPO 131 Связывание GPO с доменом 131 Связывание GPO с сайтом 131 Связывание GPO с OU 132 Планирование развертывания GPO 132 Администрирование групповой политики 132 Требования к клиентам, поддерживающим групповую политику 133 Лабораторная работа. Проектирование реализации групповой политики 133 Сценарий 134 Вопросы 135 Закрепление материала 135 Резюме 135 Пример из практики 136 Краткие сведения о компании 136 География 136 Сетевая инфраструктура 136 ИТ-менеджмент 137 Требования 137 Вопросы 137 Резюме главы 137 Рекомендации по подготовке к экзамену 139 Основные положения 139 Основные термины 139 Вопросы и ответы 140 Глава 5 Планирование сайтов Занятие 1. Проектирование топологии сайтов : Для чего нужны сайты Управление трафиком входа на рабочие станции Управление трафиком репликации Управление топологией DFS Управление FRS Выбор структуры сайтов Закрепление материала Резюме

144 145 145 146 147 147 148 148 150 150

)(

Содержание

Занятие 2. Планирование контроллеров доменов Планирование размещения контроллеров доменов Как определить, нужен ли контроллер домена для данного участка Как определить количество необходимых контроллеров доменов Как разместить контроллеры корневого домена леса Планирование серверов — хозяев операций Роли хозяев операций уровня леса Роли хозяев операций уровня домена Планирование серверов глобального каталога Планирование пропускной способности контроллеров доменов Определение требований к процессорам Определение требований к дисковому пространству Определение требований к памяти Лабораторная работа. Планирование контроллеров доменов Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 3. Планирование стратегии репликации Процесс репликации Внутрисайтовая и межсайтовая репликация Как выполняется репликация Связи сайта Транзитивность связей сайтов и мосты таких связей Назначение цен связям сайтов Расписание доступности связей сайтов Создание связей сайтов Серверы-плацдармы Лабораторная работа. Создание структуры сайтов и стратегии репликации Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 4. Разработка стратегии перехода Переход от доменов Windows NT 4 Переход от доменов Windows 2000 Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Вопросы Основные и ответы термины

151 151 151 152 153 153 153 154 155 157 157 157 158 158 158 159 160 160 161 161 161 162 163 163 165 166 166 166 167 167 169 169 169 170 170 171 171 172 172 172 172 172 173 173 173 173 174 175 175 176

Содержание Глава 6 Проектирование структуры DNS Занятие 1. Анализ существующей реализации DNS Обзор DNS Компоненты DNS Зоны DNS Зонные передачи Роли DNS-серверов Анализ существующего пространства имен Ход анализа Закрепление материала Резюме Занятие 2. Проектирование стратегии разрешения DNS-имен Создание проекта пространства имен Проектирование пространства имен DNS Выбор домена Проектирование пространства имен DNS для Active Directory Взаимодействие DNS с Active Directory, WINS и DHCP Интеграция с Active Directory Установка Active Directoiy Интеграция DNS с DHCP Служба WINS Запись ресурса WINS Запись обратного просмотра WINS Требования к зонам Стандартная основная зона Зона, интегрированная в Active Director»' Защита DNS Потенциальные угрозы безопасности Защита инфраструктуры DNS Защита данных при репликации Взаимодействие со службой BIND в UNIX Версии BIND, протестированные Microsoft Зонная передача BIND Лабораторная работа. Проектирование пространства имен DNS для лесов и доменов Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 3. Проектирование реализации DNS Хранение зон Разделы каталога приложений Зоны-заглушки Проектирование зон обратного просмотра Параметры DNS-сервера Настройка DNS-сервера Закрепление материала Резюме Занятие 4. Разработка стратегии размещения служб DNS Проектирование размещения служб DNS Размещение серверов Мониторинг DNS Кэширующие серверы

181 182 182 183 183 184 185 185 186 187 187 188 188 188 188 189 189 190 190 191 191 191 192 192 193 193 193 194 194 195 196 196 196 197 197 198 199 199 199 200 200 201 201 201 201 201 202 202 202 203 204 204

Содержание Балансировка нагрузки Удаленные участки сети Лабораторная работа. Проектирование инфраструктуры DNS Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Пример из практики •. Общие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

205 206 206 206 206 206 207 207 207 207 207 208 208 208 209 210 210 210 210

Глава 7 Проектирование структуры WINS Занятие 1. Введение в WINS Обзор WINS Новинки Windows Server 2003 Обзор разрешения NetBIOS-имен Разрешение NetBIOS-имен Компоненты WINS WINS-сервер WINS-клиенты Прокси WINS База данных WINS Файлы БД WINS Размер БД Закрепление материала Резюме Занятие 2. Проектирование инфраструктуры WINS Создание концептуального плана Выработка стратегии разрешения NetBIOS-имен Сколько потребуется WINS-серверов? Стратегия размещения WINS-серверов Стратегия для медленных линий связи Обеспечение отказоустойчивости Немаршрутизируемые сети Маршрутизируемые сети Закрепление материала Резюме Занятие 3. Разработка стратегии репликации WINS Выработка стратегии репликации Пример стратегии репликации Извещающие партнеры Опрашивающие партнеры Опрашивающие/извещающие партнеры Удаление и захоронение записей Защита инфраструктуры WINS

215 216 216 216 216 220 220 220 222 222 224 224 225 225 226 226 227 227 227 228 228 229 230 230 231 231 232 232 232 233 233 234 234 234

Содержание

"К\\\

Лабораторная работа. Проектирование репликации WINS Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

235 235 235 235 236 236 236 236 236 236 237 237 237 238 238 239 239

Глава 8 Проектирование инфраструктуры сети и маршрутизации Занятие 1. Создание схемы IP-адресации Введение в двоичную систему счисления Двоичная система счисления Шестнадцатеричная система счисления J Р-адресация Классы IP-адресов Получение IP-адреса Маска подсети Организация подсетей Сколько битов занимать? Лабораторная работа. Создание схемы IP-адресации Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Занятие 2. Проектирование периметра сети Защита частной сети Документирование периметра Программные и аппаратные компоненты периметра Имена, пароли и IP-адреса Закрепление материала Резюме Занятие 3. Введение в DHCP Обзор DHCP :, Назначение IP-адресов Создание области DHCP Агент DHCP-ретрансляции Автоматическая частная IP-адресация Защита инфраструктуры DHCP Закрепление материала Резюме Занятие 4. Разработка стратегии DHCP Проектирование схемы адресации DHCP Сколько потребуется DHCP-серверов?

243 244 244 244 245 246 246 247 248 249 249 253 253 253 254 255 255 255 258 258 258 258 259 259 260 260 260 261 262 262 262 263 263 263 263

Содержание

Размещение DHCP-серверов Требования к серверу Повышение доступности DHCP-серверов: правило «80/20» Интеграция DNS Поддержка различных DHCP-клиентов Лабораторная работа. Выработка стратегии DHCP Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании Сетевая инфраструктура Планы на будущее Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

264 264 265 265 265 266 266 266 266 267 267 267 267 268 268 268 268 270 270 270 271

Глава 9 Проектирование подключения к Интернету

276

Занятие 1. Определение требований к избыточности Создание избыточной инфраструктуры Оценка поставщиков услуг Интернета Закрепление материала Резюме Занятие 2. Определение требований к пропускной способности канала Потребности в пропускной способности Потребности дополнительных служб в пропускной способности Виртуальные частные сети Увеличение доступной пропускной способности Закрепление материала Резюме Занятие 3. Преобразование сетевых адресов Обзор NAT Проблема нехватки IP-адресов Дополнительная защита NAT Ограничения NAT Редакторы NAT Технология NAT Traversal Закрепление материала Резюме Занятие 4. Проектирование стратегии NAT Создание концептуального проекта Серверы NAT Размещение сервера Производительность сервера Конфигурация интерфейса сервера Защита NAT входящего трафика Фильтры исходящего трафика

277 277 278 279 280 280 281 281 282 282 283 283 284 284 286 286 287 287 287 287 288 288 288 290 290 290 290 291 291

Содержание

Wlf

Доступ к ресурсам частной сети Лабораторная работа. Разработка стратегии NAT Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики География Сетевая инфраструктура Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

291 293 293 294 294 295 295 295 296 296 296 297 297 298 299

Глава 10 Выработка стратегии удаленного доступа Занятие 1. Стратегия удаленного доступа Обзор удаленного доступа Компоненты удаленного доступа через коммутируемые линии Сетевой клиент Сколько точек доступа потребуется? Защита беспроводного доступа Сервер доступа к сети Методы аутентификации при удаленном доступе Размещение серверов доступа к сети Удаленный доступ через VPN Обзор VPN Компоненты VPN Размещение VPN серверов Создание концептуального плана Задавайте верные вопросы Лабораторная работа. Проектирование доступа через беспроводную сеть Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Занятие 2. Проектирование инфраструктуры удаленного доступа Планирование пропускной способности инфраструктуры удаленного доступа Требования к оборудованию VPN-сервера Требования к проекту Обеспечение избыточности Создание решения на основе коммутируемого доступа Создание решения на основе VPN Лабораторная работа. Проектирование инфраструктуры удаленного доступа Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Занятие 3. Проектирование защиты удаленного доступа Защита инфраструктуры удаленного доступа Создание политики удаленного доступа Применение серверов IAS

303 304 304 304 305 308 308 309 310 311 311 311 312 313 313 313 315 315 315 315 316 316 316 317 317 319 319 319 320 320 320 320 321 321 321 322 323

Содержание Как работает RADIUS Проектирование решения на основе RADIUS Защита решений на основе RADIUS Обеспечение доступности решений на основе RADIUS Проектирование подключений клиентов Размещение серверов и клиентов RADIUS Лабораторная работа. Проектирование защиты удаленного доступа Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

324 325 325 326 326 327 327 327 328 328 328 328 329 329 329 329 329 331 331 331 332

Предметный указатель

336

Об этой книге

Мы рады представить вам учебный курс, посвященный проектированию инфраструк­ туры службы каталогов Active Directory и сетей на основе Microsoft Windows Server 2003. Вы узнаете, как формулировать требования к корпоративной сети, анализировать существующую сеть, а также проектировать инфраструктуру сети и службы каталогов Active Directory. В первой главе этой книги дается обзор технологий, которыми вы пользуетесь в сети под управлением Windows Server 2003. В следующих нескольких главах объясняет­ ся, как проектировать структуру Active Directory, т. е. планировать леса и домены, орга­ низационные единицы, административное управление, топологию сайтов и др. В ос­ тальных главах рассматривается, как проектировать инфраструктуру сети, причем ос­ новное внимание уделяется DNS (Domain Name System), WINS (Windows Internet Naming System), маршрутизации и удаленному доступу. Примечание О программе сертификации специалистов Microsoft Certified System En­ gineer — в разделе «Программа сертификации специалистов Microsoft».

Кому адресована эта книга Данный курс предназначен для ИТ-специалистов, занимающихся проектированием, разработкой и реализацией программных решений для сетевых сред Microsoft Windows с применением инструментария и технологий Microsoft, а также всем, кто желает сдать сертификационный экзамен 70-297: Designing a Microsoft Windows Server 2003 Active Di­ rectory and Network Infrastructure. Примечание Конкретное содержание любого экзамена определяется компанией Micro­ soft и может быть изменено без предварительного уведомления.

Предварительные требования Для изучения данного курса необходимо хорошо понимать сетевые технологии в Win­ dows Server 2003. Хотя в главе 1 дан обзор этих технологий, у вас должен быть опыт администрирования Windows в сетевой среде (от 12 до 18 месяцев).

Об этой книге

- Содержимое компакт-диска Компакт-диск учебного курса содержит ряд вспомогательных материалов, необходи­ мых при изучении всего курса. • Примерные экзаменационные вопросы в системе Microsoft Press Readiness Review Suite, поддерживающей разные режимы тестирования. Они дадут вам представление о сертификационном экзамене, а .также позволят выяснить, насколько полно вы ус­ воили материал этого курса: • Электронные книги. На компакт-диске записана полная электронная версия мате­ риалов учебного курса, книги «Microsoft Encyclopedia of Networking, Second Edition» и «Microsoft Encyclopedia of Security», а также избранные главы из книг издательства Microsoft Press no Windows Server 2003 на английском языке. • Словарь терминов. Дополнительные "сведения о данном курсе и прилагаемом компакт-диске (включая ответы на типичные вопросы об установке и использовании) см. на Web-сайте техни­ ческой поддержки издательства Microsoft Press по ссылке http://www.microsoft.com/mspress/ support. Вы также можете связаться с издательством Microsoft Press по электронной {[email protected]) или обычной почте (Microsoft Press Technical Support, One Micro­ soft Way, Redmond, WA 98052-6399).

Структура книги Для повышения эффективности обучения главы этой книги разбиты на разделы: • каждая глава начинается с раздела «Темы экзамена», где перечисляются освещае­ мые в ней разделы программы экзамена, за ним идет раздел «В этой главе» с крат­ ким обзором содержания главы в связи с реалиями проектирования и поддержки сетей; следующий раздел «Прежде всего» поможет подготовиться к изучению мате­ риала главы; • главы делятся на занятия, посвященные отдельным темам. Многие занятия включа­ ют не только теоретическую часть, но и лабораторную работу, которая позволит вам закрепить полученные знания; • занятия завершаются разделом «Закрепление материала». Вопросы этого раздела помогут проверить, насколько твердо вы усвоили материал. Ответы на вопросы при­ водятся в конце соответствующей главы; • в разделах «Пример из практики» в конце главы вам будет предложено проанализи­ ровать реальную ситуацию, чтобы научиться решать проблемы, возникающие в ре­ альных сетях; • каждое занятие завершается разделом «Резюме», где подводятся краткие итоги за­ нятия, а каждая глава — разделом «Резюме главы»; в нем формулируются основ­ ные выводы с указанием ключевых терминов и понятий, необходимых для сдачи экзамена.

Примечания В книге встречаются различные виды примечаний. • Совет — подсказывает более быстрый или нетривиальный способ решения задач, а также содержит полезные советы других специалистов.

•

Внимание! — содержит сведения, критические для выполнения поставленной зада­ чи, или предупреждение о возможной потере данных и повреждении системы. • Примечание — содержит дополнительную информацию. в Подготовка к экзамену — отмечает моменты, важные для подготовки к экзамену. и На заметку — практический совет, как эффективно применить навыки, получен­ ные на занятии.

Обозначения •

•

я • • •

и

Названия элементов интерфейса Windows, с которыми работают при помощи мыши или клавиатуры, набраны буквами полужирного начертания, первыми приводятся названия из русской версии Windows 2003 Server, а за ними в скобках — названия тех же элементов из английской версии этой ОС; пример: кнопка Пуск (Start). Курсив в операторах указывает, что в этом месте следует подставить собственные значения; новые понятия и термины; названия служб и инструментов также напе­ чатаны курсивом. Расширения имен файлов набраны строчными буквами. Аббревиатуры напечатаны ПРОПИСНЫМИ БУКВАМИ. Примеры кода, текста, выводимого на экран, а также вводимого в командной стро­ ке и в различных полях, выделены моноширинным шрифтом. В квадратные скобки, [ ], заключаются необязательные элементы. Например, нали­ чие в синтаксисе команды элемента [filename] показывает, что здесь можно ввести имя файла. Сами скобки вводить не надо. В фигурные скобки, {}, заключаются обязательные элементы. Так, наличие в син­ таксисе команды элемента {filename} показывает, что здесь необходимо ввести имя файла, сами скобки вводить не надо.

Начало работы Данный учебный курс дает массу возможностей на практике опробовать изучаемые концепции проектирования. Упражнения, представленные в этой книге, помогают ос­ воить принципы проектирования и не требуют работы за компьютером. Однако, если вы планируете работать с Windows Server 2003 Enterprise Edition, используйте этот раз­ дел для подготовки необходимой аппаратно-программной среды.

Оборудование Тестовый компьютер должен соответствовать.приведенной ниже минимальной конфи­ гурации. Все оборудование должно быть перечислено в списке устройств, совместимых с Microsoft Server 2003 (http://www.microsoft.com/windowsserver2003/evaluation/sysreqs/). Windows Server 2003 Enterprise Edition предъявляет следующие требования: • процессор с тактовой частотой минимум 133 МГц для компьютеров на базе процес­ соров х86 (рекомендуется 733) и 733 МГц для компьютеров на базе процессоров Itanium; я» не менее 128 Мб оперативной памяти (рекомендуется 256); * 1,5 Гб свободного дискового пространства для компьютеров на базе процессоров х86 и 2,0 Гб для компьютеров на базе процессоров Itanium.

)Q(

Об этой книге

Вопросы пробного экзамена На компакт-диске находится пробный экзамен из 300 вопросов для повторения основ­ ных тем. Используйте его для закрепления материала и выявления тем, которые жела­ тельно повторить. Чтобы установить на жесткий диск вопросы пробного экзамена, выполните следу­ ющие действия. 1. Вставьте прилагаемый компакт-диск в привод CD-ROM. Примечание Если на вашем компьютере отключена функция автозапуска, следуй­ те указаниям из файла Readme.txt на компакт-диске. 2. В открывшемся меню щелкните Readiness Review Suite и следуйте указаниям про­ граммы.

Электронные книги На прилагаемом компакт-диске вы найдете электронную версию этой книги на ан­ глийском языке, а также книги Microsoft Encyclopedia of Security и Microsoft Encyclopedia of Networking, Second Edition в формате PDF. Для просмотра электронных книг вос­ пользуйтесь программой Adobe Acrobat Reader. Для установки электронных книг выполните следующие действия. 1. Вставьте прилагаемый компакт-диск в привод CD-ROM своего компьютера. Примечание Если на вашем компьютере отключена функция автозапуска, следуй­ те указаниям из файла Readme.txt на компакт-диске. 2. Щелкните в открывшемся меню ссылку Training Kit eBook и следуйте указаниям программы. Аналогичным образом можно установить или просмотреть другие элек­ тронные книги, имеющиеся на компакт-диске.

Программа сертификации специалистов Microsoft Программа сертификации специалистов Microsoft (Microsoft Certified Professional, MCP) — отличная возможность подтвердить ваши знания современных технологий и профаммных продуктов этой фирмы. Лидер отрасли в области сертификации, Microsoft разработала современные методы тестирования. Экзамены и программы сертифика­ ции подтвердят вашу квалификацию разработчика или специалиста по реализации решений на основе технологий и программных продуктов Microsoft. Сертифицирован­ ные Microsoft профессионалы квалифицируются как эксперты и высоко ценятся на рынке труда. Примечание Полный список преимуществ сертифицированных специалистов см. по ссылке http://www.microsoft.com/traincert/siart/itpro.asp.

Об этой книге

)()(|

Типы сертификации Программа сертификации специалистов предлагает 7 типов сертификации по разным специальностям. •

Сертифицированный специалист Microsoft (Microsoft Certified Professional, MCP) — пред­ полагает доскональное знание по крайней мере одной ОС из семейства Windows или ключевой платформы Microsoft. Такой специалист обладает навыками внедре­ ния продукта или технологии Microsoft как части корпоративного бизнес-решения.

•

Сертифицированный разработчик программных решений Microsoft (Microsoft Certified Solution Developer, MCSD) — проектирование и разработка решений для бизнеса с использованием средств разработки, платформ и технологий Microsoft, включая Microsoft .NET Framework.

т Сертифицированный разработчик прилохсений Microsoft (Microsoft Certified Application Developer, MCAD) — способен создавать, тестировать, развертывать и поддерживать мощные приложения с использованием средств и технологий от Microsoft, включая Visual Studio .NET и Web-сервисы XML. •

Сертифицированный системный инженер Microsoft (Microsoft Certified Systems Engineer, MCSE) — умеет эффективно анализировать потребности компаний, а также проек­ тировать и реализовать инфраструктуры для бизнес-решений на базе Windows Server 2003 и других операционных систем Microsoft.

•

Сертифицированный системный администратор Microsoft (Microsoft Certified System Administrator, MCSA) — занимается вопросами управления и устранения неполадок в существующих сетях и системах на основе Windows Server 2003 и других версий Windows.

•

Сертифицированный администратор баз данных Microsoft (Microsoft Certified Database Administrator, MCDBA) — разработка, реализация и администрирование баз данных Microsoft SQL Server.

•

Сертифицированный преподаватель Microsoft (Microsoft Certified Trainer, MCT) — теоре­ тическая и практическая подготовка для ведения соответствующих курсов с ис­ пользованием учебных материалов Microsoft Official Curriculum (MOC) в сертифи­ цированных центрах технического обучения Microsoft (Microsoft Certified Technical Education Centers, CTEC).

Требования к соискателям Требования к соискателям определяются специализацией, а также служебными функ­ циями и задачами. Соискатель сертификата Microsoft должен сдать экзамен, подтверждающий его глу­ бокие знания в области программных продуктов Microsoft. Экзаменационные вопросы, подготовленные с участием ведущих специалистов компьютерной отрасли, отражают реалии применения программных продуктов Microsoft. •

На звание Сертифицированного специалиста Microsoft сдают экзамен по работе с од­ ной из операционных систем. Кандидат может сдать дополнительные экзамены, которые подтвердят его право на работу с другими продуктами, инструментальными средствами или прикладными программами Microsoft.

I

Об этой миге

•

На звание Сертифицированного разработчика программных решений Microsoft сда три ключевых экзамена и один по выбору (соискатели сертификата MCSD для Mi­ crosoft .NET сдают четыре ключевых экзамена и один по выбору). • На звание Сертифицированного разработчика приложений Microsoft сдают два клю вых экзамена и один по выбору. • На звание Сертифицированного системного инженера Microsoft сдают семь экзам нов: пять ключевых и два по выбору. • На звание Сертифицированного системного администратора Microsoft сдают чет экзамена: три ключевых и один по выбору. • На звание Сертифицированного администратора баз данных Microsoft сдают три к чевых экзамена и один по выбору. • На звание Сертифицированного преподавателя Microsoft надо подтвердить свою те ретическую и практическую подготовку для ведения соответствующих курсов в ав­ торизованных учебных центрах Microsoft. Участие в программе требует соответствия требованиям, предъявляемым при ежегодном обновлении статуса сертифицирован­ ного преподавателя. Более подробные сведения о сертификации по этой программе можно получить на сайте http://www.microsoft.com/traincert/mcp/mct или в местном от делении компании Microsoft.

Техническая поддержка

Мы постарались сделать все от нас зависящее, чтобы и учебный курс, и прилагаемый к нему компакт-диск не содержали ошибок. Издательство Microsoft Press публикует постоянно обновляемый список исправлений и дополнений к своим книгам по ссылке http://mspress. microsoft, com/support. Если у вас все же возникнут вопросы или вы захотите поделиться своими предло­ жениями или комментариями, обращайтесь в издательство Microsoft Press по одному из указанных ниже адресов: Электронная почта: [email protected] Почтовый адрес: Microsoft Press Attn: MCSE Self-Paced Training Kit (Exam 70-297): Designing a Microsoft Windows Se 2003 Active Directory and Network Infrastructure, Editor One Microsoft Way Redmond, WA 98052-6399 Самостоятельно найти ответы на свои вопросы можно в базе знаний Microsoft Press Knowledge Base на сайте http://www.microsoft.com/mspress/support/search.asp. Информаци по вопросам, связанным с поддержкой программных продуктов Microsoft, можно полу­ чить на сайте http://support.microsoft.com.

ГЛАВА

1

Введение в Active t и инфраструктуру сет

Занятие 1. Обзор Active Directory

2

Занятие 2. Обзор DNS

16

Занятие 3. Обзор TCP/IP

25

Занятие 4. Базовые сведения об удаленном доступе

35

Темы экзамена •

Первая глава представляет собой обзор технологий, о которых нужно знать при про­ ектировании инфраструктуры сети, и не является изложением какой-либо темы эк­ замена.

В этой главе Проектирование сети — задача непростая. Во всех главах этой книги вы будете учиться оценивать требования к сети, анализировать существующие структуру предприятия и сетевую конфигурацию, а также проектировать соответствующее решение на основе технологий Microsoft Windows Server 2003. Большая часть книги посвящена практиче­ ским аспектам проектирования сети. В этой главе вы познакомитесь с соответствующей теоретической частью. Она начи­ нается с обзора службы каталогов Microsoft Active Directory и доменной системой име­ нования (Domain Name System, DNS), от которых зависит базовая структура сети. Здесь же вы найдете обзоры проектирования инфраструктуры TCP/IP и удаленного доступа. Хотя одна-единственная глава никогда не сделает вас экспертом по этим технологиям, вы получите необходимые базовые сведения, необходимые для понимания принципов проектирования, рассматриваемых в остальных главах книги. Эти сведения также важ­ ны для понимания того, как устроена сеть и какова роль Microsoft Windows Server 2003 в управлении и поддержке работы сети.

Прежде всего Для изучения материалов этой главы вы должны знать базовые концепции администри­ рования Microsoft Windows 2000 Server или Windows Server 2003.

Введение и Actwe Directory и инфраструктуру сетей

Глава 1

Занятие 1. Обзор Active Directory Active Directory предоставляет средства для координации ресурсов в сети и служит цен­ трализованным источником информации об этих ресурсах. На этом занятии вы позна­ комитесь с основными функциями и архитектурой Active Directory. Изучив материал этого занятия, вы сможете:

•/ объяснить предназначение Active Directory в сети; •S описать логическую и физическую структуру Active Directory; •S рассказать о взаимодействии между различными компонентами Active Directory; •f описать значение Active Directory Schema. Продолжительность занятия - около 45 минут.

Что такое Active Directory? Каталог (directory) — на самом деле простой способ упорядочения чего угодно. Ката­ логи прочно вошли в нашу жизнь. Вы пользуетесь каталогом, отыскивая номер в теле­ фонной книге. То же самое вы делаете, когда организуете файлы и папки на жестком диске своего компьютера. И Active Directory тоже является неким набором информа­ ции — в данном случае о ресурсах, доступных в сети Windows Server 2003. Потребность в службах каталогов

Традиционный способ обращения с колоссальным объемом информации о сетевых ре­ сурсах — хранение ее в отдельных каталогах, которые обычно управляются приложени­ ем или компонентом операционной системы, использующим эту информацию. Если вам нужен пример, вспомните, что было всего несколько лет назад в версиях Windows, предшествующих Windows 2000. Так, в типичной сети на основе Windows NT 4.0 вы могли бы обнаружить несколько каталогов с информацией, разбросанной по сер­ верам этой сети. Списки пользователей и управления доступом хранились в каталоге, который назывался базой данных Security Accounts Manager (SAM). Почтовые ящики Exchange Server и их сопоставления с пользователями размещались в каталоге Exchange. Прочие службы и приложения поддерживали свои каталоги. Хотя взаимодействие меж­ ду этими каталогами в какой-то мере было возможным, по большей части они были изо­ лированными. Чаще всего каталоги разрабатывались под конкретные приложения. У разработчиков этих каталогов не было реального стимула думать об интеграции с другими системами. Однако администраторы и пользователи, вынужденные выполнять все больше и больше работы, отчаянно нуждались в том, чтобы все эти раздельные базы данных могли взаи­ модействовать между собой и чтобы ими можно было управлять как единым целым. Что дают службы каталогов?

Функциональность служб каталогов выходит далеко за рамки таковой у разрозненных каталогов, поскольку они служат единым источником всей информации. Active Di­ rectory — не первая служба каталогов. В современных сетях используется несколько служб каталогов и стандартов. Вот лишь некоторые из них.

Занятие 1 •

•

• •

Обзор Active Directory

Х.500 и Directory Access Protocol (DAP). X.500 — спецификация Internet Standards Organization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов. Lightweight Directory Access Protocol (LDAP). LDAP была разработана в ответ на критические замечания по DAP, которая оказалась слишком сложной для примене­ ния в большинстве случаев. LDAP быстро стала стандартным протоколом каталогов в Интернете. Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, со­ вместимая со стандартом Х.500. Active Directory. Составная часть сетей под управлением Windows Server 2000 или Windows Server 2003. Соответствует стандарту LDAP.

Примечание Более подробные технические сведения о стандартах Х.500, DAP и LDAP (а также о любых других стандартах Интернета) — на www.ietf.org, официальном сайте Internet Engineering Task Force (IETF). Используйте поиск по ключевым словам «Х.500», «DAP» или «LDAP». В сложной сети служба каталогов должна обеспечивать эффективный способ управ­ ления, поиска и доступа ко всем ресурсам в этой сети, например к компьютерам, прин­ терам, общим папкам и т. д. Хорошая реализация службы каталогов дает следующие ос­ новные преимущества. а Централизация. Смысл централизации — уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог со­ здает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), когда возникает необходимость в поиске ресурсов, ш Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек. То есть она должна поддерживать какой-либо спо­ соб разбиения базы данных каталога на разделы, чтобы не утратить контроль над ба­ зой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации. •

Стандартизация. Служба каталогов должна предоставлять доступ к своей инфор­ мации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в Active Directory (и публиковать их в ней), а не поддержи­ вать собственные каталоги. в Расширяемость. Служба каталогов должна тем или иным способом позволять адми­ нистраторам и приложениям расширять в соответствии с потребностями организа­ ции набор информации, хранимой в каталоге. я Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть траспарентной пользователям и администраторам. Ресурсы можно на­ ходить (и обращаться к ним), не зная, как и где они подключены к сети. • Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, вы­ борки и публикации информации о сетевых ресурсах.

Введение в Active Directory и инфраструктуру сетей

Гяава 1

Как Active Directory отвечает на предъявляемые требования Active Directory отвечает всем требованиям к службе каталогов, изложенным в предыду­ щем разделе. • Active Directory — централизованная служба каталогов с единой базой данных сете­ вых ресурсов, которой легко управлять и в которой нетрудно вести поиск. я Active Directory является масштабируемой, так как позволяет разбивать базу данных на разделы и распределять, ее по доменам сети, в то же время обеспечивая управле­ ние ею как единым каталогом. и Active Directory соответствует стандартам, поскольку к ее информации можно обра­ щаться через LDAP (открытый стандарт Интернета, утвержденный IETF). я Active Directory расширяема, что позволяет разработчикам использовать каталог для хранения информации своих приложений. и Active Directory безопасна, так как тесно интегрирована с системой защиты Windows Server 2003, • Active Directory абстрагирует логическую структуру сети и идентификацию сетевых ресурсов от ее физической структуры. Подготовка к экзамену Важно помнить о роли Active Directory в Windows Server 2003. Active Directory является не только базой данных с информацией о сетевых ресурсах, но и службой, которая работает на контроллере домена и предоставляет доступ к этой базе данных.

Логическая структура Active Directory Почему у Active Directory такая высокая масштабируемость и такие широкие возмож­ ности в конфигурировании? Дело в том, что она отделяет логическую структуру иерар­ хии доменов Windows Server 2003 (которая состоит из доменов, деревьев, лесов, орга­ низационных единиц и объектов) от физической структуры самой сети. Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, от­ талкиваясь не от требований физической сети, а от административных и организаци­ онных требований. Поскольку Active Directory отделяет логическую структуру сетевых ресурсов от физи­ ческой структуры самой сети, рассмотрение Active Directory целесообразно построить по тому же принципу. Логические компоненты структуры Active Directory включают: • объекты; • домены; • деревья; • леса; • организационные единицы

Объекты Ресурсы хранятся в Active Directory как объекты. Поскольку объект — самый понят­ ный компонент Active Directory (обычно представляющий реальный ресурс), с него мы и начнем.

Занятие 1

Обзор Active Directory

Объекты хранятся в Active Directory в виде иерархической структуры контейнеров и подконтеинеров, упрощающей поиск, доступ и управление, она во многом похожа на файловую систему Windows с файлами в папками. Вы можете адаптировать структуру каталога в соответствии с потребностями вашей организации и масштабировать ее под сеть любого размера. • Классы объектов. Объект на самом деле представляет собой просто набор атрибу­ тов. Например, объект пользователя (user object) состоит из таких атрибутов, как имя, пароль, телефонный номер, сведения о членстве в группах и т. д. Атрибуты, образующие объект, определяются классом объекта. В частности, класс пользовате­ ля описывает атрибуты, из которых состоит объект пользователя. Классы помогают классифицировать объекты по сходным характеристикам. Все объекты пользователей относятся к классу Users. Когда вы создаете новый объект, он автоматически наследует атрибуты от своего класса. Microsoft определяет исходный набор классов объектов (и атрибутов, которые они описывают), используемых Active Directory в Windows Server 2003. Конечно, поскольку Active Directory расширяема, администраторы и приложения могут модифицировать доступные классы объектов и атрибуты, определенные в этих классах. в Active Directory Schema. Классы и атрибуты, определяемые ими, собирательно на­ зываются Active Directory Schema — в терминологии баз данных схема (schema) — это структура таблиц и полей, а также их взаимосвязи. Active Directory Schema можно считать набором данных (классов объектов), определяющим то, как органи­ зована и хранится реальная информация (атрибуты объекта) в каталоге. Почти все, что есть в Active Directory, — объекты; это относится и к самой схеме. Как и любые другие объекты, схема защищается списками управления доступом (access control lists, ACL), которые контролируются подсистемой защиты Windows Server 2003. Пользователи и приложения с соответствующими разрешениями могут читать и даже модифицировать эту схему.

Домены Базовая организационная структура в сетевой модели Windows Server 2003 — домен. Домен представляет административную единицу (administrative boundary). Компьютеры, пользователи и другие объекты внутри домена делят общую базу данных защиты (security database). Домены позволяют администраторам разделять сеть на зоны безопасности (security boundaries). Кроме того, администраторы из разных доменов могут устанавливать свои модели защиты; таким образом, модель защиты одного домена может быть изолирована от моделей защиты других доменов. Домены в основном предназначены для логическо­ го деления сети в соответствии с внутренней структурой организации. В достаточно круп­ ных организациях, где есть более одного-домена, обычно имеются подразделения, отве­ чающие за поддержку и защиту своих ресурсов. Домен Windows Server 2003 также представляет пространство имен, которое соответ­ ствует системе именования, давно привычной большинству администраторов сетей: DNS, применяемой в Интернете (DNS посвящено следующее занятие). При создании домену присваивается имя, отвечающее структуре, принятой в DNS. Например, полное доменное имя (fully qualified domain name, FQDN) сервера msnews в домене microsoft.com выглядело бы так: msnews.microsoft.com.

Введение в Active Directory и инфраструктуру сетей

Глава 1

Подготовка к экзамену Пространство имен — очень распространенный термин. Вам стоит запомнить, что в простейшем случае пространство имен является структурой (ча­ сто базой данных), в которой имена всех объектов уникальны, хотя и присваиваются по одному принципу. Примечание Когда все контроллеры домена работают под управлением Windows Server 2003, в этом домене доступен полный набор средств Active Directory. Но в доменах, где сосуществуют разные версии Windows Server, доступны не все средства. То же относится к лесам (forests). Если все контроллеры доменов в лесу работают под управлением Windows Server 2003, вы получаете доступ к дополнительным средствам Active Directory уровня лесов, блокируемые в лесах, где присутствуют более ранние версии Windows Server. Домены и леса только с Windows Server 2003 имеют более высокий функциональ­ ный уровень, чем таковые со смешанными версиями Windows Server. В этой главе под­ разумеваются домены и леса только с Windows Server 2003. Случаи сосуществования раз­ ных версий более подробно рассматриваются в главах 2 и 5. Деревья Несколько доменов организуется в иерархическую структуру, называемую деревом (tree). На самом деле, даже если в организации лишь один домен, у вас все равно имеется дерево. Первый домен, созданный в дереве, является корневым. Следующий домен считается дочерним по отношению к корневому. Это позволяет создавать в дереве мно­ жество доменов. Пример дерева показан на рис. 1-1. Здесь microsoft.com — первый домен, созданный в Active Directory, поэтому он считается корневым.

microsoft.com

microsoft.com

Рис. 1-1. Дерево — это иерархия доменов Все домены в дереве совместно используют общую схему и непрерывное простран­ ство имен. В примере на рис. 1-1 все домены, находящиеся в дереве под корневым

тие 1

Обзор Astive Directory

7

доменом, делят пространство имен microsoft.com. Единственное дерево достаточно для тех организаций, которые пользуются одним пространством имен DNS. Но для органи­ заций, где задействовано несколько пространств имен DNS, одного дерева мало. Вот здесь и применяется такая концепция, как лес.

Леса Лес — это группа из одного или более деревьев доменов, которые не образуют непре­ рывного пространства имен, но могут совместно использовать общую схему и глобаль­ ный каталог. В сети всегда есть минимум один лес, и он создается, когда в сети устанав­ ливается первый компьютер с поддержкой Active Directory (контроллер домена). Пер­ вый домен в лесу, называемый корневым доменом леса (forest root domain), играет осо­ бую роль, так как на нем хранится схема и он управляет именованием доменов для цело­ го леса. Его нельзя удалить из леса, не удалив сам лес. Кроме того, в иерархии доменов леса нельзя создать домен, который находился бы над корневым. На рис. 1-2 показан пример леса с двумя деревьями. У каждого дерева в лесу свое пространство имен. В данном случае microsoft.com — это одно дерево, а contoso.com — другое. Оба дерева находятся в лесу с именем microsoft.com.

Также является корневым доменом дерева microsoft.com

Корневой домен леса microsoft.com

д

research. \ '..i-j-jsoft.com \

bales. microsoft.com

- - Корневой домен дерева contoso.com

TKtg. contoso.com

1\!А europe.sales. microsoft.com

usa.sales. microsoft.com

Рис. 1-2. Деревья в лесу используют одну схему, но разные пространства имен Лес является крайней границей Active Directory — каталог не может охватывать более одного леса. Однако вы можете создать несколько лесов, а затем создать дове­ рительные отношения между нужными доменами в этих лесах; это позволяет предо­ ставлять доступ к ресурсам и учетным записям, которые находятся вне данного леса.

Организационные единицы Организационные единицы (organizational units, OU) позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена. В основном это дает возможность делегировать административные зала-

Введение в Active Directory к инфраструктуру сетей

Глаза

чи в домене. До появления Active Directory домен был наименьшим контейнером, кото­ рому вы могли бы назначить административные разрешения. То есть передать группе администраторов контроль над конкретным ресурсом было затруднительно или вообще невозможно, не предоставив им широких полномочий во всем домене. OU служит контейнером, в который можно поместить какие-либо ресурсы домена. После этого вы назначаете административные разрешения самой OU. Обычно структура OU соответствует функциональной или бизнес-структуре организации. Например, в сравнительно небольшой организации с единственным доменом можно было бы создать отдельные OU для отделов этой организации. OU поддерживают вложение (создание OU внутри другой OU), что обеспечивает более широкие возможности в управлении ресурсами. Однако чрезмерно сложная структура ОU внутри домена имеет свои недостатки. Ведь чем проще структура, тем легче реализация этой структуры и управление ею. Также учтите, что, начиная при­ мерно с 12-го уровня вложения OTJ, возникают серьезные проблемы с производитель­ ностью.

Доверительные отношении Поскольку домены разграничивают зоны безопасности, специальный механизм, назы­ ваемый доверительными отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)]. Windows Server 2003 поддерживает шесть типов доверительных отношений: • доверие к родительскому и дочернему доменам (parent and child trusts); м доверие к корневому домену дерева (tree-root trusts); ш доверие к внешнему домену (external trusts); • доверие к сокращению (shortcut trusts); •s доверие к сфере (realm trusts); ш доверие к лесу (forest trusts).

Доверие к родительскому и дочернему доменам, а также к корневому домену дерева Active Directory автоматически выстраивает транзитивные двусторонние доверитель­ ные отношения между родительскими и дочерними доменами в дереве доменов. При создании дочернего домена доверительные отношения автоматически формируются между дочерним доменом и его родителем. Эти отношения двусторонние, т. е. запросы на доступ к ресурсам могут поступать от одного из данных доменов к другому и наобо­ рот. Иначе говоря, оба домена доверяют друг другу. Доверие также является транзитивным, т. е. контроллеры доверяемого домена пе­ ресылают запросы на аутентификацию контроллерам доверяющих доменов (рис. 1-3). В данном примере транзитивные, двусторонние доверительные отношения существу­ ют между доменами А и В. Поскольку домен А доверяет домену В, а домен В — домену С, то домен А автоматически доверяет домену С.

Занятое

Обзор Active Directory

А А А

Двустороннее доверие /

\ Двустороннее доверие

Подразумеваемое транзитивное доверие

Рис. 1-3. Доверие между родительским и дочерними доменами позволяет пересылать запросы на аутентификацию по всему дереву доменов Двусторонние транзитивные доверительные отношения автоматически создаются и между корневыми доменами деревьев в одном лесу. Это резко упрощает управление доменами по сравнению с тем, что было в версиях Windows, предшествовавших Windows 2000. Вам больше не нужно конфигурировать отдельные односторонние доверительные отношения между доменами. В Windows Server 2003 в большинстве случаев вы можете полагаться на автоматически устанавливаемые типы доверительных отношений. Но бывают ситуации, где вам понадобятся другие типы доверительных отношений.

Внешнее доверие Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные доме­ ны (down-level domains) (домены, не поддерживающие Active Directory) не могут уча­ ствовать в двусторонних транзитивных доверительных отношениях, следует использо­ вать внешнее доверие. Внешнее доверие является односторонним. Доверяющий домен разрешает доступ к своим объектам пользователям из доверяемого домена, но в обрат­ ном направлении доверие не действует. Впрочем, вы можете создать два раздельных вне­ шних доверия (действующих в противоположных направлениях) между двумя доменами для имитации двустороннего доверия. Внешнее доверие также не является транзитивным; это означает, что доверительные отношения существуют лишь между двумя доменами и не распространяются на другие домены.

Доверие к сокращению Доверие к сокращению — это способ создания прямых доверительных отношений меж­ ду двумя доменами, которые уже могут быть связаны цепочкой транзитивных доверий, но которым нужно оперативнее реагировать на запросы друг от друга. Взгляните на де­ рево доменов, показанное на рис. 1-4. В этом сложном дереве все домены связаны тран­ зитивными доверительными отношениями. Но допустим, пользователь в домене В хочет получить доступ к ресурсу в домене К. Поскольку этого ресурса нет в домене пользова­ теля, запрос переадресуется следующему домену и так до тех пор, пока запрос не дойдет до нужного домена.

Введение в Active Directory и инфраструктуру сетей

^' *

Гяава 1

Доверие к сокращению

Рис. 1-4. Хотя все домены связаны транзитивными доверительными отношениями, разрешение этих связей требует времени Если же пользователям в домене В нужно часто обращаться к ресурсам в домене К, задержки, связанные с процессом переадресации запросов, могут стать весьма раздра­ жающим фактором. Выход — создать с помощью доверия к сокращению прямой дове­ рительный путь между доменами В и К. Это позволит напрямую передавать аутентификационные запросы между доменами В и К.

Доверие к сфере Доверие к сфере — новшество Windows Server 2003 — служит для подключения домена Windows Server 2003 к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5. Доверие к сфере может транзитивным или нетранзитив­ ным, одно- или двусторонним.

Доверие к лесу Доверие к лесу — тоже новшество Windows Server 2003 — упрощает управление не­ сколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними. Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user identification, ID), что и в его собственном лесу.

Разбиение базы данных Active Directory на разделы Как вы теперь знаете, Active Directory — набор всех объектов в лесу. По мере роста леса растет и каталог. Одна из проблем, которые пришлось решать при разработке каталога, — как сделать так, чтобы база данных каталога могла увеличиваться по мере расширения организации без ограничений по производительности сервера или по местонахождению в сети. Выход был найден: каталог разделяется на распределен­ ные разделы.

Занятие 1

0§зор Active Directory

Поскольку домены — основные строительные блоки сети, имеет смысл разделять каталог по границам доменов. Каждый домен содержит раздел каталога, который хранит информацию об объектах в этом домене. Разделы из всех доменов леса образуют полный каталог Active Directory. Важное преимущество разбиения каталога на разделы по доменам заключается в том, что в лес можно добавлять новые домены, не создавая лишней нагрузки на существую­ щие домены. При добавлении нового домена создается новый раздел, и контроллеры нового домена берут на себя большую часть работы, связанной с управлением этим разделом. На заметку Из-за поддержки доменов, деревьев, лесов и организационных единиц у вас может появиться соблазн задействовать все эти компоненты в своей реализации Active Directory. Однако всегда лучше проектировать инфраструктуру настолько про­ стой, насколько это позволяют потребности вашей организации. Проектирование и ре­ ализация инфраструктуры Active Directory — задача сама по себе достаточно трудная, и усложнять ее без необходимости незачем. Если для ваших административных задач хватает единственного домена и пары OU, на том и остановитесь. Ведь смысл Active Directory — облегчить админстрирование. Простая, тщательно продуманная инфраструк­ тура поможет добиться этой цели.

Физическая структура сети Физическая структура сети с Active Directory довольно проста по сравнению с ее логической структурой. Физическими компонентами являются контроллеры доменов и сайты.

Контроллер домена Контроллер домена — это сервер под управлением Windows Server 2003, на котором установлена и работает служба Active Directory. В домене можно создать любое число контроллеров. На каждом контроллере домена хранится полная копия раздела каталога данного домена. Контроллеры домена локально разрешают запросы на информацию об объектах в своем домене и пересылают в другие домены запросы на информацию, отсут­ ствующую в данном домене. Контроллеры домена также отслеживают изменения в ин­ формации каталога и отвечают за репликацию этих изменений на другие контроллеры. А раз каждый контроллер домена хранит полную копию раздела каталога для своего до­ мена, это означает, что контроллеры следуют модели репликации с несколькими хозяевами (multimaster model). To есть каждый контроллер просто хранит мастер-копию раздела, и с его помощью можно модифицировать эту информацию. Однако есть роли, которые могут быть присвоены контроллерам домена и при ко­ торых выбранный контроллер становится единственным, кому дозволено выполнять упомянутую выше задачу. К таковым относятся роли хозяина операций (operations master roles). Роли, действующие в границах леса. Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу. • Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов. 2 Зак. 312

Введение в Active Directory « инфраструктуру сетей

Глава 1

определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно. и Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности до­ менов. Domain Naming Master запрашивается при добавлении к лесу новых доме­ нов. Если Domain Naming Master недоступен, добавление новых доменов невозмож­ но; однако при необходимости эта роль может быть передана другому контроллеру. Общедоменные роли. Существует три роли хозяина операций, которые могут быть на­ значены одному из контроллеров в каждом домене. в Хозяин RID [Relative Identifier (RID) Master]. Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. Идентифика­ тор защиты (security identifier, SID) — уникальный идентификатор каждого объекта в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан. а Эмулятор основного контроллера домена [Primary Domain Controller (PDC) Emulator]. Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC — ре­ гистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обра­ щение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход. в Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры до­ мена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master — передавать информацию об изменениях, внесенных в объекты, в другие домены. Сервер глобального каталога. Одна из функций сервера, которую можно назначить контроллеру домена. Сервер глобального каталога поддерживает подмножество атрибу­ тов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компьютеры, например регистрационное имя пользователя. Серверы гло­ бального каталога выполняют две важные функции. Они дают возможность пользова­ телям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раз­ дела и реплицируется между серверами глобального каталога в домене. Когда пользова­ тель пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Без гло­ бального каталога этот запрос мог бы долго передаваться от одного контроллера домена к другому. Если в вашей сети один домен, необходимости в этой функции глобального каталога нет, так как информация обо всех пользователях и объектах сети находится на любом контроллере домена. Но при наличии нескольких доменов эта функция глобаль­ ного каталога становится важной. Другая функция глобального каталога, полезная независимо от того, сколько доме­ нов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть.

Занятие 1

Обзор Active Directory

Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобально­ го каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись. По умолчанию сервером глобального каталога становится первый контроллер доме­ на, установленный в лесу. Однако в отличие от ролей хозяина операций роль сервера глобального каталога может быть назначена нескольким контроллерам. Вы можете оп­ ределить столько серверов глобального каталога, сколько нужно для балансировки на­ грузки и создания «запаса по прочности». Microsoft рекомендует размещать на каждом сайте минимум один сервер глобального каталога. Хотя любой контроллер домена можно сделать сервером глобального каталога, будь­ те осторожны, решая, каким серверам назначить те или иные роли. Прежде всего не следует превращать один и тот же контроллер домена в хозяина инфраструктуры и в сер­ вер глобального каталога, если у вас не один контроллер домена. Кроме того, сервер глобального каталога требует большого объема ресурсов от контроллера домена. По этой причине не стоит создавать сервер глобального каталога из контроллера домена, выпол­ няющего другие ресурсоемкие роли.

Сайт Сайт Windows Server 2003 — это группа контроллеров доменов, которые находятся в эдной или нескольких IP-подсетях (о подсетях см. занятие 3) и связаны скоростными и надежными сетевыми соединениями. Под скоростым подразумеваются соединения не ниже 1 Мбит/с. Иначе говоря, сайт обычно соответствует границам локальной сети (local ггга network, LAN). Если в сети несколько LAN, соединенных региональной сетью (wide ?.:га network, WAN), вы, вероятно, создадите по одному сайту для каждой LAN. Сайты в основном используются для управления трафиком репликации. Контролле­ ры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов з разных сайтах сжимают трафик репликации и передают его по определенному распи:анию, чтобы уменьшить сетевой трафик. Сайты не являются частью пространства имён Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группиру­ ются в домены и OU без ссылок на сайты. Сайты содержат объекты только двух типов. Первые — это контроллеры доменов в границах сайта, а вторые — связи сайта (site links), сконфигурированные для соединения данного сайта с остальными. Связи сайта. Внутри сайта репликация осуществляется автоматически. Для реплика­ ции между сайтами вы должны установить связь между ними. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации [Internet Protocol (IP) или Simple Mail Transfer Protocol -SMTP)]. Объект связи сайта также инициирует выполнение запланированной репли­ кации.

Репликация в Active Directory Процесс репликации в Active Directory просто восхитителен. Все объекты и атрибуты нужно реплицировать на все контроллеры в домене, чтобы у каждого контроллера была актуальная мастер-копия раздела каталога для данного домена. А это огромный объем передаваемых данных, отслеживать которые весьма трудно.

•\ 4

Введение в Active Directory и инфраструктуру сетей

Глава 1

В Windows Server 2003 применяется модель репликации с несколькими хозяевами (multimaster replication model), в которой все реплики (точные копии) базы данных Active Directory считаются равными хозяевами (equal masters). Вы можете вносить изменения в эту БД на любом контроллере домена, и изменения будут реплицированы на другие контроллеры доменов. Контроллеры доменов в рамках одного сайта выполняют репликацию на основе уве­ домлений. Когда на одном из контроллеров домена вносятся изменения, он уведомляет­ ся своих партнеров по репликации (прочие контроллеры доменов в пределах сайта); за­ тем партнеры запрашивают изменения, и происходит репликация. Поскольку внутри сайта предполагается наличие высокоскоростных и недорогостоящих соединений, ре­ пликация выполняется по мере необходимости, а не по расписанию. Пока вы не сконфигурируете свои сайты в Active Directory, все контроллеры доменов автоматически включаются в один сайт по умолчанию с именем «Default-First-SiteName», который создается при создании первого домена. Если вам нужно контролировать трафик репликации по более медленным WANканалам, создайте дополнительные сайты. Например, у вас есть группа контроллеров домена в основной LAN и несколько контроллеров домена в LAN филиала, как пока­ зано на рис. 1-5. Эти две LAN соединены медленным WAN-каналом (256 Кбит/с). Внутри каждой LAN репликация между контроллерами домена может выполняться по мере необходимости, но репликацией по WAN-каналу следует управлять, чтобы не мешать передаче более приоритетного сетевого трафика. С этой целью вы могли бы создать два сайта: один включает все контроллеры домена в основной LAN, а второй — все контроллеры домена в удаленной LAN.

Рис. 1-5. Сайты позволяют управлять трафиком репликации по низкоскоростным соединениям Сначала рассмотрим репликацию внутри одного сайта (называемую внутрисайтовой репликацией), а затем сравним ее с репликацией между сайтами (межсайтовой реплика­ цией). •

Внутрисайтовая репликация (intrasite replication). Трафик репликации передается в несжатом виде. В этом случае предполагается, что все контроллеры домена внутри сайта связаны широкополосными соединениями. Более того, репликация происхо­ дит по механизму уведомления об изменениях. То есть, если изменения вносятся в домене, они быстро реплицируются на другие контроллеры домена. в Межсайтовая репликация (intersite replication). Все данные передаются в сжатом виде. Здесь учитывается вероятность того, что трафик будет передаваться по более

Занятие 1

Обзор Active Directory

j g

медленным WAN-линиями связи, но нагрузка на серверы возрастает из-за необхо­ димости компрессии/декомпрессии данных. Вы можете использовать не только сжа­ тие, но и планировать репликацию на те периоды времени, которые наиболее опти­ мальны для вашей организации. Например, разрешать репликацию лишь в те часы, когда сетевой трафик между двумя сетями уменьшается. Конечно, такая задержка в репликации (на основе расписания) может приводить к рассогласованию информа­ ции на серверах, входящих в разные сайты.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Что из перечисленного ниже соответствует самой дальней (внешней) границе дей­ ствия единственной схемы? a. Дерево доменов. b. Лес. c. Домен. d. Контроллер домена. 2. Вы планируете добавить к своему сайту серверы глобального каталога. Какая схема их размещения рекомендована? a. Вы должны разместить как минимум один сервер глобального каталога в каж­ дом дереве доменов. b. Вы должны разместить как минимум один сервер глобального каталога в каж­ дом домене. c. Вы должны разместить как минимум один сервер глобального каталога в каж­ дом сайте. d. Вы должны сделать каждый контроллер домена сервером глобального каталога. 3. Каковы преимущества доверия к сокращению?

Резюме •

• •

•

Службы каталогов, в том числе Active Directory, предоставляют доступ к информации о ресурсах в сети. Централизация и масштабируемость, обеспечиваемые Active Di­ rectory, упрощают администрирование больших сетей. Active Directory разделяется на логические структуры (объекты, домены, деревья, леса и организационные единицы) и физические (контроллеры домена и сайты). В логической структуре домены разграничивают основные зоны безопасности в сети. Множество доменов, использующих непрерывное (одно и то же) пространство имен, организуется в деревья. Несколько деревьев образует лес. Лес является самой внеш­ ней границей организации. Организационные единицы (OU) используются для со­ здания административных границ внутри домена. Контроллеры доменов и сайты образуют физическую структуру. Контроллер доме­ на — это система Windows Server 2003 с работающей службой Active Directory; каж­ дый контроллер домена хранит полную копию раздела каталога для данного домена. Сайты — это наборы контроллеров домена, связанных скоростными надежными соединениями. Сайты позволяют управлять трафиком репликации.

Введение в Active Directory а инфраструктуру сетей

Глава 1

Занятие 2. Обзор DNS Доменная система именования (Domain Name System, DNS) — способ сопоставления имен компьютеров с IP-адресами в распределенной БД. На этом занятии вы познако­ митесь с DNS и тем, как она используется в сети Windows Server 2003. Изучив материал этого занятия, вы сможете: S объяснить, зачем нужны разрешение имен и DNS; •S перечислить основные компоненты, необходимые для создания структуры DNS; •S описать процесс разрешения имен; •/ рассказать, как DNS используется службой Active Directory. Продолжительность занятия - около 30 минут.

Разрешение имен Как вы узнаете на занятии 3, компьютеры в TCP/IP-сети (Transmission Control Protocol/ Internet Protocol) уникально идентифицируются по IP-адресам. IP-адрес — это деся­ тичное представление длинных двоичных чисел; пример типичного IP-адреса — 192.168.132.103. Хотя десятичные числа легче воспринимаются людьми, чем двоич­ ные, запомнить их и работать с ними все равно тяжело. Компьютеры в TCP/IP-сети называются хостами (hosts) [или узлами (nodes)]. Им присваиваются уникальные и в то же время достаточно простые имена. Пример имени хоста (хост-имени) — mailserver. Людям гораздо проще работать с именами, но протоко­ лы в TCP/IP оперируют IP-адресами. Процесс, который «связывает» имена и IP-адре­ са, называется разрешением имен (name resolution). Разрешение имен — получение IP-адреса хоста по его имени. Когда пользователь или приложение ищет компьютер по имени хоста, выдается запрос к службе разреше­ ния имен, применяемой в данной сети. Эта служба сверяет имя хоста со списком сопо­ ставлений имен и IP-адресов, находит нужный адрес и возвращает его компьютеру, с которого был отправлен запрос. Здесь вступает в действие IP-маршрутизация (IP routing), которая обеспечивает отправку данных по правильному адресу. Сегодня используется несколько служб разрешения имен, перечисленных ниже, я Файлы HOSTS. Это файлы со статическими сопоставлениями имен и IP-адресов; по-прежнему применяются в некоторых сетях и являются предшественниками DNS. в Файлы LMHOSTS. На заре развития сетей для именования компьютеров в сети использовались NetBIOS-имена. NetBIOS-имена являются альтернативой именам хостов. В файлах LMHOSTS отслеживались сопоставления NetBIOS-имен и IPадресов. в DNS (Domain Name System). Это стандартная служба разрешения имен в Интер­ нете. Кроме того, она была выбрана в качестве службы разрешения имен в сетях Windows 2000 и Windows Server 2003 и тесно интегрирована со службой Active Directory. a WINS (Windows Internet Naming Service). Это служба, которая отслеживает NetBIOSимена и IP-адреса, используя БД. WINS применялась в версиях Windows, предше-

ствующих Windows 2000, а потом от нее отказались, и в качестве основной службы разрешения имен в Windows была принята DNS. Подготовка к экзамену Пару слов об эволюции служб разрешения имен в Windows. Фай­ лы HOSTS были заменены на DNS (сопоставление имен хостов), а файлы LMHOSTS — на WINS (сопоставление NetBIOS-имен). DNS теперь является стандартом (тесно ин­ тегрированным с Windows Server 2003 и Active Directory) и постепенно вытесняет WINS.

Введение в DNS Когда Интернет был молод — настолько молод, что назывался ARPANET, — он объеди­ нял всего несколько сотен компьютеров. Поэтому отслеживать сопоставления имен хо­ стов и IP-адресов было сравнительно нетрудно. Все сопоставления были записаны в файл с именем HOSTS, который хранился на центральном компьютере сети и, возможно, ко­ пировался на несколько дополнительных компьютеров. Всякий раз, когда нужно было разрешить имя хоста, система обращалась к этому файлу (время от времени копируя его на локальный компьютер). Но с ростом сети единственный файл не годится для хране­ ния всех сопоставлений. Возникло три проблемы: ш файл стал слишком велик, чтобы им можно было эффективно управлять; и весь трафик разрешения имен должен был проходить через компьютер, на котором хранится файл HOSTS, и этот файл нельзя было копировать достаточно часто, чтобы его содержимое всегда было актуальным; я для файла HOSTS использовалась линейная структура данных, поэтому у каждого компьютера в сети должно было быть уникальное хост-имя. Для решения этих проблем была разработана DNS. База данных DNS распределяет­ ся по множеству компьютеров в Интернете, и все они участвуют в процессе разреше­ ния имен. Пространство имен DNS иерархическое и разбивается по границам доменов. Конкретное хост-имя должно быть уникальным лишь в пределах своего домена, а не всей сети. Каждый домен считается правомочным на выдачу соответствующих имен в своих границах.

Пространство доменных имен Пространство имен (namespace) — определенная сфера, в которой имена всех схожих компонентов должны быть уникальны, но структурированы сходным образом. Интер­ нет — самое понятное пространство имен DNS. Все хосты в Интернете должны быть уникально идентифицируемыми; их полные DNS-имена должны указывать на кон­ кретные адреса. Пространство доменных имен организОва-но в иерархию, во многом похожую на структуру папок в файловой системе. В" одной папке не может быть двух файлов с од­ ним именем readme.txt. Однако таких файлов могут быть десятки, если каждый из них находится в отдельной папке. DNS устроена аналогично. В одном домене не может быть двух хостов с именем mailserver, но в каждом домене одному хосту можно присвоить имя mailserver. Иерархическую природу пространства доменных имен иллюстрирует рис. 1-6.

Введение в Active Directory и инфраструктуру сетей

Глава

- Корневой домен

net

org

microsoft

headrest

yarrao

Домены второго уровня

saJes

research

Домены третьего уровня

serverl

Рис. 1-6.

Домены верхнего уровня

gov

server2

-Имена хостов

DNS-домены организованы в иерархическую структуру

Корневой домен. Наверху иерархии DNS находится единственный домен, называе­ мый корневым. Корневой домен представлен одной точкой (в доменных именах она обычно опускается). Домены верхнего уровня. Домены верхнего уровня контролируются Internet Activities Board (1AB), Интернет-организацией, отвечающей в том числе за выдачу имен доменов. Имена таких доменов имеют вид вроде com (для коммерческих организаций), gov (для правительственных организаций) и т. д. Самые популярные имена доменов верхнего уровня перечислены в табл. 1-1. Табл. 1-1.

Наиболее часто используемые имена доменов верхнего уровня

Домен верхнего уровня

Тип организации

com edu

Коммерческие организации Образовательные учреждения

org

Некоммерческие организации (нестрогое требование)

net

Провайдеры сетевых сервисов (нестрогое требование)

gov

Правительственные организации

mil

Военные организации

num

Телефонные номера

arpa

Используется для обратного просмотра DNS (reverse DNS lookups); см. раздел «Обратный просмотр DNS» далее в этой главе

xx

Двухбуквенные коды стран; каждой стране выделено свое имя домена верхнего уровня

info

Доступно для любых применений

name

Используется для персональных сайтов

Обзор DNS

занятие 2

Домены второго уровня. Сразу под доменами верхнего уровня располагается второй уровень доменов, регистрируемый индивидуальными организациями. Например, micro­ soft.com и contoso.com являются доменами второго уровня в рамках com — домена верх­ него уровня. Как только домен второго уровня зарегистрирован, управление простран­ ством имен в этом домене передается организации, которой он выделен. Далее органи­ зация может разбить это пространство имен на домены следующего уровня (поддомены). Так, компания с доменом contoso.com могла бы поделить его на домены третьего уров­ ня sales.contoso.com и research.contoso.com. Полное доменное имя (fully qualified domain name, FQDN) — исчерпывающее описание местоположения конкретного хоста в иерархии DNS; считайте его аналогом полного имени файла (вместе с путем к нему) в файловой системе. Вот пример FQDN: milserver. sales, contoso. com

Это имя указывает на хост mailserver в поддомене sales, который находится в домене второго уровня contoso под доменом верхнего уровня com, а тот, конечно же, располо­ жен в корневом домене (.).

Зоны и серверы имен Пространство имен DNS делится не только на домены, но и на так называемые зоны. Каждая зона (zone) — это файл, представляющий неразрывную часть пространства имен, за которую отвечает конкретный сервер имен (или группа таких серверов). В реально­ сти зона соответствует набору записей ресурсов (resource records), хранящихся на DNSсервере, которые сопоставляют IP-адреса с хостами и службами в данной зоне. Эта БД записей считается авторитетной для всех доменов в зоне. Зона охватывает минимум один домен, который считается корневым доменом зоны. Зона может включать поддомены этого корневого домена, но не обязательно охватывать их все. Взгляните на рис. 1-7, где показан домен второго уровня contoso.com, содержа­ щий два поддомена: sales.contoso.com и research.contoso.com. В данном случае con­ toso.com является корневым для зоны 1; в нее же входит и sales.contoso.com. Вторая зона сконфигурирована так, что включает только research.contoso.com. corn

contoso.com

sales.contosQ.com Зона 1

Рис. 1-7. Домен, разделенный на зоны

research.contoso.com Зона 2

2Q

Введение в Active Directory и инфраструктуру сетей

Глава

Зоны должны содержать целые домены внутри пространства имен. То есть един­ ственная зона может включать домен и его поддомены, но не может содержать два разных поддомена без родительского домена. Взгляните на рис. 1-7 еще раз. Зоны мож­ но было бы сконфигурировать так, как они показаны на иллюстрации. Или включить в единственную зону contoso.com и два его поддомена. Однако нельзя создать зону, кото­ рая содержала бы домен contoso.com, а потом создать вторую зону, охватывающую толь­ ко два его поддомена. В каждой зоне должен быть минимум один сервер имен, отвечающий за информа­ цию об адресах для каждого устройства в этой зоне, а один сервер имен можно настро­ ить на управление не одной зоной. Каждому серверу имен известен адрес хотя бы одного родительского сервера имен. Если конкретный сервер имен не в состоянии раз­ решить некое хост-имя, он передает запрос другому серверу имен, который может хра­ нить нужную информацию. Использование в зоне нескольких серверов имен. Вы можете создать несколько серверов имен для одной зоны. Один из этих серверов содержит мастер-копию файла БД для зоны; этот файл называется основным файлов зоны (primary zone file). Остальные серве­ ры имен, созданные для зоны, работают как дополнительные, и каждый из них содер­ жит дополнительный файл зоны (secondary zone file). При обновлении записей в зоне они сначала обновляются на основном сервере, а затем реплицируются на дополнительные серверы. Применение нескольких серверов в зоне дает ряд важных преимуществ, в том числе: ш избыточность (redundancy) — если основной сервер имен выходит из строя, сервисы DNS предоставляют дополнительные серверы; в балансировку нагрузки (load balancing) — в крупных сетях создание нескольких серверов позволяет распределять нагрузку (клиентские запросы) между основным и дополнительными серверами, что уменьшает время отклика; и более эффективный удаленный доступ — создание дополнительных серверов в уда­ ленных подсетях избавляет от пересылки клиентских запросов по каналам удален­ ного доступа, что также уменьшает время отклика. Типы зон. Windows Server 2003 поддерживает три типа зон. в Интегрированная зона Active Directory (Active Directory Integrated Zone). В зоне этого типа БД DNS хранится в Active Directory. Все DNS-серверы в зоне, интегрирован­ ной в Active Directory, считаются основными, так как DNS-информация становится частью БД Active Directory; обновлять можно любой DNS-сервер, и любой из них способен разрешать клиентские запросы. Active Directory отвечает за репликацию информации зоны между DNS-серверами, что обычно ускоряет репликацию и обес­ печивает управление ею в рамках управления Active Directory, и Основная зона (Primary Zone). Мастер-копия БД DNS размещается в стандартном текстовом ASCII-файле. Вы можете напрямую модифицировать только информа­ цию основной зоны. и Дополнительная зона (Secondary Zone). Информация зоны представляет собой ко­ пию данных (только для чтения) существующей основной зоны. Эти сведения об­ новляются на основном DNS-сервере, а затем передаются на все дополнительные серверы.

Процесс разрешения имен Разрешение имени — это определение IP-адреса, сопоставленного с этим именем. В DNS клиент, выполняющий разрешение имен, называется интерпретатором (resolvcr).

Занятое 2

Обзор DNS

В Windows такой интерпретатор является службой, называемой DNS-клиентом (DNS Client). Интерпретатор работает на прикладном уровне модели TCP/IP (эта модель бу­ дет рассмотрена позже) и часто встраивается в различные программы, которым нужно разрешать хост-имена. Например, когда вы вводите некое FQDN в своем Web-браузе­ ре, последний обращается к DNS-серверу, указанному на локальном хосте, и таким образом получает адрес. Интерпретатор может выполнять два типа запросов: прямого просмотра (forward lookup query) для трансляции имен в IP-адреса и обратного (reverse lookup query) для трансляции IP-адресов в имена. DNS-серверы обслуживают запросы обоих типов. Запросы прямого просмотра (forward lookup queries). Это самый распространенный тип запросов, требующий разрешения доменного или хост-имени в IP-адрес. Интерпрета­ тор посылает запрос заданному серверу имен. Если на этом сервере есть нужная ин­ формация, она возвращается клиенту. А если ее нет, первый сервер посылает запросы другим серверам имен до тех пор, пока не найдет эту информацию. Пример на рис. 1-8 иллюстрирует этот процесс при попытке разрешить в Интернете имя www.contoso.com. Корневой сервер имен

Сервер имен домена com Локальный сервер имен

Рис. 1-8.

Сервер имен домена CQntoso.com

Один запрос может потребовать обращения ко множеству серверов имен

1. Интерпретатор посылает запрос своему локальному DNS-серверу для разрешения доменного имени contoso.com. Сервер имен либо возвращает информацию интер­ претатору, либо нет; он не может перенаправить интерпретатор к другому серверу имен (хотя сам сервер имен может обращаться к другому интерпретатору). Такой тип запроса называется рекурсивным — в конечном счете сервер должен либо вер­ нуть сопоставление, либо ответить, что разрешить имя не удалось. 2. Локальный сервер имен, принимающий запрос от интерпретатора, проверяет зоны, которые находятся под его управлением. Если запрошенное доменное или хост-имя зарегистрировано в одной из его зон, он возвращает информацию клиенту. А если его нет, как в данном случае, локальный сервер имен проверяет локальный кэш имен, чтобы проверить, не было ли это имя недавно разрешено. Если и там нет имени, он посылает запрос по www.contoso.com корневому серверу имен. 3. Корневой сервер имен обслуживает корневой домен и сообщает локальному серверу IP-адрес сервера имен для домена верхнего уровня com. 4. Локальный сервер имен передает тот же запрос по www.contoso.com на IP-адрес, предоставленный корневым сервером имен. Такие запросы называются итератив­ ными (iterative queries), поскольку один и тот же запрос посылается нескольким серверам до тех пор, пока он не будет разрешен.

22

Введение s Active Directory Й инфраструктуру сетей

Глава 1

5. Сервер, полномочный для домена com, сообщает IP-адрес сервера имен, полномоч­ ного для домена второго уровня contoso.com. 6. Тогда локальный сервер имен вновь посылает запрос по www.contoso.com на IPадрес сервера имен contoso.com. 7. Сервер имен contoso.com сообщает IP-адрес для www.contoso.com. 8. Локальный сервер имен возвращает IP-адрес www.contoso.com исходному интерпре­ татору. - ..,Запросы обратного просмотра (reverse lookup queries). При таком запросе IP-адрес раз­ решается в доменное или хост-имя. Некоторые утилиты TCP/IP (в частности nslookup, ping и netstat) используют запросы обратного просмотра. Обратный просмотр также полезен, если вы наблюдаете за использованием сети, пытаетесь отследить хост, вызы­ вающий проблемы в сети, или даже хотите проверить идентификацию какого-либо хоста. Поскольку базы данных DNS -индексируются по именам, а не IP-адресам, поиск имени на основе IP-адреса в БД DNS с обычной структурой может оказаться весьма медленным процессом. Для решения этой проблемы в корневом домене агра был создан специальный домен in-addr.arpa (сокращение от inverse address). In-addr.arpa использует IP-адрес в качестве индекса. Обнаружив подходящую запись ресурса, он извлекает нужное хост-имя. Узлы в домене in-addr.arpa именуются с использованием точечно-десятичного пред­ ставления IP-адресов. Однако, поскольку в IP-адресах детализация нарастает слева направо, а в доменных именах — справа налево, порядок октетов IP-адреса при фор­ мировании соответствующего имени в домене in-addr.arpa меняется на обратный. На­ пример, хост-имя для IP-адреса 192.168.201.35 было бы записью PTR (записью указате­ ля) для файла зоны 20I.168.192.in-addr.arpa. Элемент этого файла мог бы выглядеть как 35 IN PTR host_name. Иерархия домена in-addr-arpa точно соответствует таковой стандартного DNS-домена. В БД домена in-addr-arpa добавляются специальные записи ресурсов — записи ука­ зателей [pointer (PTR) records] — для сопоставления IP-адресов с хост-именами. Под­ робнее о записях ресурсов — в следующем разделе.

Записи ресурсов Зонные файлы состоят из записей ресурсов. Запись ресурса (resource record) содержит сопоставление хост-имени или службы с IP-адресом. В табл. 1-2 перечислены многие типы записей ресурсов, поддерживаемые DNS-службой Windows Server 2003. Табл. 1-2.

Записи ресурсов в DNS

Запись ресурса

Применение

А

Запись адреса, сопоставляющая хост-имя с IP-адресом. Записи типа А используют 32-битный формат для IP версии 4 Аналогичная запись адреса, но использующая 128-битный формат для протокола IP следующего поколения — IPv6

АААА CNAME

Запись канонического имени создает псевдоним (alias) — синоним хостимени. Используя записи CNAME, вы можете разрешать более одного имени в один IP-адрес

Занятие 2

Табл. 1-2.

Эбзор DNS

(окончание)

Запись ресурса

Применение

MX

Запись почтового сервера (mail exchange record) идентифицирует почтовый сервер для конкретного DNS-домена Запись сервера имен (name server record) идентифицирует сервер имен для конкретного DNS-домена Запись указателя (pointer record) сопоставляет IP-адрес с хостом в DNS-зоне обратного именования (DNS reverse-naming zone) Запись Start of Authority — обязательный первый элемент в любых зонах прямого и обратного просмотра. Она указывает домен, за который отвечает DNS-сервер. Она также определяет разнообразные параметры работы DNS-сервера Запись службы (service record) позволяет указывать, какие службы предо­ ставляет сервер и какой домен он обслуживает. Запись SRV обязательна для использования Active Directory Запись Windows Internet Name Service идентифицирует WINS-сервер, к которому можно обращаться для получения имен, не зарегистрированных в пространстве имен DNS Запись обратного просмотра WINS (reverse WINS record) заставляет Microsoft DNS использовать команду nbstat для выполнения клиентских запросов на обратный просмотр (преобразования адресов в имена) Запись общеизвестных сервисов (well-known service record) описывает сервисы, предоставляемые конкретным протоколом при использовании конкретного адаптера

NS PTR SOA

SRV

WINS

WINS_R

WKS

Подготовка к экзамену На экзамене от вас потребуется знание нескольких важнейших записей ресурсов, в том числе A, CNAME, MX, NS, PTR, SOA и SRV. Запомните их пред­ назначение, а также полные и сокращенные названия.

Применение динамической DNS Динамическая DNS, введенная в Windows с появлением Microsoft Windows 2000 Server, позволяет клиентам автоматически уведомлять DNS-сервер при смене IP-адресов; при этом сервер обновляет соответствующие записи ресурсов. Это особенно удобно в сетях с автоматическим выделением IP-адресов, например при использовании Dynamic Host Configuration Protocol (DHCP), так как DHCPклиенты могут автоматически информировать DNS-серверы о своих IP-адресах, полученных от DHCP-сервера. Динамическая DNS применима только в зонах, интегрированных в Active Directory.

Как Active Directory использует DNS Active Directory и DNS тесно интегрируются и даже используют общее пространство имен. А значит, важно, чтобы вы понимали, как устроена каждая из этих систем и как они работают совместно.

7Д

Введение в Active Directory я инфраструктуру сетей

Глава 1

DNS — это служба локатора (locator service), используемая Active Directory (и мно­ гими другими компонентами Windows). Active Directory делает свои службы доступны­ ми в сети, публикуя их в DNS. Когда устанавдивается контроллер домена (или к нему добавляются службы), он использует динамические обновления для регистрации своих служб в DNS как записей SRV. После этого клиенты могут находить службы через простые DNS-запросы. По умолчанию служба Microsoft DNS работает на каждом кон­ троллере домена под управлением Windows Server 2003.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Как Active Directory использует DNS? 2. Какой из следующих типов записей ресурсов позволяет создать псевдоним для суще­ ствующего хост-имени? a. Тип А. b. Тип ALIAS. c. Тип CNAME. а. Тип HINFO. 3. Вам нужно включить динамическую DNS в определенной зоне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необхо­ димо? a. Зона должна быть корневой. b. Зона должна быть интегрированной в Active Directory. c. В зоне должна быть запись SRV. & Динамическую DNS нельзя включить в определенной зоне — только для всего сервера.

Резюме и Службы разрешения имен преобразуют хост-имена в IP-адреса, a DNS является основной службой разрешения имен в Windows Server 2003. Active Directory тесно интегрируется с DNS; контроллеры доменов публикуют все свои службы в БД DNS как записи служб (SRV). Благодаря этому любой DNS-клиент может найти какуюлибо службу в сети (в том числе Active Directory) по механизму просмотра DNS (DNS lookup). а Пространство имен DNS в сети отражает пространство имен Active Directory. DNS разделяется на домены. Каждый домен отвечает за записи, хранящиеся в этом доме­ не, и за сопоставление хост-имен и служб с IP-адресами в своих границах. в Пространство имен DNS также разделяется на зоны — неразрывные части про­ странства имен, за управление которыми отвечают определенные серверы. Зона охватывает минимум один домен и может включать другие домены.

Занйтие 3

Збзор TCP/IP

25

Занятие 3. Обзор TCP/IP TCP/IP — открытый стандартизированный набор сетевых протоколов, определяющих, как передается трафик по сети. TCP/IP — также стандартные протоколы Интернета и основные протоколы в Windows Server 2003. По сути, без них вы даже не сможете рабо­ тать с Windows Server 2003. На этом занятии вы ознакомитесь с основными концепция­ ми TCP/IP. Изучив материал этого занятия, вы сможете:

•S рассказать о роли TCP/IP в сети Windows Server 2003; •S объяснить, как формируются IP-адреса; •S описать использование идентификаторов сетей (network ID), идентификаторов хостов (host ID) и применение подсетей (subnets); •S описать базовый процесс маршрутизации в ТСРДР-сети. Продолжительность занятия — около 30 минут.

Архитектура TCP/IP TCP/IP включает целый ряд протоколов и утилит. Протоколы в наборе (стеке) TCP/IP разделены на четыре логических уровня (рис. 1-9): прикладной (application layer), транс­ портный (transport layer), межсетевой (internet layer) и сетевого доступа (network access layer), или сетевого интерфейса. Это сделано для создания уровня абстракции между каким-либо приложением или протоколом и самой сетью. Например, приложению при­ кладного уровня достаточно знать, как передать информацию транспортному уровню (и в каком формате); ему незачем учитывать специфику данной сетевой конфигурации. Пакеты данных передаются по уровням сверху вниз на хосте-отправителе и снизу вверх на хосте-получателе.

Данные передаются сверху вниз на хосте-отправителе

Хост-отп ра витель

Хост-получатель

Прикладной уровень

Прикладной уровень

Транспортный уровень

Транспортный уровень

Межсетевой уровень

Межсетевой уровень

Уровень ~ сетевого интерфейса

Уровень сетевого интерфейса

Рис. 1-9. Четыре логических уровня TCP/IP

Данные передаются снизу вверх на хосте-получателе

Введение в Active Directory и инфраструктуру сетей

Глава 1

Прикладной уровень Прикладной уровень является самым верхним в четырехуровневой модели. Большин­ ство приложений и утилит размешаются именно на прикладном уровне и используют его для доступа к сетевым функциям TCP/IP. Windows Server 2003 предоставляет два интерфейса, позволяющие приложениям обращаться к остальной части TCP/IP: • WinSock — Microsoft-версия Berkeley Sockets API, который является стандартным интерфейсом для доступа к-ТСР/ЧР-протоколам; • NetBIOS Helper Service (служба поддержки NetBIOS) — NetBIOS (network basic input output system) представляет собой унаследованный (legacy) интерфейс, который из­ начально базировался на DOS BIOS, но расширял ее набором функций для доступа к сети. NetBIOS все еще используется при взаимодействии между процессами в Windows. NetBIOS Helper Service управляет взаимодействием между NetBIOS и сокетами (sockets). Эти два интерфейса дают начало двум группам TCP/IP-приложений: WinSock и NetBIOS. Если не считать некоторые Windows-функции и программы Microsoft, боль­ шинство приложений опирается на WinSock. На прикладном уровне работает целый ряд хорошо известных вам TCP/IP-приложений, в том числе: • Hypertext Transfer Protocol (HTTP) — протокол передачи данных между Web-сервера­ ми и браузерами; • File Transfer Protocol (FTP) — протокол передачи файлов между компьютерами; • Simple Mail Transfer Protocol (SMTP) — протокол передачи электронной почты меж­ ду почтовыми серверами и от почтовых клиентов серверам; • Telnet — протокол эмуляции терминала (terminal emulation protocol), позволяющий предоставлять удаленный доступ к какому-либо хосту; в Domain Name System (DNS) — набор протоколов и служб, обеспечивающих разреше­ ние имен.

Транспортный уровень Транспортный уровень управляет взаимодействием между компьютерами; он передает данные приложению на прикладном уровне или межсетевому уровню для доставки по сети. Транспортный уровень также определяет уникальный идентификатор для каждо­ го взаимодействующего приложения в виде номера порта, который позволяет отслежи­ вать, какие пакеты данных адресованы тому или иному приложению. Доставка данных (data delivery) на транспортном уровне контролируется двумя про­ токолами. • Transmission Control Protocol (TCP) — протокол, ориентированный на логические соединения (connection-oriented protocol), поскольку до передачи любых данных он требует установления соединения между двумя компьютерами. Он также является надежным протоколом (reliable protocol), так как проверяет доставку данных на уда­ ленный компьютер, требуя подтверждения об их получении. Если удаленный ком­ пьютер не возвращает подтверждение за отведенный интервал времени, компьютеротправитель повторяет передачу данных. Большинство приложений передают дан­ ные по протоколу TCP. a

User Datagram Protocol (UDP) — протокол, не ориентированный на логические со­ единения (connectionless protocol), так как перед передачей данных он не устанав­ ливает соединение. UDP также не требует подтверждать прием данных. Благодаря

Занятие 3

Обзор TCP/IP

этому он доставляет данные быстрее, чем TCP, но не предусматривает возможности повторной передачи данных в случае их потери на пути доставки. UDP обычно применяется в приложениях, посылающих очень малые объемы данных, или в при­ ложениях для потоковой передачи медийной информации по сети, где повторение передачи таких данных бесполезно. С приложениями, использующими протокол TCP или UDP, сопоставляется опреде­ ленный порт — TCP- или UDP-порт соответственно. Номера портов варьируются в диапазоне 0—65535. Номера портов от 0 до 1023 зарезервированы для общепринятых стандартных приложений. Такие номера портов называются общеизвестными (wellknown port numbers); они контролируются организацией Internet Assigned Numbers Authority (IANА). Порты с номерами от 1024 до 49151 также находятся под контролем IANA и называются зарегистрированными (registered ports); они предназначены для ме­ нее известных стандартных приложений. Наконец, порты с номерами 49152—65535 рас­ сматриваются как динамические, или частные (private). Подробнее о номерах портов — в главе 7.

Межсетевой уровень Межсетевой уровень отвечает за адресацию, разбиение на пакеты и маршрутизацию данных, которые он получает от транспортного уровня. Межсетевой уровень образуют четыре основных протокола: Internet Protocol (IP), Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP) и Internet Group Management Protocol (IGMP). IP Это не ориентированный на логические соединения (а значит, и не надежный) протокол, который отвечает в основном за адресацию пакетов и их пересылку между компьютерами в сети. Хотя IP всегда пытается доставить пакет, он может быть утерян, поврежден, доставлен вне исходной последовательности, дублирован или задержан. IP не исправляет такие ошибки и не запрашивает повторную передачу данных. Эти задачи возлагаются на протоколы более высокого уровня, например на TCP, или на само при­ ложение. Кроме того, IP присваивает каждому пакету значение «времени жизни» — TTL (Time to Live), — определяющее максимальный период, в течение которого пакет мо­ жет «путешествовать» по сети и по истечении которого он отбрасывается. TTL измеря­ ется в секундах. Каждый экземпляр IP, обрабатывающий пакет, уменьшает его TTL на единицу. И любой экземпляр IP, обнаруживающий пакет с TTL, равным 0, отбрасыва­ ет его. ARP Этот протокол отвечает за сопоставление IP-адресов с аппаратными (т. е. с МАСадресами), «зашитыми» в сетевые адаптеры компьютеров. Готовя пакет к передаче на удаленный компьютер, IP использует IP-адрес этого компьютера. Однако сетевые пла­ ты (и другие сетевые интерфейсы) обмениваются данными по сети на основе длинных аппаратных адресов, гарантирующихуникальную идентификацию каждого сетевого интерфейса в сети. ARP, реализованный в Windows Server 2003, выполняет преобразования IP-адресов в аппаратные и наоборот, а также поддерживает таблицу сопоставлений, которая назы­ вается ARP-кэшем. Таблица формируется динамически. Получив запрос на трансля­ цию IP-адреса, ARP ищет этот адрес в своей таблице. Если адрес найден, ARP возвра­ щает его. Если же адреса в таблице нет, ARP посылает широковещательный пакет в локальной подсети; этот пакет содержит IP-адрес, для которого нужно определить ап­ паратный адрес. Если принимающий хост распознает переданный IP-адрес как свой,

Введение в Active Directory и инфраструктуру сетей

Глаза 1

он сообщает собственный аппаратный адрес запросившему хосту. После этого ответ сохраняется в ARP-кэше. ICMP Этот протокол поддерживает средства диагностики и сообщает об ошибках, когда доставить пакеты не удается. Благодаря ICMP компьютеры и маршрутизаторы (routers), использующие IP для коммуникационной связи, могут сообщать об ошибках и обмениваться информацией о состоянии и базовыми управляющими сообщениями. Например, если IP не удается доставить пакет адресату, ICMP посылает компьютеруисточнику сообщение Destination Unreachable (Адресат недоступен). IGMP Этот протокол используется хостами, чтобы сообщать соседним маршрутизато­ рам о членстве в группах IP-рассылки (multicast group membership). Поддержка группо­ вой рассылки (multicasting) позволяет одному хосту передавать данные сразу нескольким хостам-получателям. Примеры групповой рассылки — потоковая передача медийной информации множеству компьютеров по широкополосному соединению, одновремен­ ное обновление программного обеспечения на нескольких компьютерах, некоторые виды списков рассылки. Как правило, группа компьютеров объединяется в группу IP-рассылки, чтобы они могли получать групповые сообщения.

Уровень сетевого доступа Уровень сетевого доступа отвечает за пересылку данных в сетевую среду и их прием из этой среды. Данный уровень охватывает физические устройства, например сетевые ка­ бели и адаптеры. На этом уровне действуют такие протоколы, как Ethernet и Asynchronous Transfer Mode (ATM), которые определяют, как данные передаются по сети.

1Р-адресация Каждый интерфейс в TCP/IP-сети получает уникальный IP-адрес, который идентифи­ цирует этот интерфейс в сети. Адресацией управляет IP, определяя, как формируются адреса и как передаются пакеты с использованием этих адресов. IP-адрес состоит из четырех чисел, каждое из которых варьируется от 0 до 255. Каждое из этих чисел отделяется десятичной точкой, поэтому типичный IP-адрес в точечно-десятичной нотации выглядит наподобие 192.168.1.102. Почему каждое число должно укладываться в диапазон 0-255? Дело в том, что за каждым из этих чисел на самом деле стоит двоичный октет, или восьмиразрядное двоичное число. Например, двоичное представление IP-адреса 192.168.1.102 - 11000000 10101000 00000001 01100110. Компьютеры работают с двоичным форматом, но людям гораздо легче иметь дело с десятичным представлением. Любой IP-адрес включает идентификатор сети и идентификатор хоста. • Идентификатор сети (network ID) — часть IP-адреса, начинающаяся слева. Опреде­ ляет сегмент сети, в котором находится хост. В примере с IP-адресом 192.168.1.102 часть 192.168.1 может быть идентификатором сети. Когда указывают только иденти­ фикатор сети, недостающие октеты обычно представляются нулями. Поэтому пол­ ная запись идентификатора сети в данном случае выглядела бы как 192.168.1.0. • Идентификатор хоста (host ID) — часть IP-адреса, определяющая конкретный хост в сегменте сети. Этот идентификатор для каждого хоста с одним идентификатором сети должен быть уникальным. Если продолжить пример с IP-адресом 192.168.1.102 (где 192.168.1.0 — идентификатор сети), то идентификатор хоста равен 102.

р TCP/IP

Занятие 3

Два компьютера с разными идентификаторами сети могут иметь одинаковый иден­ тификатор хоста. Однако комбинация идентификаторов сети и хоста должна быть уни­ кальной для всех компьютеров, взаимодействующих друг с другом. При определении того, какая часть IP-адреса является идентификатором сети, а какая — идентификатором хоста, используется еще одно число, которое называется маской подсети (subnet mask). Маска подсети указывает, где заканчивается идентифи­ катор сети и начинается идентификатор хоста. Вам будет легче понять, почему это работает, если вы на минутку отвлечетесь от десятичного представления и посмотрите на числа, образующие IP-адрес, в двоичном формате. На рис. 1-10 показан один IP-адрес в двух форматах — десятичном и двоичном. Маска подсети также показана в обоих форматах. В двоичном формате маска подсети всегда представляет строку сплошных единиц, за которой идет строка сплошных нулей. Позиция, где единицы сменяются нулями, указывает на конец идентификатора сети и начало идентификатора хоста. Десятичный формат

Двоичный формат

IP-адрес:

131.104.16.92

10000011 011010000001000001011100

Маска подсети:

255.255.0.0

11111111 111111110000000000000000

Идентификатор сети:

131.104.0.0

10000011 01101000 00000000 00000000

Идентификатор хоста:

0.0.16.92

00000000 00000000 00010000 01011100

Рис. 1-10.

Маска подсети разделяет идентификаторы сети и хоста

Классы IP-адресов IP-адреса организуются по классам, которые помогают определять размер адресуемой сети. Такая классификация называется IP-адресацией с применением классов (classful IP addressing). Существует пять классов IP-адресов, определяющих сети разного раз­ мера — с разным макимальным числом хостов. IP-адресация с применением классов основана на структуре IP-адреса и позволяет семантически отличать идентификаторы сетей от идентификаторов хостов. Как вы уже знаете, IP-адрес состоит из четырех сегментов, значения которых варьируются от 0 до 255. В данном случае сегменты представляются как w.x.y.z. Исходя из значения первого октета (w), IP-адреса разделяются на пять классов, перечисленных в табл. 1-3. Табл. 1-3.

Классы IP-адресов

Класс

ID сети

Диапазон первого октата

Число'доступных сегментов сети

Число доступных хостов

Маска подсети

A В С D Е

w.0.0.0 w.x.0.0 w.x.y.O неприменимо неприменимо

1-126 128-191 192-223 224—239 240—255

126 16 384 2 097 152 неприменимо неприменимо

16 777 214 65 534 254 неприменимо неприменимо

255.0.0.0 255.255.0.0 255.255.255.0 неприменимо неприменимо

Введение 8 Active Directory и инфраструктуру сетей

Глава 1

Классы А, В и С доступны для регистрации общественными организациями. На самом деле большинство этих адресов давным-давно закреплено за крупными компа­ ниями и интернет-провайдерами (Internet service providers, ISP), поэтому IP-адрес ва­ шей организации скорее всего будет выделен вашим ISP. Классы D и Е зарезервирова­ ны для особых целей. Класс адреса определяет используемую маску подсети, а значит, указывает точку де­ ления IP-адреса на идентификаторы сети и хоста. Для класса А идентификатор сети — это первый октет IP-адреса (например значение 98 в адресе 98.162.102.53). Для класса В под идентификатор сети отводятся первые два октета, а для класса С — первые три. Октеты, не занятые под идентификатор сети, определяют идентификатор хоста. Подготовка к экзамену Запомните диапазоны IP-адресов и маску подсети по умолчанию для каждого класса. Это поможет определить, в каких случаях предпочтительна IP-адре­ сация с классами, а в каких — без классов (об этом см. следующий раздел).

Classless Internet Domain Routing (CIDR) При IP-адресации с применением классов максимальное число сетей и хостов, под­ держиваемых конкретным классом адресов определяется маской подсети по умолчанию (default subnet mask) для этого класса. Как результат, организации, которой выделен не­ кий идентификатор сети, доступен единственный, фиксированный идентификатор сети и определенное число идентификаторов хостов. При наличии единственного идентифи­ катора сети в организации может быть лишь одна сеть, способная объединить столько хостов, сколько у нее есть идентификаторов хостов. Когда хостов слишком много, сеть работает неэффективно. Для решения этой проблемы была введена концепция Classless Internet Domain Routing (CIDR)*. CIDR позволяет разделять единственный «классовый» идентификатор сети на мень­ шие идентификаторы сетей. Идея в том, что вы берете маску подсети по умолчанию, применяемую для данного класса, к которому относится ваш диапазон IP-адресов, а за­ тем выделяете какую-то часть битов из идентификатора хоста и используете ее как расширение идентификатора сети, создавая собственную маску подсети. Собственная маска подсети не ограничивается правилами, действующими при ис­ пользовании классов. Вспомните, что маска подсети состоит из четырех чисел, как в IPадресе. Возьмем маску подсети по умолчанию для сети класса В (255.255.0.0), которая в двоичном формате выглядела бы так: 11111111 11111111 00000000 00000000

Эта маска указывает, что первые 16 битов IP-адреса отводятся под идентификатор сети, а вторые 16 —- под идентификатор хоста. Чтобы создать собственную маску подсе­ ти, вы просто расширяете маску, отбирая часть битов у идентификатора хоста. Для этого вы добавляете единицы слева направо. (Не забудьте, что маска подсети состоит из стро­ ки сплошных единиц и строки сплошных нулей.) Например, собственная маска подсети могла бы быть такой: 11111111 11111111 11111000 00000000

Двоичное значение 1111 1000 соответствует десятичному значению 248. В табл. 1-4 перечислены возможные значения октета в собственной маске подсети. * C1DR чаще расшифровывается так: Classless Interdomain Routing. — Прим. перев.

Занятие 3

Обзор TCP/IP

Табл. 1-4. Значения для собственной маски подсети Двоичное значение

Десятичное значение

10000000

128

11000000

192

11100000

224

11110000

240

11111000

248

11111100

252

11111110

254

При адресации с применением классов каждое из четырех чисел в маске подсети может быть либо 255, либо 0, причем эти числа располагаются как октеты со значения­ ми 255, за которыми следуют октеты с нулевыми значениями. Например, 255.255.0.0 яв­ ляется допустимой маской пдсети, а 255.0.255.0 — нет. Октеты со значениями 255 указы­ вают идентификатор сети, а октеты с нулевыми значениями — идентификатор хоста. Так, маска подсети 255.255.0.0 сообщает, что идентификатор сети занимает первые два ок­ тета IP-адреса. Разбивая существующий идентификатор сети для создания дополнительных подсе­ тей, вы можете использовать любые маски подсети, указанные в табл. 1-4. Тогда у IPадреса 184.12.102.20 могла бы быть маска подсети 255.255.255.0 и идентификатор сети 184.12.102.0 (в отличие от маски подсети по умолчанию 255.255.0.0, которая дает иден­ тификатор сети 184.12.0.0). Это позволяет организации создавать на основе существую­ щего идентификатора сети 184.12.0.0 класса В подсети меньшего размера, соответствую­ щие реальной конфигурации ее сети. Подготовка к экзамену Не пожалейте немного времени — вместо того чтобы запоми­ нать числа, приведенные в табл. 1-4, посмотрите повнимательнее на то, откуда берутся двоичные числа и как они связаны с десятичными.

Частные адреса Каждый сетевой интерфейс, напрямую подключенный к Интернету, должен иметь IPадрес, зарегистрированный организацией Internet Assigned Numbers Authority (IANA). Это предотвращает конфликты устройств из-за дублирования IP-адресов. Если вы конфигу­ рируете частную сеть (private network), не подключенную к Интернету, или сеть, рас­ положенную за брандмауэром (firewall) либо прокси-сервером, то можете присваивать устройствам в своей сети частные адреса, а общий адрес (public address) вам понадобится лишь для того интерфейса, который виден из Интернета. В каждом классе предусмотрен диапазон частных адресов, доступных для универсаль­ ного применения: • класс А - от 10.0.0.0 до 10.255.255.255; • класс В - от 172.16.0.0 до 172.31.255.255; • класс С - от 192.168.0.0 до 192.168.255.255.

32

Введение a Active Directory и инфраструктуру сетей

Ттшв 1

Вы можете выбрать для своей сети любой из этих диапазонов и реализовать соб­ ственные подсети. Ни один из таких адресов никогда не будет официально присвоен общедоступному в Интернете хосту.

IP-маршрутизация Маршрутизация (routing) — это процесс перенаправления информации на пути от ис­ точника к адресату. В TCP/iP-сети источник и адресат называются хостами, а ин­ формация разбивается на небольшие пакеты, которые и передаются между этими хостами. IP управляет маршрутизацией всех пакетов в сети. Вспомните, что протокол типа TCP или UDP пересылает пакет данных протоколу IP для передачи удаленному хосту. IP должен определить, куда отправляется пакет. Для к; чала он сравнивает идентификаторы сети локального хоста и адресата, указанного в пакете. Если эти идентификаторы совпадают, два хоста находятся в одном сегменте сети, и пакет можно послать непосредственно хосту-получателю. Если же идентификаторы не совпадают, значит, хосты находятся в разных сегмен­ тах сети, и пакет нельзя передать напрямую. Тогда IP должен отправить пакет шлюзу (gateway), которым является маршрутизатор (router), соединяющий один сегмент сети с другим. Когда этот шлюз получает пакет, его протокол IP сравнивает идентифика­ торы сетей, чтобы определить, куда лучше всего переслать пакет. Если хост-получатель находится в одном из сегментов сети, к которым напрямую подключен данный шлюз, последний может переслать пакет непосредственно адресату. В ином случае шлюз пере­ сылает пакет другому шлюзу, а тот, возможно, третьему — и так до тех пор, пока пакет наконец не попадет в место назначения. Каждый пересекаемый пакетом шлюз назы­ вается переходом (hop). Например, если пакет должен пересечь три маршрутизатора, чтобы попасть адресату, считается, что на его маршруте три перехода. Обычно на хосте-отправителе задается IP-адрес основного шлюза (default gateway) — маршрутизатора, которому посылаются все пакеты, если хост-получатель находится в другом сегменте сети. Маршрутизаторы (и все устройства, на которых установлен IP) умеют просматривать таблицы маршрутизации (routing tables), хранящиеся в памяти маршрутизатора. Таблица маршрутизации содержит информацию о предпочтительных маршрутах (preferred routes) для различных идентификаторов сетей (сетевых адресов). На основе этой таблицы и идентификатора сети хоста-получателя данного пакета маршрутизатор определяет наилучший шлюз, на который нужно переслать пакет. Мар­ шрутизатор может формировать свою таблицу маршрутизации двумя способами: • статически — на статическом маршрутизаторе таблица формируется и обновляется вручную. Иначе говоря, кто-то должен иметь доступ к таблице маршрутизации и са­ мостоятельно прописывать в ней маршруты, которые сможет использовать данный маршрутизатор; • динамически — на динамическом маршрутизаторе таблица формируется и обновляет­ ся динамически по мере того, как обнаруживаются подходящие маршруты. Находя более короткие маршруты, он отдает предпочтение им по сравнению с более длин­ ными. Что еще важнее, динамические маршрутизаторы могут делиться своей инфор­ мацией с другими маршрутизаторами в сети. Почти все современные маршрутизато­ ры — динамические; статические маршрутизаторы требуют слишком много усилий в поддержке. Динамические маршрутизаторы используют один из двух стандартных протоколов маршрутизации: Routing Information Protocol (RIP) или Open Shortest Path First (OSPF).

Занятие 3

Обзор TCP/IP

Автоматическое назначение IP-адресов через DHCP Dynamic Host Configuration Protocol (DHCP) — стандартный протокол, позволяющий серверу автоматически назначать IP-адреса клиентам. Он избавляет администраторов от бремени назначения IP-адресов вручную и задания другой информации, связанной с TCP/IP. Пользоваться DHCP быстрее и надежнее, чем назначать IP-адреса вручную; кроме того, DHCP исключает ошибки из-за ввода неправильной информации. На практике DHCP — довольно простой механизм, особенно в сравнении с такими системами, как DNS. На серверной стороне задается диапазон IP-адресов, который DHCP-сервер вправе выделять клиентам; этот диапазон называется областью (scope). Вы также должны указать маску подсети и адрес основного шлюза, которые будут передаваться клиентам. Дополнительно (но не обязательно) можно задать и другую ин­ формацию TCP/IP вроде сведений о DNS- и WINS-серверах. На клиентской стороне вы просто сообщаете клиентам, что они должны получать свои IP-адреса и прочую информацию автоматически (большинство Windows-клиентов предлагает этот вариант по умолчанию). При загрузке на клиентском компьютере TCP/IP посылает широковещательное со­ общение в локальной IP-подсети, чтобы найти DHCP-серверы. Любой DHCP-сервер, принявший этот запрос и располагающий допустимой областью IP-адресов, возвращает ответ, где предлагается определенная конфигурация. Когда клиент получает предложе­ ние конфигурации и соглашается с ним, он настраивает IP-адрес и другие параметры в соответствии со значениями, переданными DHCP-сервером. Этот процесс называет­ ся арендой (leasing) (клиент арендует IP-адрес у сервера). Срок аренды ограничен, по его истечении аренда заканчивается, если клиент не запрашивал ее возобновления. Когда проходит 50% времени аренды, клиент пытается возобновить аренду, связываясь с сервером, который выдал аренду. Если попытка за­ канчивается успехом, аренда возобновляется на полный срок. А если нет, клиент про­ должает обращаться к серверу-арендодателю до тех пор, пока срок аренды не истечет. По окончании аренды IP-адрес возвращается в пул, принадлежащий серверу. DHCP работает как служба на компьютерах под управлением Windows Server 2003. DHCP-сервер — это просто контроллер домена или рядовой сервер Windows Server 2003, на котором установлена служба DHCP и который авторизован и сконфигурирован на выдачу IP-адресов клиентам. На заметку Автоматическое назначение частных IP-адресов (Automatic Private IP Add­ ressing, APIPA) — функция, впервые появившаяся в Windows 2000; она также поддер­ живается в Windows XP и Windows Server 2003. APIPA позволяет компьютеру, настроен­ ному на автомагическое получение IP-адреса, самостоятельно назначать себе IP-адрес из диапазона частных адресов, если в данный момент нет доступных DHCP-серверов. APIPA выделяет адреса из диапазона 169.254.0.1—169.254.255.255, зарезервированного Microsoft как раз для таких целей. В принципе, APIPA рассчитана на малые сети, где вообще нет DHCP-сервера. APIPA дает возможность компьютерам под управлением Windows 2000, Windows Server 2003 или Windows XP подключаться к сети и идентифицировать друг друга; при этом от админи­ стратора не требуется особых усилий по настройке. Если в вашей сети используется DHCP-сервер, но какой-то клиент получил адрес из диапазона, выделенного APIPA, значит, этот клиент не сумел найти DHCP-сервер.

Введение в Active Directory и инфраструктуру сетей

Глава 1

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. На каком из четырех уровней модели TCP/lP-сетей выполняется маршрутизация пакетов между источником и адресатом? a. Прикладном. b. Транспортном. c. Межсетевом. d. Канальном (link).* 2. Ваша компания зарегистрировала идентификатор сети 131.107.0.0, который исполь­ зует маску подсети по умолчанию 255.255.0.0. Вам нужно создать собственную маску подсети, позволяющую разделить сеть на максимальное количество подсетей, в каж­ дой из которых могло бы быть минимум по 20 хостов. Какой должна быть эта маска подсети? 3. Какую из следующих масок подсетей по умолчанию использовал бы компьютер с IPадресом 157.54.4.201? a. 255.0.0.0. b. 255.255.0.0. c. 255.255.255.0. d. 255.255.255.255.

Резюме •

Протоколы TCP/IP разделены на четыре логических уровня: прикладной, транспор­ тный, межсетевой и сетевого доступа (сетевого интерфейса). На хосте-отправителе пакеты данных передаются от верхних уровней нижним, а на хосте-получателе — от нижних верхним. в Каждому интерфейсу в ТСРДР-сети присваивается уникальный IP-адрес, обычно представляемый четырьмя октетами в точечно-десятичной нотации; значение каж­ дого октета может варьироваться от 0 до 255. IP-адрес разделяется на идентификатор сети, определяющий подсеть, где находится хост, и идентификатор хоста, указыва­ ющий хост в этой подсети. Позиция, в которой IP-адрес разделяется на идентифи­ каторы сети и хоста, определяется маской подсети. • Основной способ автоматического назначения IP-адресов клиентам в сети — ис­ пользование Dynamic Host Configuration Protocol (DHCP). DHCP-сервер управляет областью IP-адресов, которые он может назначать клиентам, а также сообщает дру­ гую важную информацию, в том числе маску подсети, основной шлюз и адреса DNS-серверов в сети.

* Здесь в оригинале допущена неточность: в модели TCP/IP этот уровень называется сетевым интерфей­ сом или уровнем сетевого доступа. Канальный уровень имеется в сетевой модели OSI. — Прим. перев.

Занятие 4

Базовые сведений об удаленном доступе

gg

Занятие 4. Базовые сведения об удаленном доступе Удаленный доступ в Windows Server 2003 поддерживается службой маршрутизации и уда­ ленного доступа (Routing and Remote Access service). Эта служба работает в системе Windows Server 2003 и позволяет другим серверам или клиентам, не подключенным че­ рез локальную сеть, устанавливать временные соединения по телефонным линиям, че­ рез Интернет и по другим каналам связи. На этом занятии вы получите базовые сведе­ ния о том, как Windows Server 2003 предоставляет удаленный доступ к сети. Изучив материал этого занятия, вы сможете:

•/ рассказать, как Windows Server 2003 предоставляет удаленный доступ через службу маршрутизации и удаленного доступа; •S пояснить способы подключения для удаленного доступа; У описать протоколы удаленного доступа; •S объяснить механизмы защиты при удаленном доступе. Продолжительность занятия — около 20 минут.

Что дает удаленный доступ Система Windows Server 2003 со службой маршрутизации и удаленного доступа способ­ на принимать запросы на соединения от клиентов, которые физически отделены от основной сети, но все равно должны подключаться к этой сети для доступа к ее ресур­ сам. Служба маршрутизации и удаленного доступа также позволяет использовать сер­ веры под управлением Windows Server 2003 как маршрутизаторы, соединяющие подсе­ ти по LAN- или WAN-каналам. После соединения клиенты удаленного доступа обращаются к сетевым ресурсам с помощью стандартных средств и приложений. Фактически служба маршрутизации и удаленного доступа — просто еще один способ использования стандартных сетевых протоколов и команд, уже применяемых в сети. Информация поступает не по сетевому кабелю через плату сетевого интерфейса (сетевого адаптера), а форматируется (и, воз­ можно, защищается) службой маршрутизации и удаленного доступа, а затем передает­ ся по сконфигурированному соединению удаленного доступа.

Типы соединений удаленного доступа Служба маршрутизации и удаленного доступа поддерживает два способа подключения удаленных пользователей. н По коммутируемым линиям (dial-up). В этом случае клиент устанавливает времен­ ное, соединение по коммутируемой линии с физическим портом на сервере со службой маршрутизации и удаленного доступа. Это соединение использует серви­ сы оператора телекоммуникационной связи, например коммутируемую телефонную сеть общего пользования (public switched telephone network, PSTN), Integrated Services Digital Network (ISDN) или Х.25. Яркий пример подключения по коммути­ руемой линии — соединение клиента с сервером по стандартному модему. Здесь клиент инициирует соединение удаленного доступа через модем. Соединение

Введвкие a Active Directory и инфрастрртуpf сетей

•

Глава 1

с модемом на серверной стороне устанавливается по телефонным линиям обшего пользования; сервер аутентифицирует пользователя и предоставляет доступ к сети с соответствующими правами. Через виртуальную частную сеть (Virtual Private Neiwork, VPN). VPN позволяет кли­ енту устанавливать защищенное соединение с сервером по сети общего пользова­ ния, например по Интернету. В отличие от первого способа, при котором соедине­ ние устанавливается непосредственно между клиентом и сервером, VPN-соедине­ ние является логическим- и.-туннелируется по соединению другого типа. Обычно удаленный пользователь подключается к Интернету через интернет-провайдера (ISP) с применением одной из форм коммутируемых соединений. Сервер со службой мар­ шрутизации и удаленного доступа также подключается к Интернету (возможно, по постоянному выделенному соединению); при этом он должен быть сконфигуриро­ ван на прием VPN-соединений. Как только клиент подключается к Интернету, он устанавливает VPN-соединение по своей коммутируемой линии с сервером марш­ рутизации и удаленного доступа.

VPN обладает двумя важными преимуществами по сравнению с коммутируемыми соединениями. Во-первых, удаленным пользователям, не находящимся в том же городе, что и сервер удаленного доступа, не нужно делать междугородных звонков для подклю­ чения к сети. Вместо этого они пользуются местной связью и подключаются к ISP в сво­ ем городе. Во-вторых, каждое стандартное коммутируемое соединение требует наличия на сервере удаленного доступа физического устройства, выделенного под это соедине­ ние, плюс отдельной телефонной линии. Это ограничивает число одновременно под­ ключаемых удаленных пользователей и приводит к удорожанию связи из-за издержек, связанных с покупкой дополнительного оборудования и его обслуживания, так как мо­ жет понадобится большое количество модемов и соответствующее число линий связи. Если же у сервера маршрутизации и удаленного доступа имеется сравнительно широко­ полосное соединение с Интернетом, VPN позволит одновременно подключать гораздо большее количество удаленных пользователей за меньшие деньги.

Протоколы, используемые при маршрутизации ш удаленном доступе Существует два универсальных типа протоколов, которые вы должны знать, чтобы рабо­ тать со службой маршрутизации и удаленного доступа: протоколы удаленного доступа (или линий связи) и сетевого транспорта (или LAN-протоколы).

Протоколы удаленного доступа Протоколы удаленного доступа управляют тем, как информация форматируется и пере­ дается по WAN-соединениям (например по телефонной линии). Служба маршрутизации и удаленного доступа поддерживает четыре протокола удаленного доступа: • Point-to-Point Protocol (PPP). На сегодняшний день самый распространенный протокол удаленного доступа. Большинство серверов, принимающих соединения через телефонные линии, в том числе серверы со службой маршрутизации и уда­ ленного доступа, поддерживают РРР, и этот протокол считается лучшим выбором для реализации удаленного доступа. Служба маршрутизации и удаленного доступа поддерживает РРР как для исходящих, так и входящих вызовов по коммутируе­ мым соединениям.

Занятие 4

Базовые сведения об удаленном доступе

ду

a

Serial Line Internet Protocol (SLIP). Более старый протокол, разработанный для UNIX и по-прежнему широко используемый. Служба маршрутизации и удаленного доступа поддерживает SLIP в конфигурациях с исходящими вызовами, но не позво­ ляет задействовать SLIP-клиент для входящих вызовов. в Протокол RAS. Применяется для поддержки схемы именования NetBIOS и явля­ ется закрытым (proprietary) протоколом, используемым только между сетями на ос­ нове технологий Microsoft. Необходим для поддержки NetBIOS-имен и устанавли­ вается по умолчанию при установке службы маршрутизации и удаленного доступа. и Шлюз NetBIOS. Обеспечивает совместимость со старыми версиями службы марш­ рутизации и удаленного доступа, не поддерживающими сетевые протоколы типа TCP/IP. Шлюз NetBIOS транслирует данные от протокола NetBIOS Extended User Interface (NetBEUI) для использования другими протоколами удаленного доступа.

Подготовка к экзамену Запомните протоколы удаленного доступа и их предназначение. РРР является самым распространенным на сегодняшний день; остальные используются только в определенных обстоятельствах. Также запомните, что РРР поддерживает как входящие, так и исходящие вызовы, a SLIP — только исходящие (для применения на устаревших серверах).

Защита при удаленном доступе Удаленный доступ всегда считался одним из слабых мест в защите сетей. Хотя обезопа­ сить сеть от несанкционированного физического доступа сравнительно легко, нынеш­ няя популярность доступа через Интернет и большое количество удаленных пользовате­ лей предъявляют более жесткие требования к защите современных сетей. К счастью, разработаны новые технологии защиты и протоколы, которые упрощают решение про­ блемы безопасности, связанной с удаленным доступом.

Защита на основе аутентификации пользователей Основной способ защиты соединения удаленного доступа включает аутентификацию пользователя, который пытается подключиться к сети. Для этого пользователь (или кли­ ентская система пользователя) должен предоставить какие-то удостоверения (creden­ tials), которые позволили бы серверу маршрутизации и удаленного доступа убедиться в том, что данный пользователь имеет право на доступ к сети. Windows Server 2003 поддерживает пять протоколов аутентификации пользователей. в Password Authentication Protocol (PAP). Обеспечивает базовый вид аутентифика­ ции. Пароль и имя пользователя посылаются по коммутируемому соединению сер­ веру маршрутизации и удаленного доступа. Эта информация передается открытым текстом, без всякого шифрования," поэтому ее легко перехватить. Кроме того, РАР не предусматривает никакой возможности взаимной аутентификации клиента и сер­ вера. Поскольку имеются более надежные протоколы аутентификации, Microsoft рекомендует использовать РАР только в случае крайней необходимости. и Shiva Password Authentication Protocol (SPAP). Shiva — частная компания (теперь принадлежит Intel), выпускающая оборудование для удаленного доступа. SPAP под­ держивается главным образом для совместимости с этим оборудованием и в боль­ шинстве сетей на самом деле не используется. SPAP обеспечивает нестойкое шиф-

Введение в Active Directory ш инфраструктуру сетей

Глава 1

рование аутентификационных удостоверений, но не поддерживает шифрование дан­ ных. Не полагайтесь на этот протокол, если вам требуется стойкое шифрование. • Challenge Handshake Authentication Protocol (CHAP). Этот протокол гораздо надеж­ нее PAP или SPAP. Сервер посылает клиенту вызов (challenge), и клиент использует свои удостоверения для шифрования вызова. Затем зашифрованная информация (ответ) передается серверу по коммутируемому соединению, который расшифровы­ вает ее и пытается проверить пользователя. Если ответ совпадает с вызовом, аутенти­ фикация считается успешной. Поскольку вызов и ответ шифруются, они менее уязвимы перед попытками прослушивания. CHAP часто называют MD5-CHAP, так как он применяет для шифрования алгоритм хэширования RSA MD5. • Microsoft CHAP (MS-CHAP). Модифицированная версия CHAP, позволяющая ис­ пользовать аутентификационную информацию Windows Server 2003. Существует две версии MS-CHAP. Версия 2 самая надежная и поддерживается только Windows 2000, Windows Server 2003 и Windows XP. Версия 1 поддерживается более ранними версия­ ми Windows. • Extensible Authentication Protocol (EAP). Универсальный протокол для РРР-аутентификации, поддерживающий несколько механизмов аутентификации. Вместо забла­ говременного выбора какого-то одного способа аутентификации для данного соеди­ нения ЕАР позволяет договариваться о способе аутентификации во время установ­ ления соединения. Компьютер, запрашивающий способ аутентификации, называ­ ется аутентифицирующим (authenticator); он может потребовать несколько разных блоков аутентификационной информации. Это позволяет задействовать практичес­ ки любой способ аутентификации, в том числе с применением маркеров защищенно­ го доступа (secure access tokens) или систем с одноразовыми паролями (one-time password systems). Подготовка к экзамену Протокол аутентификации РАР не шифрует аутентификацион­ ную информацию. SPAP обеспечивает нестойкое шифрование аутентификационных удостоверений, но не поддерживает шифрование данных. CHAP, MS-CHAP и ЕАР поддерживают более стойкое шифрование; выбирайте эти протоколы, если вам необхо­ димо шифрование.

Защита на основе управления соединением Помимо разнообразных способов аутентификации пользователей, служба маршрутиза­ ции и удаленного доступа поддерживает ряд методов для защиты самого соединения между клиентом и сервером. Один из таких методов — применение Callback Control Protocol, который позволяет серверам маршрутизации и удаленного доступа договари­ ваться об обратном вызове (callback) с другой стороной. Например, сервер можно на­ строить так, чтобы, получив запрос на соединение, он тут же разрывал связь и перезва­ нивал клиенту по заданному номеру. Это дает два преимущества. Первое заключается в том, что успешное соединение возможно лишь с определенного номера, а это неплохой способ, позволяющий устанавливать соединение только авторизованным пользователям. Второе преимущество — бремя оплаты междугородных звонков можно переложить с пользователей на компанию, в которой они работают.

Занятие 4

Базовые сведения об удаленном доступе

Еще один способ управления соединениями — настройка сервера маршрутизации и удаленного доступа на прием или отклонение вызовов на основе идентификации звоня­ щего (Caller ID) или автоматического определения номера (Automatic Number Identifica­ tion, ANI). Например, сервер можно сконфигурировать на прием вызовов только с оп­ ределенного номера.

Защита на основе управления доступом Служба маршрутизации и удаленного доступа поддерживает несколько способов уп­ равления доступом удаленных пользователей к серверу маршрутизации и удаленного доступа. Основной из них — включение или отключение разрешения на удаленный доступ в учетных записях индивидуальных пользователей. Кроме этого базового спо­ соба, политики удаленного доступа (Remote Access Policies, RAP) позволяют расширить контроль, указывая ряд условий, от выполнения которых зависит, имеет ли право дан­ ный пользователь на удаленный доступ. RAP служат для задания условий, при которых пользователи могут подключаться по определенному соединению удаленного доступа. Ограничения основаны на таких критериях, как время вызова, тип соединения и др. Если учетные записи определяют настройки для индивидуальных пользователей, то политики удаленного доступа — для целых групп пользователей. Политика (policy) со­ стоит из правил (rules), проверяемых системой, когда она определяет, следует принять данный запрос на соединение или отклонить его. При поддержке удаленного доступа полезно сочетать политики и параметры учетных записей. Политика обычно определяет общие параметры, а учетные записи — индивидуальные.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вам нужно обеспечить шифрование всех удостоверений, передаваемых между уда­ ленными клиентами и сервером маршрутизации и удаленного доступа. Какой из сле­ дующих способов аутентификации вы могли бы задействовать? a. РАР. b. CHAP. c. SPAP. d. MS-CHAP. 2. Какой из следующих протоколов удаленного доступа используется службой маршру­ тизации и удаленного доступа чаще всего и при этом разрешает как входящие, так и исходящие вызовы? ._. • ~ * ' a. РРР. b. SUP. c. RAS. d. Шлюз NetBIOS. 3. Каковы преимущества VPN-соединений по сравнению с традиционными соедине­ ниями удаленного доступа по коммутируемым линиям?

Введение п Active Directory и инфраструктуру сетей

Глава

Резюме •

Windows Server 2003 поддерживает удаленный доступ средствами службы маршрути­ зации и удаленного доступа. Клиенты могут обращаться к сети, подключаясь напря­ мую к серверу или через виртуальную частную сеть (Virtual Private Network, VPN). • Служба маршрутизации и удаленного доступа поддерживает несколько протоколов удаленного доступа, самый важный из которых — РРР. Как только соединение ус­ тановлено, протокол удаленного" доступа определяет физические аспекты передачи данных по соединению. • Три основных способа защиты при удаленном доступе — аутентификация (проверя­ ется, есть ли у пользователя разрешение на доступ к сети), управление соединением (разрешается установление соединений только из определенных мест) и управление доступом (пользователям или их группам разрешается или запрещается удаленный доступ).

j f Резюме главы • •

•

а

и

•

•

Active Directory разделяется на логические структуры (объекты, домены, деревья, леса и организационные единицы) и физические (контроллеры домена и сайты). В логической структуре домены разграничивают основные зоны безопасности в сети. Множество доменов, использующих непрерывное (одно и то же) пространство имен, организуется в деревья. Несколько деревьев образует лес. Лес является самой внеш­ ней границей организации. Организационные единицы (OU) используются для со­ здания административных границ внутри домена. Контроллеры доменов и сайты образуют физическую структуру. Контроллер до­ мена — это система Windows Server 2003 с работающей службой Active Directory; каждый контроллер домена хранит полную копию раздела каталога для данного до­ мена. Сайты — это наборы контроллеров домена, связанных скоростными надеж­ ными соединениями. Сайты позволяют управлять трафиком репликации. Службы разрешения имен преобразуют хост-имена в IP-адреса, a DNS является основной службой разрешения имен в Windows Server 2003. Active Directory тесно интегрируется с DNS; контроллеры доменов публикуют все свои службы в базе данных DNS как записи служб (SRV). Благодаря этому любой DNS-клиент может найти какую-либо службу в сети (в том числе Active Directory) по механизму про­ смотра DNS (DNS lookup). Пространство имен DNS в сети отражает пространство имен Active Directory. DNS разделяется на домены. Каждый домен отвечает за записи, хранящиеся в этом доме­ не, и за сопоставление хост-имен и служб с IP-адресами в своих границах. Пространство имен DNS также разделяется на зоны — неразрывные части про­ странства имен, за управление которыми отвечают определенные серверы. Зона охватывает минимум один домен и может включать другие домены. Протоколы TCP/IP разделены на четыре логических уровня: прикладной, транспорт­ ный, межсетевой и сетевого доступа (сетевого интерфейса). На хосте-отправителе пакеты данных передаются от верхних уровней нижним, а на хосте-получателе — от нижних верхним.

'екомвндаций по подготовке к экзамену

•

•

•

•

•

Каждому интерфейсу в TCP/IP-сети присваивается уникальный IP-адрес, обычно представляемый четырьмя октетами в точечно-десятичной нотации; значение каж­ дого октета может варьироваться от 0 до 255. IP-адрес разделяется на идентификатор сети, определяющий подсеть, где находится хост, и идентификатор хоста, указываю­ щий хост в этой подсети. Позиция, в которой IP-адрес разделяется на идентификато­ ры сети и хоста, определяется маской подсети. Основной способ автоматического назначения IP-адресов клиентам в сети — исполь­ зование Dynamic Host Configuration Protocol (DHCP). DHCP-сервер управляет обла­ стью IP-адресов, которые он может назначать клиентам, а также сообщает другую важную информацию, в том числе маску подсети, основной шлюз и адреса DNSсерверов в сети. Windows Server 2003 поддерживает удаленный доступ средствами службы маршрути­ зации и удаленного доступа. Клиенты могут обращаться к сети, подключаясь напря­ мую к серверу или через VPN. Служба маршрутизации и удаленного доступа поддерживает несколько протоколов удаленного доступа, самый важный из которых — РРР. Как только соединение уста­ новлено, протокол удаленного доступа определяет физические аспекты передачи дан­ ных по соединению. Однако тем, как форматируются и пересылаются данные, все равно управляет сетевой протокол вроде TCP/IP. Три основных способа защиты при удаленном доступе — аутентификация (проверя­ ется, есть ли у пользователя разрешение на доступ к сети), управление соединением (разрешается установление соединений только из определенных мест) и управление доступом (пользователям или их группам разрешается или запрещается удаленный доступ).

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Логические компоненты Active Directory. Четко уясните, что такое домены, деревья, леса и организационные единицы. Также разберитесь в принципах именования до­ менов, деревьев и лесов. • Физическая структура Active Directory. Запомните основную функцию контроллеров доменов и дополнительные роли, которые они могут выполнять. Изучите, как они группируются в сайты и как сайты используются для управления репликацией. м Разные виды доверительных отношений. Уясните, как стандартное двустороннее транзитивное доверие обеспечивает аутентификацию между доменами и в каких слу­ чаях применяются другие виды доверия. и Базовая структура DNS. Уясните взаимосвязь доменов и принципы их именования. Также запомните, для чего предназначены DNS-серверы и как база данных DNS де­ лится на зоны.

Введение в Active Directory и инфраструктуру сетей

Оша 1

•

Процесс разрешения имен. Изучите базовый процесс как для прямого, так и обрат­ ного просмотра. Разберитесь, как происходит разрешение имен в адреса в сети Windows Server 2003 network. • Запомните четыре уровня в наборе протоколов TCP/IP и важнейшие протоколы на каждом из этих уровней. • Структура IP-адреса. Уясните способы IP-адресации с применением классов и без них. Освойте принципы маршрутизации протоколом IP на основе IP-адреса и маски подсети. - ..• и Способы соединения, поддерживаемые службой маршрутизации и удаленного до­ ступа. Уясните разницу между удаленным доступом по коммутируемым соедине­ ниям и удаленным доступом через виртуальные частные сети. • Протоколы удаленного доступа и сетевые протоколы, используемые службой марш­ рутизации и удаленного доступа. • Способы аутентификации и другие механизмы защиты, предоставляемые службой маршрутизации и удаленного доступа.

Основные термины Пространство имен - namespace — структура (например база данных) объектов, исполь­ зующих общую схему именования, но уникально идентифицируемых в контексте этой структуры. Например, у двух компьютеров в одном домене не могут быть одинако­ вые имена. Объект ~ object — набор атрибутов, определяющих конкретный ресурс. Класс объекта определяет атрибуты, из которых состоит объект. Корневой домен ~ root domain — домен в основе конкретной структуры именования (naming structure). Первый домен, установленный в сети Active Directory, служит в качестве корневого для леса Active Directory и первого дерева в этом лесу. У дополнительного дерева также может быть корневой домен — таковым становит­ ся первый домен, установленный в этом дереве. Роли хозяина операций ~ operations master roles — хотя большинство контроллеров доме­ на считаются равноправными, некоторые контроллеры могут быть выбраны на роли хозяина операций; эти роли уникальны в пределах домена или леса. Одни роли мо­ жет выполнять только контроллер домена в лесу, другие — лишь один контроллер в каждом домене. Зона, интегрированная в Active Directory ~ Active Directory Integrated Zone — тип DNSзоны, в которой база данных DNS хранится как часть базы данных Active Directory. В этом случае информация DNS автоматически реплицируется между контроллера­ ми домена. Classless Internet Domain Routing (CIDR) — способ IP-адресации, при котором не исполь­ зуются маска подсети по умолчанию и традиционное деление IP-адресов на классы A—F. Для реализации CIDR нужно создать собственную маску подсети и тем самым разбить сеть на подсети.

Вопросы и ответы

Щ . Вопросы ш ответы Занятие 1. Закрепление материала 1. Что из перечисленного ниже соответствует самой дальней (внешней) границе дей­ ствия единственной схемы? a. Дерево доменов. b. Лес. c. Домен. d. Контроллер домена. Правильный ответ: Ь. 2. Вы планируете добавить к своему сайту серверы глобального каталога. Какая схема их размещения рекомендована? a. Вы должны разместить минимум один сервер глобального каталога в каждом де­ реве доменов. b. Вы должны разместить минимум один сервер глобального каталога в каждом домене. c. Вы должны разместить минимум один сервер глобального каталога в каждом сайте. d. Вы должны сделать каждый контроллер домена сервером глобального каталога. Правильный ответ: с. 3. Каковы преимущества доверия к сокращению? Правильный ответ: доверие к сокращению позволяет устанавливать прямые доверитель­ ные отношения между двумя доменами, которые могут быть уже связаны цепочкой тран­ зитивных доверий. Доверие к сокращению ускоряет обработку запросов между связан­ ными доменами.

Занятие 2. Закрепление материала 1. Как Active Directory использует DNS? Правильный ответ: Active Directory использует DNS как службу локатора (locator service). Контроллеры домена регистрируют все предоставляемые ими службы (включая Active Directory) в DNS в виде записей SRV. 2. Какой из следующих типов записей ресурсов позволяет создать псевдоним для су­ ществующего хост-имени? a. Тип А. b. Тип ALIAS. c. Тип CNAME. d. Тип HINFO. Правильный ответ: с. 3. Вам нужно включить динамическую DNS в определенной зоне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необхо­ димо? a. Зона должна быть корневой. b. Зона должна быть интегрированной в Active Directory.

Введение в Active Directory Й инфраструктуру сетей

Глава 1

c. В зоне должна быть запись SRV. d. Динамическую DNS нельзя включить в определенной зоне — только для всего сервера. Правильный ответ: Ь.

Занятие 3. Закрепление материала 1. На каком из четырех уровней модели TCP/IP-сетей выполняется маршрутизация па­ кетов между источником и адресатом? a. Прикладном. b. Транспортном. c. Межсетевом. d. Сетевого доступа. Правильный ответ: с. 2. Ваша компания зарегистрировала идентификатор сети 131.107.0.0, который исполь­ зует маску подсети по умолчанию 255.255.0.0. Вам нужно создать собственную маску подсети, позволяющую разделить сеть на максимальное количество подсетей, в каж­ дой из которых могло бы быть минимум по 20 хостов. Какой должна быть эта маска подсети? Правильный ответ: прежде всего вы должны взять часть битов от идентификатора хо­ ста в третьем и четвертом октетах. Любая собственная маска подсети со значением более 240 в четвертом октете даст вам менее 20 хостов в каждой подсети. Используя 255.255.255.240 в качестве маски подсети, вы получите максимум 4095 подсетей, в каж­ дой из которых может быть до 31 хоста. Общепринято вычитать 2 адреса из возможно­ го количества хостов, чтобы учесть идентификаторы хостов, содержащие только нули или только единицы. 3. Какую из следующих масок подсетей по умолчанию использовал бы компьютер с IP-адресом 157.54.4.201? a. 255.0.0.0. b. 255.255.0.0. c. 255.255.255.0. d. 255.255.255.255. Правильный ответ: Ь.

Занятие 4. Закрепление материала 1. Вам нужно обеспечить шифрование всех удостоверений, передаваемых между уда­ ленными клиентами и сервером маршрутизации и удаленного доступа. Какой из сле­ дующих способов аутентификации вы могли бы задействовать? a. РАР. b. CHAP. c. SPAP. d. MS-CHAP. Правильные ответы: Ь, с и d.

Вопросы и ответы -

Какой из следующих протоколов удаленного доступа используется службой марш­ рутизации и удаленного доступа чаще всего и при этом разрешает как входящие, так и исходящие вызовы? a. РРР. b. SLIP. ;. RAS. d. Шлюз NetBIOS. Правильный ответ: а.

:

Каковы преимущества VPN-соединений по сравнению с традиционными соедине­ ниями удаленного доступа по коммутируемым линиям? Правильный ответ: во-первых, удаленным пользователям, не находящимся в том же городе, что и сервер маршрутизации и удаленного доступа, не нужно делать междуго­ родных звонков для подключения к сети. Во-вторых, применение VPN-соединений резко сокращает расходы на оборудование, необходимое для поддержки множества одновре­ менных соединений, и соответствующее количество телефонных линий. Наконец, реше­ ния на основе VPN обычно предоставляют более скоростные соединения (по широкопо­ лосным подключениям к Интернету) за меньшую цену, чем традиционные решения на основе коммутируемых линий.

Г Л А ВА

2

Анализ существующей инфраструктуры

Занятие 1. Изучение структуры организации

47

Занятие 2. Анализ топологии существующей сети

55

Занятие 3. Анализ структуры существующих каталогов

59

Темы экзамена •

Изучение топологии сети и уровней производительности: • выявление ограничений в текущей инфраструктуре сети; а оценка требований к производительности каждой из основных подсистем.

и

Анализ существующей реализации сетевой операционной системы: а определение существующей модели доменов; а идентификация количества и местонахождения контроллеров доменов в сети; а сбор детальных сведений о конфигурациях всех серверов в сети (серверы могут быть таких типов, как основные контроллеры доменов, резервные контроллеры доменов, файловые серверы, серверы печати и Web-серверы).

н

Анализ влияния Active Directory на существующую сетевую среду. • анализ требований к взаимодействию; • анализ текущего уровня обслуживания в существующей сетевой среде; а анализ текущей модели администрирования сети; • анализ требований к сети.

•

Анализ требований к службе каталогов Active Directory по безопасности. а изучение существующих политик, стандартов и процедур безопасности; • определение влияния Active Directory на текущую инфраструктуру защиты; а идентификация существующих доверительных отношений.

•

Анализ влияния проекта инфраструктуры на существующую сетевую среду. • определение требований к аппаратному и программному обеспечению; а определение требований к взаимодействию;

Занятие 1 л з

изучение структуры организации

определение текущего уровня обслуживания в существующей сетевой среде; определение требований к сети.

В этой главе Прежде чем погружаться в детали установки Microsoft Windows Server 2003, создания доменов и организации ресурсов, вы должны глубоко изучить текущую конфигурацию сети. Понимание структуры вашей компании наряду с анализом структуры существую­ щей сети жизненно необходимо для успешной реализации вашего плана новой инфра­ структуры. Эта глава посвящена тому, как собирать информацию; здесь вы ознакомитесь с зада­ чами, которые вам предстоит решить до того, как проектировать свою инфраструктуру сети и службы каталогов Active Directory. Прежде чем приступать к закупкам аппаратнопрограммных средств или к реализации каких-либо рекомендаций, вы должны понять структуру самой организации, а затем провести анализ существующих структуры сети и модели доменов.

Прежде всего Для изучения материалов этой главы необходимо ознакомиться с концепциями, пред­ ставленными в главе 1.

Занятие 1. Изучение структуры организации Первый шаг в анализе сетевой инфраструктуры компании — изучение самой компании. Понимание того, как работает организация и как идут в ней информационные потоки, ляжет в основу вашего проекта сети.

Изучив материал этого занятия, вы сможете: •/ определить географическую модель организации; S создать карту территориального размещения организации; •S собрать сведения об информационных потоках в организации.

Продолжительность занятия — около 20 минут.

Учет географии организации Ваша первая задача — определить физическое размещение различных отделов, подраз­ делений или филиалов компании. С точки зрения формирования сети, самых крупных затрат требует соединение между разными физическими точками. WAN-канал связи между городами, например, не только имеет более узкую полосу пропускания, чем LAN-соединения, но и стоит относительно дороже. Поэтому одной из основных целей вашего проекта будет минимизация сетевого трафика по WAN-каналам (или хотя бы контроль за временем их использования). Чем шире территориальный охват сети, тем важнее эта цель.

Анализ существующей инфраструктуры

Глава 2

Подготовка к экзамену В версиях Windows, предшествовавших Windows 2000, Microsoft рекомендовала создавать один домен на каждую территориальную область. Теперь это не так. Следуя принципу «чем проще, тем лучше», Microsoft рекомендует по возможно­ сти использовать один домен на всю организацию. Для разграничения по территориаль­ ному признаку с целью управления сетевым трафиком используйте сайты, а для разгра­ ничения по тому же признаку с целью администрирования — организационные единицы (organizational units, OU). . . , Microsoft определяет четыре основные географические модели: локальная, региональ­ ная, национальная и международная. Кроме того, существуют два других типа офисов, которые могут вам понадобиться, — дочерние фирмы и филиалы (branch offices). Локальная модель Локальная географическая модель — самая простая и одна из тех, в которых все ресурсы соединены быстрыми и постоянными каналами связи. В локальной модели обычно реа­ лизуют только один сайт и только один домен. Соответствующей компании незачем со­ здавать соединения между разными географическими точками с использованием средств сторонних поставшиков. По сути, за локальные границы скорее всего будут выходить канал связи с Интернетом и какие-то линии для удаленного доступа пользователей. По сравнению с другими моделями она не требует особых усилий в планировании. Сетевой трафик не является особо важным фактором ввиду высокой пропускной спо­ собности и доступности локальных соединений. Подавляющее большинство сетей в мире являются локальными. Региональная модель В региональной модели все участки находятся в пределах одной, четко очерченной тер­ ритории. Пример региональной сети показан на рис. 2-1.

Мемфис Ф^5±2-«ИАО&41ИЫЙ канал Frame Relay у/дтланта У256-килобитный канал Frame Relay Мобил щ

Рис. 2-1. Типичная региональная сеть

Занятие 1

Изучение структуры организаций

Существует несколько ключевых отличий региональной модели от более сложных и более крупных моделей (национальной и международной). Самое важное — все каналы связи между географическими точками в региональной модели обычно относятся к одно­ му типу и предоставляются одним провайдером. Другое важное отличие в том, что сети, соответствующие региональной модели, сравнительно просты в установке. То есть соединения между географическими точками должны быть высокоскоростными WANканалами с постоянным подключением.

Национальная модель Масштаб национальной модели на ступень выше региональной. Хотя одно ее название предполагает, что данная компания территориально охватывает всю страну (обычно так и бывает), еще одна отличительная особенность, которая позволяет отнести компанию к национальной модели, — сложность сети. Компания, отвечающая национальной моде­ ли, скорее всего располагает разными WAN-каналами от разных провайдеров. Наличие более медленных каналов (менее 512 Кбит/с) между несколькими участками также ус­ ложняет ваш проект и позволяет отнести сеть такой компании к национальной модели. Соединения удаленного доступа используются гораздо чаще и могут быть частично ос­ нованы на WAN-каналах. Возможно применение разных топологий сетей, например Asynchronous Transfer Mode (ATM) и Frame Relay. Помимо сложности соединений между участками, в компаниях, отвечающих этой модели, обычно учитывают и другие факторы, в том числе: • наличие офисов в нескольких часовых поясах; • необходимость учета различий в местном законодательстве; • большее число пользователей.

Международная модель Главная отличительная характеристика компании, соответствующей международной модели, — ее сети пересекают границы стран (рис. 2-2). Многое из того, что относится к национальной модели, распространяется и на международную. Тот факт, что такая ком­ пания использует каналы связи разных типов от разных провайдеров, осложняется тем, что соединения устанавливаются по международным линиям. Важно, чтобы вы понима­ ли стоимость различных соединений и их надежность. Эта модель требует гораздо более тщательного планирования по сравнению с остальными. Здесь вам придется иметь дело с более серьезными различиями в законодательстве, появятся и языковые проблемы. Вы должны учитывать, какой контент считается допу­ стимый в той или иной стране, законы, регулирующие экспорт в разных странах, трудо­ вое законодательство и даже тарифы.

Филиалы Филиал — офис, так или иначе контролируемый вашей компанией, но сохраняющий некую степень самостоятельности. Примеры организаций, традиционно располагающих филиалами, — банки, страховые компании и крупные сети магазинов. В филиалах обыч­ но не поддерживают все сетевые службы, поддерживаемые в главном офисе. Однако в зависимости от типа соединения между филиалом и главным офисом может оказаться необходимым продублировать некоторые службы в филиале, чтобы уменьшить трафик по соединяющей сети.

йализ существующей инфраструктуры

Глава

512-килобитны'й * * N " - N ^ канал Frame Relay 64\\ килобит-\\ ный \ канал \ Frame ' Relay

\ \

64-кмлобитный канал Frame Relay

Рис. 2-2. Международная сеть Филиалы, как правило, не выступают в роли связующих звеньев, или хабов (hubs) между другими офисами; вместо этого каждый филиал соединяется с главным офисом напрямую (рис. 2-3). Конечно, бывают и исключения. В особо крупных, распределен­ ных компаниях, например в сети универмагов (department stores), можно обнаружить, что региональные филиалы связаны с национальной штаб-квартирой. В свою очередь более мелкие филиалы могут подключаться к региональным филиалам, а не напрямую к главному офису. Это позволяет распределить полномочия в управлении структурой сети и работать эффективнее, так как каждый региональный филиал управляет более мелки­ ми филиалами. Филиалы могут располагать (а могут и не располагать) ИТ-персоналом или штатом администраторов, и в них обычно нет пользователей со столь разнообразными потреб­ ностями, как в центральном офисе. Более мелкие филиалы полагаются на ИТ-персонал, сетевые службы и экспертов, предоставляемых центральным офисом.

Дочерние компании Дочерняя компания (subsidiary office) является частью основной компании, но не управ­ ляется ею. Классический пример — организация, купившая другую компанию, чтобы предлагать на рынке специфические услуги второй компании (возможно, в увязке со своими услугами). Обычно дочерняя компания располагает собственным штатом администраторов и ИТотделом — в конце концов, раньше она была отдельным предприятием. Проектировщику

Анализ существующей инфраструктуры

64-

Глава 2

512-килобитный "~^^^_^ канал Frame Relay

V4

КИЛОбИТ-\\

ный канал Frame Relay

\ \ '

\ \

64-килобитный канал Frame Relay

Рис. 2-2. Международная сеть Филиалы, как правило, не выступают в роли связующих звеньев, или хабов (hubs) между другими офисами; вместо этого каждый филиал соединяется с главным офисом напрямую (рис. 2-3). Конечно, бывают и исключения. В особо крупных, распределен­ ных компаниях, например в сети универмагов (department stores), можно обнаружить, что региональные филиалы связаны с национальной штаб-квартирой. В свою очередь более мелкие филиалы могут подключаться к региональным филиалам, а не напрямую к главному офису. Это позволяет распределить полномочия в управлении структурой сети и работать эффективнее, так как каждый региональный филиал управляет более мелки­ ми филиалами. Филиалы могут располагать (а могут и не располагать) ИТ-персоналом или штатом администраторов, и в них обычно нет пользователей со столь разнообразными потреб­ ностями, как в центральном офисе. Более мелкие филиалы полагаются на ИТ-персонал, сетевые службы и экспертов, предоставляемых центральным офисом.

Дочерние компании Дочерняя компания (subsidiary office) является частью основной компании, но не управ­ ляется ею. Классический пример — организация, купившая другую компанию, чтобы предлагать на рынке специфические услуги второй компании (возможно, в увязке со своими услугами). Обычно дочерняя компания располагает собственным штатом администраторов и ИТотделом — в конце концов, раньше она была отдельным предприятием. Проектировщику

Изучение структуры организаций

Снятие 1

Типичная структура филиалов

v

Структура при наличии региональных филиалов

•У

Г'\ г^\ ,^\ Рис. 2-3. Типичная и структура филиалов и структура при наличии региональных филиалов сети это создает особую проблему. Весьма вероятно, что рабочие процессы в дочерней компании отличаются от тех, которые приняты в основной компании. Ее администрато­ ры поддерживают свои политики и могут сопротивляться принятию новых политик. Воз­ можно, вы сочтете необходимым создать отдельный домен и пространство имен для до­ черней компании. Также вероятно, что в дочерней компании предъявляются другие тре­ бования к безопасности и сетевым службам. Ваш проект должен учитывать как автоно­ мию дочерней компании, так и политики, действующие в основной компании. Подготовка к экзамену Маловероятно, что на экзамене вам покажут какую-то компа­ нию и спросят, к какой модели она относится. Тем не менее понимание базовых моделей в дальнейшем поможет вам в определении потребностей компаний.

Запись результатов анализа При определении географических границ компании можно взять простую карту, кото­ рая заведомо охватывает все территориальные подразделения этой компании. Напри­ мер, вы могли бы использовать карту западного полушария для международных компа­ ний, имеющих подразделения в Северной и Южной Америке. Для региональной компа­ нии с подразделениями в Джорджии,. Алабаме и Теннесси хватит карты юго-восточной части США. Если же структура компании очень сложна, то, по-видимому, стоит подго­ товить отдельные детализированные карты для каждого региона, в котором есть подраз­ деления этой компании; такие карты должны быть связаны с более крупной, менее дета­ лизированной картой. Задайте себе следующие вопросы, я В каких городах есть офисы у данной компании? • Что представляет собой данный офис — штаб-квартиру, филиал или дочернюю ком­ панию? В случае дочерних компаний, даже малых, весьма вероятно, что вам придет­ ся подготовить отдельные проекты, отличающиеся по структуре от общего проекта.

Анализ существующей инфраструктуры

Глава 2

я Сколько пользователей в каждом офисе? в Как соединены офисы? Пока просто отметьте типы соединений (например, линия Т1), максимальную пропускную способность каждого соединения и поставщиков со­ ответствующих каналов связи. Обязательно поговорите с администраторами сетей и узнайте, насколько они удовлетворены этими соединениями и поставщиками; также выясните уровень надежности соединений и что на этот счет предлагает каждый по­ ставщик. • По какому тарифу компания оплачивает сетевой трафик? За использование некото­ рых соединений оплата взимается на основе общего трафика, переданного по дан­ ному каналу связи за месяц. Другие соединения оплачиваются исходя из пикового трафика. Поэтому не забывайте отмечать на своих схемах применяемые тарифные планы. а Если соединения пересекают границы государств, проверьте, нет ли каких-то осо­ бенностей, связанных с тарифами и законами по экспорту. По мере чтения этой главы вы продолжите заполнять информацией свои карты и создавать другую проектную документацию.

Оценка текущего использования WAN-соединений Подготовив свою географическую карту (или карты) и определив максимальную полосу пропускания WAN-каналов между участками, вы должны установить текущие уровни использования каждого соединения. Сравнивая максимальную полосу пропускания с текущим ее использованием, вы поймете, какая полоса пропускания свободна. Провайдер каждого WAN-соединения скорее всего сможет предоставить вам стати­ стику использования. В ином случае придется собирать информацию самостоятельно. Вы должны выяснить, какая часть полосы пропускания используется в определенные часы дня, — это даст представление об обычном характере работы с сетью. Вы также должны отметить объем сетевого трафика при важнейших событиях в сети, когда, на­ пример, пользователи входят в сеть утром (или вечером), выполняются операции резер­ вного копирования, осуществляется репликация каталога или другой информации и т. д. Нанесите полученные данные на основную схему (или на отдельную в более слож­ ных случаях). Наряду с максимальной полосой пропускания для каждого соединения следует отмечать пиковое и среднее использование, а также обращать внимание на опре­ деленные часы дня и записывать причины высокого уровня сетевого трафика.

Информационные потоки Информация жизненно важна для любой современной компании. При проектировании сети не забывайте: весь смысл вашей работы в том, чтобы сотрудники компании могли создавать, хранить, распространять, находить и использовать информацию. Вы должны провести детальный анализ того, с какими видами информации имеет дело данная ком­ пания, откуда она берется, кто ее создает, где она хранится, куда передается и кто имеет права на доступ к ней. В каждом отделе или подразделении компании вам нужно поговорить с ключевыми сотрудниками о том, какие виды информации они используют. Задайте им следующие вопросы. а Какие типы документов создаются в их отделе и в каких приложениях? н Для кого предназначены эти документы? Только ли те, кто создают данные докумен­ ты, хранят их и обращаются к ним? Не передаются ли созданные документы другим

Занятие 1

•

•

•

Изучение структуры организаций

м

сотрудникам отдела или компании в целом? Хранят ли они их и обращаются ли к ним? Каков круг таких сотрудников? Нужна ли распечатка документов? Являются ли какие-то документы общедоступными, например, через Интернет? Если да, кто отвечает за публикацию информации — сами пользователи или кто-то еще? Кто? Где хранятся такие документы? На этот вопрос важно получить ответ как от пользо­ вателей, так и от сотрудника ИТ-отдела. Типичный пользователь может ответить «в папке Мои документы (My Documents)» или «на моем диске Z:». В то же время администратор сети скажет вам, хранится информация на сервере или на компью­ терах пользователей и как пользователю предоставляется доступ к этому хранилищу. Хранится ли информация в БД? Если да, то какая и в какой базе? Сколько пользова­ телей имеют доступ к ней? Глее находится эта БД?

Еще несколько вопросов, на которые вы должны ответить себе, связаны с тем, каки­ ми средствами связи пользуются сотрудники компании. • Является ли электронная почта основным механизмом коммуникационной связи между сотрудниками? • Применяется ли механизм мгновенного обмена сообщениями (instant messaging), а если нет, то возможно ли вообще его применение? • Что представляет собой телефонная система? На каком оборудовании она построена и где находится? Связана ли она с компьютерной сетью? На заметку На стадии сбора информации возникает соблазн просто пойти и погово­ рить с людьми. Однако лучше как следует подготовиться. Приходите с вопросами, на которые нужно получить ответы в первую очередь. Решите, кто сумеет ответить на них. Помните, что не всякий, с кем вы будете говорить, хорошо разбирается в компьютерах (или хотя бы интересуется ими). Мой совет — начинайте с сотрудников ИТ-отдела. Но будьте осторожны, чтобы они не подумали, что вы чересчур назойливы и лезете не в свое дело. Учтите, что многие, с кем вы будете разговаривать, наверняка приложили руку к проектированию существующей структуры сети. Также поговорите с сотрудниками в каждом отделе. В ИТ-отделе вам, вероятно, под­ скажут, к кому лучше обращаться. В отделах обычно полагаются на квалифицирован­ ных пользователей для оказания базовых администраторских услуг. С ними и следует пообщаться.

Анализ текущей модели администрирования Поскольку многие цели вашего проекта так или иначе направлены на минимизацию уси­ лий в администрировании, важно понять'Текущую структуру администрирования, при­ нятую в ИТ-отделе. Начнем с того, что существует две базовые модели администрирова­ ния: централизованная и децентрализованная. При централизованной модели сеть полностью обслуживается штатом ИТ-отдела. Его менеджеры контролируют все части сети, в том числе структуру Active Directory. У этой модели два основных преимущества. Во-первых, упрощается структура админи­ стрирования. Это означает, что облегчается принятие решений и что вы можете исполь­ зовать меньше OU при проектировании структуры Active Directory, так как нет особой необходимости делегировать административные полномочия. А во-вторых, чем меньше

Анализ существующей инфраструктуры

Глава 2

группа лиц, отвечающая за поддержку сетевых служб, тем большего единообразия уда­ ется достичь в проекте и в подходе к управлению. Недостаток централизованной модели в том, что она не слишком хорошо масштаби­ руется. В более сложной сети, распределенной по большей территории, централизован­ ное администрирование нередко приводит к замедлению многих процессов. В децентра­ лизованной модели эта проблема снимается благодаря наличию администраторов на каж­ дом участке. Если участок небольшой, ИТ-специалистов могут заменить квалифициро­ ванные пользователи. В некоторых проектах локальным администраторам передается полный контроль над локальными ресурсами. Как уже упоминалось, реальное преиму­ щество этой модели состоит в том, что возникающие проблемы или вопросы решаются на месте. Однако это преимущество имеет свою цену. Поддержка децентрализованной модели требует усложнения структуры сети и Active Directory. А это обычно означает, что нужно создавать больше OU или доменов. Кроме того, содержание административ­ ного персонала на различных участках затрудняет своевременное обучение. Отмечая особенности административной модели в данной компании, включите сле­ дующие сведения. • Сделайте простую схему организационной структуры, по которой была бы ясна иерархия сотрудников административного персонала. Если в компании используется децентрализованная модель, подготовьте такую схему для каждого участка. и Узнайте, кто управляет бюджетом, выделяемым на ИТ. Выясните, когда определяется бюджет и какие его параметры повлияют на ваш проект. • Если для управления какими-то службами используется аутсорсинг, получите их спи­ сок, выясните, какая организация предоставляет эти услуги и какова их стоимость. Опишите процесс принятия решений по ИТ. Все ли решения принимаются сверху? Не предоставляется ли некая степень самостоятельности в управленческой цепочке? Если да, то каковы границы этой самостоятельности? В основном вас должно инте­ ресовать, кто и какие решения принимает при изменении сети и ее обслуживании.

Планирование на будущее Одна из замечательных особенностей Windows 2003 — ее масштабируемость: размеры сети можно увеличивать без лишних издержек. Однако это не означает, что вам не нуж­ но думать о будущем при проектировании сети. Ваши планы должны предусматривать возможность изменений, в том числе появление дополнительных участков и изменение численности персонала.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие факторы, помимо сетевых соединений, усложняют проектирование сети для международной компании? 2. В чем разница между филиалом и дочерней компанией? 3. Вы готовите географическую карту для компании с тремя участками в пределах одного штата. Два участка соединены выделенной линией Т1. Третий участок под-

Занятие 2

Анализ ТОПОЛОГИЙ существующей сети

ключей лишь к одному из первых двух, при этом используется 64-килобитная ли­ ния. К какой географической модели можно отнести эту компанию?

Резюме •

Существует четыре географических модели компаний: локальная, региональная, на­ циональная и международная. Основные различия между этими моделями (кроме государственных границ) заключаются в уровне сложности сети и статусе соедине­ ний между участками. • При рассмотрении географических факторов следует учитывать два типа офисов: филиалы (контролируются компанией) и дочерние компании (принадлежащие основной компании, но обычно располагающие своими штатом и сетевыми поли­ тиками). • Вы должны максимально полно выяснить, как информация создается, хранится и передается внутри организации.

Занятие 2. Анализ топологии существующей сети Уяснив структуру компании, переходите к оценке существующей сети. На этом заня­ тии вы научитесь собирать информацию о схеме IP-адресации, о том, как в сети осуществляется маршрутизация, а также о серверах и ресурсах. Изучив материал этого занятия, вы сможете:

•/ описать текущую сетевую среду; •S идентифицировать серверы и рабочие станции в сети; •S описать требования к производительности. Продолжительность занятия - около 30 минут.

Сетевая среда Создавая географическую карту компании, вы определили основные участки и получи­ ли базовые сведения о сетевых соединениях между этими участками. Теперь вы начнете собирать более детализированную информацию о существующей структуре сети.

Маршрутизаторы и другое сетевое оборудование Начните сбор информации с создания индивидуальной схемы для каждого географиче­ ского участка. Здесь отлично подойдет простая концептуальная схема. Каждый участок должен быть отдельной LAN, в которой все хосты соединены друг с другом. На схеме нужно указать следующее. • Разделена ли LAN на подсети. • Местонахождение маршрутизаторов — служат они для соединения подсетей в LAN или для подключения LAN к WAN. Определите производителя и модели маршрута-

Анализ существующей инфраструктуры

• в

•

А

Глава 2

заторов, а также тип маршрутизации, обеспечиваемой ими. Кроме того, отметьте любые другие службы, например DHCP или DNS, которые предоставляет маршрути­ затор. Выясните версию программного обеспечения или микрокода (прошивки). Если маршрутизатор базируется на Windows, нужно отметить другие службы (если таковые есть), предоставляемые маршрутизатором, и версию Windows, под управлением ко­ торой он работает. Тип применяемых кабелей и где они проложены. Если сеть построена по устаревше­ му стандарту, то, вероятно', её пора модернизировать. Расположение соединительных панелей (patch panels) и монтажных шкафов (closets). Отметьте, какие типы компонентов там находятся и какие типы соединений они обес­ печивают. Размещение оборудования для поддержки удаленного доступа. Если ваша компания предоставляет удаленный доступ по коммутируемым линиями (dial-up access) множе­ ству пользователей, должны быть стойки с соответствующим оборудованием. Вы дол­ жны записать название компании-производителя, марку и модель этого оборудова­ ния, а также отметить, как оно подключено к сети. Если оно не контролируется Windows-сервером, решите, понадобится ли это в дальнейшем. В сложных средах следует подготовить схему и набор документов для каждой LAN. на географической карте нужно отметить, как эти LAN соединены друг с другом.

1Р-адресация Описав физическую структуру сети, займитесь схемой адресации по Internet Protocol (IP). Ваш первый шаг — выяснить, какой IP-адрес или диапазон адресов компания арендова­ ла у своего Интернет-провайдера. Далее вы должны определить, используются в сети общедоступные IP-адреса или частные. Вам также понадобится узнать, как выделяются IP-адреса в сети — вручную (что крайне маловероятно в любой сети, кроме самой ма­ лой) или автоматически через Dynamic Host Configuration Protocol (DHCP). Затем следует задокументировать информацию по каждой подсети. в Идентификатор сети и маску подсети, а также диапазон идентификаторов хостов для каждой подсети. • Основной шлюз для хостов в подсети. • Имеется в подсети DHCP-сервер или в ней используется агент ретрансляции DHCP (DHCP relay agent). в Любая дополнительная информация, назначаемая DHCP-сервером, например адре­ са DNS-серверов. • Список TCP- и UDP-портов, используемых службами в сети, особенно если приме­ няются собственные службы или если для стандартных служб задействованы порты с номерами, отличными от общеизвестных.

Серверы и рабочие станции Много работы при сборе информации о сети требует сведение воедино данных о ком­ пьютерах, из которых состоит сеть. Вы должны создать инвентарный список (inventory) каждой системы и определить, когда система используется наиболее интенсивно.

Занятие 2

Анализ ТОПОЛОГИИ существующей сета

Создание инвентарного списка Создание инвентарных списков для компьютеров в сети отнимает много времени, и вы наверняка захотите воспользоваться уже имеющейся информацией. Но обязательно про­ верьте актуальность этой информации, — не исключено, что она уже устарела. Если же такой информации слишком мало, используйте программное обеспечение, автоматизи­ рующее сбор инвентарных сведений, а также попросите помочь кого-то из сотрудников ИТ-персонала. При инвентаризации системы обращайте внимание на следующие данные. • Имя компьютера, его текущая IP-конфигурация, местонахождение в сети. • Изготовитель и модель компьютера. Если компьютер собран самостоятельно или по заказу, нужно еще внимательнее отнестись к компонентам, из которых он собран. Убедитесь, что у вас есть доступ к драйверам нужного оборудования. • Изготовитель и модель материнской платы, а также версия ее BIOS. • Тип процессора и его тактовая частота. • Объем и тип памяти. • Размер, тип и изготовитель жестких дисков, а также контроллеров дисковых устройств. • Изготовитель и тип сетевых адаптеров. Обязательно отметьте, какие типы соедине­ ний и скорость передачи данных поддерживает адаптер. • Изготовители и модели любых подключенных периферийных устройств. Обязатель­ но отметьте текущие версии драйверов или прошивок. • Любые службы, работающие в системе. В случае серверов сюда нужно включить све­ дения о таких службах, как DHCP, DNS или WINS. На рабочих станциях тоже могут выполняться какие-то службы. Если система является контроллером домена, вы дол­ жны собрать и те сведения, о который пойдет речь на следующем занятии. • Установленное ПО. Обязательно укажите названия программных продуктов, версии и любые установленные обновления, а также ключ для активации продукта (если та­ ковой требуется). • Общие папки и принтеры, сконфигурированные в системе. Отметьте также права и разрешения, выданные пользователям и группам на доступ к этим общим ресурсам. • Список пользователей, имеющих доступ к системе. Примечание Кроме аппаратно-программных средств, необходимых для работы Windows Server 2003, следует определить количество контроллеров домена, необходимых для под­ держки вашего плана Active Directory, и требования к оборудованию каждого такого кон­ троллера. Подробнее на эту тему см. главу 5.

В какое время используется система При инвентаризации системы, особенно сервера, не пожалейте времени на анализ того, в какие часы суток используется система. Поговорите с пользователями, если это воз­ можно, а также с ИТ-персоналом. Эта информация нужна для того, чтобы определить, в какое время можно отключить систему от сети и провести ее модернизацию. Обычно модернизация и обслуживание систем проводится в нерабочее время. Однако в некото­ рых системах (например на серверах удаленного доступа и менеджерах репликации) пи­ ковая нагрузка наблюдается как раз в нерабочее время. Поэтому в вашем плане нужно продумать расписание развертывания.

Анализ существующей инфраструктуры

Глава 2

Анализ требований к производительности Высокая производительность важна в сетевой среде. Серверы должны передавать ин­ формацию другим серверам и выполнять свои задачи за приемлемое время. Пользо­ ватели хотят побыстрее получать ответы от сетевых служб. Поэтому, собирая сведения о сети от администраторов и пользователей, обратите внимание на их отзывы о произ­ водительности сети. Хотя к этим отзывам следует относиться с долей здорового скеп­ тицизма (в конце концов, разве найдется хоть один пользователь, который сказал бы, что сеть работает слишком быстро?), обратить на них внимание все же стоит. Когда многие пользователи жалуются на одну и ту же проблему, что-то, наверное, нуждается в усовершенствовании.

Изучение нерешенных проблем Прежде чем вы начнете проверку производительности сети и анализ ее соответствия ва­ шим требованиям, выявите любые проблемы, которые пока не решены и которые могут повлиять на производительность. Очевидно, что эта задача потребует привлечения ИТперсонала, так как лишь им известны все существующие проблемы. Обработав информацию об известных проблемах, постарайтесь добиться должной настройки текущей конфигурации сети и установки всех обновлений. То есть вы долж­ ны убедиться, что сетевое оборудование вроде маршрутизаторов правильно сконфигу­ рировано и что прошивки обновлены до последних версий. В случае серверов просмо­ трите их журналы событий на предмет проблем, о которых вы, возможно, не знали, ус­ тановите любые необходимые обновления для операционной системы и сетевых компо­ нентов и проверьте правильность настройки служб и сетевых компонентов.

Проверка текущей производительности Один из лучших способов оценить производительность сети или хотя бы прочувствовать ее, сесть рядом с основными пользователями и понаблюдать за скоростью операций. Обратите внимание на то, сколько времени уходит на запуск компьютера, вход в сеть, запуск приложений и доступ к сетевым ресурсам. Проверьте журналы для основных служб в сети и посмотрите, все ли выполняется в пределах ожидаемого. Не отнимает ли резервное копирование больше времени, чем пред­ полагалось? И как насчет доступа к базе данных или репликации? Получив общее представление о производительности сети, протестируйте с помощью нескольких инструментов серверы и сетевые соединения. в Консоль Производительность (Performance Console). Эта консоль (которая в версиях Windows, предшествовавших Windows 2000, называлась Performance Monitor) позво­ ляет наблюдать за использованием ресурсов на компьютере. Она полезна для опреде­ ления базовых параметров производительности ключевых системных компонентов, в том числе процессора, памяти, дисковой подсистемы и сетевых соединений. В кон­ соли Производительность используется оснастка Системный монитор (System Moni­ tor). Описание этих средств вы найдете в документации на Windows Server 2003. в Сетевой монитор (Network Monitor). Применяется для анализа локальных сетей и выявления проблем в них. Эта утилита захватывает кадры (frames) или пакеты, пе­ редаваемые по сети, и предоставляет инструменты для анализа захваченной инфор­ мации.

Занйтяе 3

АЙЗЛЙЗ структуры существующих каталогов

Оценка требований Определив текущие уровни производительности в сети, вы должны оценить, соответ­ ствуют ли они вашему проекту. Во-первых, прикиньте, способны ли серверы работать с Windows Server 2003 и любыми службами, необходимыми для выполнения их ролей в сети. Во-вторых, следует определить, справится ли сама сеть с трафиком, который заложен в вашем проекте. Эта оценка на самом деле будет не раз пересматриваться в процессе планирова­ ния. В частности, если вы обнаружите, что ваш проект Active Directory превышает воз­ можности существующей сети, вам придется решать, что делать дальше — увеличить пропускную способность сети или пересмотреть проект.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какую информацию вы должны собрать при инвентаризации сервера? 2. Расскажите об основных элементах IP-адресации для каждой подсети. 3. Какие два основных инструмента используются для анализа производительности в сети Windows.

Резюме я

Оцените текущую сетевую среду и соберите, в том числе, информацию о подсетях, IP-адресации и сетевом оборудовании на каждом участке. и Создайте инвентарный список серверов и рабочих станций на каждом участке. В него следует включить описание аппаратно-программных средств и используемых служб. Также отметьте характер использования систем, чтобы выбрать наиболее оптималь­ ные периоды времени для их обновления. • Анализируя требования к производительности, начните с выявления любых суще­ ствующих проблем и проверки правильности конфигураций. Составьте представле­ ние о впечатлениях пользователей от работы с сетью и их ожиданиях, а затем про­ верьте текущую производительность. В процессе планирования будьте готовы к час­ тому пересмотру этих требований.

Занятие 3. Анализ структуры существующих каталогов Анализ структуры каталогов состоит в том, что вы выявляете существующую модель до­ менов, применяемую в сети, и определяете то, как распределяются ресурсы между доме­ нами. Если Active Directory уже используется, вы также должны определить текущие гра­ ницы лесов, организационные единицы и размещение контроллеров доменов.

Анализ существующей инфраструктуры

Глава 2

Изучив материал этого занятия, вы сможете: •S •S •S •S

описать текущую модель доменов; идентифицировать существующие доверительные отношения; описать текущую структуру организационных единиц; определить размещение и роли контроллеров доменов.

Продолжительность занятия — около 30 минут.

Анализ существующей инфраструктуры Windows 2000 Если в сети уже создана структура Active Directory, исходите из того, что она проектиро­ валась с учетом определенных факторов. Поэтому, собирая информацию о текущей структуре, внимательно изучите, почему она спроектирована именно такой. Если этот проект в целом вас устраивает, то, возможно, понадобится лишь оптимизация существу­ ющей структуры, чтобы она точнее соответствовала вашим требованиям. Текущая модель доменов Первый шаг в документировании существующей модели доменов — создание базовой схемы, подобной показанной на рис. 2-4. Эта схема должна отражать имеющиеся доме­ ны, а также их организацию в деревья и леса. Для более сложных структур придется соз­ дать несколько схем — по одной на каждое дерево доменов. . Корневой домен для treyresearch.com

Корневой домен дляi cpancll.com

Корень леса

/

/

/ treyresearch com

/ \

/ /

\

, treyresearch.com

Л . -Л

/f /

\

\

treyresearch.com

Доверие к сокращению research. dallas. cpandl.com

Рис. 2-4.

• •

Схематическое отображение существующей структуры доменов Windows 2000

Обязательно включите в схему следующую информацию: полное имя домена; какой домен является корневым в каждом дереве доменов;

Занятие 3

• • • •

Анализ структуры существующих каталогов

какой домен является корневым в лесу; любые созданные доверия к сокращению (shortcut trusts); любые доверительные связи между лесами; любые односторонние доверительные связи с доменами Windows NT 4.0.

Текущая структура организационных единиц Создав общую схему, отражающую взаимосвязи доменов, вы должны создать схему для каждого домена, показывающую текущую структуру OU. Такая схема должна быть срав­ нительно простой, как на рис. 2-5.

Рис. 2-5. Схематическое отображение существующей структуры OU Вам также понадобится собрать о каждой OU следующую информацию: объекты, содержащиеся в OU (в том числе другие OU); как и какие разрешения назначаются для управления OU и содержащимися в них объектами. Здесь нужно отметить разрешения для самой OU, наследуются ли разре­ шения объектами в OU, а также любые вариации в разрешениях для объектов; в объекты групповой политики (Group Policy Objects, GPO), связанные с данной OU. Записывать эту информацию в отдельный документ для каждой OU или включить ее в какие-то другие, уже созданные документы — решать вам. Например, можно соз­ дать отдельный список ресурсов в OU или вернуться к уже созданному документу с описанием ресурсов и указать в нем, к какой OU относится каждый ресурс. • •

На заметку Документируя существующую инфраструктуру, ищите любые возможности ее упрощения. Если в этой инфраструктуре несколько доменов там, где можно было бы обойтись одним доменом с несколькими OU, сейчас самое время внести эти изменения. Если существующая структура OU слишком сложна, а система разрешений слишком запутана, то скорее всего ее с самого начала плохо продумали. В любом случае у вас появляется шанс устранить массу проблем, уменьшив глубину иерархии OU и упростив систему разрешений в OU. О том, как проектировать эффективные структуры OU, вы узнаете в следующих главах, но уже на стадии сбора информации стоит отмечать любые излишества.

g2

Анализ существующей инфраструктуры

Глава 2

Текущая структура сайтов и контроллеров домена Следующий шаг — создание другой схемы для каждого домена, отражающей то, как он делится на сайты и как на этих сайтах размещены контроллеры домена. Даже если домен содержит всего один сайт, все равно создайте эту схему и отметьте на ней контроллеры домена. Вы можете использовать документы со сведениями об аппаратно-программном обес­ печении, собранными при инвентаризации серверов и рабочих станций, но для каждого контроллера домена нужно дополнительно получить следующую информацию. • Выполняет ли сервер, используемый в качестве контроллера домена, другие роли уровня домена или леса, например роли хозяина операций (operations master roles) и т.д. Список ролей см. в главе 1. • Является ли контроллер домена еще и сервером глобального каталога. • Является ли контроллер домена сервером межсайтовой репликации (bridgehead server) информации Active Directory. • Также можно перечислить серверы, не являющиеся контроллерами домена, но пре­ доставляющие жизненно важные службы вроде DNS, DHCP, электронной почты и др. Хотя вы, вероятно, уже записали информацию об этих серверах в других докумен­ тах проекта, будет полезно отметить размещение этих серверов в структуре домена и сайтов.

Анализ существующей инфраструктуры Windows NT 4.0 Если организация на данный момент использует инфраструктуру Windows NT 4.0, работа над вашим проектом потребует больше усилий, чем при наличии у организации инфра­ структуры Windows 2000 и Active Directory. В среде Windows NT 4.0 тоже есть модель доме­ нов, но нет централизованной службы каталогов. Windows NT 4.0 использует более слож­ ную систему из основного контроллера домена (primary domain controller, PDC) и резервных контроллеров домена (backup domain controllers, BDC); кроме того, в этой среде нет такого гибкого контроля над репликацией, потому что Windows NT не поддерживает сайты вну­ три домена. Вам предстоит сделать важный выбор — обновить все «по месту» и сохранить суще­ ствующую модель доменов или модифицировать имеющуюся структуру. Помните, что в среде Windows NT 4.0 доступна лишь одна единица административного деления — доме­ ны. В Windows 2003 обычно удобнее пользоваться OU, а не доменами. Благодаря этому вы, вероятно, сможете уменьшить количество доменов в сети (или вообще свести их к одному домену), если OU будет достаточно для нужд администрирования. Одна из ва­ ших целей — упростить администрирование (тем самым уменьшив затраты на него и повысив его эффективность), поэтому чем меньше доменов вы реализуете, тем лучше. Подготовка к экзамену Прорабатывая варианты реализации, представленные в учебном курсе, вы постоянно будет решать вопрос о том, что эффективнее использовать — OU или домены. Сохранение существующей структуры доменов Windows NT дает некоторые преиму­ щества, в том числе: я все доменные объекты обновляются до модели Active Directory; • у пользователей сохраняются текущие пароли и профили;

Занятие 3

• •

Анализ структуры существующих каталогов

такая реализация отнимает меньше времени и ресурсов; сохраняются системные политики безопасности.

Однако очевидный недостаток заключается в том, что вы можете получить далеко не оптимальную структуру, не способную в полной мере задействовать средства Active Directory или не позволяющую без проблем наращивать сеть в будущем. Собирая информацию о текущей модели доменов, создайте базовую концептуаль­ ную схему наподобие показанной на рис. 2-6. На эту схему вы должны нанести следующие данные: и имя домена; • имена серверов в домене; • имена контроллеров домена; • доверительные отношения между доменами.

Рис. 2-6. Схематическое отображение существующей структуры доменов Windows NT 4.0 Помимо общей схемы доменов вы должны подготовить отдельный документ для каж­ дого существующего домена. В этом документе должна быть следующая информация. • Имя и IP-адрес каждого сервера в домене. Перечислите все службы и роли, выполня­ емые каждым сервером. Обратите внимание на такие службы, как DNS, DHCP, Internet Information Services (IIS), а также на службу маршрутизации и удаленного доступа. Если это файловый сервер или сервер БД, отметьте, как именно он исполь­ зуется, и прочие детали. Для контроллеров домена укажите, какой из них является основным, а какие служат резервными. •

Количество и имена пользователей в домене. Хотя это приведет к разбуханию вашего документа, такой список поможет в проектировании и избавит от многих ошибок в процессе реализации.

Анализ существующей инфраструктуры

• •

Глаза 2

Ресурсы, сконфигурированные в домене. К ним относятся общие сетевые ресурсы, принтеры и т. д. Члены глобальной группы администраторов домена. Это пользователи, которые по­ лучат право управлять доменом в процессе реализации вашего проекта. Запишите, как связаться с каждым из членов этой группы.

Функциональные уровни Windows 2003 В сети Windows 2003 для домена или леса доступны разные функциональные уровни в зависимости от того, все ли контроллера в этом домене или лесу работают под управле­ нием Windows Server 2003.

Функциональность домена Функциональность домена (domain functionality) влияет на то, какие средства будут доступны внутри домена. Существует четыре уровня функциональности домена. • Windows 2000 (смешанный режим) (Windows 2000 Mixed). Это функциональный уро­ вень по умолчанию. В этом случае подразумевается, что контроллеры домена могут работать под управлением Windows NT 4.0, Windows 2000 и Windows 2003. В смешан­ ном режиме доступен минимум функциональности. • Windows 2000 (основной режим) (Windows 2000 Native). В этом случае подразумевает­ ся, что контроллеры домена могут работать под управлением Windows 2000 или Windows 2003. Данный уровень обеспечивает наибольшую (после функционального уровня Windows Server 2003) функциональность. • Windows Server 2003 (промежуточный режим) (Windows Server 2003 Interim). В этом случае подразумевается, что контроллеры домена могут работать под управлением как Windows 2003, так и Windows NT 4.0. Этот уровень предназначен для использо­ вания в процессе обновления сети с Windows NT 4.0 до Windows 2003 Server. • Windows Server 2003. Это высший функциональный уровень для домена. В данном случае подразумевается, что контроллеры домена работают только под управлением Windows Server 2003.

Функциональность леса Функциональность леса (forest functionality) влияет на то, какие средства будут доступны внутри леса. Существует три уровня функциональности леса. • Windows 2000. Это функциональный уровень по умолчанию для леса; предпола­ гается, что контроллеры доменов в лесу могут работать под управлением Win­ dows NT 4.0, Windows 2000 и Windows 2003. • Windows Server 2003 (промежуточный режим). В этом случае подразумевается, что контроллеры домена в лесу могут работать под управлением как Windows 2003, так и Windows NT 4.0. Этот уровень предназначен для использования в процессе перевода леса с Windows NT 4.0 на Windows 2003 Server. • Windows Server 2003. Это высший функциональный уровень для леса. В данном случае подразумевается, что все контроллеры доменов в лесу работают только под управлением Windows Server 2003. Примечание Подробнее о функциональных уровнях Windows 2003 см. в документации на продукт или в Microsoft Windows Server 2003 Resource Kit.

Занятие 3

Аналяз структуры существующих каталогов

Лабораторная работа. Анализ существующей структуры каталогов На этой лабораторной работе вы соберете информацию, необходимую для создания про­ екта лесов и доменов Active Directory. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце данной главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих воз­ можности в передаче данных. Сейчас Northwind Traders использует основную модель доменов Microsoft Windows NT 4.0 (master domain model) и располагает отдельным доме­ ном ресурсов для каждой территории. Все домены настроены на двухсторонние довери­ тельные отношения между собой. В последние годы компания значительно расширилась и ожидает дальнейшего суще­ ственного роста в следующие три года, в том числе увеличения своей доли рынка, дохо­ дов и численности сотрудников. Помимо открытия двух новых офисов, администрация решила реализовать новый проект Windows Server 2003 Active Directory, отвечающий те­ кущим и будущим потребностям компании. В следующей таблице перечислены территории, отделы на каждой территории и ко­ личество пользователей. Территория

Отделы

Число пользователей

Париж

Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

2 000

Лос-Анджелес

Продажи Маркетинг Финансы ИТ

1000

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

750

Етазго, Шотландия

Исследования Разработка Долгосрочные проекты ИТ

750

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500

Днашз существующей инфраструктур

Глава 2

Большая часть вычислительных мощностей компании находится в главном офисе в Париже. Корпоративный ИТ-отдел хочет централизовать управление паролями и пара­ метрами защиты. Локальному ИТ-отделу в Лос-Анджелесе нужно сохранить управление свой инфраструктурой без участия корпоративного ИТ-отдела. Локальный ИТ-отдел в Глазго требует эксклюзивного управления своей сетевой средой по соображениям безо­ пасности, так как должен исключить несанкционированный доступ к данным, получае­ мым в результате научно-исследовательских и опытно-конструкторских работ (research and development, R&D). Ton-менеджеры корпорации разделяют эту озабоченность и хо­ тят добиться максимальной защиты данных R&D. Следующая схема отражает соединения между разными территориальными участками компании. Кроме того, в Лос-Анджелесе и Атланте имеются VPN-соединения с главным офисом в Париже через Интернет.

Атланта

Широкополосное***'4*^ соединение

Вопросы по лабораторной работе Исходя из представленного сценария ответьте на следующие вопросы. 1. Набросайте схему текущей структуры доменов Windows NT. 2. Каковы требования Northwind Traders к автономии и изоляции? 3. Каковы административные цели Northwind Traders?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы проектируете структуру Active Directory для сети, в которой сейчас используется Windows NT 4.0. В ней 12 серверов под управлением Windows NT 4.0 и 300 рабочих станций с разными системами — Windows 98, Windows NT 4.0 Workstation и Windows XP Professional. Вся сеть расположена в одном здании. На данный момент в сети три домена Windows NT 4.0 — по одному на каждый из крупных отделов компании. Каж­ дый отдел управляет ресурсами в своем домене. Каков один из способов упрощения существующей сети при сохранении административного управления ресурсами каждого отдела за ИТ-сотрудниками этих отделов? 2. Вы собираете информацию о текущей модели доменов в сети с Windows 2000 и Active Directory. Вы подготовили схему доменов, на которой изображен каждый домен и

Пример из практики

доверительные отношения между ними. Какие документы следует подготовить по каждому домену при анализе текущей модели? 3. Перечислите несколько преимуществ сохранения существующей модели доменов Windows NT 4.0 при обновлении до Windows 2003,

Резюме •

Собирая информацию о текущей инфраструктуре Windows 2000, вы должны сна­ чала создать схему, показывающую существующие домены и их доверительные отношения. • Для каждого домена Windows 2000 создайте схему структуры OU и схему, отражаю­ щую структуру сайтов и размещение контроллеров домена. а Собирая информацию об инфраструктуре Windows NT 4.0, создайте схему, показы­ вающую домены и их доверительные отношения. Для каждого домена соберите све­ дения о контроллерах домена, пользователях и ресурсах.

Ц Пример из практики Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вы должны составить план новой инфраструктуры для Contoso Ltd., производителя мо­ демов с главным офисом в Далласе, штат Техас. В настоящее время все серверы в сети этой компании работают под управлением Windows NT Server 4.0. На клиентских ком­ пьютерах установлены разные системы — Windows 98 и Windows 2000 Professional. Contoso наняла вас для модернизации сетевой инфраструктуры компании. Нужно, чтобы все сер­ веры работали под управлением Windows Server 2003 и чтобы вы подготовили проект реализации Active Directory. Компания также хочет перевести все клиентские компью­ теры на Windows XP Professional.

Краткие сведения о компании За последнее десятилетие Contoso стала одним из основных производителей модемов в стране, продавая их главным образом крупным компаниям и интернет-провайдерам. Два года назад Contoso приобрела лондонскую фирму Trey Research — производителя модемов, которая ориентирована на аналогичный рынок в Европейских странах.

География

г

Кроме основного участка, Contoso располагает двумя филиалами в США — в Атланте (Джорджия) и Сан-Франциско (Калифорния). Оба филиала имеют полноценные отделы маркетинга и продаж, но у них нет собственного ИТ-персонала. Вместо этого они пола­ гаются на ИТ-персонал в главном офисе (в Далласе). Дочерняя компания (Trey Research) находится в Лондоне. Лондонский офис распо­ лагает полным штатом сотрудников, в том числе собственным ИТ-персоналом, и само­ стоятельно управляет своей сетевой инфраструктурой. Лондонский офис также поддер­ живает собственное пространство имен.

gg

Анализ существующей инфраструктуры

Глава 2

Сетевая инфраструктура Главный офис в Далласе соединен с филиалом в Атланте 256-килобитным каналом Frame Relay, а с филиалом в Сан-Франциско — 128-килобитным. Офис в Далласе так­ же соединен со штаб-квартирой в Лондоне 64-килобитным каналом Frame Relay. В качестве опорной сети (backbone) офисы в Далласе и Лондоне используют 155-мегабитную ATM. Клиенты подключаются к опорной сети через 10/100-мегабитные соединения. В филиалах все клиенты и, серверы связаны 10/100-мегабитными соединениями. В настоящее время на каждом территориальном участке сконфигурирован свой до­ мен, имя которого соответствует названию участка. Домены филиалов и дочерней ком­ пании доверяют домену Dallas, который в свою очередь доверяет всем остальным до­ менам.

Планы на будущее На данный момент у компании нет планов по значительному расширению штатов. Од­ нако не исключено, что компания приобретет небольшую фирму в Монреале, которая владеет новой многообещающей технологией, относящейся к модемам. Если покупка состоится, компания в Монреале сохранит свой ИТ-персонал и собственное простран­ ство имен. Ваши планы должны учитывать этот момент.

ИТ-менеджмент ИТ-персонал в Далласе отвечает за обслуживание офисов в Далласе, Атланте и СанФранциско. Сеть в лондонском офисе обслуживается местным штатом ИТ-сотрудников. Однако старшие должностные лица ИТ-отдела в Далласе отвечают в конечном счете за всю сеть.

Вопросы Исходя из предложенного сценария ответьте на следующие вопросы. 1. Нарисуйте географическую карту для данной компании. Какую дополнительную ин­ формацию вы должны собрать о каналах связи между территориальными участками? 2. Допустим, что при проектировании новой инфраструктуры вы должны изменить структуру текущей модели доменов. Какие дополнительные проблемы вам придется решать из-за таких изменений? 3. Нарисуйте схему для существующей модели доменов, отметив на ней и доверитель­ ные отношения между доменами. Какие еще документы нужно подготовить по каж­ дому домену? 4. Поскольку лондонский офис сохраняет свое пространство имен и собственный ИТперсонал, какой могла бы быть структура Active Directory в вашем проекте?

Ц Резюме главы •

Существует четыре географических модели компаний: локальная, региональная, на­ циональная и международная. Основные различия между этими моделями (кроме государственных границ) заключаются в уровне сложности сети и статусе соедине­ ний между участками.

Рекомендаций по подготовке к экзамену •

• • •

•

•

• •

При рассмотрении географических факторов следует учитывать два типа офисов: филиалы (контролируются компанией) и дочерние компании (принадлежащие основной компании, но обычно располагающие своими штатом и сетевыми поли­ тиками). Вы должны максимально полно выяснить, как информация создается, хранится и передается внутри организации. Оцените текущую сетевую среду и соберите, в том числе, информацию о подсетях, IP-адресации и сетевом оборудовании на каждом участке. Создайте инвентарный список серверов и рабочих станций на каждом участке. В него следует включить описание аппаратно-программных средств и используемых служб. Также отметьте характер использования систем, чтобы выбрать наиболее оптималь­ ные периоды времени для их обновления. Анализируя требования к производительности, начните с выявления любых суще­ ствующих проблем и проверки правильности конфигураций. Составьте представле­ ние о впечатлениях пользователей от работы с сетью и их ожиданиях, а затем про­ верьте текущую производительность. В процессе планирования будьте готовы к час­ тому пересмотру этих требований. Собирая информацию о текущей инфраструктуре Windows 2000, вы должны снача­ ла создать схему, показывающую существующие домены и их доверительные отно­ шения. Для каждого домена Windows 2000 создайте схему структуры OU и схему, отражаю­ щую структуру сайтов и размещение контроллеров домена. Собирая информацию об инфраструктуре Windows NT 4.0, создайте схему, показыва­ ющую домены и их доверительные отношения. Для каждого домена соберите сведе­ ния о контроллерах домена, пользователях и ресурсах.

01 Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

•

•

•

Базовые территориальные участки и соединения между ними диктуют физическую структуру сети, определяя IP-адресацию и маршрутизацию, структуру сайтов Active Directory и принципы управления сетевым трафиком. Административная и территориальная организация компании определяет логическую структуру сети, т. е. структуру деревьев и доменов, доверительные отношения между доменами и деление доменов на OU. Функциональный уровень сети определяется главным образом требованиями к взаи­ модействию между Windows Server 2003 и предыдущими версиями Windows. Если все контроллеры домена работают под управлением Windows 2003, вам доступен весь набор средств. При наличии контроллеров домена с Windows 2000, этот набор сокра­ щается, а при наличии контроллеров домена с Windows NT 4.0 он еще меньше. Ваш проект повлияет на сеть в том плане, что придется модернизировать серверы для поддержки новой операционной системы и расширять пропускную способность

Анализ существующей инфраструктуры

Глава 2

сети, чтобы она справлялась с возросшим трафиком. Также учтите, что на время ре­ ализации проекта сеть нужно будет отключить.

Основные термины Централизованная/децентрализованная ~ centralized/decentralized — централизованная модель администрирования требует меньшего числа OU и позволяет упростить струк­ туру управления. Децентрализованная модель обычно требует большего числа OU и иногда большего количества доменов. WAN-канал ~ WAN link — соединение между локальными сетями (LAN), расположен­ ными на разных территориях. WAN-каналы менее скоростные, менее надежные и более дорогостоящие, чем соединения внутри LAN. Важнейшая цель при проекти­ ровании сети — оптимизировать трафик по WAN-каналам. Функциональный уровень ~ functional level — набор средств, доступных в домене или лесу в зависимости от версии Windows, под управлением которой работают контроллеры в домене или лесу. Чем старее версия ОС, тем меньше этот набор.

Щ

Вопросы и ответы

Занятие 1. Закрепление материала 1. Какие факторы, помимо сетевых соединений, усложняют проектирование сети для международной компании? Правильный ответ: языковые барьеры, различия в законодательстве, законах, регулиру­ ющих экспорт, и в тарифах — вот лишь некоторые из факторов, усложняющих проекти­ рование сети для международной компании. 2. В чем разница между филиалом и дочерней компанией? Правильный ответ: главное различие между филиалом и дочерней компанией в том, что филиал управляется основной компанией, а дочерняя компания, хотя и принадлежит основной компании, более автономна и может проводить свою политику. 3. Вы готовите географическую карту для компании с тремя участками в пределах од­ ного штата. Два участка соединены выделенной линией Т1. Третий участок подклю­ чен лишь к одному из первых двух, при этом используется 64-килобитная линия. К какой географической модели можно отнести эту компанию? Правильный ответ: медленная 64-килобитная линия значительно усложняет проект сети, из-за чего географическую модель компании следует отнести к национальной. Если бы все участки были соединены высокоскоростными линиями, эту компанию можно было бы отнести к региональной модели.

Занятие 2. Закрепление материала 1. Какую информацию вы должны собрать при инвентаризации сервера? Правильный ответ: вы должны сначала собрать сведения об аппаратном обеспечении сервера, в том числе модель компьютера, а также типы и характеристики таких компо­ нентов, как материнская плата, память, дисковая подсистема и периферия. Затем нужно собрать информацию об операционной системе, установленных службах и приложениях.

Зопросы и ответы

71

-. Расскажите об основных элементах IP-адресации для каждой подсети. Правильный ответ: перечислите идентификатор сети, маску подсети, основной шлюз и дополнительную информацию, например адреса DNS-серверов. Вы также должны опре­ делить, используется ли DHCP и, если да, как он сконфигурирован для данной подсети. 3. Какие два основных инструмента используются для анализа производительности в сети Windows. Правильный ответ: консоль Производительность (Performance) (которая называлась Performance Monitor в прежних версиях Windows) служит для наблюдения за использо­ ванием ресурсов на компьютере. Сетевой монитор (Network Monitor) предназначен для захвата и анализа трафика в локальной сети.

Занятие 3. Лабораторная работа 1. Набросайте схему текущей структуры доменов Windows NT. Правильный ответ: текущая структура доменов соответствует географическому располо­ жению, поэтому на схеме следует изобразить один домен ресурсов для каждого города и единственный домен, содержащий учетные записи всех пользователей. На схеме нужно показать двусторонние доверительные отношения между доменами.

/

.• для Лос- \ Агдх-лги \

/ /

\ * \

*~~-—-~-^/ Доме» V / -isc>3so-i \ •а П мкжа \

Каковы требования Xorthwind Traders к автономии и изоляции? Правильный ответ: судя по сценарию, в изоляции данных и служб нуждается офис в Глаз­ го. Руководство офиса в Лос-Анджелесе хочет того же, но, по-видимому, нуждается лишь в автономии. Каковы административные цели Northwind Traders? Правильный ответ: централизованное управление из Парижа и до некоторой степени де­ централизованное администрирование в Лос-Анджелесе. Офис в Глазго сохранит свою инфраструктуру ИТ.

72

Анализ существующей инфраструктуры

Глава 2

Занятие 3. Закрепление материала 1. Вы проектируете структуру Active Directory для сети, в которой сейчас используется Windows NT 4.0. В ней 12 серверов под управлением Windows NT 4.0 и 300 рабочих станций с разными системами — Windows 98, Windows NT 4.0 Workstation и Windows XP Professional. Вся сеть расположена в одном здании. На данный момент в сети три домена Windows NT 4.0 — по одному на каждый из крупных отделов компании. Каж­ дый отдел управляет ресурсами в своем домене. Каков один из способов упрощения существующей сети при сохранении административного управления ресурсами каж­ дого отдела за ИТ-сотрудниками этих отделов? Правильный ответ: очевидным выбором в этой ситуации было бы использование одного домена для всей компании с созданием OU для каждого отдела. Даже если бы сеть выходила за рамки одного территориального участка, вы все равно могли создать один домен, а для управления трафиком по менее скоростному WAN-соединению использо­ вать сайты. 2. Вы собираете информацию о текущей модели доменов в сети с Windows 2000 и Active Directory. Вы подготовили схему доменов, на которой изображен каждый домен и доверительные отношения между ними. Какие документы следует подготовить по каждому домену при анализе текущей модели? Правильный ответ: создайте документ для каждого домена, отражающий структуру OU в рамках домена. Соберите информацию об объектах и разрешениях, назначенных каж­ дой OU. Также подготовьте документ для каждого домена, который показывает структу­ ру сайтов внутри домена и размещение контроллеров домена на этих сайтах. 3. Перечислите несколько преимуществ сохранения существующей модели доменов Windows NT 4.0 при обновлении до Windows 2003. Правильный ответ: этот способ дает несколько преимуществ. Все существующие домен­ ные объекты переносятся в модель Active Directory. У пользователей сохраняются теку­ щие пароли и профили. Процесс реализации проходит быстрее. Также сохраняются си­ стемные политики безопасности.

Пример из практики 1. Нарисуйте географическую карту для данной компании. Какую дополнительную ин­ формацию вы должны собрать о каналах связи между территориальными участками? Правильный ответ: на географической карте следует отметить местонахождение главно­ го офиса в Далласе, обоих филиалов и дочерней компании. Отметьте на этой карте типы соединений между каждым территориальным участком. Кроме того, выясните, кто явля­ ется провайдером каждого соединения и сколько оно стоит. Определите текущую нагруз­ ку на WAN-каналы и оцените доступную полосу пропускания. 2. Допустим, что при проектировании новой инфраструктуры вы должны изменить структуру текущей модели доменов. Какие дополнительные проблемы вам придется решать из-за таких изменений? Правильный ответ: вам придется заново создавать профили пользователей и назначать пароли. Скорее всего потребуется и пересмотр системных политик безопасности. Про­ цесс реализации займет гораздо больше времени; кроме того, сеть будет недоступна пользователям в течение более длительного периода.

Вопросы и ответы :

-

уд

Нарисуйте схему для существующей модели доменов, отметив на ней и доверитель­ ные отношения между доменами. Какие еще документы нужно подготовить по каж­ дому домену? Правильный ответ: существующая модель сравнительно проста. Каждый участок в сети (главный офис, оба филиала и дочерняя компания) сейчас находится в своем домене. Двусторонние доверительные отношения сконфигурированы между доменом в Далласе и всеми остальными доменами. Для каждого домена вы также должны собрать информа­ цию о серверах и службах в домене, количестве пользователей и о сотрудниках глобаль­ ной группы администраторов домена. Поскольку лондонский офис сохраняет свое пространство имен и собственный ИТперсонал, какой могла бы быть структура Active Directory в вашем проекте? Правильный ответ: один из вариантов, который должен отлично сработать, — создать один домен для главного офиса и обоих филиалов. Поскольку в офисе в Далласе имеется центральный ИТ-отдел, структура OU также могла бы быть довольно простой. Для кон­ троля трафика репликации между участками можно использовать сайты. Так как лон­ донскому офису нужно сохранить свое пространство имен, вы должны создать для него отдельное дерево доменов и выделить ему собственный домен. Оба дерева доменов могут быть частью одного леса. Корневым доменом леса должен быть домен в Далласе.

ГЛАВА

3

Планирование структуры Active Directory

Занятие 1. Проектирование модели лесов и доменов

75

Занятие 2. Выработка стратегии именования

86

Темы экзамена •

•

Проектирование инфраструктуры Active Directory в соответствии с бизнес-требова­ ниями и техническими условиями: а создание концептуального проекта структуры лесов Active Directory; о создание концептуального проекта структуры доменов Active Directory. Разработка стратегии именования для Active Directory: а определение требований к регистрации доменных имен Интернета; а использование иерархических пространств имен Active Directory; а определение требований к NetBIOS-именам.

В этой главе После того как вы собрали информацию о компании и сети, пора переключить внима­ ние на проектирование структуры Active Directory, отвечающей потребностям компа­ нии. Для построения сети, которая соответствует текущим потребностям вашей компа­ нии и которую можно масштабировать, чтобы обеспечить такое соответствие в будущем, нужно тщательно продумать структуру Active Directory. Часто оказывается, что реше­ ния, принимаемые на этапе проектирования, сложно изменить в дальнейшем, поэтому лучше потратить время на то, чтобы создать качественную структуру, проанализировать ее и при необходимости пересмотреть. При создании структуры определите количество доменов и выберите их организа­ цию — в деревья или в лес. Кроме того, выработайте стратегию именования доменов и других элементов службы каталогов Microsoft Active Directory.

Прежде всего Для усвоения материалов этой главы вы должны быть знакомы с основными концеп­ циями Active Directory, изложенными в главе 1. Также следует собрать и проанализи­ ровать всю информацию о существующей в вашей компании инфраструктуре Active Directory (см. главу 2).

Занэтие 1

Проектирование модели лесов и доменов

jg

Занятие 1. Проектирование модели лесов и доменов Первый шаг в проектировании структуры Active Directory — определение общей модели лесов и доменов, подходящей для вашей сети. Здесь нужно решить, достаточно одного домена или же придется создать несколько доменов. Также продумайте, есть ли необхо­ димость в создании нескольких деревьев доменов или даже нескольких лесов. Изучив материал этого занятия, вы сможете: •S создать концептуальный проект структуры лесов Active Directory; •S различить модели лесов и деревьев и описать их предназначение; •S выбрать, какую модель лесов и доменов следует использовать в конкретной ситуации. Продолжительность занятия — около 40 минут.

Применение одного домена Простейшая модель Active Directory — единственный домен (рис. 3-1). Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно всегда исходить из предположения, что будет использоваться один до­ мен, и пытаться остаться в рамках этой модели. Это хороший способ отличить соблазн создать более сложную структуру от действительной необходимости так поступить.

Л contoso.com Рис. 3-1. Типичная модель Active Directory с единственным доменом В модели с единственным доменом все объекты находятся в одной зоне безопасно­ сти, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс-доменные аутентификацию и разрешения. Кроме того, при использовании одного домена ИТ-отделу гораздо проще обеспечить централизованное управление сетью. Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат. Домены Active Directory масштабируемы в гораздо большей мере, чем домены Win­ dows NT. Поэтому исчезает существенное препятствие, не позволявшее применять однодоменные сети на основе Windows NT, в которых диспетчер учетных записей безопас-

JQ

Планирование структуры Active Directory

Глава 3

ности (Security Accounts Manager, SAM) поддерживал только до 40 000 объектов в доме­ не. В отличие от Windows NT в домен Active Directory может входить более миллиона объектов. Для еще большей масштабируемости доменов Active Directory используются два типа элементов: организационные единицы (OU) и сайты. В однодоменной модели для делегирования административных разрешений на до­ ступ к объектам домена применяются OU. В Active Directory организационные единицы представляют собой наименьшие элементы, которыми может управлять администратор. В этом состоит отличие Active Directory от доменов Windows NT (в которых наимень­ шим элементом администрирования был домен), благодаря чему больше нет нужды оп­ ределять домены исключительно для делегирования административных полномочий. Фактически OU — это контейнеры, в которые можно помещать объекты домена. OU можно назначить административные разрешения. И даже вкладывать в другие OU (со­ здавать OU внутри других OU), чтобы обеспечить более тонкое управление. Как правило, структура OU соответствует функциональной или бизнес-структуре организации. Например, вы могли бы создать по одной OU для каждого территориаль­ ного участка вашей организации, чтобы местные администраторы получили возмож­ ность управлять ресурсами этих участков; при этом все объекты входили бы в один домен. На рис. 3-2 показан один домен, разбитый на OU по географическому прин­ ципу. Подробнее о планировании OU — в главе 4.

Рис. 3-2. Применение OU для разделения административных функций между территориальными участками OU предназначены для логического деления домена, что позволяет делегировать ад­ министративные полномочия, а сайты используются, чтобы физически разбить домен для управления трафиком репликации между контроллерами домена, связанными WANканалами. Сайт — это группа контроллеров домена, находящихся в одной или несколь­ ких IP-подсетях и связанных быстрым и надежным сетевым соединением. Быстрыми считаются соединения со скоростью от 1 Мбит/с. Другими словами, сайт обычно огра­ ничен рамками локальной сети (LAN). Если различные LAN объединены между собой с помощью WAN, вы скорее всего создадите по одному сайту для каждой LAN. О плани­ ровании структуры сайтов и контроллеров домена — в главе 5.

;.1~;тие 1

Проектирование модели лесов и доменов

-з заметку Повсюду в этом разделе (как и в большинстве разделов данной книги) часто ~::торяется одна и та же мысль: упрощайте проект насколько это возможно. Каждый ;:.волнительный элемент, добавляемый вами в проект, усложняет развертывание и, что ;_е хуже, администрирование сети. Кстати, чем сложнее эти элементы, тем больше все : :~лтывается. Например, даже простое решение использовать два домена вместо одного ^сличит издержки. Но добавьте еще одно дерево доменов, и придется иметь дело не ~:.~ъко с дополнительными доменами, но и с новой структурой именования. Потом до~.~-ъъте еще один лес, и, наверное, этого хватит, чтобы уловить, что мы имеем в виду. Человеку свойственно стремление решать сложные задачи путем деления их на более простые. Вероятно, вы поймаете себя на том, что рассуждаете так: «Поскольку у нас два :тдела, нужно создать два домена, чтобы все было в ажуре». Гоните от себя такие мысли. Запомните: две основные причины использования нескольких доменов, существовав­ шие до появления Active Directory, ушли в прошлое. Во-первых, домены Active Directory практически не налагают ограничений на число охватываемых ими пользователей или ресурсов. Во-вторых, применение сайтов для управления репликацией по более медлен­ ным WAN-каналам означает, что для этой цели домены больше не нужны. Одного доме­ на может оказаться вполне достаточно для сложной сети, которая объединяет несколько территориальных участков. Если в связи с политической, технической или административной ситуацией в компа­ нии требуется более сложная структура, приложите все усилия, чтобы усложнения за­ тронули только нижние уровни структуры Active Directory. Дополнительные OU лучше, нем дополнительные домены. Дополнительные домены лучше, чем дополнительные де­ ревья. А дополнительные деревья лучше, чем дополнительные леса. Усложняйте верхние уровни только при абсолютной технической необходимости.

Применение нескольких доменов Хотя однодоменная модель дает существенное преимущество — простоту, иногда прихо­ дится использовать несколько доменов. В последнем случае старайтесь планировать до­ мены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше все­ го. Например, создание доменов по территориальному принципу, как правило, надеж­ нее, чем создание доменов в соответствии с иерархией подразделений компании, по­ скольку изменение организационной структуры более вероятно, чем изменение терри­ ториальной. На рис. 3-3 показано несколько доменов, структурированных по террито­ риальному принципу. Хотя структуру доменов можно определять по любым критериям (на рис. 3-4 представлено несколько доменов, структурированных по отделам), часто оказывается, что для разграничения объектов лучше подходят OU или даже группы.

78

Планирование структуры Active Directory

houston. contoso.com

Глава 3

atlanta. contoso.com

Рис. 3-3. Домены, структурированные по территориальному принципу

chem. research. contoso.com

robotic.research. contoso.com

Рис. 3-4. Домены, структурированные по функциональному принципу Существует несколько причин, по которым может понадобиться определение не­ скольких доменов. • Нужно реализовать разные политики безопасности в разных доменах. Некоторыми политиками можно управлять только на уровне доменов. Например, для одного от­ дела может потребоваться более строгая политика управления паролями или блоки­ рования учетных записей, чем для другого.

Занятие 1

•

•

•

•

я

Проектирование модели лесов и доменов

Есть необходимость в децентрализованном администрировании. Это особенно акту­ ально для компаний, у которых имеются филиалы. В каждом филиале может быть собственный ИТ-отдел, управляющий ресурсами на этом участке. Владельцы каждо­ го домена могут создавать и удалять контроллеры домена, резервировать и восста­ навливать их данные, а также определять структуру и политики для своего филиала. Требуется оптимизировать передаваемый по WAN-каналам трафик репликации — причем в большей мере, чем того можно достичь, разбив домен на несколько сайтов. Чтобы домен функционировал, необходима репликация данных между контроллера­ ми этого домена. Даже если вы разобьете домен на несколько сайтов для управления трафиком репликации между контролерами, может оказаться, что WAN-каналы слишком медленны или ненадежны и не могут справиться с трафиком репликации. Тогда можно создать для таких территориальных подразделений отдельные домены. Нужно задать разные пространства имен для разных участков, отделов или функций. Хотя домены одного дерева образуют единое пространство имен, может потребовать­ ся отличать две структуры, входящие в это пространство имен. Например, может ока­ заться, что эффективнее использовать два слегка различающихся пространства имен вроде hr.contoso.com и sales.contoso.com, а не одно пространство имен, такое как contoso.com. Необходимо сохранить существующую архитектуру доменов Windows NT. При сохра­ нении доменов Windows NT, уже существующих в сети, не остается иного выбора, кроме использования нескольких доменов Active Directory. Требуется поместить хозяина схемы (schema master) в отдельный домен, не содержа­ щий объектов пользователей или другие ресурсы. Для защиты схемы от несанкцио­ нированного доступа годятся обычные средства, но схема — чрезвычайно важный ресурс сети с Active Directory. Чтобы обеспечить более надежную защиту, можно по­ местить компьютер, которому отведена роль хозяина схемы, в свой домен.

Подготовка к экзамену Определить, использовать для делегирования административных полномочий домены или 0U, — настоящее искусство, в котором вам предстоит попрак­ тиковаться перед экзаменом. Вообще говоря, учтите, что обычно лучшее решение — сде­ лать так, чтобы усложнения затрагивали более низкие уровни. Используйте несколько 0U, если только вам не предъявляют одно из перечисленных выше специфических тре­ бований (тогда вам придется задействовать несколько доменов, а не 0U). Применение нескольких доменов дает много преимуществ, и бывают случаи, когда без этого не обойтись, но следует иметь в виду и некоторые недостатки. При реализации нескольких доменов возникают следующие проблемы. • Каждый домен требует хотя бы один контроллер, а там, где нужна отказоустойчи­ вость или балансировка нагрузки, обязательно наличие минимум двух контроллеров домена. Следовательно, растут издержки, увеличивается время первоначального раз­ вертывания, затрачивается больше усилий на администрирование, поскольку каждо­ му дополнительному домену, который вы создаете, требуются контроллеры. • Групповая политика и управление доступом действуют на уровне доменов. Создание каждого дополнительного домена означает, что вы должны применить эти средства защиты к новому домену. Хотя поддержка групповых политик и делегирование адми­ нистративных полномочий между различными доменами не составляют особого тру­ да, потребуются дополнительные усилия на планирование и управление.

QQ •

•

•

Плакирование етруюуры Active Directory

Гяааа 3

Когда создается дочерний домен, между родительским и дочерним доменами авто­ матически устанавливаются двусторонние транзитивные доверительные отношения. То есть аутентификация выполняется автоматически. Однако между доменами, кото­ рые далеко отстоят друг от друга в иерархии и между которыми регулярно пересыла­ ются запросы на аутентификацию, может понадобиться доверие к сокращению (shortcut trust). Также заметьте: хотя доверие конфигурируется автоматически, этого нельзя сказать о доступе к ресурсам между доменами. Вы должны планировать и реализо­ вать междоменный доступ к ресурсам самостоятельно, используя труппы безопасно­ сти (см. главу 4). По умолчанию административные права, действующие между доменами, выдаются лишь членам группы Администраторы предприятия (Enterprise Admins). Вам придет­ ся вручную указывать дополнительные административные права. Всякий раз, когда добавляется домен, добавляется и глобальная группа Администраторы домена (Do­ main Admins). Мониторинг членства в этой группе потребует дополнительного адми­ нистрирования. Если пользователь одного домена входит во второй, контроллер второго домена дол­ жен иметь возможность связаться с контроллером домена, к которому относится пользователь. Если контроллеры доменов не смогут связаться друг с другом, пользо­ ватель скорее всего не получит доступ к требуемому ресурсу. Чтобы решить эту про­ блему, создайте несколько доверяемых каналов (trust links), но это потребует дополни­ тельных усилий по их настройке и обслуживанию.

На заметку Корневой домен леса — первый домен, который вы создаете в лесу Active Directory; он образует основу структуры леса. Любой другой домен, создаваемый в лесу (даже в других деревьях доменов), наследует свое составное имя (distinguished name, DN) и используемое по умолчанию DNS-имя от имени корневого домена леса. При планировании корневого домена леса есть два варианта. Вы можете использовать существующий домен или создать выделенный. Применение существующего домена означает, что корневой домен леса будет содержать и другие ресурсы, такие как пользо­ ватели или группы. Если вы задействовали однодоменную модель, это ваш единствен­ ный выбор. А если вы используете несколько доменов, то можете также создать домен, специально предназначенный для применения в качестве корневого домена леса и не содержащий другие ресурсы. Основное преимущество такого подхода в том, что админи­ страторам корневого домена леса будет проще управлять членством в универсальных группах Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins). Следующее преимущество: поскольку выделенный корневой домен не представляет конкретный участок или функцию, он лучше изолирован от измене­ ний в структуре компании. И еще один плюс в том, что корневой домен леса будет компактнее (он не содержит другие ресурсы), а значит, его будет проще реплицировать в масштабе предприятия для обеспечения отказоустойчивости. Хотя в Windows Server 2003 есть средства, позволяющие безопасно переименовывать до­ мены (даже корневые), это не такая простая операция и куда лучше присваивать пра­ вильные имена еще на этапе планирования. Хотя переименовать корневой домен леса можно, изменить то, какой домен является корневым в лесу, нельзя.

Занятие 1

Проектирование модели лесов и доменов

Применение нескольких деревьев в лесу Дерево доменов — это иерархическая структура доменов, использующих единое про­ странство имен. Первый домен дерева, который вы создаете, становится корневым для данного дерева, а любой домен, добавляемый в дерево, — дочерним для этого корнево­ го домена. Определить, нужно ли использовать в лесу несколько деревьев, не так уж сложно. Есть лишь одна веская причина, по которой может понадобиться несколько деревьев доменов, — поддержка в лесу нескольких пространств имен DNS. Тогда применение нескольких деревьев — это еще и отличный способ объединить отдельные леса, чтобы использовать общие схему и глобальный каталог, в то же время поддержи­ вая разные пространства имен. На рис. 3-5 показаны два раздельных пространства имен в двух деревьях.

fabrikam.com

us.sales. contoso.com

asia.sales. contoso.com

Рис, 3-5. Два дерева, представляющие два пространства имен Подготовка к экзамену На практике могут быть и другие причины использования не­ скольких деревьев в лесу, но на экзамене во внимание принимается лишь одна: необхо­ димость поддержки более одного пространства имен DNS. Хотя решение об использовании нескольких деревьев принимается при необходимо­ сти поддержки разных пространств имен (в этом случае у вас фактически нет выбора), вы должны понимать недостатки такого варианта. и Поскольку у каждого дерева должно быть отдельное пространство имен DNS, ИТотделу придется поддерживать больше DNS-имен, чем в случае однодоменной мо­ дели. • Чем больше деревьев, тем больше доменов, поскольку каждое дерево должно содер­ жать минимум один домен. Следовательно, возникнут все проблемы, связанные с применением нескольких доменов.

Планирование структуры Active Directory

Глава 3

•

Возможно, что LDAP-клиенты (Lightweight Directory Access Protocol), разработанные не Microsoft, не смогут выполнять поиск по глобальному каталогу и вместо этого им придется вести LDAP-поиск по каждому дереву отдельно. В результате увеличится время отклика для таких клиентов. С учетом этих недостатков имеет смысл подумать об альтернативном решении: объ­ единить пространства имен и использовать одно дерево с разными доменами вместо не­ скольких деревьев. Несмотря на некоторые неудобства в именовании, полученные пре­ имущества могут перевесить этот недостаток. На рис. 3-6 показана та же среда, что и на рис. 3-5, но преобразованная в одно дерево.

us.sales. contoso.com

asia.sales. contoso.com

Рис. 3-6. Отдельные пространства имен, объединенные в одно дерево

Применение нескольких лесов Лес — это группа из одного или нескольких деревьев доменов, которые не образуют еди­ ное пространство имен, но используют общие схему, конфигурацию каталогов, глобаль­ ный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами. В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса. Леса представляют собой крайние границы зон безопасности. Между лесами невоз­ можно административное управление или пользовательский доступ, если на то нет яв­ ного разрешения в конфигурации. Для этого предназначен новый тип доверия, введен­ ный в Windows Server 2003, — доверие к лесу (forest trust), применяемое при управлении отношениями между двумя лесами. Оно упрощает администрирование защиты между лесами и позволяет указывать, что все домены одного леса доверяют всем доменам дру­ гого леса, причем используются транзитивные доверительные отношения. Однако дове­ рие к лесу не является транзитивным на уровне лесов. Другими словами, если первый лес доверяет второму, а второй — третьему, это еще не означает, что первый автомати-

Занйтме 1

Проектирование модели лесов и домеко!

чески доверяет третьему. Также учтите, что для использования доверия к лесу нужно, чтобы оба леса находились на функциональном уровне Windows 2003, т. е. чтобы все кон­ троллеры доменов в обоих лесах работали под управлением Windows Server 2003. В общем и целом, следует по возможности избегать использования нескольких ле­ сов. Однако есть несколько случаев, в которых может потребоваться реализация несколь­ ких лесов. К этим случаям относятся следующие. • Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, вы можете столкнуться с тем, что у вас появятся два полностью раз­ дельных леса, которые нужно связать друг с другом для совместного использования ресурсов. Эта связь может быть временной, если в дальнейшем один лес планируется сделать частью другого, или постоянной, если обе компании должны остаться отно­ сительно автономными. • Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса. В таком случае ИТ-персонал отдельного леса может поддерживать и изменять схе­ му, не оказывая влияния на другие леса. Это полезно, когда какой-нибудь группе нужно устанавливать или тестировать приложения, работающие с каталогами (или изменять структуру каталогов по какой-то другой причине), не влияя на работу цен­ трального ИТ-отдела, или когда требуется развернуть пилотный вариант Active Directory. В автономном лесу основные полномочия по-прежнему сохраняются за центральным ИТ-отделом, но администраторам автономного леса предоставляется определенная степень гибкости в действиях. • Создание изолированного подразделения. Изолированный лес отличается от авто­ номного в первую очередь уровнем полномочий по управлению, доступных админи­ страторам вне леса. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им. Это полезно, если вы хотите добиться повы­ шенной безопасности или выполнить некие юридические требования. Прежде чем приступить к планированию структуры нескольких лесов, вы должны принять к сведению, что большая часть функциональности, доступной в пределах одно­ го леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует зна­ чительно больше усилий в администрировании, чем поддержка одного леса. Архитектура с несколькими лесами имеет следующие недостатки. • При поиске ресурсов от пользователей требуется более высокий уровень подготовки. С точки зрения пользователя, поиск ресурсов в рамках одного леса сравнительно прост благодаря единому глобальному каталогу. При наличии нескольких лесов су­ ществует несколько глобальных каталогов, и пользователям приходится указывать, в каком лесу вести поиск ресурсов. и Сотрудникам, которым требуется входить на компьютеры, включенные во внешние леса, должны указывать при входе основное имя пользователя (user principal name, UPN) по умолчанию. От таких сотрудников требуется более высокий уровень под­ готовки. и Часто для наблюдения за отдельными лесами и управления ими нужен дополни­ тельный ИТ-персонал, а значит, расходуются средства на подготовку большего штата ИТ-сотрудников и на оплату их труда. • Администраторам приходится хранить несколько схем. • Для каждого леса используются отдельные контейнеры конфигурации. Изменения в топологии необходимо реплицировать в другие леса.

Планирование структуры Active Directory

• •

•

Глава 3

Любую репликацию информации между лесами приходится настраивать вручную. Администраторы должны конфигурировать разрешение DNS-имен между лесами, чтобы обеспечить функционирование контроллеров доменов и поддержку поиска ресурсов. Администраторам приходится настраивать списки управления доступом (ACL) к ре­ сурсам, чтобы соответствующие группы из разных лесов могли обращаться к этим ресурсам, а также создавать новые группы, чтобы можно было использовать роли одних лесов в других лесах.

Подготовка к экзамену Когда вы размышляете над информацией, содержащейся в экза­ менационном вопросе, и пытаетесь определить, надо ли использовать несколько лесов, скорее всего окажется, что необходимости в нескольких лесах нет. Применение несколь­ ких лесов настоятельно не рекомендуется за исключением случаев, когда требуется авто­ номия или изоляция. Обычно гораздо лучше создать несколько деревьев доменов в од­ ном лесу. Но поскольку связи между лесами являются нововведением Windows Sei'ver 2003, вы, возможно, встретите вопросы, касающиеся их использования.

Лабораторная работа. Создание модели лесов и доменов На этой лабораторной работе вы создадите структуру лесов и доменов для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и отве­ ты» в конце главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих воз­ можности в передаче данных. Сейчас Northwind Traders использует основную модель доменов Microsoft Windows NT 4.0 (master domain model) и располагает отдельным доме­ ном ресурсов для каждой территории. Все домены настроены на двусторонние довери­ тельные отношения между собой. В последние годы компания значительно расширилась и ожидает дальнейшего суще­ ственного роста в следующие три года, в том числе увеличения своей доли рынка, дохо­ дов и численности сотрудников. Помимо открытия двух новых офисов, администрация решила реализовать новый проект Windows Server 2003 Active Directory, отвечающий те­ кущим и будущим потребностям компании. В следующей таблице перечислены территории, отделы на каждой территории и ко­ личество пользователей. Территория Париж

Отделы Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

Число пользователей 2000

Проектирование модели лесов и доменвв

Занятие 1 (окончание) Территория

Отделы

Число пользователей

Лос-Анджелес

Продажи Маркетинг Финансы ИТ

1000

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

750

Глазго, Шотландия

Исследования Разработка Долгосрочные проекты ИТ

750

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500

Большая часть вычислительных мощностей компании находится в главном офисе в Париже. Корпоративный ИТ-отдел хочет централизовать управление паролями и пара­ метрами защиты. Локальному ИТ-отделу в Лос-Анджелесе нужно сохранить управление свой инфраструктурой без участия корпоративного ИТ-отдела. Локальный ИТ-отдел в Глазго требует эксклюзивного управления своей сетевой средой по соображениям безо­ пасности, так как должен исключить несанкционированный доступ к данным, получае­ мым в результате научно-исследовательских и опытно-конструкторских работ (research and development, R&D). Ton-менеджеры корпорации разделяют эту озабоченность и хо­ тят добиться максимальной защиты данных R&D. Следующая схема отражает соединения между разными территориальными участка­ ми компании. Кроме того, в Лос-Анджелесе и Атланте имеются VPN-соединения с глав­ ным офисом в Париже через Интернет.

I

Атланта

V Широкополосное4соединение

л

-

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Какую модель лесов вы предложили бы? Сколько лесов использовать? Почему? 2. Нарисуйте схему предлагаемой вами для Northwind Traders структуры доменов.

Планирование структуры Active Directory

Fnasa 3

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы разрабатываете модель лесов для компании и размышляете, сколько доменов использовать — один или несколько. По каким причинам может потребоваться не­ скольких доменов? 2. Зачем может понадобиться выделенный домен для использования в качестве корне­ вого домена компании? 3. Какова основная причина использования в сети нескольких деревьев доменов? В чем заключаются недостатки такого подхода? 4. По каким причинам может потребоваться реализация нескольких лесов?

Резюме и По возможности всегда используйте один домен, поскольку такая структура наибо­ лее проста в планировании, развертывании и сопровождении. м Применяйте несколько доменов, когда требуется реализовать разные политики безо­ пасности, обеспечить децентрализованное администрирование, оптимизировать тра­ фик репликации или сохранить существующую структуру доменов. и Используйте несколько деревьев доменов, если вам нужно поддерживать несколько пространств имен DNS. • Используйте несколько лесов, если требуется поддерживать несколько компаний или обеспечить автономную/изолированную работу какого-либо подразделения компании.

Занятие 2. Выработка стратегии именования Решив, какую структуру доменов и лесов нужно создать, переключите свое внимание на именование элементов, входящих в эту структуру. На этом занятии мы рассмотрим про­ токол LDAP (Lightweight Directory Access Protocol), имена, применяемые в Active Direc­ tory, и выработку стратегии именования для сети. Изучив материал этого занятия, вы сможете:

•S •/ •S •S

рассказать о соглашениях по именованию, используемых в Active Directory; описать требования к регистрации доменных имен Интернета; определить требования к именованию для NetBIOS; создать структуру именования для среды Active Directory. Продолжительность занятия — около 20 минут.

ШАР и именование в Active Directory LDAP — стандартный протокол, используемый клиентами для поиска информации в каталоге. Служба каталогов, поддерживающая LDAP (например Active Directory), ин­ дексирует все атрибуты всех объектов, хранящихся в каталоге, и публикует их. Клиенты, поддерживающие LDAP, могут выполнять всевозможные запросы к серверу.

Занятие 2

Выработка стратегии именована?

Каждый объект в Active Directory является экземпляром класса, определенного в схеме Active Directory. У каждого класса имеются атрибуты, обеспечивающие уникаль­ ную идентификацию каждого объекта каталога. Чтобы это реализовать, в Active Direc­ tory действует соглашение об именовании, позволяющее логически упорядочить хра­ нение объектов и предоставить клиентам стандартизированные методы доступа к объек­ там. И пользователи, и приложения должны соблюдать соглашение об именовании, ис­ пользуемое каталогом. Чтобы найти сетевой ресурс, вы должны знать его имя или одно из его свойств. Active Directory поддерживает несколько типов имен, поэтому при ра­ боте с Active Directory можно использовать разные форматы имен. К этим именам относятся: • относительные составные имена (relative distinguished names, RDN); • составные имена (distinguished names, DN); и основные имена пользователей (user principal names, UPN); • канонические имена.

Относительные составные имена Относительное составное имя (RDN) объекта уникально идентифицирует объект, но только в его родительском контейнере. Таким образом, оно уникально идентифицирует объект относительно других объектов в том же самом контейнере. Например, здесь: CN=wjglenn,CN=Users,0C=contoso, DC=com

относительным составным именем объекта является CN=wjglenn. RDN родительской организационной единицы (OU) — Users. У большинства объектов RDN — то же, что и атрибут Common Name. Active Directory автоматически создает RDN по информации, указываемой при со­ здании объекта, и не допускает, чтобы в одном и том же родительском контейнере суще­ ствовали два объекта с одинаковыми RDN. В нотации относительных составных имен (и составных имен, о которых рассказы­ вается в следующем разделе) применяются специальные обозначения, называемые тэга­ ми LDAP-атрибутов и идентифицирующие каждую часть имени. Существует три тэга атрибутов, и DC — тэг Domain Component, который идентифицирует часть DNS-имени домена вроде СОМ или ORG. я OU — тэг Organizational Unit, который идентифицирует организационную единицу, являющуюся контейнером. • CN — тэг Common Name, который идентифицирует простое имя, присвоенное объек­ ту Active Directory.

Составные имена У каждого объекта в каталоге имеется составное имя (DN), которое уникально на гло­ бальном уровне и идентифицирует не только сам объект, но и место, занимаемое объек­ том в общей иерархии объектов. DN можно рассматривать как относительное DN объек­ та, объединенное с относительными DN всех родительских контейнеров, образующих путь к объекту. Вот типичный пример составного имени: CN=wjglenn,CN=Users,DC=contoso,DC=com

Планирование структуры Active Directory

Глава 3

Это DN означает, что объект пользователя wjglenn содержится в контейнере Users, в свою очередь содержащемся в домене contoso.com. Если объект wjglenn переместят в другой контейнер, его DN изменится и будет отражать новое местоположение в иерар­ хии. DN гарантированно уникальны в лесу — по аналогии с тем, как полное доменное имя (fully qualified domain name, FQDN) уникально идентифицирует местонахождение объек­ та в иерархии DNS. Существование двух объектов с одинаковыми DN невозможно.

Канонические имена Каноническое имя объекта используется во многом так же, как и составное. Просто у него другой синтаксис. Составному имени, приведенному в предыдущем разделе, соот­ ветствовало бы следующее каноническое имя: contoso.com/Users/wjglenn Как видите, в синтаксисе составных и канонических имен два основных отличия. Первое — каноническое имя формируется от корня к объекту, а второе — в канониче­ ском имени не используются тэги LDAP-атрибутов (например CN и DC).

Основные имена пользователей Основное имя пользователя (UPN), генерируемое для каждого объекта пользователя, имеет вид имя_пользователя@имя_домена. Пользователи могут входить в сеть под свои­ ми основными именами, а администратор при желании может определить для этих имен суффиксы. Основные имена пользователей должны быть уникальными, но Active Direc­ tory не проверяет соблюдение этого требования. Лучше всего принять соглашение об именовании, не допускающее дублирования основных имен пользователей.

Идентификаторы защиты Как вы уже знаете, в Active Directory используется модель репликации с несколькими хозяевами, при которой на каждом контроллере домена хранится своя копия раздела Active Directory; контроллеры домена являются равноправными хозяевами. Можно вне­ сти изменения в объекты, хранящиеся на любом контроллере домена, и эти изменения реплицируются на другие контроллеры. Модель с несколькими хозяевами хорошо подходит для большинства операций, но не для всех. Некоторые операции должны выполняться только одним контроллером в каждом домене или даже в каждом лесу. Чтобы выполнять эти специальные операции, определенные контроллеры доменов назначаются хозяевами операций. Обзор всех ро­ лей хозяев операций можно найти в главе 1. Однако при выработке стратегии именова­ ния представляют интерес две роли хозяев операций: именования доменов (domain naming master) и RID (relative ID master). Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals). Хозяин именования доменов. Только один домен в каждом лесу может быть хозяином именования доменов. Он обрабатывает добавление и удаление доменов леса, а также генерирует уникальный идентификатор защиты (security identifier, SID) для каждого домена леса. Это единственный контроллер домена, с которого можно создать или уда­ лить домен, однако вы должны входить в группу Администраторы предприятия (Enter­ prise Admins). По умолчанию хозяином именования доменов становится первый контроллер доме­ на в лесу, и, если это единственный контроллер в домене, он берет на себя все роли

Занятие 2

Выработка стратегия именования

хозяев операций уровней леса и домена. Такие хозяева операций также называются FSMO (flexible single master operations). Хозяин RID. Генерирует последовательности RID для каждого из контроллеров доме­ на. Хозяин схемы и хозяин именования доменов действуют в масштабе леса, а хозяин RID — в масштабе домена: в каждом домене назначается по одному хозяину RID. По­ скольку каждый контроллер домена может создавать объекты Active Directory, хозяин RID выделяет каждому контроллеру домена пул из 500 RID, из которого берутся отно­ сительные идентификаторы при создании объектов. После того как контроллер домена использовал более 400 RID, хозяин RID выделяет ему следующий пакет из 500 RID.

Определение стратегии именования При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS. Клиенты используют DNS для разреше­ ния IP-адресов серверов, на которых выполняются важные сетевые сервисы Active Directory. Следовательно, Active Directory и DNS неразрывно связаны. Примечание В главе 6 вы найдете массу полезных рекомендаций по выработке страте­ гии управления структурой DNS, поэтому в данной главе мы не будем уделять DNS осо­ бого внимания за исключением случаев, когда она влияет на стратегию именования объектов Active Directory. В DNS имена образуют иерархию и формируются путем «движения» от родитель­ ских доменов к дочерним. Так, у домена contoso.com может быть дочерний домен sales.contoso.com, у того в свою очередь — дочерний домен europe.sales.contoso.com. Имя каждого домена соответствует пути, идентифицирующему домен в иерархии DNS, т. е. пути к корневому домену (корневой домен обозначается точкой). Active Directory следует соглашению об именовании, принятому в DNS. Когда вы создаете первый домен Active Directory, он становится корневым для леса и первого де­ рева доменов в этом лесу. С этого корневого домена начинается пространство имен. Каждый добавляемый домен получает имя от родительского домена и иерархии, в кото­ рую входит родительский домен. Все имена доменов Active Directory идентифицируются по DNS, но можно использо­ вать и NetBIOS-имена (Network Basic Input/Output System) — унаследованную систему именования, которая применялась в старых версиях Windows и по-прежнему поддержи­ вается в Windows Server 2003. В отличие от иерархической структуры DNS-имен в NetBIOS используется плоское пространство имен; каждому сетевому ресурсу (доменам, компьютерам и т. д.) присваивается одно имя, которое можно разрешить в IP-адрес. Когда вы устанавливаете Windows и присваиваете компьютеру имя, последнее является NetBIOS-именем. Windows автоматически генерирует NetBIOS-имена для каждой служ­ бы, выполняемой на компьютере, добавляя к имени компьютера дополнительный сим­ вол. Доменам также присваиваются NetBIOS-имена. Когда основной системой именования для Active Directory стала DNS, NetBIOS-име­ на отошли на второй план. Тем не менее NetBIOS-имена по-прежнему поддерживаются. DNS просто использует имя компьютера как относительное составное имя и добавляет к нему иерархию доменов DNS, чтобы сформировать полное доменное имя.

Планирование структуры Active Directory

Глава 3

Ниже приведен пример NetBIOS- и DNS-имен, присвоенных одному и тому же до­ мену. • NetBIOS-имя SALES. в Полное доменное имя (FQDN) sales.contoso.com. Обычно NetBIOS-имя совпадает с первой частью DNS-имени. Однако длина NetBIOS-имени ограничена 16 символами, причем последний символ зарезервирован — он указывает тип NetBIOS-службы. В соответствии с системой именования DNS каждое имя может быть длиной до 64 символов, следовательно, DNS-имена длиннее 15 симво­ лов нельзя использовать в качестве NetBIOS-имен без усечения. При установке можно настроить каждое имя в соответствии со своими потребностя­ ми. Это означает, что вы можете присвоить одному домену разные NetBIOS- и DNSимена. Но учтите, что такой подход недопустим в хорошем проекте просто потому, что наличие нескольких имен у одного и того же объекта чревато путаницей. Если вы разра­ батываете новую структуру Active Directory, создавайте DNS-имена, удовлетворяющие соглашениям об именовании в NetBIOS (т. е. ограничьте длину DNS-имен 15 символа­ ми). Однако, если вы создаете проект для существующей сети, где применяются DNSимена, не соответствующие соглашениям об именовании в NetBIOS, то можете исполь­ зовать разные имена. Основная проблема с таким подходом в том, что это может сбить с толку менеджеров и пользователей сети. Если вы вынуждены применять разные имена, сделайте хотя бы так, чтобы они были достаточно похожи во избежание путаницы.

Поддержка зарегистрированных DNS-имен Поскольку пространства имен Active Directory и DNS связаны между собой, а вы почти наверняка будете подключать большинство своих сетей к Интернету, необходимо учи­ тывать, как ваша стратегия именования согласуется с пространством имен Интернета и позволит ли она работать с зарегистрированным DNS-именем компании. Вы можете задействовать один из следующих вариантов. • Использовать зарегистрированное DNS-имя компании в качестве имени корневого домена Active Directory. Это наиболее распространенная конфигурация, и Microsoft рекомендует ее в большинстве случаев. Кроме того, этот вариант — самый про­ стой в планировании и реализации. Единственный серьезный недостаток такого подхода — нужно, чтобы ваша система DNS могла использовать записи служб (service records, SRV). Поэтому возможны проблемы, если ваши DNS-серверы работают на платформах, отличных от Windows 2003 Server. Подготовка к экзамену Применение зарегистрированного DNS-имени в качестве имени корневого домена Active Directory — подход, рекомендуемый Microsoft. Поэтому, отве­ чая на экзаменационные вопросы по этой теме, вы сначала должны предположить, что выберете именно этот подход, а затем посмотреть, есть ли требования, из-за которых вам, возможно, придется изменить свое мнение. Обычно такими требованиями являют­ ся требования безопасности, для выполнения которых приходится использовать в каче­ стве имени корневого домена поддомен зарегистрированного DNS-имени. •

Использовать в качестве имени корневого домена Active Directory подддомен заре­ гистрированного DNS-имени. Например, зарегистрированным именем компании может быть fabrikam.com. Тогда в качестве корневого домена леса можно задейство­ вать поддомен вроде internal.fabrikam.com. В этом случае хранить записи ресурсов

Занятие 2

•

Выработка стратегии именован»

для общедоступных хостов можно в другой DNS-зоне. Этот способ создает допол­ нительный уровень защиты, так как данные Active Directory отделяются от откры­ тых ресурсов. Использовать разные внутреннее и внешнее имена. В действительности этот вариант можно выбрать, только если вы не собираетесь подключать сеть к Интернету и ис­ пользовать зарегистрированное DNS-имя. Учитывая, что зарегистрировать доменное имя достаточно легко, почти всегда лучше применять зарегистрированное имя, даже если вам не нужно размещать никакие общедоступные ресурсы.

Выбор доменных имен В принципе, допускается изменение доменных имен после развертывания, но это может оказаться затруднительным. Лучше с самого начала выбрать правильные имена. Выби­ рая доменные имена, соблюдайте следующие правила. • Используйте только символы, разрешенные стандартами Интернета: a—z, 0—9 и де­ фис (-). Хотя реализация DNS в Windows Server 2003 поддерживает и другие симво­ лы, применение стандартных символов гарантирует возможность взаимодействия с другими реализациями DNS. • Используйте короткие доменные имена, которые легко идентифицировать и кото­ рые соответствуют соглашению об именовании в NetBIOS. и В качестве основы имени корневого домена берите только зарегистрированные до­ менные имена. Даже если вы не используете в качестве имени корня леса заре­ гистрированное DNS-имя, это поможет избежать путаницы. Например, у компании может быть зарегистрирован домен contoso.com. Если вы не используете contoso.com в качестве имени корневого домена вашего леса, все равно формируйте имя, произ­ водное от contoso.com (скажем, sales.contoso.com). • Не используйте дважды одно и то же доменное имя. Иное возможно только в сетях, которые не взаимодействуют между собой (например, вы можете создать домен microsoft.com в частной сети, не подключенной к Интернету), но это плохой подход. Когда-нибудь он обязательно приведет к путанице. • Для большей безопасности создайте отдельные внутреннее и внешнее простран­ ства имен, чтобы предотвратить несанкционированный доступ к закрытым ресур­ сам. И создавайте внутреннее имя на основе внешнего (например contoso.com и local.contoso.com).

Именование участников системы безопасности Объекты участников системы безопасности (security principal objects) — это объекты Active Directory, которым назначены идентификаторы защиты и которые указываются при вхо­ де в сеть и предоставлении доступа к ресурсам домена. Администратор должен давать объектам участников системы безопасности (учетным записям пользователей, компью­ теров и групп) имена, уникальные в рамках домена. Следовательно, вы должны вырабо­ тать стратегию именования, которая позволит это делать. Добавляя в каталог учетную запись нового пользователя, администратор должен за­ дать следующую информацию: • имя, которое пользователь должен указывать при входе в сеть; • имя домена, содержащего учетную запись пользователя; • прочие атрибуты, такие как имя, фамилия, номер телефона и т. д.

Плакирование структуры Actiwe Directory

Глава 3

В идеале следует создать стратегию именования, определяющую единообразный под­ ход к формированию имен. Имена объектов участников системы безопасности могут содержать любые Unicode-символы за исключением некоторых специальных символов LDAP, к которым относятся ведущий и концевой пробелы, а также любые из следующих символов: # , + « \ < >. Помимо этих ограничений, налагаемых на символы, имена участников системы бе­ зопасности должны соответствовать следующим правилам: • имена учетных записей пользователей могут содержать максимум 20 символов; • имена учетных записей компьютеров могут содержать максимум 15 символов; • имена учетных записей групп могут содержать максимум 63 символа. Кроме того, имена участников системы безопасности не могут состоять только из точек, пробелов и знаков @. Любые точки или пробелы в начале имени пользователя отбрасываются. Допускается применение одного и того же имени участника системы безопасности в разных доменах. Так, можно создать пользователя wjglenn в доменах hr.contoso.com и sales.contoso.com. Это не приведет к проблемам, поскольку составное, относительное составное и каноническое имена каждого объекта автоматически генерируются Active Directory и все равно позволяют глобально идентифицировать этот объект.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Перечислите компоненты составных, относительных составных и канонических имен, а также расскажите, как формируются эти имена. 2. Чем отличаются имена доменов в DNS и NetBIOS? 3. Вы решаете, как создать пространство имен для компании, у которой имеется заре­ гистрированное DNS-имя proseware.com. Компания подключена к Интернету и под­ держивает несколько сервисов, доступных через Интернет. Каковы два варианта по­ строения пространства имен с учетом зарегистрированного DNS-имени? 4. Вы планируете сеть, где есть два домена, содержащих учетные записи пользователей. Вы обнаружили, что в каждом домене имеется пользователь Keith Harris. Вы не хоти­ те нарушать установленное вами же соглашение об именовании, в соответствии с которым обоим пользователям нужно присвоить имя участника системы безопасно­ сти kharris. Какие утверждения, перечисленные ниже, являются правильными в дан­ ном случае? a. Это можно сделать без ручного вмешательства. b. Это можно сделать, но придется вручную изменить относительное составное имя объекта пользователя. c. Это можно сделать, но придется вручную изменить составное и каноническое имя объекта пользователя. d. Active Directory не позволит создать в одном лесу два объекта пользователя с оди­ наковыми именами.

Пример ИЗ орактикй

Резюме •

Active Directory поддерживает несколько типов имен: составные (distinguished names), относительные составные (relative distinguished names), канонические имена и имена участников системы безопасности (user principal names). • При реализации схемы именования необходимо планировать две роли хозяина опе­ раций: именования доменов (управляет добавлением и удалением доменов) и RID (выделяет последовательности RID каждому контроллеру домена в своем домене). в Пространство имен DNS имеет иерархическую структуру, а пространство имен Net­ BIOS — плоскую. Для каждого объекта Active Directory создаются имена обоих ти­ пов. NetBIOS-имена (компьютеров и доменов) могут иметь длину до 15 символов, а DNS-имена — до 64. Чтобы соблюсти требования обоих пространств, используйте короткие имена (не более 15 символов). я При управлении зарегистрированными DNS-именами есть три варианта. Первый — использовать в качестве имени корневого домена Active Directory зарегистрирован­ ное DNS-имя компании. Второй — задействовать в качестве корневого домена Active Directory поддомен зарегистрированного DNS-имени. Третий — определить разные внутреннее и внешнее имена, но применять данный вариант не рекомендуется.

Ц Пример из практики Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вам поручили планирование новой структуры Active Directory для компании Fourth Coffee — поставщика кофе для ресторанов юго-востока США. В настоящее время все серверы ее сети работают под управлением Windows NT Server 4.0. На клиентских ком­ пьютерах используются Windows 98 и Windows NT Professional 4.0. Fourth Coffee наняла вас, чтобы привести сетевую инфраструктуру компании в соответствие с требованиями времени. Руководство компании хочет, чтобы все серверы работали под управлением Windows Server 2003 и чтобы вы реализовали Active Directory. Все клиентские компьюте­ ры должны работать под управлением Windows XP Professional. Кроме того, желательно по возможности упростить сетевую инфраструктур}'.

Краткие сведения о компании Компания Fourth Coffee значительно выросла за последние несколько лет и стала одним из ведущих поставщиков высших сортов кофе для крупных сетей ресторанов и гости­ ниц. В прошлом году Fourth Coffee приобрела компанию по выращиванию кофе, распо­ ложенную на Ямайке, и собирается подключить ее сеть к своей.

География Главный офис Fourth Coffee находится в Нашвилле (штат Теннеси). Кроме того, у Fourth Coffee есть филиалы в Хьюстоне (штат Техас) и Роме (штат Джорджия). 5 каждом фили­ н е имеются отделы продаж и маркетинга, в которых работает множество сотрудников, .-:: нет своего ИТ-отдела. Их обслуживает ИТ-отдел, расположенный в глазном офисе в Нашвилле.

Планирование структуры Active Directory

Глава 3

Недавно приобретенный производитель и экспортер кофе — компания Northwind Traders — находится в Кингстоне на Ямайке. Офис на Ямайке обладает полноценной корпоративной инфраструктурой, в частности в нем имеется собственный ИТ-отдел. Хотя местный ИТ-отдел продолжает обслуживать свой офис, управление сетевой инфраструктурой передается ИТ-отделу главного офиса в Нашвилле. У офиса в Кинг­ стоне есть собственное пространство имен, northwindtraders.com, которое нужно со­ хранить в новой корпоративной инфраструктуре.

Сетевая инфраструктура Штаб-квартира в Нашвилле связана с филиалом в Хьюстоне 512-килобитным каналом Frame Relay. Главный офис в Нашвилле соединен с офисом в Роме точно таким же ка­ налом, а с офисом в Кингстоне — коммутируемой линией с соединением по требова­ нию, пропускная способность которой составляет 64 Кбит/с. Во всех офисах клиенты и серверы связаны сетевыми соединениями с пропускной способностью 10/100 Мбит/с. В настоящее время каждый офис использует свой домен Windows NT, имя которого совпадает с названием места, в котором находится офис. Это решение приняли главным образом для того, чтобы управлять трафиком репликации, передаваемым по WAN-кана­ лам между главным офисом и филиалами. Все домены настроены на двусторонние дове­ рительные отношения друг с другом. Вы не обязаны сохранять какие-либо существую­ щие домены.

Планы на будущее Сейчас не планируется расширять штат или приобретать новые компании. Однако ру­ ководство компании хотело бы в конечном итоге прекратить использование названия Northwind Traders и доменного имени northwindtraders.com и выпускать всю продук­ цию под товарным знаком Fourth Coffee. Но на данный момент пространство имен northwindtraders.com следует включить в ваш проект.

ИТ-менеджмент ИТ-отдел в Нашвилле определяет структуру и требования к политике безопасности для сети в целом. Кроме того, он напрямую управляет работой офисов в Хьюстоне и Роме. Местный ИТ-отдел в Кингстоне управляет локальной сетью. Но за работу сети в целом в конечном итоге отвечает ИТ-отдел в Нашвилле.

Вопросы Исходя из данного сценария ответьте на следующие вопросы. 1. Нарисуйте географическую схему структуры компании и выберите модель лесов и доменов, учитывая, что руководство компании хочет по возможности упростить ин­ фраструктуру компании. 2. Перечислите преимущества использования одного домена для офисов в Нашвилле, Роме и Хьюстоне по сравнению с применением нескольких доменов. И какие пре­ имущества вы получили бы, все же создав несколько доменов? 3. Вы решили не использовать один домен для офисов в Нашвилле, Роме и Хьюстоне, а оставить свои домены для каждого офиса. Вы не хотите, чтобы офисы в Роме и Хьюстоне казались подразделениями офиса в Нашвилле, но должны использовать зарегистрированное DNS-имя fourthcoffee.com. Создайте иерархию доменов для этих офисов. Какой домен вы выбрали бы в качестве корневого для леса?

Рекомендаций по подготовке к экзамену 4. Соответствуют ли имена, которые вы выбрали для доменов в структуре Active Direc­ tory, требованиям к DNS-именам? А к NetBIOS-именам? Если они не соответствуют какому-либо требованию, какие проблемы при этом возникнут?

Ц Резюме главы • •

• •

•

•

•

•

По возможности всегда используйте один домен, поскольку такая структура наибо­ лее проста в планировании, развертывании и сопровождении. Применяйте несколько доменов, когда требуется реализовать разные политики безо­ пасности, обеспечить децентрализованное администрирование, оптимизировать тра­ фик репликации или сохранить существующую структуру доменов. Используйте несколько деревьев доменов, если вам нужно поддерживать несколько пространств имен DNS. Используйте несколько лесов, если требуется поддерживать несколько компаний или обеспечить автономную/изолированную работу какого-либо подразделения компа­ нии. Active Directory поддерживает несколько типов имен: составные (distinguished names), относительные составные (relative distinguished names), канонические имена и имена участников системы безопасности (user principal names). При реализации схемы именования необходимо планировать две роли хозяина опе­ раций: именования доменов (управляет добавлением и удалением доменов) и RID (выделяет последовательности RID каждому контроллеру домена в своем домене). Пространство имен DNS имеет иерархическую структуру, а пространство имен NetBIOS — плоскую. Для каждого объекта Active Directory создаются имена обоих типов. NetBIOS-имена (компьютеров и доменов) могут иметь длину до 15 симво­ лов, а DNS-имена — до 64. Чтобы соблюсти требования обоих пространств, исполь­ зуйте короткие имена (не более 15 символов). При управлении зарегистрированными DNS-именами есть три варианта. Первый — использовать в качестве имени корневого домена Active Directory зарегистрирован­ ное DNS-имя компании. Второй — задействовать в качестве корневого домена Active Directory поддомен зарегистрированного DNS-имени. Третий — определить разные внутреннее и внешнее имена, но применять данный вариант не рекомендуется.

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения • • •

Когда нужно создать дополнительные домены или OU, лучше использовать допол­ нительные OU (если, конечно, можно обойтись без дополнительных доменов). Используйте несколько деревьев доменов, только если необходимо поддерживать более одного пространства имен DNS в лесу. Применение нескольких лесов настоятельно не рекомендуется за исключением осо­ бых случаев. Почти всегда лучше создать несколько деревьев в одном лесу.

Планирование структуры Active Directory •

Глава 3

Использование зарегистрированного DNS-имени в качестве имени корневого доме­ на Active Directory — подход, рекомендуемый Microsoft. Когда вы будете отвечать на экзаменационные вопросы, он скорее всего окажется лучшим выбором, если только требования к проекту не вынудят выбрать другой вариант.

Основные термины NetBIOS — плоское пространство имен, которое было основным механизмом разреше­ ния имен в предыдущих версиях Windows. Поскольку Active Directory основана на DNS, пространство имен NetBIOS отошло на второй план, но по-прежнему поддер­ живается и используется. Автономный/изолированный ~ autonomous/isolated. Автономный домен — это домен, который все равно управляется центральным ИТ-отделом и входит в существую­ щую структуру доменов, но требует определенной степени свободы в изменении структуры и схемы Active Directory. Изолированный домен — то же, что и автоном­ ный, но в нем не используется структура остальной сети, и он недоступен из других доменов. Корневой домен леса ~ forest root domain — первый домен, который вы создаете в лесу Active Directory; служит основой для структуры леса. Любой другой домен, который вы создаете в лесу (даже в других деревьях доменов), наследует свое составное имя и используемое по умолчанию DNS-имя от имени корневого домена леса.

Щ

Вопросы и ответы

Занятие 1. Лабораторная работа 1. Какую модель лесов вы предложили бы? Сколько лесов следует использовать? Почему? Правильный ответ: одно из решений — создать для Northwind Traders два леса. Есть и другие решения. В данном решении используется отдельный лес R&D, поскольку их дан­ ные и службы нуждаются в изоляции. Остальной организации не требуется изоляция служб. Следовательно, остальной организации достаточно одного леса. 2. Нарисуйте схему предлагаемой вами для Northwind Traders структуры доменов. Правильный ответ: одно из возможных решений — применить региональную модель до­ менов и выделенный корневой домен леса. Для леса корпорации Northwind Traders (NWtraders) требуется пять доменов — пустой корневой домен и четыре региональных домена. В лесу R&D достаточно одного домена.

д Лес R&D

Лес NWtraders

Занятие 1. Закрепление материала 1. Вы разрабатываете модель лесов для компании и размышляет:-, сколько доменов ис­ пользовать — один или несколько. По каким причинам может г.стребсьаться несколь­ ких доменов? т, Правильный ответ: несколько доменов может потребс« ».. ч1> г> реализо­ вать разные политики безопасности на уровне доменер i к > (равления паролями или учетными записями); б) обеспечить децрр! i > "-» , растрирова­ ние с более широкими возможностями управления на ме>.тх ч " иэвтгь трафик репликации по WAN-каналам в большей мере, чем э^о г < " ,ла г) разделить пространство имен по территориальному признаку илч >с i ^ i я \ т, сохранить существующую структуру доменов Windows NT 4.0; е) в » ' ^ i" ^ » > <р ^шлющийся хозяином схемы, в домен, отличный от того, где храьятсч i » . „ .-i 2. Зачем может понадобиться выделенный домен для i J ^ -> ч LTBC корне­ вого домена компании? Правильный ответ: чтобы администраторам домена было проще управлять членством в универсальных группах Администраторы предприятия (Enterprise Admins) и Админи­ страторы схемы (Schema Admins), сведения о котором хранятся а корне леса; чтобы усилить изоляцию от изменений в структуре компании; наконец, чтобы корневой домен леса был меньшего размера (поскольку он не содержит другие ресурсы) и его было легче реплицировать на другие серверы предприятия для обеспечения отказоустойчивости. 3. Какова основная причина использования в сети нескольких деревьев доменов? В чем заключаются недостатки такого подхода? Правильный ответ: единственная причина использования в лесу нэскольких деревьев доменов — необходимость поддержки нескольких пространств имен DNS. У такого под­ хода два основных недостатка — требуется поддерживать дополнительные ресурсы DNS и обслуживать больше доменов. 4. По каким причинам может потребоваться реализация нескольким лесов? Правильный ответ: лес представляет крайние границы зоны безопасности. Между леса­ ми невозможно административное управление или пользовательский доступ, если на это нет явного разрешения. Поэтому применение нескольких лесов позволяет поддерживать несколько отдельных компаний, предоставить административную автономию, создать изолированное подразделение.

Занятие 2. Закрепление материала 1. Перечислите компоненты составных, относительных составных и канонических имен, а также расскажите, как формируются эти имена. Правильный ответ: составные имена глобально идентифицируют объект; они включают простые имена объекта, его родительских контейнеров и информглдею о домене. Относи­ тельные составные имена идентифицируют объект в родительском контейнере; они со­ держат только простое имя самого объекта. Канонические имена аналогичны составным (в том смысле, что глобально идентифицируют объект), но имеют другой синтаксис. Все три вида имен автоматически генерируются Active Directory по простым именам объекта и его родительских контейнеров.

Планирование структуры ftctiye Directory

Глава 3

2. Чем отличаются имена доменов в DNS и NetBIOS? Правильный ответ: пространство имен DNS имеет иерархическую структуру, тогда как пространство имен NetBIOS — плоскую. NetBIOS-имена служат для поддержки уна­ следованной системы разрешения имен в Windows. DNS-имена могут быть длиной до 64 символов, а NetBIOS-имена — только до 15. 3. Вы решаете, как создать пространство имен для компании, у которой имеется заре­ гистрированное DNS-имя proseware.com. Компания подключена к Интернету и под­ держивает несколько сервисов, доступных через Интернет. Каковы два варианта по­ строения пространства имен с учетом зарегистрированного DNS-имени? Правильный ответ: первый вариант — использовать зарегистрированное DNS-имя proseware.com в качестве имени корневого домена в структуре Active Directory. Второй вариант — задействовать в качестве корневого домена поддомен proseware.com (напри­ мер sales.proseware.com). 4. Вы планируете сеть, где есть два домена, содержащих учетные записи пользователей. Вы обнаружили, что в каждом домене имеется пользователь Keith Harris. Вы не хоти­ те нарушать установленное вами же соглашение об именовании, в соответствии с которым обоим пользователям нужно присвоить имя участника системы безопасно­ сти kharris. Какие утверждения, перечисленные ниже, являются правильными в дан­ ном случае? a. Это можно сделать без ручного вмешательства. b. Это можно сделать, но придется вручную изменить относительное составное имя объекта пользователя. c. Это можно сделать, но придется вручную изменить составное и каноническое имя объекта пользователя. d. Active Directory не позволит создать в одном лесу два объекта пользователя с оди­ наковыми именами. Правильный ответ: а.

Пример из практики 1. Нарисуйте географическую схему структуры компании и выберите модель лесов и доменов, учитывая, что руководство компании хочет по возможности упростить ин­ фраструктуру компании. Правильный ответ: географическая схема должна отражать штаб-квартира в Нашвилле, два филиала и офис в Кингстоне. Кроме того, вы должны отметить типы соединений, связывающих офисы. Простейшая структура состояла бы из двух деревьев доменов, каж­ дое из которых содержит по одному домену. В первое дерево входил бы единственный домен, fourthcoffee.com, содержащий ресурсы штаб-квартиры в Нашвилле и филиалов в Роме и Хьюстоне. Для управления трафиком репликации между филиалами можно было бы использовать сайты. Для приобретенной компании в Кингстоне нужно создать от­ дельное дерево доменов — в первую очередь потому, что следует сохранить пространство имен northwindtraders. 2. Перечислите преимущества использования одного домена для офисов в Нашвилле, Роме и Хьюстоне по сравнению с применением нескольких доменов. И какие пре­ имущества вы получили бы, все же создав несколько доменов?

Вопросы и ответы

Правильный ответ: один домен проще в создании и управлении; кроме того, в этом слу­ чае администрирование было бы более централизованным. При необходимости можно было бы создать сайты для управления трафиком репликации по WAN-каналам и со­ здать OU, чтобы разделить административные функции. В применении нескольких до­ менов в этом случае были бы следующие преимущества: еще больший контроль над трафиком репликации и возможность реализации разных политик безопасности для каждого домена. 3. Вы решили не использовать один домен для офисов в Нашвилле, Роме и Хьюстоне, а оставить свои домены для каждого офиса. Вы не хотите, чтобы офисы в Роме и Хьюстоне казались подразделениями офиса в Нашвилле, но должны использовать зарегистрированное DNS-имя fourthcoffee.com. Создайте иерархию доменов для этих офисов. Какой домен вы выбрали бы в качестве корневого для леса? Правильный ответ: в данном случае лучше всего присвоить корневому домену леса заре­ гистрированное DNS-имя fourthcoffee.com. Затем для каждого из трех участков создайте свой дочерний домен этого корневого домена (рис. 3-7).

LA fourthcoffee.com

L\ LA LA nashville. fourthcoffee.com

Рис. 3-7.

rome. fourthcoffee.com

houston. fourthcoffee.com

Иерархия доменов fourthcoffee.com

4. Соответствуют ли имена, которые вы выбрали для доменов в структуре Active Directory, требованиям к DNS-именам? А к NetBIOS-именам? Если они не соответ­ ствуют какому-либо требованию, какие проблемы при этом возникнут? Правильный ответ: имя fourthcoffee отвечает соглашениям об именовании в DNS и NetBIOS, где допускаются имена дайной не более 64 и 15 символов соответственно. Имя northwindtraders (длиной 16 символов) не соответствует соглашению об именовании в NetBIOS. Вы можете использовать разные DNS- и NetBIOS-имена, и в данном случае это не приведет к слишком тяжелым последствиям. Обычно самая крупная проблема изза использования разных имен состоит в том, что это может запутать администраторов и пользователей. Однако в данном случае можно в определенной мере снять остроту этой проблемы, просто отбросив последний символ и используя NetBIOS-имя northwindtrader.

ГЛА iOi

Занятие 1. Проектирование структуры OU

101

Занятие 2. Планирование стратегии управления учетными записями

117

Занятие 3, Планирование реализации групповой политики

126

Темы экзамена я

Проектирование инфраструктуры Active Directory, соответствующей бизнес-требова­ ниям и техническим условиям: а создание принципиальной схемы структуры организационных единиц (OU).

и

Проектирование структуры OU: • определение требований групповой политики для структуры OU; • разработка структуры OU, предназначенной для делегирования полномочий.

и

Разработка стратегии управления учетными записями компьютеров и пользователей: а описание требований к политике управления учетными записями; а описание требований к учетным записям пользователей, компьютеров, админи­ страторов и служб.

•

Разработка стратегии управления группами безопасности: а определение областей действия групп безопасности; а определение требований к управлению доступом к ресурсам; а определение требований к управлению административным доступом; а определение ролей пользователей.

•

Разработка стратегии аутентификации пользователей и компьютеров: а определение общих требований к аутентификации; а выбор механизмов аутентификации; •'ггг'мизация аутентификации с помощью доверия к сокращениям.

Занятие 1

Проектирование структуры организационных единиц

м Разработка стратегии реализации групповой политики: • проектирование стратегии администрирования GPO; а разработка стратегии развертывания GPO; а создание стратегии настройки среды для пользователя через групповую политику; • создание стратегии настройки среды для компьютера через групповую политику. В этой главе В предыдущей главе вы узнали, как проектировать структуру Active Directory для орга­ низации. Для этого требуется определить, сколько доменов нужно и как организовать эти домены — в одно дерево доменов или в лес. По завершении этого этапа проектиро­ вания наступает время переключить внимание на планирование структуры администра­ тивной защиты каждого домена. По собранной вами информации о компании и ИТперсонале вы должны определить, как лучше всего делегировать административные пол­ номочия в доменах. Первый этап проектирования административной структуры защиты — планирование использования организационных единиц (OU) в каждом домене. Следующий этап про­ ектирования этой структуры — выработка стратегии управления учетными записями пользователей, компьютеров и групп. Затем вы должны разработать эффективную реа­ лизацию групповой политики. Прежде всего Для усвоения материалов этой главы нужно иметь представление об основных концеп­ циях Active Directory —- см. главу 1. Кроме того, следует собрать и проанализировать все­ возможную информацию о существующей в вашей компании инфраструктуре Active Directory — см. главу 2. Хотя перед созданием административной структуры защиты сле­ дует спроектировать структуру Active Directory (см. главу 3), для изучения концеп­ ций, о которых рассказывается здесь, читать главу 3 не обязательно.

Занятие 1. Проектирование структуры 0U Первый этап разработки структуры административной защиты — создание плана ис­ пользования организационных единиц (OU) в каждом домене среды. Для этого опре­ делите, как лучше всего делегировать административное управление ресурсами каж­ дого домена. Кроме того, при проектировании архитектуры учитывайте требования групповой политики. Изучив материал этого занятия, вы сможете: •S рассказать, зачем нужны OU; •S выбрать способы использования OU для делегирования административного управления; S описать влияние наследования при проектировании структуры OU; •/ проектировать архитектуру с учетом требований групповой политики. Продолжительность занятия - около 40 минут.

Проектирование административной структуры защиты

Глава 4

Введение в 0U Как вы уже знаете из главы 1, OU служит контейнером, в который можно поместить ресурсы и учетные записи домена. Затем можно назначить OU административные раз­ решения и позволить содержащимся в нем объектам наследовать эти разрешения. OU могут содержать любые объекты следующих типов: • пользователи; • компьютеры; • группы; • принтеры; • приложения; • политики безопасности; • общие папки; • другие OU. OU — это прежде всего административный инструмент. Они не появляются в струк­ туре именования DNS, применяемой организацией, поэтому конечным пользователям незачем изучать структуру OU. То есть вы проектируете структуру OU главным образом для того, чтобы облегчить жизнь администраторам сети. В частности, OU позволяют упорядочить учетные записи и ресурсы домена, что упрощает управление этими объек­ тами и их поиск. Часто проектировщики создают структуру OU на основе структуры отделов или по территориальному признаку, поскольку такое решение представляется очевидным, но иногда это не является необходимым и даже может привести к отрицательным результа­ там. Не следует создавать структуру OU исключительно ради того, чтобы иметь какуюто структуру, — OU используются в определенных целях. К этим целям относятся: • делегирование административного управления объектами; • ограничение видимости объектов; • управление применением групповой политики. Определяющее влияние на структуру OU должна оказывать первая из этих трех целей — делегирование административного управления. Всегда следует начинать с со­ здания структуры OU, эффективно делегирующей управление, а затем совершенство­ вать эту структуру, создавая OU, управляющие групповой политикой и скрывающие объекты. В последующих разделах эти причины создания OU рассматриваются более подробно. Примечание Хотя создавать отдельные OU по территориальному признаку лишь из-за очевидности такого деления не следует, иногда такое решение приемлемо. Когда сеть охватывает обширную территорию, а ее части соединены более медленными WAN-кана­ лами, можно упростить проектирование структуры сайтов (см. главу 5), создав отдель­ ную OU для каждого участка, а затем создав вложенные OU для делегирования админи­ стративного управления.

Применение 0U для делегирования административного управления У вас может появиться соблазн создать структуру OU по территориальному признаку или организационной схеме, составленной ИТ-отделом. Но на самом деле структура OU,

Занятие 1

Проектирование структуры организационных единиц

основанная на таком делении, не обязательно сделает администрирование объектов Active Directory более удобным, а ведь структуру OU создают, чтобы уменьшить нагруз­ ку на администраторов. Запомните: структура OU нужна не для того, чтобы облегчить жизнь пользователям или просто лучше упорядочить объекты, а для того, чтобы упростить администраторам управление объектами, помещенными в эти OU и чтобы было проще предоставлять соответствующие разрешения этим администраторам. Таким образом, следует создать иерархию OU, решающую задачи администрирования и обеспечения безопасности, сто­ ящие перед предприятием. Стремитесь к максимально возможному упрощению архи­ тектуры и выбирайте имена OU, имеющие смысл для людей, которые будут их исполь­ зовать (т. е. для администраторов). Есть две основные архитектуры OU, применяемые для делегирования администра­ тивных полномочий: на основе объектов и на основе задач. Эти две архитектуры рас­ сматриваются в следующих разделах. Архитектура, основанная на объектах В структуре OU, основанной на объектах (рис. 4-1), делегирование полномочий выпол­ няется в зависимости от типа объектов, которые хранятся в OU. Вы можете выбрать структуру OU, в которой объекты группируются по принадлежности к одному из следу­ ющих типов: • пользователям; • компьютерам; • сайтам; • доменам; А • OU. /

/.

ДОМЕН

(Domain!

Л Встроенный (Builtin) • Компьютеры (Computers)

•, "£->

Контроллеры домена (Domain Controllers) Пользователи (Users)

• <^>

Учетные записи (Accounts) - Ч, ^

Учетные записи пользователей (User Accounts)

"" * V *

Учетные записи администраторов (Admin Accounts)

- **>

Группы (Groups)

Рис. 4-1. Пример структуры OU, основанной на объектах

t£14

Проектирование административной структуры защиты

Глава 4

Чтобы делегировать полномочия по администрированию объектов, входящих в OU, определенному пользователю или группе, придерживайтесь следующей схемы. 1. Поместите пользователя или группу, которой требуются административные права, в группу безопасности (подробнее о группах безопасности см. занятие 2). 2. Поместите в OU набор объектов, которыми нужно управлять. 3. Делегируйте административные задачи для этой OU группе безопасности, в которую вы добавляли пользователя или группу на этапе 1.

Apxiiienypas основанная на задачах В архитектуре, основанной на задачах, делегирование управления осуществляется в за­ висимости от административных задач, которые требуется решать, а не от типа объек­ тов, подлежащих администрированию. К этим задачам относятся: а создание, удаление и изменение учетных записей пользователей; я сброс сроков действия паролей; н определение группо'вой политики; в управление членством в группах и разрешениями.

Планирование структуры 0U Служба каталогов Active Directory позволяет весьма точно управлять делегированием административных полномочий. Например, можно предоставить одной группе полный доступ ко всем объектам OU, второй — права на создание, удаление и изменение объек­ тов OU определенного типа, а третьей — право управлять определенным атрибутом объектов конкретного типа (скажем, возможностью сбрасывать срок действия паролей учетных записей пользователей). Кроме того, можно сделать эти разрешения наследуе­ мыми, чтобы они применялись не только к данному OU, но и ко всем создаваемым OU более низкого уровня. Такое тонкое управление обеспечивает огромную гибкость. Если вы выберете структуру OU на основе объектов, то сможете поместить все объекты некоего типа в один контейнер, а затем назначить довольно сложный набор административных разрешений для этих OU, определяющих, что вправе делать каж­ дый администратор. Далее можно создать OU более низкого уровня, управляющие применением групповой политики или решением какие-либо других задач, причем эти ОU унаследуют ту же структуру разрешений. Пример структуры такого рода при­ веден на рис. 4-2. Правильно разработанная структура OU позволяет администраторам эффективно делегировать полномочия. Следует уделять особое внимание верхнему уровню структу­ ры OU, который всегда должен отражать относительно неизменную часть структуры предприятия, чтобы его не приходилось изменять в случае реорганизации. Так, следую­ щие типы структуры верхнего уровня основаны на постоянных характеристиках пред­ приятия, изменение которых маловероятно. в

Физические участки. В филиалах, физически расположенных в разных местах (осо­ бенно, когда компания действует на обширной территории, например в нескольких странах), часто имеются свои ИТ-отделы, поэтому у филиалов разные требования к администрированию. Создание отдельного OU верхнего уровня для каждого фи­ лиала — один из вариантов архитектуры, основанной на задачах; в зависимости от местонахождения определяются разные административные задачи (рис. 4-3).

Занетие 1

Проектирование структуры организационных единиц

Встроенный (Builtin)

Компьютеры (Computers)

Контроллеры домена (Domain Controllers)

Пользователи (Users) Группа

Доступ

Объекты

Domain Admins

Полный

Все

Учетные записи администраторов (Admin Accounts)

User Admins

Полный

Пользователи

Группы (Groups)

Group Admins

Полный

Группы

Учетные записи (Accounts)

•**>*

Рис. 4-2. •

•

Учетные записи пользователей (User Accounts) "*~™

СЛОЖНЫЙ набор разрешений для сравнительно простой структуры OU

Типы административных задач. Структура верхнего уровня, основанная на адми­ нистративных задачах, относительно постоянна. Какие бы реорганизации не про­ исходили в компании, основные типы административных задач вряд ли сильно изменятся. Типы объектов. Как и структура, основанная на задачах, структура, в которой OU верхнего уровня соответствуют типам объектов, обеспечивает устойчивость архи­ тектуры к изменениям.

Каждый из приведенных выше вариантов структуры OU верхнего уровня лучше, чем, например, OU, основанные на структуре отделов компании, вероятность измене­ ния которой гораздо выше. При планировании структуры OU верхнего уровня для среды с несколькими доме­ нами, есть смысл подумать о создании структуры верхнего уровня, которая будет одной и той же для каждого домена сети. В этом случае особенно эффективна архитектура, основанная на объектах или на задачах (об этих архитектурах рассказывается далее). Создание структуры OU, одинаковой для различных доменов, позволяет реализовать единый подход к администрированию и поддержке сети. OU нижних уровней (создаваемые в OU верхнего уровня) должны использоваться для более тонкого управления административными полномочиями или в других целях, например для применения групповой политики. Запомните: по умолчанию OU нижних уровней наследуют разрешения от родительских OU. При планировании архитектуры вы должны определить и то, когда наследуются разрешения и когда они не наследуются.

Проектирование административной структуры защить

Глава 4

/ / /

L

\ Домен

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users)

~ ^$>, Даллас • ^f>

Мемфис

* <>,.

Портленд

Рис. 4-3. Структура OU верхнего уровня, в которой административные задачи основаны на физических участках При проектировании OU нижних уровней легко переусердствовать. Помните: ваша основная задача — получить структуру, максимально облегчающую администрирова­ ние учетных записей и ресурсов. Поэтому ваша архитектура должна быть как можно проще. Если вы создадите слишком глубоко вложенную структуру OU, то не только будете иметь дело с более запутанной структурой, но и можете столкнуться со сниже­ нием производительности. Групповая политика может применяться к OU на разных уровнях — на уровне домена, сайта и каждого из родительских OU. Чем больше поли­ тик нужно применить, тем больше время ответа и тем ниже производительность. Подготовка к экзамену И в случае архитектуры, основанной на объектах, и в случае архитектуры, основанной на задачах, следует сначала создать структуру OU, позволя­ ющую делегировать административные полномочия. Закончив начальную стадию про­ ектирования OU, создайте дополнительные структуры OU, управляющие применени­ ем групповой политики к пользователям и компьютерам и ограничивающие видимость объектов.

Применение 0U для ограничения видимости объектов В некоторых организациях определенные объекты должны быть скрыты от определен­ ных администраторов или пользователей. Даже если вы запретите изменение атрибутов объекта, пользователи, имеющие доступ к контейнеру с таким объектом, все равно смо­ гут видеть, существует ли этот объект. Однако вы можете скрыть объекты, поместив их в OU и ограничив круг пользователей, которые имеют разрешение Список содержи­ мого (List Contents) для этой OU. Тогда объекты, помещенные в контейнер, будут неви-

Проектирование структуры организационных еданиц

Занятие 1

-j gy

:нмы пользователям, не имеющим этого разрешения. Пример такой архитектуры при­ веден на рис. 4-4.

Л Домен ; Domain)

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Даллас --i„<> j

Мемфис Портленд Пользователи (Users)

< ^Sjj Скрытые (Hidden) Рис. 4-4. OU позволяют скрывать объекты Хотя необходимость ограничить видимость объектов — менее важная проблема, чем создание качественной административной структуры, может оказаться, что из-за поли­ тических или юридических требований или по соображениям безопасности нужно скры­ вать объекты. Лучший способ это сделать — сначала сосредоточиться на создании каче­ ственной структуры OU, основанной на предоставлении административных полномо­ чий. Поместите объекты в OU, в которых они должны находиться в соответствии с этой структурой. После этого создайте новые OU, которые будут служить для скрытия объек­ тов, входящих в новую структуру.

Применение OU для управления групповой политикой О планировании групповой политики подробнее будет рассказано на занятии 3. Тем не менее, в этом разделе вы познакомитесь с третьей веской причиной использова­ ния OU — управлением групповой политикой. Групповая политика позволяет применять одни и те же параметры конфигурации сразу к нескольким объектам. С ее помощью можно определять параметры пользовате­ лей (например ограничения, налагаемые на пароли) или компьютеров. При использова­ нии групповой политики вы создаете объект групповой политики (Group Policy Object,

108

Проектирование административной структуры защиты

Глава 4

GPO) — объект, содержащий параметры конфигурации, которые вам нужно приме­ нить. Создав GPO, вы связываете его с доменом, сайтом или OU. Если вы применяете GPO на уровне сайта или домена, он влияет на большее коли­ чество объектов, чем на уровне OU. Однако при этом у вас меньше возможностей по управлению каждым объектом индивидуально. Объекты, к которым применяются па­ раметры, заданные в GPO, можно фильтровать, но фильтрация может привести к из­ лишнему усложнению, поэтому ее следует использовать только в определенных случа­ ях, но не в качестве общепринятого подхода. Гораздо лучше с самого начала продумать, как эффективнее применять GPO. Свя­ зывание GPO с OU как раз и дает такую схему применения. Создавая GPO для OU, вы управляете применением групповой политики гораздо эффективнее, поскольку отпа­ дает необходимость в фильтрации параметров групповой политики. Однако необходимо тщательное планирование. Создание GPO для OU означает, что придется управлять большим числом GPO. Возможны конфликты между GPO, посколь­ ку OU бывают вложенными, а групповая политика наследуется от родительских OU; таким образом, к объекту в зависимости от места, которое он занимает в иерархии OU, могут применяться несколько GPO. После того как вы создали структуру OU, управляющую делегированием админи­ стративных полномочий в домене, в этой структуре можно создать дополнительные OU, управляющие применением групповой политики. Например, если верхний уро­ вень вашей структуры OU основан на объектах и вы создали OU, содержащую учетные записи пользователей, можно разделить этот OU на несколько OU более низкого уров­ ня для пользователей, к которым применяются другие параметры групповой политики. Проектируя структуру OU, управляющую применением групповой политики, старай­ тесь соблюдать следующие принципы. • Планируйте структуру OU так, чтобы использовать как можно меньше GPO. Чем больше GPO связано с каким-либо объектом, тем больше времени потребуется пользователям, чтобы войти в сеть. • Создавайте OU верхнего уровня, основанные на объектах или задачах, а затем со­ здавайте OU более низких уровней, управляющие групповой политикой. • Создавайте дополнительные OU, чтобы обойтись без фильтрации для изъятия груп­ пы пользователей из OU, связанной с GPO.

Контейнеры и OU по умолчанию При установке Active Directory создается несколько контейнеров и OU, используемых по умолчанию. • Контейнер Домен (Domain). Корневой контейнер в иерархии Active Directory. Ад­ министративные разрешения, применяемые к этому контейнеру, могут влиять на дочерние контейнеры и объекты всего домена. Не делегируйте полномочия на уп­ равление этим контейнером — им должны управлять администраторы служб. • Контейнер Встроенный (Built-in). Содержит учетные записи администраторов служб, используемые по умолчанию. • Контейнер Пользователи (Users). Применяемое по умолчанию хранилище учетных записей новых пользователей и групп, создаваемых в домене. Также не следует изменять разрешения на доступ к этому контейнеру, действующие по умолчанию. Если требуется делегировать управление определенными пользователями, создайте новые OU и перенесите в них объекты пользователей. Кроме того, с контейнером

Занятие 1

Проектирование структуры организационных единиц

Пользователи (Users) нельзя связать GPO. Чтобы применить групповую политику к пользователям, вы также должны создать OU и перенести в них пользователей. • Контейнер Компьютеры (Computers). Применяемое по умолчанию хранилище но­ вых учетных записей компьютеров, создаваемых в домене. Как и в случае контей­ нера Пользователи (Users), чтобы назначить разрешения или GPO компьютерам, следует создать OU. • OU Контроллеры домена (Domain Controllers). Здесь по умолчанию хранятся учет­ ные записи компьютеров — контроллеров домена. К этому OU по умолчанию при­ меняется ряд политик. Чтобы обеспечить единообразие применения этих политик ко всем контроллерам домена, рекомендуется не переносить объекты-компьютеры, являющиеся контроллерами домена, из этого OU. По умолчанию этим OU управля­ ют администраторы служб. Не делегируйте управление этим OU пользователям, которые не являются администраторами служб. Используемые по умолчанию контейнеры управляются администраторами служб, и рекомендуется оставить управление ими в руках этих администраторов. Если вам нужно делегировать управление объектами, содержащимися в каталоге, создайте новые OU и перенесите объекты в эти OU. Делегируйте управление этими OU соответствующим ад­ министраторам. Это позволит делегировать управление объектами в каталоге, не изме­ няя настройки по умолчанию, задающие, что управление осуществляют администрато­ ры служб.

Планирование наследования Каждый OU по умолчанию наследует разрешения, заданные для родительского OU. Ана­ логично объекты, содержащиеся в OU, наследуют разрешения, заданные для этого OU (и для каждого из его родителей). Наследование — эффективный способ предоставить или делегировать разрешения на доступ к объектам. Преимущество наследования в том, что администратор может управлять разрешениями на доступ ко всем объектам в OU, задавая разрешения для самого OU, а не конфигурируя все дочерние объекты по отдель­ ности. По сути, администратор может задавать разрешения на доступ к самому объекту, к объекту и его потомкам, только к потомкам или только к потомкам определенных ти­ пов (например к компьютерам и пользователям). При создании структуры OU следует в полной мере применять наследование. Логи­ чески упорядочивайте OU так, чтобы получить простую структуру, в которой механизм наследования выполняет за вас большую часть работы. Но бывают ситуации, где наследование препятствует решению нужных задач. Вам может потребоваться, чтобы некоторые разрешения на доступ к объекту переопределяли разрешения, наследуемые объектом от родителей. В таком случае заблокируйте наследо­ вание разрешений, применяемых к родительской OU, чтобы они не распространялись на дочернюю OU.

Стандартные модели структуры 0U Создание структуры OU может оказаться сложной задачей. К счастью, есть несколько стандартных моделей, которые можно взять за основу для своего проекта. Каждая мо­ дель описывает категории OU и отношения, связывающие OU друг с другом. Существует пять базовых моделей структуры OU: • на основе местонахождения; • на основе структуры организации;

11Q

Проектирование административной структуры защиты

Глава 4

на основе функций; смешанная — сначала по местонахождению, а затем по структуре организации; смешанная — сначала по структуре организации, а затем по местонахождению. Примечание Модели OU, описанные в этом разделе, подходят для большинства слу­ чаев и, вероятно, вы столкнетесь с ними на экзамене. Однако вы, конечно, не обяза­ ны использовать при проектировании структуры OU только эти модели. См. Microsoft Windows Server 2003 Deployment Kit, входящий в набор Microsoft Resource Kit (Micro­ soft Press, 2003), и статьи по развертыванию Active Directory no ссылке http://www.micwsoft. com/technet.

Модель на основе местонахождения В модели OU на основе местонахождения (рис. 4-5) административные полномочия рас­ пределены между несколькими филиалами, расположенными в разных местах. Эта мо­ дель полезна, когда у каждого филиала свои требования к администрированию, отлич­ ные от требований других филиалов.

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Даллас Мемфис JS2L KLf

Учетные записи пользователей Учетные записи компьютеров

Рис. 4-5. В модели OU на основе местонахождения административные полномочия поделены по территориальному признаку

•

Модель на основе местонахождения дает ряд преимуществ, в том числе: OU устойчивы к изменениям. Структура ресурсов или отделов компании может измениться, а географическая структура, как правило, более постоянна;

Занятие 1

Проектирование структуры организационных единиц

-J -J ^

• для центрального ИТ-отдела не составляет труда реализовать общедоменные поли­ тики; • легче определить, где находятся ресурсы; • проще создать новые OU при расширении компании или ее слиянии с другой компа­ нией. Но у этой модели есть и недостатки, в частности: • структура основана на географическом местонахождении, следовательно, предпола­ гается, что в каждом филиале имеются администраторы сетей; • архитектура не соответствует бизнес-структуре или административной структуре. Примечание Назначение объектов групповой политики сайтам (обычно выполняемое по территориальному признаку) обеспечивает во многом такие же преимущества, что и модель OU на основе местонахождения, но лишено ее недостатков. Подробнее о проек­ тировании сайтов — в главе 5.

Модель на основе структуры организации В модели OU на основе структуры организации (рис. 4-6) административные полномо­ чия распределены между отделами или бизнес-подразделениями, в каждом из которых имеется собственный администратор. Эта модель полезна, когда у компании есть четкая структура отделов.

А А

/ / /

\ Домен (Domain;

\ \ Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Отдел исследований и разработок Отдел маркетинга

Отдел продаж Рис. 4-6. В модели OU на основе структуры организации административные полномочия поделены между отделами или бизнес-подразделениями

112

Проектирование административной структуры защиты

Глава 4

Модель на основе структуры организации дает ряд преимуществ, в том числе: обеспечивает определенный уровень автономии для каждого отдела или бизнес-под­ разделения; • поддерживает слияния и расширения; а удобна администраторам, поскольку понятна любому сотруднику компании. Однако у модели на основе структуры организации есть серьезный недостаток. Эта структура уязвима при реорганизациях. Из-за изменений в структуре отделов может потребоваться изменение верхнего уровня структуры OU. •

Модель на основе функций В модели OU на основе функций (рис. 4-7) административный персонал децентрализо­ ван и использует модель управления, основанную на бизнес-функциях, существую­ щих в организации. Это идеальный выбор для малых компаний, в которых ряд бизнесфункций выполняется несколькими отделами одновременно.

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Проектирование __ Снабжение *y>j ^JSILI

Исследования

Транспортировка

Рис. 4-7. В модели OU на основе функций административные полномочия поделены в соответствии с бизнес-функциями Значительное преимущество модели на основе функций — ее относительная устой­ чивость к реорганизациям. Но у этой модели тоже есть существенный изъян. Скорее всего она потребует создать дополнительные уровни OU, чтобы делегировать административное управление пользо­ вателями, компьютерами, принтерами и сетевыми каталогами.

Проектирование структуры организационных единиц

Занятие 1

"ИЗ

Смешанная модель — сначала по местонахождению, затем по структуре организации В этой модели (рис. 4-8) сначала создаются OU верхнего уровня, представляющие гео­ графические участки, на которых находятся филиалы компании, а потом — OU более низкого уровня, представляющие структуру организации.

I . _ ,'- Встроенный (Builtin) 1 .._„_. —LllSL'

Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users)

Go,I Даллас >J

Мемфис Отдел продаж j

Отдел маркетинга

Рис. 4-8. Смешанная модель OU — сначала по местонахождению, затем по структуре организации Эта модель обладает двумя преимуществами: поддерживает дальнейший рост числа подразделений и отделов; позволяет создавать различные зоны безопасности. Но у данной смешанной модели есть и некоторые недостатки: • при реорганизации административного персонала скорее всего придется пересмо­ треть структуру; • необходимо взаимодействие между администраторами, работающими в разных отде­ лах одного филиала.

• •

114

Проектирование административной структуры защиты

Глава 4

Смешанная модель — сначала по структуре организации, затем по местонахождению В этой модели (рис. 4-9) сначала создаются OU верхнего уровня, представляющие орга­ низационную структуру компании, а потом — OU более низкого уровня, представляю­ щие территориальные участки.

/ / Домен .'Domain)

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Отдел исследований и разработок Отдел маркетинга Сан-Франциско 5У

Форт-Уорт

Рис. 4-9. Смешанная модель OU — сначала по структуре организации, затем по местонахождению У этой модели одно существенное преимущество: она позволяет обеспечить надеж­ ную защиту на уровне отделов и подразделений и в то же время делегировать админи­ стративные полномочия в зависимости от местонахождения. Но у нее, как и у модели на основе структуры организации, есть недостаток — уязви­ мость к реорганизациям.

Лабораторная работа. Проектирование структуры OU На этой лабораторной работе вы создадите структуру OU для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попы­ тайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Занятое 1

Проектирование структуры организационных единиц

115

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих воз­ можности в передаче данных. Сейчас Northwind Traders использует основную модель юменов Microsoft Windows NT 4.0 (master domain model). В последние годы компания значительно расширилась и ожидает дальнейшего существенного роста в следующие три года, в том числе увеличения своей доли рынка, доходов и численности сотрудников. Помимо открытия двух новых офисов, администрация решила реализовать новый про­ ект Windows Server 2003 Active Directory, отвечающий текущим и будущим потребно­ стям компании. В следующей таблице перечислены территории, отделы на каждой территории и ко­ личество пользователей. Территория

Отделы

Число пользователей

Париж

Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

2000

Лос-Анджелес

Продажи Маркетинг Финансы ИТ

1000

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

750

Етазго, Шотландия

Исследования Разработка Долгосрочные проекты ИТ

750

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500

Для совместимости с предыдущей структурой доменов у сотрудников некоторых от­ делов имеются учетные записи в удаленных доменах. В следующей таблице приведена информация о том, в каких доменах содержатся учетные записи таких сотрудников. Пользователи

Учетные записи пользователей в домене

Все сотрудники отделов продаж и маркетинга

NAwest

Все сотрудники производственных отделов

AsiaPacific

Все сотрудники исследовательских отделов и отделов разработки (R&D)

Glasgow

Все сотрудники финансовых отделов

Corp

•j -j g

Проектирование административной струетуры защиты

Глава 4

Компания Northwind Traders уже выбрала структуру лесов и доменов, показанную на следующей схеме. RDNwtraders.local

NWtraders.local

Л Glasgow Asia Pacific

NAeast

Лес R&D

NAwest

Corp

Лес NWTraders

Вопросы к лабораторной работе Исходя из приведенной выше структуры лесов и доменов создайте структуру OU для компании Northwind Traders. Для описания структуры воспользуйтесь следующей таб­ лицей. Домен

Организационные единицы

nwtraders. local Corp.nwtraders.local NAwest.nwtraders.local NAeast.nwtraders.local Glasgow. RDNwtraders .local AsiaPacific. nwtrade rs. local

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. По каким трем причинам следует создавать OU? Какая из этих трех причин влияет на проект OU в целом? 2. Чем отличается структура OU на основе объектов от структуры OU на основе задач? 3. Вы планируете структуру каталога. Одно из требований — возможность делегировать управление пользователями, назначая групповую политику. Что вы должны сделать? 4. Каковы преимущества модели OU на основе местонахождения? В чем ее недостатки?

Резюме •

•

Создавайте структуру OU, облегчающую делегирование управления администрато­ рам, а также поиск ресурсов и учетных записей. Можно создать административную структуру, основанную на объектах или на задачах. OU создаются для того, чтобы делегировать административное управление, ограни­ чить видимость объектов и управлять применением групповой политики. Сначала

Занятие 2

Планирование стратегии управления учетными записями

сосредоточьте усилия на делегировании административных полномочий, затем до­ бейтесь, чтобы структура соответствовала другим требованиям. • Создавайте OU верхнего уровня так, чтобы они отражали сравнительно неизменную сторону деятельности предприятия, например территориальную структуру, админи­ стративные задачи или объекты, а затем используйте OU более низкого уровня для более тонкого разграничения административных полномочий. • Наследование позволяет передавать разрешения между уровнями структуры. Бло­ кируйте наследование, если вам нужно переопределить разрешения, наследуемые от родителя.

Занятие 2. Планирование стратегии управления учетными записями После проектирования структуры OU следующий шаг в создании административного плана — выработка стратегии управления учетными записями. На этом занятии вы узна­ ете, как планировать учетные записи пользователей, компьютеров и групп. Изучив материал этого занятия, вы сможете:

•S рассказать о типах учетных записей, доступных в Active Directory; •S определить стратегию управления учетными записями пользователей; •/ выработать стратегию реализации групп. Продолжительность занятия - около 25 минут.

Типы учетных записей Учетная запись в Active Directory — это список атрибутов, определяющих участника системы безопасности (security principal), например пользователя или группу пользова­ телей. В Active Directory можно создать пять типов учетных записей, перечисленных ниже. В этой главе в основном рассматриваются учетные записи компьютеров, пользо­ вателей и групп. в Компьютер. Всякий раз, когда в домен добавляется компьютер под управлением Microsoft Windows NT, Windows 2000, Windows XP или Windows Server 2003, для него создается учетная запись компьютера. Учетные записи компьютеров служат для аутен­ тификации компьютеров, которые обращаются к сети и ресурсам домена. • Пользователь. Учетная запись пользователя — это набор атрибутов для пользовате­ ля. Объект-пользователь хранится в Active Directory и позволяет пользователю вхо­ дить в сеть. Пользователь должен указать удостоверения (имя и пароль) только один раз, затем ему предоставляются соответствующие разрешения на доступ к сетевым ресурсам. • Группа. Это набор пользователей, компьютеров или других групп, для которого мож­ но задать разрешения. Задавая разрешения группам и добавляя члены в эти группы, можно сэкономить время, поскольку не приходится назначать разрешения каждому отдельно взятому члену группы.

•j •$ g

Проектирование адаинистративной структуры защиты

Глава 4

•

InetOrgPerson. Учетная запись InetOrgPerson работает во многом аналогично учет­ ной записи пользователя за исключением того, что учетные записи InetOrgPerson совместимы с другими службами каталогов, основанными на LDAP (Lightweight Directory Access Protocol). Это обеспечивает совместимость между Active Directory и другими системами. • Контакт. Объект, который хранится в Active Directory, но для которого не задаются разрешения. То есть контакт нельзя использовать для входа в сеть или доступа к ре­ сурсам. Часто контакты связывают с пользователями, работающими вне сети, кото­ рым отправляет сообщения почтовая система.

Планирование учетных записей компьютеров Учетные записи компьютеров позволяют применять к компьютерам, входящим в до­ мен, во многом такие же средства защиты, как и для пользователей. Эти учетные запи­ си дают возможность выполнять аутентификацию компьютеров — членов домена про­ зрачным для пользователей образом, добавлять серверы приложений как рядовые сер­ веры (member servers) в доверяемые домены и запрашивать аутентификацию пользова­ телей или служб, которые обращаются к этим серверам ресурсов. Так как разрешается помещать учетные записи компьютеров в OU и назначать им групповую политику, вы можете управлять тем, как выполняется аутентификация и обеспечивается защита компьютеров различных типов. Например, для компьютеров, установленных в общедоступном информационном киоске, действуют другие требова­ ния безопасности, чем для рабочих станций, установленных в управляемой среде с огра­ ниченным доступом. Всякий раз, когда в домен добавляется новый компьютер, создается новая учетная запись компьютера. Таким образом, еще одна составляющая стратегии управления учет­ ными записями — определение пользователей, которые вправе добавлять компьютеры в домен, создавая их учетные записи. Кроме того, необходимо продумать соглашение об именовании компьютеров. Хо­ рошее соглашение должно позволять без труда идентифицировать компьютер по вла­ дельцу, местонахождению, типу или любой комбинации этих данных. Например, имя DAL-SVR1, присвоенное серверу, расположенному в Далласе, идентифицирует место­ нахождение и тип компьютера. Имя BPOTTER1, которое присвоено серверу, принад­ лежащему Барри Поттеру (Barry Potter), идентифицирует основного пользователя это­ го компьютера.

Планирование учетных записей пользователей Учетные записи пользователей позволяют идентифицировать пользователей, входящих в сеть, задавать, к каким ресурсам они вправе обращаться, и указывать всевозможную информацию о пользователях. Администраторы — тоже пользователи, но с более широ­ кими правами доступа к ресурсам, связанным с управлением сетью. Группы служат для того, чтобы формировать наборы пользователей, для которых нужно задать одни и те же требования к безопасности или права доступа. Учетные записи пользователей предоставляют пользователям возможность входить в домен или на локальный компьютер и обращаться к ресурсам. Объекты учетных записей пользователей содержат информацию о пользователях и связывают с ними определенные привилегии или ограничения. Каждый объект Active Directory связан со

Занятие 2

Планирование стратегии управлений учетными записями

списком управления доступом (Access Control List, ACL), который представляет собой список разрешений на доступ к объекту, заданных для пользователей и групп.

Типы учетных записей пользователей В Windows Server 2003 существует два основных типа учетных записей пользователей. • Локальные учетные записи пользователей. Создаются в базе данных защиты локаль­ ного компьютера и управляют доступом к ресурсам этого компьютера. Локальные учетные записи пользователей предназначены для управления доступом к изолиро­ ванным компьютерам или к компьютерам, входящим в рабочую группу. Когда вы только что установили операционную систему на сервер, используются локальные учетные записи, управление которыми осуществляется через консоль Управление компьютером (Computer Management) в узле Локальные пользователи и группы (Local Users and Groups). Если вы сделаете сервер контроллером домена, инструмент Управ­ ление компьютером запретит доступ к этому узлу, и вместо него будет использовать­ ся инструмент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) (учетные записи пользователей на контроллерах домена хранятся в Active Directory). • Доменные учетные записи пользователей. Создаются в Active Directory и дают воз­ можность пользователям входить в домен и обращаться к любым ресурсам сети. Вы можете создать доменную учетную запись пользователя с помощью Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Такие учетные записи пользователей реплицируются на все контроллеры в домене, поэтому после репликации любой контроллер домена сможет аутентифицировать пользователя.

Встроенные учетные записи пользователей Windows автоматически создает несколько учетных записей пользователей, называе­ мых встроенными. И на локальных компьютерах, и в доменах создается две ключевых учетных записи: Администратор (Administrator) и Гость (Guest). Учетная запись Администратор обладает наибольшими возможностями, поскольку она автоматически включается в группу Администраторы (Administrators). Члены этой группы имеют высший уровень прав по управлению компьютером, им предоставляются почти все пользовательские права. Учетная запись Администратор уровня домена дает максимум возможностей по управлению доменом в целом; по умолчанию она включа­ ется в группу Администраторы домена (Domain Admins) [а администратор корневого домена леса, кроме того, входит в группы Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins)]. Учетную запись Администратор нельзя удалить, но ее можно переименовать (и это следует сделать для большей безо­ пасности). Также следует задать для этой учетной записи непустой пароль и не переда­ вать его другим пользователям. Учетная запись Гость (Guest) — еще одна базовая встроенная учетная запись пользо­ вателя. Она предназначена для того, чтобы администратор мог задать единый набор раз­ решений для любых пользователей, которые иногда входят в сеть, но не имеют обычной учетной записи. Учетная запись Гость позволяет это сделать, так как автоматически включается в локальную группу Гости (Guests). В среде, где есть домен, эта учетная запись также включается в группу Гости домена (Domain Guests). По умолчанию учет­ ная запись Гость отключена. И действительно, ее следует использовать только в сетях,

120

Проектирование административной структуры защиты

Глава 4

не требующих особой защиты. Эту учетную запись нельзя удалить, но можно отключить и/или переименовать.

Именование учетных записей пользователей Тщательное планирование схемы именовании учетных записей пользователей позволяет стандартизировать идентификацию пользователей домена. Единое соглашение также облегчает распознавание и запоминание имен пользователей. Есть несколько правил, которые нужно соблюдать при планировании стратегии име­ нования пользователей. • У каждого пользователя должно быть имя для входа (логин), уникальное в домене. Полное имя пользователя также должно быть уникальным в OU, в которой хранится его учетная запись. • Имена пользователей для входа могут содержать более 20 символов, но для совмести­ мости с ОС, предшествовавшими Windows 2000, следует ограничить длину 20 симво­ лами. Имена пользователей для входа нечувствительны к регистру букв. В ОС, пред­ шествовавших Windows 2000, имена пользователей не должны были содержать сле­ дующие символы: " / \ [ ] : ; | = , + * ? < >. • Какое соглашение вы бы ни выбрали, оно должно быть достаточно гибким, чтобы учитывать ситуацию, когда у двух пользователей получаются одинаковые имена для входа. Например, если в вашем соглашении имя для входа формируется по фами­ лии и первой букве имени пользователя и есть два пользователя, у которых в этом случае оказываются одинаковые имена для входа, может потребоваться добавить в имя для входа первую букву отчества или даже вторую букву имени. • Принимайте во внимание совместимость с другими приложениями. В некоторых приложениях вроде систем электронной почты в именах пользователей недопусти­ мы некоторые другие символы или установлены иные ограничения на длину. Существует много разных соглашений, применимых при создании имен, и у каждого администратора или проектировщика сети есть свои предпочтения. Однако хорошее со­ глашение об именовании должно быть таким, чтобы имена для входа легко запомина­ лись и чтобы можно было различать сотрудников с похожими именами.

Планирование политики управления паролями Пароли — один из наиболее важных аспектов сетевой безопасности, поэтому полити­ ку определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, про­ веряющее сложность пароля учетной записи Администратор (Administrator). Если па­ роль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно. Оставив пароль пустым, вы не сможете обращаться к учет­ ной записи через сеть. Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планиро­ вании политики управления паролями следует соблюдать ряд правил. • Задайте значение параметра политики, указывающее, что запоминаются как мини­ мум 24 последних пароля. Благодаря этому пользователи не смогут применять лишь несколько паролей, указывая один из них по истечении срока действия очередного пароля.

Занята© 2

Планирований стратегии управления учетными записями

•

Требуйте, чтобы пользователи меняли свои пароли через определенные периоды времени. Microsoft рекомендует ограничить срок использования одного пароля 42 днями, и в Windows Server 2003 это ограничение действует по умолчанию. Благодаря этому человек, который узнал пароль, не сможет получить доступ в сеть, после того как срок действия пароля истечет. Администраторы должны менять свои пароли чаще, чем обычные пользователи. • Заданный пароль должен сохраняться определенное число дней, чтобы пользовате­ ли не могли быстро менять пароли до тех пор, пока не подберут пароль, который им по вкусу. Microsoft рекомендует хранить пароль минимум один день. • Пароли должны быть длиной не менее семи символов. Длинные пароли сложнее взломать, чем короткие. • Пароли должны быть сложными. Они должны состоять из строчных и прописных букв, цифр и других символов.

Выработка стратегии аутентификации Важно, чтобы контроллеры домена могли проверять идентификацию пользователя или компьютера, прежде чем предоставить соответствующий доступ к системным и сетевым ресурсам. Эта проверка называется аутентификацией и выполняется всякий раз, когда пользователь входит в сеть. При выработке стратегии аутентификации примите следующие меры. • Создайте политику блокировки учетных записей. Политика блокировки учетных за­ писей отключает учетную запись пользователя, если число неудачных попыток входа достигло определенного значения. Это не позволяет проводить так называемые сло­ варные атаки, при которых программа автоматически проверяет один пароль за дру­ гим. Однако политика блокировки учетных записей должна допускать хотя бы не­ сколько попыток входа, чтобы не блокировать легальных пользователей, у которых возникли проблемы с запоминанием или вводом сложных паролей. Пользователям следует предоставить минимум пять попыток ввода пароля. Кроме того, нужно за­ дать период, в течение которого блокируется учетная запись, и время, по истечении которого после неудачной попытки входа счетчик попыток сбрасывается. • Ограничьте время, в которое разрешен вход, чтобы сотрудники могли использовать компьютеры только в рабочее время. Эту политику следует применять как при инте­ рактивном входе (когда пользователь работает за компьютером), так и при входе че­ рез сеть. Задание времени, когда разрешен вход, особенно полезно, когда компью­ теры доступны большому количеству сотрудников, и при работе в несколько смен. Ограничение времени, в которое разрешен вход, может быть необходимо для полу­ чения некоторых правительственных сертификатов безопасности. • Создайте политику истечения срока действия билетов (tickets). Когда пользователь входит в сеть, клиентскому компьютеру назначается билет, используемый им для аутентификации при доступе к сетевым ресурсам. Срок действия билета должен быть достаточно длительным, чтобы пользователи не испытывали неудобств, но достаточ­ но коротким, чтобы злоумышленники не успели получить доступ к билету и извлечь хранящиеся в нем удостоверения. В параметре GPO домена по умолчанию (Default Domain GPO) задан срок действия билета 10 часов, отлично подходящий для боль­ шинства сетей. Уменьшение срока действия повышает безопасность, но увеличива­ ет сетевой трафик из-за выдачи дополнительных билетов.

122

Проектирование административной отрусгуры защиты

Глава 4

•

Требуйте, чтобы администраторы входили в свои системы как обычные пользовате­ ли. Администраторы должны входить под учетными записями обычных пользовате­ лей и выполнять административные операции с помощью команды Запуск от имени (Run As). На контроллеры домена или другие серверы администраторы должны вхо­ дить по учетным записям администраторов. Также ограничьте число пользователей, входящих в группу Администраторы (Administrators). Вместо этого делегируйте ад­ министративные полномочия учетным записям администраторов с помощью OU. * Переименуйте и отключите встроенные учетные записи Администратор (Admi­ nistrator) и Гость (Guest). Поскольку это общеизвестные учетные записи, их часто атакуют злоумышленники.

Планирование групп Группы упрощают предоставление разрешений пользователям. Например, назначить разрешения группе и добавить пользователей в эту группу гораздо проще, чем по отдель­ ности назначать разрешения многочисленным пользователям и управлять этими разре­ шениями. Когда пользователи входят в группу, для изменения того или иного разреше­ ния всех этих пользователей достаточно одной операции. Как и в случае учетных записей пользователей, группы бывают локальные и уровня домена. Локальные группы хранятся в базе данных защиты локального компьютера и предназначены для управления доступом к ресурсам этого компьютера. Группы уровня домена хранятся в Active Directory и позволяют помещать в них пользователей и управ­ лять доступом к ресурсам домена и его контроллеров. В этой главе рассматриваются до­ менные группы.

Типы групп При создании группы в Windows Server 2003 необходимо указать ее тип и предполагае­ мую область действия. В Windows два типа групп. • Группы безопасности (security groups). Служат для объединения пользователей до­ мена в одну административную единицу. Группам безопасности можно назначать разрешения; кроме того, их можно использовать как списки распространения элект­ ронной почты. Пользователи, помещаемые в эту группу, наследуют разрешения груп­ пы в течение всего времени, пока они остаются ее членами. Сама Windows исполь­ зует только группы безопасности. • Группы распространения (distribution groups). Используются программным обеспе­ чением, отличным от Windows, в целях, не связанных с защитой. Одно из их основ­ ных применений — использование сервером электронной почты в качестве списков рассылки. Группам распространения нельзя назначать разрешения.

Области действия групп Области действия групп задают, в какой части леса Active Directory доступна данная группа и какие объекты в нее можно поместить. В Windows Server 2003 группы в зави­ симости от области действия делятся на три типа: глобальные, локальные в домене и универсальные. • Глобальные группы объединяют пользователей, которым требуется предоставить оди­ наковые разрешения. Глобальные группы имеют следующие характеристики: а могут содержать учетные записи пользователей и компьютеров только того до­ мена, в котором создана эта группа;

Занятие 2 •

а

Планирование стратегии управления учетными записями

когда функциональный уровень домена установлен как основной режим Windows 2000 или Windows Server 2003 (т. е. домен содержит только серверы Windows 2000 или 2003), глобальные группы могут, кроме того, включать другие глобальные группы локального домена; глобальным группам можно назначать разрешения или добавлять в локальные группы любого домена в данном лесу.

•

Локальные группы домена существуют на контроллерах домена и используются для управления доступом к ресурсам, содержащимся на контроллерах локального доме­ на (для рядовых серверов и рабочих станций вместо локальных групп домена ис­ пользуются локальные группы на этих компьютерах). Локальные группы домена имеют следующие характеристики: а в любом режиме работы домена локальные группы домена могут включать пользо­ вателей и глобальные группы из любого домена леса; • когда домен работает в основном режиме Windows 2000 или Windows Server 2003, локальные группы домена могут также включать другие локальные группы до­ мена и универсальные группы.

•

Универсальные группы обычно служат для назначения разрешений на доступ к соот­ ветствующим ресурсам нескольких доменов. Универсальные группы имеют следую­ щие характеристики: а доступны, только когда режимом работы леса является основной режим Windows 2000 или Windows Server 2003; • существуют вне границ доменов и управляются серверами глобального каталога; • служат для назначения разрешений на доступ к соответствующим ресурсам не­ скольких доменов; • могут включать пользователей, глобальные группы и другие универсальные группы любого домена леса; • универсальной группе можно предоставить разрешение на доступ к любому ре­ сурсу любого домена.

В табл. 4-1 перечислено, какие элементы могут содержать группы с разными обла­ стями действия в доменах, работающих в смешанном или основном режиме. Табл. 4-1.

Области действия групп и их функциональность

Область

Элементы, которые группа может содержать, когда домен работает в основном режиме Windows 2000 или Windows Server 2003

Элементы, которые группа может содержать, когда домен работает в режиме более низкого уровня

Глобальная (G)

Учетные записи пользователей и гло­ бальные группы локального домена

Пользователи и компьютеры того же домена

Локальная в домене (DL)

Учетные записи пользователей, универсальные группы и глобальные группы любого домена; локальные группы того же домена

Пользователи и компьютеры любого домена

Универсальная (U) Учетные записи пользователей, универсальные и глобальные группы любого домена

В доменах, работающих на более низких функциональных уровнях, нельзя создавать универсальные группы

124

Проектирование административной структуры защиты

Глава 4

Вложение групп Active Directory позволяет вкладывать группы (т. е. помещать одни группы в другие). Вложение групп — эффективный способ упорядочения пользователей. Например, в че­ тырех филиалах у вас есть администраторы низшего звена (рис. 4-10). Тогда можно со­ здать отдельную группу для каждого филиала (с именем типа Dallas Junior Admins). За­ тем создать общую группу Junior Admins и сделать группы «младших администраторов» каждого филиала членами обшей группы. Такой подход позволяет задать разрешения для одной группы и передать их членам этой группы, в то же время разделив админист­ раторов на группы в соответствии с филиалами. При вложении групп стремитесь к тому, чтобы уровень вложения был минималь­ ным. В сущности, лучше ограничиться одним уровнем вложения. Чем глубже вложе­ ние, тем сложнее поддерживать структуру разрешений.

Рис. 4-10. Пример вложения групп

Именование групп Как и в случае учетных записей пользователей, при именовании групп нужно следовать определенному соглашению. Продуманное соглашение об именовании дает возможность пользователям и администраторам тратить меньше сил на идентификацию и запомина­ ние групп, а также облегчает управление членством в группах. При разработке соглашения об именовании групп учтите, что: • имя каждой группы домена должно быть уникальным в этом домене; • имена групп могут содержать до 64 символов; • некоторые символы нельзя использовать в именах групп в операционных системах, предшествовавших Windows 2000. К недопустимым символам относятся: " / \ [ ] :; ] = , + *?<>; • имена групп нечувствительны к регистру букв, но Windows сохраняет их регистр.

Взаимодействие пользователей и групп Итак, вы ознакомились с доступными типами и областями действия групп и планирова­ нием учетных записей пользователей. Теперь пора посмотреть, какое место занимают пользователи и группы в стратегии управления учетными записями.

Занятие 2

.

Планирование стратегии управления учетными записями

-f 2 5

При использовании групп рекомендуется соблюдать следующие принципы. Избегайте выдачи разрешений учетным записям пользователей. Назначение разре­ шений группам позволяет получить более гибкую и простую в управлении структуру разрешений. Для этого нужно тщательно продумать структуру групп. • Создайте локальные группы домена, представляющие ресурсы контроллера домена, для которых вы хотите задать права доступа и то, как будут использоваться эти ресур­ сы. Назначьте соответствующие разрешения для ресурсов группы. Если ресурсы хра­ нятся на рядовом сервере или рабочей станции домена, используйте локальные груп­ пы вместо локальных групп домена. • Чтобы упорядочить пользователей, создавайте глобальные группы. Например, мож­ но создать группу Executives («высшее руководство»). • Помещайте глобальные группы в локальные группы домена. • Не включайте пользователей в универсальные группы. Помещайте их только в гло­ бальные группы. Это позволит избежать репликации объектов в глобальный каталог. Универсальные группы служат только для хранения глобальных групп с одинаковы­ ми требованиями. Конечно, никто не может заставить вас следовать этим рекомендациям, но на прак­ тике вы сами будете заинтересованы в их соблюдении. Понимание этих принципов про­ веряется на экзамене. Следующая последовательность операций вкратце описывает рекомендуемую стратегию управления группами безопасности. 1. Поместите учетные записи пользователей в глобальные группы. 2. Поместите глобальные группы в универсальные. 3. Поместите универсальные группы в локальные группы домена. 4. Назначьте разрешения локальным группам домена. •

Подготовка к экзамену Принципы использования групп, рекомендуемые Microsoft, мож­ но запомнить с помощью простого сокращения: AGUDLP. Учетные записи (accounts, A) помещают в глобальные группы (global groups, G), глобальные группы — в универсаль­ ные (universal groups, U), а те — в локальные группы домена (domain local groups, DL), которым назначают разрешения (permissions, P). Это сокращение можно запомнить с помощью фразы «All Good Users Do Love Permissions» («все хорошие пользователи обо­ жают разрешения»).

Лабораторная работа. Планирование стратегии управления учетными записями На этой лабораторной работе вы изучите требования, которые необходимо выполнить при планировании стратегии управления учетными записями. Вспомните компанию, в которой вы работаете (или работали раньше) и опишите, каковы в ней требования к стра­ тегии управления учетными записями. Чтобы мыслить в верном направлении, ответьте на следующие вопросы; ответы зависят от вашего опыта. 1. Какие соглашения об именовании применяются в вашей организации? 2. Какие требования к паролям действуют в вашей организации? 3. Какие стратегии управления группами используются в вашей сети?

Проектирование административной структуры защиты

Глава 4

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие пять типов учетных записей можно создать в Active Directory для Windows Server 2003? 2. Вы создаете политику управления паролями. Какие требования к паролям рекомен­ дуется ввести? 3. По какой стратегии рекомендуется помещать пользователей в группы безопасности?

Резюме • •

•

•

н

В Windows Server 2003 в Active Directory существует пять типов учетных записей: пользователь, компьютер, группа, контакт и InetOrgPerson. Учетные записи компьютеров позволяют компьютерам, входящим в домен, прохо­ дить аутентификацию прозрачным для пользователей образом. Следует выработать стратегию именования учетных записей компьютеров и определить, кто имеет пра­ во добавлять учетные записи компьютеров в Active Directory. Учетные записи пользователей идентифицируют пользователей и позволяют выпол­ нять их аутентификацию при доступе к сетевым ресурсам. Стратегия управления учетными записями пользователей должна включать в себя продуманное соглаше­ ние об именовании, политику управления паролями и политику аутентификации. Группы упрощают назначение разрешений, позволяя упорядочить пользователей. Область действия группы задает, в каких частях Active Directory доступна эта груп­ па и какие объекты могут стать ее членами. По области действия группы делятся на глобальные, универсальные и локальные группы домена. Включая пользователей в группы, помните, что учетные записи пользователей по­ мещают в глобальные группы, глобальные группы — в универсальные, а те — в локальные группы домена, которым и назначают разрешения.

Занятие 3. Планирование реализации групповой политики Групповая политика — мощное и эффективное средство, позволяющее задать парамет­ ры сразу для нескольких пользователей и компьютеров. Кроме того, групповая полити­ ка применяется для распространения и обновления ПО в организации. На этом занятии вы ознакомитесь с применением групповой политики в Windows Server 2003 и изучите стратегии создания эффективной структуры групповой политики. Изучив материал этого занятия, вы сможете:

•S описать, как работает групповая политика и дня чего она предназначена; •S рассказать о том, как комбинируются объекты групповой политики (GPO); •S выбрать стратегию реализации групповой политики в организации. Продолжительность занятия — около 40 минут.

Занятие 3

Планирование реализации групповой ПОЛИТИКИ

-{27

Введение в групповую политику Групповая политика — набор параметров конфигурации пользователей и компьютеров, который можно связать с компьютерами, сайтами, доменами и OU в Active Directory. Такой набор параметров групповой политики называется объектом групповой политики (Group Policy Object, GPO). Любой компьютер под управлением Windows 2000, Windows ХР или Windows Server 2003 (независимо от того, входит он в Active Directory или нет) содержит один локаль­ ный GPO, в котором заданы политики, применяемые к этому компьютеру. Если ком­ пьютер входит в Active Directory, к нему можно применить несколько дополнительных GPO, не являющихся локальными. Существует два основных типа параметров групповой политики. •

Конфигурация компьютера (Computer Configuration) используется для задания груп­ повых политик, применяемых к определенным компьютерам независимо от того, кто входит на них.

•

Конфигурация пользователя (User Configuration) предназначена для задания группо­ вых политик, применяемых к определенным пользователям независимо от того, на какой компьютер они входят. Какие бы параметры вы ни настраивали (компьютера или пользователя), есть три их категории: Параметры программ (Software Settings), Параметры Windows (Windows Settings) и Административные шаблоны (Administrative Templates).

Параметры программ Узел Параметры программ (Software Settings) содержит параметры, которые можно ис­ пользовать для развертывания ПО на клиентских компьютерах, к которым применяется групповая политика. Для этого клиентские компьютеры должны работать под управле­ нием Windows 2000 Professional, Windows 2000 Server, Windows ХР Professional, Windows XP 64-Bit Edition или Windows Server 2003 и быть членами домена. Вы можете задать, для каких пользователей или на какие компьютеры будет установлено ПО, при необходимо­ сти указать обновления и даже удалить ПО. Для поддержки этой функции нужны два взаимодействующих компонента. •

•

Служба установки Windows (Windows Installer service) — служба, которая разверты­ вает и обновляет ПО в соответствии с инструкциями в установочных пакетах Win­ dows (Windows Installer packages) (см. ниже).

Установочные пакеты Windows (Windows Installer Packages) — исполняемые файлы сценариев со всеми инструкциями, нужными Windows Installer для установки, об­ новления или восстановления ПО. Файлы Windows Installer Package имеют расши­ рение msi. Служба Windows Installer отслеживает состояние устанавливаемого приложения. Эта информация может использоваться для переустановки приложения, восстановления от­ сутствующих или поврежденных файлов и удаления больше не нужного приложения. Существует два способа развертывания ПО с помощью групповой политики: пу­ бликация (publishing) и назначение (assigning). Когда приложение назначается пользова­ телю, создается ярлык, доступный пользователю и показываемый в меню Пуск (Start) или на рабочем столе этого пользователя. Это называется предложением (advertising) приложения пользователю. Когда пользователь щелкает ярлык (или открывает файл, связанный с программой), запускается программа установки. Когда приложение на-

128

Проектирование административной структуры защиты

Глава 4

значается компьютеру, приложение устанавливается при первом запуске компьютера после назначения. Если вы публикуете приложение, оно становится доступным пользователям, кото­ рые могут установить его, когда пожелают. Приложения можно публиковать только для пользователей — сделать это для компьютера нельзя. Приложение становится доступ­ ным в апплете Установка и удаление программ (Add/Remove Programs) панели управле­ ния (Control Panel) и устанавливается по запросу пользователя, если тот откроет файл, связанный с программой.

Параметры Windows Категория Параметры Windows (Windows Settings) предназначена для изменения ряда параметров конфигурации, связанных со средой Windows. • Сценарии (Scripts). При настройке конфигурации компьютера можно задать сце­ нарии, которые выполняются при его включении или выключении. При настройке конфигурации для пользователя можно задать сценарии, выполняемые при входе или выходе пользователя. Сценарии можно писать на любое языке сценариев с поддержкой ActiveX, в том числе на VBScript, JScript, Perl, языке командных фай­ лов MS-DOS и др. • Параметры безопасности (Security Settings). Это параметры безопасности, задава­ емые для компьютеров и пользователей. • Настройка Internet Explorer (Internet Explorer Maintenance). Этот узел доступен толь­ ко для пользователей. Он служит для управления работой Internet Explorer на клиен­ тских компьютерах. • Службы удаленной установки (Remote Installation Services, RIS). RIS позволяет ав­ томатически выполнять удаленную установку операционной системы на новые кли­ ентские компьютеры. Эти параметры тоже доступны только для конфигураций пользователей. Они управляют удаленной установкой операционных систем. и Перенаправление папок (Folder Redirection). И эти параметры доступны только для конфигураций пользователей. Они позволяют переопределить специальные папки Windows [такие как Мои документы (My Documents), Главное меню (Start Menu) и Application Data], изменив их местонахождение по умолчанию на сетевой каталог. Благодаря этому можно централизованно управлять папками пользователей. Административные шаблоны Категория Административные шаблоны (Administrative Templates), доступная для конфи­ гураций компьютеров и пользователей, содержит все параметры групповой политики, хранящиеся в реестре. Параметры этой категории перечислены в табл. 4-2. Табл. 4-2. Параметры категории Административные шаблоны Узел

Конфигурация компьютера

Конфигурация Описание пользователя

Панель управления (Control Panel) Рабочий стол (Desktop)

Неприменимы

X

Определяет средства панели управ­ ления, доступные пользователю

Неприменимы

X

Задает внешний вид рабочего стола пользователя

Занятие 3 Табл. 4-2.

Планирование реализации групповой политики

-|29

(окончание)

Узел

Конфигурация компьютера

Конфигурация пользователя

Описание

Сеть (Network)

X

X

Управляет параметрами для средств Автономные файлы (Offline Files) и Сеть и удаленный доступ к сети (Network and Dial-Up Connections)

Принтеры (Printers)

X

Неприменимы

Задает параметры принтеров

Панель задач и меню «Пуск» (Start Menu and Taskbar)

Неприменимы

X

Задает параметры конфигурации для меню Пуск и панели задач пользователя

Система (System)

X

X

Управляет входом/выходом (для пользователей), запуском/выключе­ нием (для компьютеров) и самими групповыми политиками

Компоненты Windows X (Windows Components)

X

Управляет встроенными компонентами Windows вроде Проводника (Windows Explorer), Internet Explorer и Windows Installer

Разрешение GPO из нескольких источников Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из не­ скольких источников, нужен способ определения того, как эти GPO сочетаются друг с другом. GPO обрабатываются в следующем порядке. • Локальный GPO — обрабатывается локальный GPO компьютера и применяются все параметры защиты, заданные в этом GPO. • GPO сайта — обрабатываются GPO, связанные с сайтом, к которому относится ком­ пьютер. Параметры, заданные на этом уровне, переопределяют любые параметры, заданные на предыдущем уровне, с которыми они конфликтуют. Если с сайтом связано несколько GPO, администратор сайта может задать, в каком порядке обра­ батываются эти GPO. • GPO домена — обрабатываются GPO, связанные с доменом, к которому относится компьютер, и применяются содержащиеся в них параметры. Параметры, заданные на уровне домена, переопределяют параметры, примененные на локальном уровне или на уровне сайта, с которыми они конфликтуют. Если с доменом связано не­ сколько GPO, администратор, как и в предыдущем случае, может задать порядок их обработки. • GPO OU — обрабатываются GPO, связанные с любыми OU, содержащими пользо­ вателя или компьютер. Параметры, заданные на уровне OU, переопределяют пара­ метры, примененные на локальном уровне или уровне домена/сайта, с которыми они конфликтуют. Один и тот же объект может входить в несколько OU. В этом случае сначала обрабатываются GPO, связанные с OU, находящимся на самом высоком уровне иерархии Active Directory, затем — с OU, находящимся на следу­ ющем уровне и т.д. Если с одной OU связано несколько GPO, администратор, как и в предыдущих случаях, может задать порядок их обработки.

130

Проектированиеадминистративнойструктуры защиты

Глава 4

Подготовка к экзамену Простой способ запомнить порядок, в котором обрабатываются GPO, — усвоить, что сначала обрабатывается локальный GPO, затем — GPO, опреде­ ленные в Active Directory. Обработка GPO из Active Directory начинается с самой дале­ кой от пользователя структуры (сайта), затем идет более близкая к пользователю струк­ тура (домен) и, наконец, самая близкая структура (OU).

Наследование групповой политики По умолчанию дочерние контейнеры наследуют групповую политику от родительских контейнеров. Однако можно переопределить унаследованные параметры, задав для до­ чернего объекта другие значения параметров. Кроме того, в GPO можно задать, что тот или иной параметр активен, неактивен или не определен. Параметры, которые не опре­ делены для родительского контейнера, вообще не наследуются дочерними контейнера­ ми, а параметры, которые активны или неактивны, наследуются. Если GPO определены и для родителя, и для потомка и если заданные в них пара­ метры совместимы, эти параметры комбинируются. Например, если в родительской OU задана определенная длина пароля, а в дочерней OU — некая политика блокировки учетных записей, будут использоваться оба этих параметра. Если параметры несовме­ стимы, то по умолчанию с дочерним контейнером связывается значение параметра, переопределяющее значение параметра, который связан с родительским контейнером. Совет На вкладке Общие (General) окна свойств GPO можно отключить неиспользуе­ мые параметры конфигурации компьютера или пользователя, содержащиеся в GPO. В большинстве политик задействована лишь часть доступных параметров. Если неис­ пользуемые параметры включены, они все равно обрабатываются, что приводит к лиш­ нему расходу системных ресурсов. Отключив неиспользуемые параметры, вы снизите нагрузку на клиентские компьютеры, обрабатывающие политику.

Конечно, описанное выше наследование применяется только по умолчанию. Име­ ется еще два механизма, применяемых при управлении наследованием групповых по­ литик. • Не перекрывать (No Override). Когда вы связываете GPO с контейнером, можно выбрать Не перекрывать, чтобы параметры, заданные в этом GPO, не переопределя­ лись параметрами в GPO, связанных с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная вами политика. • Блокировать наследование политики (Block Policy Inheritance). При выборе этого п раметра контейнер не наследует параметры GPO, заданные для родительского кон­ тейнера. Однако, если для родительского контейнера указан параметр Не перекры­ вать, дочерний контейнер не может заблокировать наследование от своего родителя. Эти два механизма — весьма существенные исключения из правил наследования, но к ним следует прибегать только в редких случаях. Гораздо лучше создать продуман­ ный проект групповых политик, используя OU, с которыми групповые политики свя­ зываются при необходимости, а не создавать систему исключений, где так легко запу­ таться.

Занятие 3

Планирование реализации групповой ПОЛИТИКИ

-jg-j

Подготовка к экзамену Отвечая на вопросы по групповой политике, помните о прави~ах наследования. Также помните, как объединяются параметры групповой политики: сначала применяется локальный GPO, затем — GPO домена, сайта и OU. Наконец, не сбудьте, что GPO нельзя напрямую связывать с пользователями, группами или встро­ енными контейнерами. GPO можно связать только с сайтом, доменом или OU. Фильтрация GPO с помощью разрешений Одна из потенциальных проблем использования групповых политик может возникнуть, если вам нужно, например, связать GPO с OU, содержащей 500 пользователей и 20 групп, но вы не хотите, чтобы параметры применялись ко всем этим объектам. Чтобы не применять политику к пользователю или группе, можно изменить на­ стройку разрешений для этих пользователей. Для применения политики необходимы "вз разрешения: Чтение (Read) (вполне логично: если политику нельзя прочитать, ее нельзя и применить) и Применение групповой политики (Apply Group Policy), название поторого говорит само за себя. Чтобы политика не применялась к пользователю или группе, можно изменить разрешения, запретив чтение или применение этой политики.

Планирование структуры GPO При реализации групповой политики сначала создают GPO, затем связывают их с сай­ тами, доменами и OU. Может потребоваться применение некоторых GPO на уровне томенов или сайтов, но в большинстве случаев следует применять GPO на уровне OU. Связывание GPO с доменом GPO, связанный с доменом, применяется ко всем пользователям и компьютерам доме­ на. Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня. Типичное применение GPO уровня домена — реализация корпоративных стан­ дартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же поли­ тика управления паролями и аутентификацией. В этом случае применение GPO уровня томена было бы отличным решением. Связывание GFO с сайтом GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении. Но при опреде­ ленных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если пара­ метры должны быть общими для всех компьютеров, физически находящихся в опреде­ ленном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом. Напри­ мер, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае иде­ ально подходит GPO, связанный с сайтом.

132

Проектирование административной структуры защиты

Глаеа 4

Связывание GPO с 0U В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку по­ зволяют спроектировать структуру, хотя бы отчасти упрощающую применение группо­ вой политики. Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU. На заметку По умолчанию новые учетные записи пользователей и компьютеров со­ здаются в контейнерах Пользователи (Users) и Компьютеры (Computers) соответственно. Вы не можете связать GPO с одним из этих встроенных контейнеров. Несмотря на то, что встроенные контейнеры наследуют GPO, связанные с доменом, вы можете столк­ нуться с ситуацией, когда учетные записи пользователей и компьютеров требуется хра­ нить в OU, с которыми можно связать GPO. В Windows Server 2003 есть два новых инструмента, позволяющих изменять целевое местонахождение, где по умолчанию сохраняются новые учетные записи пользовате­ лей и компьютеров. Утилита redirusr.exe перенаправляет учетные записи пользователей, а redircomp.exe — учетные записи компьютеров. После выбора OU, в которую пере­ направляются записи, новые учетные записи создаются прямо в новой целевой OU, с которой можно связать соответствующие GPO. Например, можно создать OU с име­ нем New Users, связать с этой OU соответствующий GPO и задать, что новые учетные записи пользователей будут помещаться в OU «New Users». Тогда к любым новым пользо­ вателям сразу же после создания будут применяться параметры, заданные в GPO. В дальнейшем администраторы могут переместить новые учетные записи пользовате­ лей в более подходящее место. Вы найдете эти два инструмента в папке %windir%\system32 любого компьютера, рабо­ тающего под управлением Windows Server 2003. Подробнее об этих средствах — в статье 324949 «Redirecting the Users and Computers Containers in Windows Server 2003 Domains» на сайте Microsoft Knowledge Base по ссылке http:/support.microsoft.com.

Планирование развертывания GPO Важным аспектом планирования групповой политики для компании является создание плана управления групповой политикой после первоначального развертывания. При со­ здании этого плана нужно определить пользователей, управляющих групповой полити­ кой организации. Кроме того, требуется обеспечить, чтобы клиентские компьютеры, работающие в сети, принимали параметры, задаваемые GPO.

Администрирование групповой политики Скорее всего задачи, связанные с созданием и управлением GPO, следует делегировать различным администраторам организации. Вы должны, основываясь на административ­ ной модели вашей организации, определить, какие параметры управления конфигура­ цией лучше задавать на уровне домена, сайта или OU. Также определите, как на каждом из уровней сайта, домена и OU осуществить дальнейшее деление полномочий между администраторами или их группами этого уровня.

Занятие 3

Планирование реализации групповой ПОЛИТИКИ

-jgg

Решая, как делегировать полномочия на уровне сайта, домена или OU, примите во внимание следующие соображения. • Полномочия, делегируемые на уровне домена, влияют на все объекты домена, если задано наследование разрешений всеми дочерними контейнерами. • Полномочия, делегируемые на уровне OU, могут влиять только на эту OU или на OU и ее дочерние OU. • Управление разрешениями будет более простым и эффективным, если назначать полномочия на как можно более высоких уровнях OU. • Полномочия, делегируемые на уровне сайта, вероятно, охватывают несколько до­ менов и могут влиять на объекты в доменах, отличных от того, который содержит GPO. Чтобы управлять GPO, администраторам нужны следующие разрешения: • для редактирования GPO, связанных с сайтами, — разрешения на администрирова­ ние предприятия; • для редактирования GPO, связанных с доменами, — разрешения на администриро­ вание домена; • для редактирования GPO, связанных с OU, — разрешения на администрирова­ ние OU.

Требования к клиентам, поддерживающим групповую политику Для принятия параметров групповой политики клиентские компьютеры должны быть членами Active Directory. Основные операционные системы обладают следующими воз­ можностями по поддержке групповой политики. • Windows 95/98/Ме не поддерживают групповую политику. • Windows NT 4.0 и более ранних версий не поддерживает групповую политику. • Windows 2000 Professional и Server поддерживают многие параметры групповой поли­ тики, доступные в Windows Server 2003, но не все. Неподдерживаемые параметры иг­ норируются. • Windows XP Professional, Windows XP 64-bit Edition и Windows Server 2003 полностью поддерживают групповую политику. Примечание Более подробную информацию о том, как Windows 2000 Professional под­ держивает параметры групповой политики, заданные в Windows Server 2003, — в Micro­ soft Windows Server 2003 Deployment Kit (Microsoft Press, 2003).

Лабораторная работа. Проектирование реализации групповой политики На этой лабораторной работе вы приведете структуру организационных единиц (OU) в соответствие с требованиями к групповой политике компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь отве­ тить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

134

Проектирование административной структуры защиты

Глава 4

Сценарий Northwind Traders проектирует инфраструктуру Active Directory. Компания уже опреде­ лила структуру OU. Эта структура показана в следующей таблице. Домены

OU

Nwtraders.local

Нет HQ Management Finance IT

Corp.nwtraders.local

NAwest.nwtraders. local

Sales Marketing IT

NAeast. nwtraders. local

Customer Service Customer Support Training Glasgow.RDNwtraders.local Development Sustained Engineering IT

AsiaPacific.nwtraders.local

Research

Consulting Production

В следующей таблице перечислены филиалы, отделы в них и требования групповой политики, специфичные для каждого филиала. Филиал

Отделы

Требования групповой политики

Париж

Основной офис Финансы Продажи Маркетинг Производство Исследования Разработки ИТ

Высшее руководство работает с конфиденциальной информацией, поэтому для портативных компью­ теров всех менеджеров высшего звена требуется задать особые параметры защиты. Однако они не хотят, чтобы эти параметры применялись к их настольным компьютерам. Все серверы финансового отдела должны исполь­ зовать IPSec при любой коммуникационной связи

Лос-Анд­ желес

Продажи Маркетинг Финансы ИТ

На компьютеры всех сотрудников отдела продаж необходимо установить приложение, работающее с данными о клиентах. На всех портативных компьютерах этого филиала необходимо установить экранную заставку с защитой по паролю

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

Все сотрудники отдела поддержки клиентов, работающие в центре обработки телефонных звонков, используют специальные приложения, которые необходимо установить на их компьютеры

Занятие 8

Планирование реализации групповой политики

(окончание) Филиал

Отделы

Требования групповой политики

Глазго, Исследования Шотландия Разработки Долгосрочные проекты ИТ

Ко всем компьютерам, даже к только что добавленным в домен, должна применяться политика IPSec. Для всех компьютеров исследовательского отдела необходимо задать специфичные параметры защиты

Сидней, Австралия

Все компьютеры производственного отдела используются разными сотрудниками, работаю­ щими в несколько смен. У каждого из пользова­ телей, входящих в эти системы, должны быть свои параметры рабочего стола и пользовательского интерфейса

Консалтинг Производство Продажи Финансы

Вопросы Исходя из этого сценария, измените структуру OU так, чтобы она отвечала требовани­ ям к групповой политике компании. Ответьте на следующие вопросы. 1. Какие дополнительные OU нужно создать для поддержки групповой политики? 2. Кто будет управлять групповой политикой в каждом из доменов?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. К каким объектам можно применять параметры групповой политики? Какие типы параметров можно применять при использовании групповой политики? 2. В каком порядке разрешаются GPO из нескольких источников? Что будет, если свя­ зать несколько GPO с одним контейнером Active Directory? 3. Вы планируете GPO, который будет связан с OU, содержащей учетные записи пользо­ вателей и групп. Вы хотите, чтобы параметры, заданные в GPO, применялись ко всем учетным записям, входящим в OU, за исключением учетных записей двух групп. Как это сделать?

Резюме •

•

Групповая политика позволяет применять параметры сразу ко многим пользовате­ лям и компьютерам. Групповую политику можно использовать, чтобы развертывать и обновлять ПО на клиентских компьютерах, настраивать и применять параметры Windows и распространять параметры, помещаемые в реестр, с помощью Админи­ стративных шаблонов (Administrative Templates). При планировании групповой политики нужно определить, какие настройки требу­ ется выполнить на клиентах и как лучше всего это сделать. Можно связывать GPO с доменами, сайтами и OU. Следует свести к минимуму количество GPO, связан-

138

•

:

Проектирование административной структуры защиты

Глааа 4

ных с доменами и сайтами. Большинство GPO следует связывать с хорошо проду­ манной структурой OU. При планировании структуры OU в полной мере используйте наследование GPO. Запомните: лучше не планировать слишком глубокую структуру, поскольку каждый GPO, применяемый к клиенту, тратит дополнительные системные ресурсы. Также помните, что можно блокировать наследование GPO, связанных с родителем, или задать параметр Не перекрывать (No Override), запрещающий дочерним объектам блокировать или переопределять GPO, унаследованные от родителя. С помощью фильтрации разрешений можно запретить применение GPO к определенным объектам.

Пример из практики

Вам поручили планирование административной структуры для компании Humongous Insurance, предоставляющей услуги по медицинскому страхованию на территории США. На всех серверах корпоративной сети операционную систему недавно обновили до Windows Server 2003 Enterprise Edition. На клиентских компьютерах работают операци­ онные системы Windows NT Professional 4.0, Windows 2000 Professional и Windows XP Professional. Компания Humongous Insurance наняла вас для того, чтобы вы спроектиро­ вали структуру OU, учетных записей и групповой политики.

Краткие сведения о компании Humongous Insurance выросла за последние несколько лет и стала одной из ведущих компаний по медицинскому страхованию, обслуживающей многие частные и государ­ ственные организации США.

География Главный офис корпорации Humongous Insurance расположен в Лос-Анджелесе (штат Калифорния). Помимо главного офиса, у Humongous Insurance имеются основные кор­ поративные офисы в Буффало (штат Нью-Йорк) и Далласе (штат Техас). Существуют также сотни филиалов, разбросанных по всем пятидесяти штатам. Во всех трех основ­ ных офисах имеются полностью укомплектованные сотрудниками ИТ-отделы, поддер­ живающие структуру сетей этих офисов. ИТ-отдел в главном офисе корпорации в ЛосАнджелесе выполняет управленческие функции и в конечном счете несет ответствен­ ность за все решения и директивы, связанные с работой сети. Кроме того, ИТ-отдел в Лос-Анджелесе поддерживает сети филиалов.

Сетевая инфраструктура Офисы в Буффало, Далласе и Лос-Анджелесе связаны между собой 1-мегабитными ли­ ниями Frame Relay. Филиалы соединены каналами разных типов и пропускной способ­ ности. Сеть настроена на использование одного домена humongousinsurance.com. Для офи­ сов в Буффало, Далласе и Лос-Анджелесе созданы собственные сайты — так же, как и для каждого из филиалов. Это решение приняли в основном для управления трафиком репликации по WAN-каналам.

Резюме главы

-j^j

ИТ-менеджмент ИТ-отдел в Лос-Анджелесе определяет структуру и политику для сети в целом. Кроме того, он напрямую управляет филиалами. ИТ-отделы в Буффало и Далласе управляют сетями своих офисов. Однако за работу сети в целом отвечает главный ИТ-отдел в ЛосАнджелесе.

Требования ИТ-отдел в Лос-Анджелесе установил ряд стандартов, которым должны следовать все филиалы. Учетные записи компьютеров, являющихся серверами, должны описывать местонахождение компьютера и его функцию. Учетные записи компьютеров, являющих­ ся рабочими станциями, должны описывать пользователя и местонахождение компью­ тера. Применяется строгая политика управления паролями. Пароли необходимо менять раз в месяц, в течение 12 месяцев пароль нельзя использовать повторно. Если удостове­ рения пользователя неправильно вводятся более 5 раз подряд, учетная запись пользова­ теля отключается до тех пор, пока он не свяжется с администратором. Кроме того, ИТ-персонал хотел бы использовать групповую политику, чтобы стан­ дартизировать развертывание ПО, устанавливаемого через сеть на определенные ком­ пьютеры. При этом желательно, чтобы пользователям при установке не приходилось принимать слишком много решений. В идеале хотелось бы, чтобы установка выполня­ лась автоматически без ввода данных пользователем.

Вопросы Исходя из этого сценария, ответьте на следующие вопросы. 1. Обрисуйте структуру OU компании, используя модель на основе местонахождения. Какие преимущества и недостатки у такой модели? 2. Какие параметры политики управления паролями вы задали бы, чтобы выполнить корпоративные требования компании? Какую политику аутентификации вы бы ис­ пользовали? 3. Какую стратегию именования учетных записей компьютеров вы применили бы для серверов сети? А для рабочих станций пользователей? 4. Какой метод развертывания ПО с помощью групповой политики вы выбрали бы в данном случае?

Ц Резюме главы •

Создавайте структуру OU, облегчающую делегирование управления администрато­ рам, а также поиск ресурсов и учетных записей. Можно создать административную структуру, основанную на объектах или на задачах. • OU создаются для того, чтобы делегировать административное управление, ограни­ чить видимость объектов и управлять применением групповой политики. Сначала сосредоточьте усилия на делегировании административных полномочий, затем до­ бейтесь, чтобы структура соответствовала другим требованиям. • Создавайте OU верхнего уровня так, чтобы они отражали сравнительно неизменную сторону деятельности предприятия, например территориальную структуру, админи-

138

•

• •

•

•

•

•

•

•

Проектирование административной структуры защиты

Гяаеа 4

стративные задачи или объекты, а затем используйте OU более низкого уровня для более тонкого разграничения административных полномочий. Наследование позволяет передавать разрешения между уровнями структуры. Бло­ кируйте наследование, если вам нужно переопределить разрешения, наследуемые от родителя. В Windows Server 2003 в Active Directory существует пять типов учетных записей: пользователь, компьютер, группа, контакт и InetOrgPerson. Учетные записи компьютеров позволяют компьютерам, входящим в домен, прохо­ дить аутентификацию прозрачным для пользователей образом. Следует выработать стратегию именования учетных записей компьютеров и определить, кто имеет право добавлять учетные записи компьютеров в Active Directory. Учетные записи пользователей идентифицируют пользователей и позволяют выпол­ нять их аутентификацию при доступе к сетевым ресурсам. Стратегия управления учет­ ными записями пользователей должна включать в себя продуманное соглашение об именовании, политику управления паролями и политику аутентификации. Группы упрощают назначение разрешений, позволяя упорядочить пользователей. Область действия группы задает, в каких частях Active Directory доступна эта группа и какие объекты могут стать ее членами. По области действия группы делятся на глобальные, универсальные и локальные группы домена. Включая пользователей в группы, помните, что учетные записи пользователей помещают в глобальные группы, глобальные группы — в универсальные, а те — в локальные группы домена, которым и назначают разрешения. Групповая политика позволяет применять параметры сразу ко многим пользовате­ лям и компьютерам. Групповую политику можно использовать, чтобы развертывать и обновлять ПО на клиентских компьютерах, настраивать и применять параметры Windows и распространять параметры, помещаемые в реестр, с помощью Админи­ стративных шаблонов (Administrative Templates). При планировании групповой политики нужно определить, какие настройки тре­ буется выполнить на клиентах и как лучше всего это сделать. Можно связывать GPO с доменами, сайтами и OU. Следует свести к минимуму количество GPO, связанных с доменами и сайтами. Большинство GPO следует связывать с хорошо продуманной структурой OU. При планировании структуры OU в полной мере используйте наследование GPO. Запомните: лучше не планировать слишком глубокую структуру, поскольку каждый GPO, применяемый к клиенту, тратит дополнительные системные ресурсы. Также помните, что можно блокировать наследование GPO, связанных с родителем, или задать параметр Не перекрывать (No Override), запрещающий дочерним объектам бло­ кировать или переопределять GPO, унаследованные от родителя. С помощью филь­ трации разрешений можно запретить применение GPO к определенным объектам.

Рекомендации по подготовке к экзамену

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Следует начинать с создания структуры OU, эффективно делегирующей админи­ стративное управление. После создания этой структуры можно создать OU более низкого уровня, используемые для управления групповой политикой и скрытия объектов. • Помещая пользователей в группы, руководствуйтесь правилом AGUDLP. Учетные записи (accounts, А) помещаются в глобальные группы (global groups, G), глобаль­ ные группы — в универсальные (universal groups, U), а те — в локальные группы домена (domain local groups, DL), которым назначаются разрешения (permissions, P). • Сначала обрабатывается локальный GPO, затем, начиная с самой далекой от пользо­ вателя структуры, обрабатываются GPO в Active Directory. GPO обрабатываются в следующем порядке: локальный, GPO сайта, GPO домена, GPO OU. • Наконец, запомните, что GPO нельзя напрямую связывать с пользователями, груп­ пами или встроенными контейнерами. GPO можно связать только с сайтом, доме­ ном или OU.

Основные термины Модель OU ~ OU model — существует пять стандартных моделей организационных еди­ ниц (OU): 1) на основе местонахождения, 2) на основе структуры организации, 3) на основе функций, 4) сначала по местонахождению, затем по структуре организации и 5) сначала по структуре организации, затем по местонахождению. Учетная запись - account — в Windows Server 2003 можно создавать учетные записи пяти типов: учетные записи пользователей (позволяющие входить в сеть), учетные записи компьютеров (позволяющие проходить аутентификацию в Active Directory), учетные записи групп (позволяющие упорядочивать пользователей и другие группы, чтобы назначать им разрешения), контакты (описывают пользователей, находящих­ ся за пределами сети) и InetOrgPerson (работают аналогично учетным записям пользователей; совместимы с другими службами каталогов, основанными на LDAP). Групповая политика ~ Group Policy — упрощает развертывание ПО и настройку Windows на клиентских компьютерах. Создайте набор параметров, определяемый объектом групповой политики (GPO), а затем свяжите GPO с доменом, сайтом или OU.

140

Проектирование административной структуры защиты

Щ

Вопросы и ответы

Глаза 4

Занятие 1. Лабораторная работа Исходя из утвержденной структуры лесов и доменов создайте структуру QU для компа­ нии Northwind Traders. Для описания структуры воспользуйтесь следующей таблицей. Домен

Организационные единицы

nwtraders.local

Нет

Corp.nwtraders.local

HQ Management (администрация в штаб-квартире) Finance (отдел финансов) IT (ИТ-отдел)

NAwest.nwtraders.local

Sales (отдел продаж) Marketing (отдел маркетинга) IT (ИТ-отдел)

NAeast.nwtraders.local

Customer Service (отдел обслуживания клиентов) Customer Support (отдел технической поддержки клиентов) Training (отдел обучения)

Glasgow.RDNwtraders.local

Research (отдел исследований) Development (отдел разработок) Sustained Engineering (отдел долгосрочных проектов) IT (ИТ-отдел)

AsiaPacific.nwtraders.local

Consulting (отдел консалтинга) Production (производственный отдел)

Занятие 1. Закрепление материала 1. По каким трем причинам следует создавать OU? Какая из этих трех причин влияет на проект OU в целом? Правильный ответ: OU создаются для делегирования административного управления объектами, для ограничения видимости объектов и для управления применением группо­ вой политики. Определяющее влияние на архитектуру OU оказывает делегирование ад­ министративных полномочий. 2. Чем отличается структура OU на основе объектов от структуры OU на основе задач? Правильный ответ: в структуре OU, основанной на объектах, административные полно­ мочия делегируются в зависимости от типа объектов, которые будут храниться в OU. В структуре OU, основанной на задачах, управление делегируется в зависимости от административных задач, которые требуется выполнять, а не от типа объектов, которые нужно администрировать. 3. Вы планируете структуру каталога. Одно из требований — возможность делегировать управление пользователями, назначая групповую политику. Что вы должны сделать? Правильный ответ: поскольку встроенный контейнер Users не является OU, связать GPO с этим объектом нельзя. Вы должны создать новую OU, поместить в нее пользова­ телей, а затем связать GPO с этой OU.

Вопросы и ответы

4. Каковы преимущества модели OU на основе местонахождения? В чем ее недостат­ ки? Правильный ответ: к преимуществам относятся большая устойчивость к реорганизаци­ ям компании, упрощение реализации общедоменных политик центральным ИТ-отделом, более простой поиск ресурсов, легкость создания новых OU для новых филиалов. К не­ достаткам относятся потенциальная сложность ограничения административных прав, вероятная потребность в наличии собственных администраторов в каждом филиале, воз­ можное отклонение проекта инфраструктуры от бизнес-структуры или административ­ ной структуры.

Занятие 2. Закрепление материала 1. Какие пять типов учетных записей можно создать в Active Directory для Windows Server 2003? Правильный ответ: можно создавать учетные записи компьютера, пользователя, группы, а также контакт и InetOrgPerson. 2. Вы создаете политику управления паролями. Какие требования к паролям рекомен­ дуется ввести? Правильный ответ: следует запоминать минимум 24 последних использовавшихся паро­ ля. Кроме того, требуйте, чтобы пользователи периодически меняли свои пароли. По умолчанию (и согласно рекомендациям Microsoft) это нужно делать каждые 42 дня. Па­ роль пользователя должен сохраняться хотя бы в течение одного дня — это не позволит пользователям быстро менять пароли, чтобы подобрать те пароли, которые им нравятся. Пароли должны быть длиной минимум семь символов и содержать буквы в верхнем и нижнем регистре, цифры и прочие символы. 3. По какой стратегии рекомендуется помещать пользователей в группы безопасности? Правильный ответ: поместите учетные записи пользователей в глобальные группы, гло­ бальные группы — в универсальные, а универсальные — в локальные группы домена. Назначьте разрешения локальным группам домена.

Занятие 3. Лабораторная работа 1. Какие дополнительные OU нужно создать для поддержки групповой политики? Правильные ответы: одним из возможных способов фильтрации объектов, к которым применяется групповая политика, является создание OTJ. Для достижения этой цели мож­ но выбрать и другой подход, например использовать группы безопасности. Создайте в OU «HQ Management» новую OU «Laptops» (портативные компьютеры). Эта OU будет содержать все учетные записи портативных компьютеров, принадлежащих высшему руководству. Создайте в домене NAwest новую OU «LaptopComputers», чтобы упростить применение параметров групповой политики ко всем портативным компьютерам этого филиала. Создайте в OU «Customer Support» новую OTJ «CallCenter» (центр обработки телефон­ ных звонков). Эта OTJ будет содержать все учетные записи компьютеров центра обра­ ботки. С его помощью вы без проблем примените к этим компьютерам специфичные параметры групповой политики. Создайте в домене Glasgow новую OU «ComputerAccounts» (учетные записи компьюте­ ров) и командой redircmp.exe задайте, что все новые учетные записи компьютеров будут создаваться в этой OU.

142

Проектированиеадминистративнойструктуры защиты

Глаза 4

2. Кто будет управлять групповой политикой в каждом из доменов? Правильный ответ: ИТ-отдел в Париже будет определять параметры групповой полити­ ки для филиалов в Атланте, Париже и Сиднее. В остальных филиалах параметрами груп­ повой политики будут управлять местные ИТ-отделы.

Занятие 3. Закрепление материала 1. К каким объектам можно применять параметры групповой политики? Какие типы параметров можно применять при использовании групповой политики? Правильный ответ: параметры групповой политики можно применять к пользователям и компьютерам, входящим в Active Directory. Групповую политику можно использовать для настройки развертывания и обновления ПО, настройки параметров Windows и распро­ странения настроек реестра с помощью Административных шаблонов (Administrative Templates). 2. В каком порядке разрешаются GPO из нескольких источников? Что будет, если свя­ зать несколько GPO с одним контейнером Active Directory? Правильный ответ: в первую очередь всегда разрешаются GPO локального компьютера, затем GPO в Active Directory. Сначала разрешаются GPO, связанные с сайтом, потом — GPO, связанные с доменом, и, наконец, GPO, связанные с OU. Если параметры совме­ стимы, они объединяются. Иначе каждый последующий GPO переопределяет параме­ тры, заданные GPO, который применялся до него. Если для одного контейнера задано несколько GPO, администратор может определить порядок, в котором они будут приме­ няться. 3. Вы планируете GPO, который будет связан с OU, содержащей учетные записи пользо­ вателей и групп. Вы хотите, чтобы параметры, заданные в GPO, применялись ко всем учетным записям, входящим в OU, за исключением учетных записей двух групп. Как это сделать? Правильный ответ: есть два варианта. Можно создать дочернюю OU в существующем OU и переместить в новую OTJ учетные записи этих двух групп. Затем можно переопре­ делить параметры, заданные GPO, или блокировать наследование этого GPO от роди­ тельского контейнера. Другой вариант — оставить эти две группы в той же OU и отфиль­ тровать GPO, удалив разрешение на чтение или применение GPO этими двумя группами.

Пример из практики 1. Обрисуйте структуру OU компании, используя модель на основе местонахождения. Какие преимущества и недостатки у такой модели? Правильный ответ: в модели на основе местонахождения можно было бы создать по од­ ной OU для каждого основного филиала и, возможно, еще одну OU, объединяющую все остальные филиалы. Группирование по филиалам дает несколько преимуществ: устойчи­ вость к реструктуризации компании, возможность централизованной реализации поли­ тик масштаба домена, более простой поиск ресурсов по их местонахождению. К недо­ статкам относится вероятная необходимость в наличии администраторов сети в каждом филиале и тот факт, что ваш проект не будет отражать административную структуру ком­ пании. 2. Какие параметры политики управления паролями вы задали бы, чтобы выполнить корпоративные требования компании? Какую политику аутентификации вы бы ис­ пользовали?

Вопросы и ответы

143

Правильный ответ: чтобы соблюсти требования к паролям, задайте параметры полити­ ки паролей — параметру Максимальный срок действия пароля (Maximum Password Age) присвойте значение 30 дней, а параметр Требовать неповторяемости паролей (Enforce Password History) установите в 12 паролей. Параметры по умолчанию обеспечивают до­ полнительную безопасность — они требуют, чтобы пароль был сложным и использовался минимум один день. Чтобы выполнить требования к аутентификации, можно создать по­ литику блокировки учетных записей, отключающую учетные записи после пяти неудач­ ных попыток ввода паролей. Можно ужесточить требования к аутентификации, задав время, в которое разрешен вход, и создав политику истечения срока действия билета (ticket expiration policy). 3. Какую стратегию именования учетных записей компьютеров вы применили бы для серверов сети? А для рабочих станций пользователей? Правильный ответ: серверы следует идентифицировать по местонахождению и функции. В идеале имя сервера должно указывать, что это сервер. Популярный способ — исполь­ зование в имени сокращения SRV. Местонахождение можно задать первыми тремя бук­ вами названия города (еще одно решение — указывать трехбуквенные коды аэропортов). Функции вы можете идентифицировать так, как считаете нужным, но ваша методика должна быть единой для всей сети. Например, имя компьютера SRV-DAL-EXCH означа­ ло бы, что это сервер, который установлен в Далласе и на котором выполняется Exchange Server. 4. Какой метод развертывания ПО с помощью групповой политики вы выбрали бы в данном случае? Правильный ответ: вы должны задать групповую политику, которая назначает приложе­ ния компьютерам. Когда приложение назначается компьютеру, оно устанавливается при первом запуске компьютера после назначения.

ГЛАВА

5

Планирование сайтов

Занятие 1 . Проектирование топологии сайтов

145

Занятие 2. Планирование контроллеров доменов

151

Занятие 3. Планирование стратегии репликации

161

Занятие 4. Разработка стратегии перехода

170

Темы экзамена • Проектирование инфраструктуры Active Directory в соответствии с бизнес-требова­ ниями и техническими условиями: а выработка стратегии репликации Active Directory. • Проектирование топологии сайтов Active Directory: а проектирование сайтов; а определение связей сайтов. • Планирование внедрения Active Directory: а планирование размещения контроллеров домена и серверов глобального ката­ лога; а назначение ролей хозяев операций; а создание контроллеров домена. • Выработка стратегии перехода на Active Directory: а определение вариантов перехода — обновление существующих доменов, изме­ нение структуры доменов или переход на новую среду Active Directory. В этой главе В главах 3 и 4 вы научились проектировать логическую часть инфраструктуры Active Directory. К ней относятся структура лесов и доменов, а также административная струк­ тура организационных единиц (OU), пользователей и групп. Прочитав эту главу, вы узнаете, как определять физическую структуру сети с помощью сайтов. Одна из основ­ ных задач при проектировании любых сетей — управление трафиком между удаленны­ ми филиалами по WAN-каналам, и сайты являются основным средством такого управ­ ления. В этой главе объясняется, как определить расположение сайтов и указать связи между ними. Кроме того, вы научитесь создавать проекты, в которых оптимизирована

Занетие 1

Проектирование ТОПОЛОГИЙ сайтов

внутрисайтовая и межсайтовая репликация. Вы узнаете, как размещать контроллеры доменов и планировать роли, назначаемые серверам. Наконец, вы изучите, как плани­ ровать стратегию перехода с предыдущих версий Windows. Прежде всего

Для усвоения материалов этой главы вы должны быть знакомы с концепциями Active Directory, изложенными в главе 1. Кроме того, вы уже собрали и проанализировали всевозможную информацию о существующей в вашей компании инфраструктуре Active Directory (об этом см. главу 2). Для проектирования топологии сайтов вам потребуются собранные ранее сведения о географической структуре и топологии сети компании.

Занятие 1. Проектирование топологии сайтов Первый этап разработки структуры сайтов — выбор их топологии, т. е. расположения сайтов и связей между ними. На этом занятии сначала рассматривается использование сайтов, затем описываются факторы, которые необходимо учитывать при проектирова­ нии топологии сайтов. Изучив материал этого занятия, вы сможете:

•S рассказать о том, как с помощью сайтов управляют сетевым трафиком, передаваемым по WAN-каналам; S задать границы сайтов на основе физической структуры сети; •S определить, как связаны сайты. Продолжительность занятия - около 20 минут.

Для чего нужны сайты Как вы помните из главы 1, сайт — это группа контроллеров домена, существующих в одной или нескольких IP-подсетях, связанных быстрым и надежным сетевым соеди­ нением. Поскольку сайты основаны на IP-подсетях, они обычно соответствуют тополо­ гии сети, а значит, соответствуют и географической структуре компании (рис. 5-1). Сайты соединяются с другими сайтами WAN-каналами. Сайты Active Directory позволяют отделить логическую организацию структуры ка­ талогов (структуры лесов, доменов и OU) от физической структуры сети. Сайты пред­ ставляют физическую структуру сети на основе Active Directory. Поскольку сайты не зависят от структуры доменов, в один домен может входить несколько сайтов или, наоборот, один сайт может содержать несколько доменов (рис. 5-2). Сайты не входят в пространство имен Active Directory. Пользователь, просматрива­ ющий логическое пространство имен, видит компьютеры и пользователей, сгруппиро­ ванных в домены и OU, но сайты при этом не показываются. Однако имена сайтов используются в записях DNS (Domain Name System), поэтому у сайтов должны быть допустимые DNS-имена. Если вы не конфигурируете в Active Directory собственные сайты, все контролле­ ры доменов автоматически входят в один сайт по умолчанию с именем Default-FirstSite-Name, который создается при создании первого домена. Сайты содержат объекты

146

Планирование сайтов

Глаза 5

Рис. 5-1. Простая топология сайтов на основе географической структуры

По одному сайту для каждого домена

Один сайт, охватывающий два домена

Один домен, содержащий два сайта

Рис. 5-2. Сайты и домены не зависят друг от друга только двух типов: контролеры доменов, входящие в сайт, и связи сайтов (site links), настраиваемые для соединения с другими сайтами. В целом, сайты служат для управления трафиком по WAN-каналам. А конкретнее, сайты используются для управления: • трафиком входа на рабочие станции; • трафиком репликации; • распределенной файловой системой (Distributed File System, DFS); • службой репликации файлов (File Replication Service, FRS).

Управление трафиком входа на рабочие станции Когда пользователь входит в сеть, компьютеры с Microsoft Windows 2000 или Microsoft Windows XP ищут контроллеры домена, принадлежащие тому же сайту, что и рабочая станция. В процессе входа контроллеры домена по IP-адресу клиента определяют, к какому сайту он относится, и возвращают ему информацию о сайте. Кроме того, кон­ троллер домена передает клиенту сведения о ближайшем контроллере домена. Эта ин­ формация кэшируется для дальнейшего использования, чтобы ускорить вход.

Занятие 1

Проектирование топологии сайтов

Использование контроллера домена, принадлежащего тому же сайту, позволяет из­ бежать ненужной передачи трафика аутентификации по WAN-каналам. Если там, где находится клиент, нет контроллера домена, клиент проходит аутентификацию на кон­ троллере домена, принадлежащем сайту, цена соединения с которым минимальна по сравнению с другими сайтами. В DNS создаются записи ресурса службы (SRV) с ин­ формацией о том, какой контроллер домена предпочтительнее при аутентификации компьютеров из каждого сайта.

Управление трафиком репликации В Active Directory применяется модель репликации с несколькими хозяевами (multimaster replication). В этой модели все копии БД Active Directory являются равноправными. Изменения, внесенные в БД Active Directory на любом контроллере домена, автома­ тически реплицируются на остальные контроллеры, входящие в этот домен. Внутри сайта контроллеры домена реплицируют изменения сразу после их внесения. Когда данные, хранящиеся на контроллере домена, изменяются, он уведомляет своих партнеров по репликации (остальные контроллеры в пределах сайта); тогда партнеры запрашивают эти изменения, и репликация выполняется почти сразу же. При реплика­ ции между контроллерами, принадлежащими одному и тому же сайту, данные переда­ ются в несжатом формате. Поскольку предполагается, что у соединения высокая про­ пускная способность, использование несжатого формата гарантирует максимально быстрое выполнение репликации (даже несмотря на генерацию дополнительного сете­ вого трафика). Репликация между сайтами выполняется немного иначе. При репликации между сайтами выделенный в каждом сайте контроллер домена собирает и сохраняет измене­ ния, внесенные в каталог, сжимает эту информацию и передает ее в соответствии с расписанием контроллеру домена, принадлежащему другому сайту. Репликация между сайтами оптимизируется так, чтобы повысить эффективность, а не скорость. На заня­ тии 3 вы подробнее ознакомитесь с тем, как выполняется репликация.

Управление топологией DFS DFS (Distributed File System) — серверный компонент, который поддерживает унифи­ цированную схему именования файлов и папок, хранящихся на различных серверах в сети. DFS позволяет создать логическую иерархию файлов и папок, единую для всей сети, независимо от того, где они находятся на самом деле. Файлы, представленные в DFS, могут храниться в разных местах сети, поэтому есть смысл в том, чтобы Active Directory могла направлять пользователей в ближайшее место, где находятся нужные им данные. В связи с этим DFS использует информацию о сайтах, чтобы направить клиент на сервер, который принадлежит тому же сайту и содержит запрашиваемые данные. Если DFS не удалось найти копию данные в сайте, к которому относится клиент, DFS использует информацию о сайтах, хранящуюся в Active Directory, чтобы определить, какой файловый сервер с общими данными, до­ ступными через DFS, находится ближе всего к клиенту. Примечание Подробнее о применении DFS в Windows Server 2003 — в документе «Simplifying Infrastructure Complexity with Windows Distributed File System» по ссылке http:/www. microsoft.com/windowsserver2003/techinfo/overview/dfs.mspx.

Плакирование сайтов

Глава 5

Управление FRS На каждом контроллере домена имеется встроенный набор папок с именем SYSVOL (сокращение от System Volume). В Active Directory в папках SYSVOL по умолчанию хранятся файлы, которые требуется реплицировать на другие серверы домена. SYSVOL можно использовать для репликации GPO, а также сценариев, выполняемых при за­ пуске, выключении, входе или выходе. FRS (File Replication Service) — это служба Windows Server 2003, которая выполняет репликацию файлов, содержащихся в папках SYSVOL, между контроллерами домена. При управлении репликацией данных, содер­ жащихся в папках SYSVOL, FRS использует структуру сайтов. Примечание Подробнее о службе FRS, входящей в Windows Server 2003, — в статье «Technical Overview of Windows Server 2003 File Services» по ссылке http://www.mkrosoft.com/windowsserver2003/techinfo/overview/file.mspx.

Выбор структуры сайтов Чтобы разработать эффективную топологию сайтов, вы должны прежде всего собрать информацию о физической структуре сети (см. главу 2). В частности, нужна следующая информация: • территориальное местонахождение филиалов компании; • структура и скорость локальной сети (LAN) каждого филиала; • сведения о TCP/IP-подсетях в каждом филиале; • общая и доступная пропускные способности WAN-соединений, связывающих фи­ лиалы друг с другом. Помимо информации о физической структуре сети, необходимы сведения о логи­ ческой архитектуре Active Directory — о плане лесов и доменов, административной иерархии. Следует также получить информацию о структуре DNS для Active Directory. Располагая всей этой информацией, вы сможете определить границы сайтов. Чаще всего сайты соответствуют территориальным подразделениям компании, поскольку в каждом из мест, где есть офисы компании, имеется своя высокоскоростная LAN. Од­ нако это не всегда так. Если все участки сети связаны быстрыми и надежными кана­ лами, можно использовать один сайт для целой сети. Вообще говоря, при создании структуры сайтов следует руководствоваться следую­ щими принципами. • Создавайте сайт для каждой LAN или группы LAN, связанных высокоскоростной сетевой магистралью (опорной сетью). Обычно, но не всегда, эти LAN соответству­ ют территориальным подразделениям компании. Однако учтите, что даже при со­ единении двух удаленных друг от друга офисов высокоскоростным каналом задер­ жка, возникающая при передаче данных между ними, часто является веской при­ чиной для того, чтобы все равно создать отдельный сайт для каждого офиса. • Создавайте сайт для каждого территориального участка, где вы планируете уста­ новить контроллер домена. Подробнее о размещении контроллеров домена — в за­ нятии 2. • Создавайте сайт для каждого участка, где есть сервер, на котором выполняется приложение, работающее с данными о сайтах. Например, если в данном месте име-

Занятие 1

Проектирование ТОПОЛОГИИ сайтов

|4§

ются серверы, на которых хранятся общедоступные ресурсы иерархии DFS, можно создать сайт, чтобы управлять доступом клиентов к этим DFS-ресурсам. Подготовка к экзамену На практике вопрос, какое соединение считать быстрым, тре­ бует обсуждения. Вы увидите, что в документации рекомендуемая скорость соединения знутри сайта может варьироваться от 512 Кбит/с до 3 Мбит/с. Однако при проектирова­ нии сайтов на экзамене быстрым считается соединение со скоростью минимум 10 Мбит/с. Другими словами, границы сайтов обычно соответствуют границам LAN. Если в сети несколько LAN, связанных WAN-каналами, то скорее всего нужно создать по одному сайту для каждой LAN. Иногда нет смысла создавать сайт для территориального участка, даже если этот участок связан с остальной сетью каналом с относительно низкой пропускной способ­ ностью. Это особенно верно в случае небольших офисов, где работает мало пользовате­ лей, нет котроллеров домена и нет серверов, на которых выполняются службы, работа­ ющие с сайтами. В таких случаях часто бывает лучше добавить IP-подсеть этого участ­ ка в другой сайт сети, даже если пропускная способность ограничена. Трафик, генери­ руемый запросами аутентификации от такого небольшого сайта, сравнительно неве­ лик. Создание сайта связано с издержками, в частности с увеличением сетевого трафи­ ка (поскольку контроллеры доменов должны отслеживать информацию о сайтах и об­ ращаться к пользователям) и усложнением управления. Вы должны подумать, переве­ сят ли преимущества, которые обеспечивает сайт в управлении трафиком, издержки создания сайта. При разработке структуры сайтов начинайте с построения простой схемы, пред­ ставляющей все сайты сети (рис. 5-3). Пометьте общую и доступную пропускную спо­ собность соединений между сайтами. Для каждого сайта укажите следующую инфор­ мацию. f

145 X пользо вателей \

256 Кбит/с Доступно 60%

1 I

192.168.1.0 \Нью-Йорк/

\

1,5 Мбит/с Доступно 45%

г 245 ^ Ч у / пользо=а;елей у ^

t

Атла ига

J У

/

Мемфис У

yS у / уг

192.16 8.3.0

7 5 X N / пользователей 1 I 192.168.2.0

256 КбитА Доступно 30%

256 Кбит/с Доступно 40% f 65 >i / пользователей 1

192.168,40 \ V

Лондон

л

Рис. 5-3. Типичная схема сайтов, на которой показана доступная пропускная способность каналов между территориальными участками

150

Планирование сайтсш

Глава 5

Имя сайта. Это имя объекта-сайта, который вы создадите в Active Directory. Если имя сайта отличается от названия территориального участка, отметьте на схеме и название этого участка. Подсети, входящие в сайт. Перечислите диапазон IP-адресов подсети, имя, при­ своенное объекту-подсети в Active Directory, и маску подсети.

Ответственный за топологию сайтов При планировании сайта следует подумать и о том, кто будет управлять структу­ рой сайта после его развертывания. Ответственным за топологию сайтов назна­ чают администратора (или администраторов). Он должен по мере роста и измене­ ния физической сети вносить необходимые изменения в структуру сайтов. От­ ветственный за топологию сайтов выполняет следующие обязанности. • Изменяет топологию сайтов в соответствии с изменениями в физической то­ пологии сети. • Отслеживает сведения о подсетях в сети: IP-адреса, маски подсетей и место­ нахождения подсетей. • Наблюдает за сетевыми соединениями и задает цены связей между сайтами.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы разрабатываете структуру сайтов для компании, у которой имеются филиалы в Атланте, Чикаго и Лос-Анджелесе. Каждый филиал связан с двумя другими линия­ ми с пропускной способностью 512 Кбит/с. Сколько сайтов вы бы создали? 2. Какие задачи управления сетевым трафиком решают с помощью сайтов? 3. По каким критериям следует определять, нужно ли создавать сайт?

Резюме •

•

•

Сайты используются для управления сетевым трафиком, генерируемым при входе на рабочие станции, при репликации данных Active Directory, работе DFS (Distributed File System) и FRS (File Replication Service). Чтобы подготовиться к разработке структуры сайтов, нужны сведения о территори­ альной структуре компании, структуре и скорости локальной сети каждого из офи­ сов, TCP/IP-подсетях каждого из офисов и пропускной способности каналов между офисами. Вы должны создать по сайту для каждой LAN (или группы LAN, соединенных вы­ сокоскоростной сетевой магистралью), каждого участка, где есть контроллер доме­ на, и каждого участка, где имеется служба, работающая с сайтами.

Занетие 2

Планирование контроллеров доменов

Занятие 2. Планирование контроллеров доменов После того как вы определили структуру сайтов сети, наступает следующий этап пла­ нирования сайтов — определение количества и размещения контроллеров доменов в этих сайтах. Вы также должны определить, соответствует ли каждый контроллер доме­ на требованиям к оборудованию, чтобы работать под управлением Windows Server 2003 и справляться со своей нагрузкой. На этом занятии рассматривается, как определить, нужны ли контроллеры доменов для данного сайта, следует ли назначать им какиелибо дополнительные роли и какая пропускная способность должна быть у каждого контроллера домена. Изучив материал этого занятия, вы сможете:

•S •S •S •S •S

определить, как разместить контроллеры доменов, входящих в сайты; проектировать размещение контроллеров корневого домена леса; планировать структуру серверов глобального каталога; задавать роли хозяев операций для серверов; определять требования к пропускной способности контроллеров доменов. Продолжительность занятия — около 30 минут.

Планирование размещения контроллеров доменов Контроллеры доменов аутентифицируют пользователей, хранят политики безопасности для домена, содержат и реплицируют на другие контроллеры домена БД Active Directory. Важная часть планирования сайтов — проектирование размещения контроллеров доме­ нов. При этом следует определить: • нужен ли контроллер домена для данного участка; и количество контроллеров доменов, необходимых для сайта; • размещение контроллеров корневого домена леса. Как определить, нужен ли контроллер домена для данного участка

Первый этап планирования контроллеров доменов в сети — определить, где должны находиться контроллеры. Часто администраторы используют слишком мало контролле­ ров домена, предполагая, что чем меньше контроллеров у домена, тем проще им управ­ лять. Но бывает, что контроллеров домена, наоборот, слишком много, поскольку адми­ нистраторы полагают, будто в каждом из участков сети должен быть минимум один контроллер домена. Предположения, выдвигаемые в обоих случаях, вполне могут ока­ заться правильными, но это не всегда так. Чтобы определить, нужно ли создать контроллер домена для данного сайта, руко­ водствуйтесь следующими принципами. • Если сайт охватывает много пользователей, помещение контроллера домена в сайт обеспечивает, что при аутентификации пользователей, входящих в сеть, не генери­ руется сетевой трафик, который нужно передавать на удаленный контроллер доме­ на по WAN-каналу.

152

Планирование сайтов

Глаеа 5

•

Если пользователям нужна возможность входить в домен, даже когда WAN-канал не работает, следует установить контроллер домена в локальном сайте. Если WAN-ка­ нал недоступен и нет локальных контроллеров домена, способных обработать запро­ сы на вход в систему, пользователи регистрируются с кэшированными удостовере­ ниями и не могут обращаться к ресурсам других компьютеров. • Если на серверах сайта выполняются приложения, работающие с сайтами, и нужно обеспечить доступ пользователей домена к этим приложениям, установите в этом сайте контроллер домена. Тогда серверы, на которых выполняются такие приложе­ ния, смогут выполнять аутентификацию пользователей, обращаясь к локальному контроллеру домена, и не будут генерировать трафик аутентификации, передавае­ мый по WAN-каналу. • Если сайт является узловым (hub site), т. е. связывает друг с другом остальные сайты меньшего размера, и если у этих сайтов меньшего размера нет своих контроллеров доменов, имеет смысл поместить контроллер домена в узловой сайт, чтобы умень­ шить время отклика при входе. Как видите, при принятии большинства решений, связанных с добавлением кон­ троллеров в сайты, вам нужно найти баланс между издержками из-за установки допол­ нительных контроллеров доменов и выгодой от того, что трафик аутентификации не передается по WAN-каналам. Когда вы добавляете контроллер домена по любой из вышеперечисленных причин, нужно учитывать следующие моменты. • Контроллерами доменов нужно управлять. Устанавливайте контроллеры только там, где есть администраторы, достаточно квалифицированные для того, чтобы управ­ лять контроллерами домена. Если таких администраторов нет, вы должны обеспе­ чить сотрудникам ИТ-отдела уровень доступа, позволяющий удаленно управлять контроллером домена. • Контроллеры домена должны быть защищены. Устанавливайте контроллеры домена только в тех сайтах, в которых можно гарантировать физическую безопасность кон­ троллера.

Как определить количество необходимых контроллеров доменов Следующий этап — определить, сколько контроллеров доменов требуется на сайте для обслуживания каждого из его доменов. Количество пользователей домена, входящих на сайт, — основной фактор, влияю­ щий на число контроллеров, необходимых данному домену. Чтобы определить, сколько контроллеров требуется каждому из доменов сайта, руководствуйтесь следующими пра­ вилами. • Если данный домен сайта охватывает менее 1000 пользователей, в нем достаточно установить всего один контроллер. • Если данный домен сайта охватывает от 1000 до 10 000 пользователей, в нем требу­ ется установить не менее двух контроллеров. • Для каждых дополнительных 5000 пользователей следует добавлять по одному кон­ троллеру. Например, если на сайт входят 20 000 пользователей домена, в этом доме­ не следует установить четыре контроллера. Кроме того, при определении количества контроллеров домена, необходимых сайту, следует учитывать издержки, которые возникают при репликации между сайтами. Ба­ зовое правило состоит в том, что для каждых 15 соединений репликации, устанавлива-

Занятае 2

Плакирование контроллеров доменов

| gg

емых с сайтом, следует добавлять один контроллер домена, который будет нести эту нагрузку. На заметку Даже если можно выполнить требования сайта, установив лишь один кон­ троллер, в сайт надо поместить минимум два контроллера домена, чтобы обеспечить отказоустойчивость в случае, если один из контроллеров даст сбой. Кроме того, второй контроллер домена обеспечивает балансировку нагрузки, даже если в этом нет техни­ ческой необходимости. Вообще говоря, можно добиться некоторого уровня отказоус­ тойчивости, установив на один контроллер больше, чем определенное вами минималь­ ное количество. Если будет доступен еще один контроллер домена, то в случае сбоя одного из контроллеров остальные не будут перегружены.

Как разместить контроллеры корневого домена леса Первый домен, создаваемый в новом лесу, называется корневым доменом леса и зани­ мает особое место среди доменов леса. Корневой домен леса закладывает основу струк­ туры леса и пространства имен. Кроме того, данные о группах Администраторы пред­ приятия (Enterprise Admins) и Администраторы схемы (Schema Admins) уровня леса так­ же хранятся в корневом домене леса. Доверительные отношения между доменами являются транзитивными, и вся аутен­ тификация между разными доменами леса выполняется или через корневой домен леса (т. е. контроллер корневого домена леса), или через специально сконфигурированное доверие к сокращению (shortcut trusts) между региональными доменами. Если один сайт содержит несколько доменов, но корневой домен леса находится в другом сайте, можно определеить доверие к сокращению или добавить контроллер корневого домена леса в локальный сайт. Это позволит аутентифицировать пользователей между доменами локального сайта, даже если WAN-канал неработоспособен.

Планирование серверов — хозяев операций Существуют задачи, которые в отличие от модели репликации с несколькими хозяева­ ми решаются только определенными контроллерами домена. Эти контроллеры выпол­ няют так называемые роли хозяев операций. Хозяева операций (operations masters) — контроллеры домена, которым назначены определенные роли, связанные с обслужива­ нием домена или леса, и они всегда выполняют функции, специфичные для домена или леса, — никакой другой компьютер не вправе брать на себя эти функции. Такие функции разделены на категории для лучшей управляемости.

Роли хозяев операций уровня леса В Windows Server 2003 две роли хозяев операций уровня леса. • Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, — как, например, в случае установки приложения, кото­ рое должно модифицировать классы или атрибуты схемы, — то делать это следует на хозяине схемы [т. е. должен быть доступен контроллер домена (DC), имеющий роль хозяина схемы] одному из членов группы Администраторы схемы (Schema

154

Планирование сайтов

Глава 5

Admins). Если DC, являющийся хозяином схемы, недоступен, а вы должны внести изменения в схему, можно передать эту роль другому DC. ш Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности до­ менов. Хозяин именования доменов запрашивается при добавлении к лесу новых доменов. Если хозяин именования доменов недоступен, добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому кон­ троллеру. Здесь есть одна тонкость, о которой важно помнить в среде с несколькими доменами: хозяин именования доменов должен быть еще и сервером глобального каталога. Дело вот в чем. Чтобы проверить, является ли уникальным домен, созда­ ваемый в лесу, хозяин именования доменов запрашивает глобальный каталог. Эти две роли автоматически назначаются первому контроллеру домена в лесу. В однодоменной среде (или в лесу с нескольким доменами, в котором все контролле­ ры корневого домена леса хранят глобальный каталог) вы должны оставить обе роли хозяев операций уровня леса первому контроллеру, созданному в корневом домене леса. В лесу с несколькими доменами, в котором глобальный каталог хранится не на всех контроллерах, передайте обе роли хозяев операций уровня леса контроллеру корневого домена леса, не являющемуся сервером глобального каталога.

Роли хозяев операций уровня домена

В Windows Server 2003 три роли хозяев операций уровня домена. • Эмулятор основного контроллера домена [Primary Domain Controller (PDC) Emulator] отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows Server 2003. Одна из основных задач эмулятора PDC — регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит об­ ращение, если аутентификация клиента оказалась неудачной. • Хозяин RID [Relative Identifier (RID) Master] отвечает за выделение диапазонов от­ носительных идентификаторов (RID) всем контроллерам в домене. Идентификатор защиты (security identifier, SID) — уникальный идентификатор каждого объекта в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект в домене и ука­ зывают, где он был создан. • Хозяин инфраструктуры (Infrastructure Master) регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается хо­ зяину инфраструктуры, и лишь потом они реплицируются на другие контроллеры домена. Хозяин инфраструктуры обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача хозяина инфраструктуры — пере­ давать информацию об изменениях, внесенных в объекты, в другие домены. Не назначайте роль хозяина инфраструктуры контроллеру домена, содержащему гло­ бальный каталог, если только этот каталог не хранится на всех контроллерах доме­ на. Это объясняется тем, что хозяин инфраструктуры не будет нормально работать, если он содержит ссылки на объекты, не входящие в домен. Если хозяин инфра­ структуры является еще и сервером глобального каталога, то глобальный каталог будет содержать объекты, которые не хранятся на хозяине инфраструктуры, что опять же помешает его работе.

Занятое 2

Планирование контроллеров доменов

15з

Все три роли уровня домена автоматически назначаются первому контроллеру доме­ на, созданному в домене. Следует по возможности всегда назначать три роли уровня ~омена одному серверу, входящему в домен. Поскольку по умолчанию эти роли получа­ ет первый установленный контроллер домена, самое лучшее — все так и оставить. Это весьма упрощает администрирование. Не забывайте: этот сервер либо не должен содер­ жать глобальный каталог, либо, если тот все же хранится на этом сервере, глобальный каталог должен содержаться и на остальных контролерах этого домена. Помните, что всем пользователям домена требуется регулярный доступ к серверу 'или серверам), выполняющему эти роли. Если в домен входит несколько сайтов, поме­ стите хозяев операций в сайт с наибольшим числом пользователей. Если таких сайтов несколько, поместите хозяев операций в тот из них, который доступен всем пользова­ телям.

Планирование серверов глобального каталога Сервер глобального каталога — это контроллер домена, поддерживающий подмноже­ ство атрибутов объектов Active Directory, к которым чаще всего обращаются пользова­ тели или клиентские компьютеры, например регистрационное имя пользователя. Сер­ веры глобального каталога выполняют две важные функции. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса, не обращаясь к конкретным контроллерам доменов, на которых хранятся эти объекты. Active Directory состоит из трех разделов. •

•

•

Раздел схемы. Хранит определения всех объектов, которые можно создать в лесу, а также их атрибутов. В лесу существует только один раздел схемы. Его копия репли­ цируется на все контроллеры доменов, входящие в лес. Раздел конфигурации. Определяет структура доменов, сайтов и объектов-серверов Active Directory. В лесу существует только один раздел конфигурации. Его копия реплицируется на все контроллеры доменов, входящие в лес. Раздел домена. Служит для идентификации и определения объектов, специфич­ ных для домена. В каждом домене существует свой раздел домена, копия которого реплицируется на все контроллеры этого домена.

Как и все контроллеры доменов, сервер глобального каталога содержит полные ко­ пии разделов схемы и конфигурации, а также полную копию раздела домена для того домена, в который он входит. В эти копии можно записывать данные. Кроме того, он содержит глобальный каталог, где хранится подмножество информации раздела домена и который реплицируется на другие контроллеры этого домена. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобаль­ ного каталога. Без глобального каталога этот запрос мог бы долго передаваться от одно­ го контроллера домена к другому. Если в вашей сети один домен, необходимости в этой функции глобального каталога нет, так как информация обо всех пользователях и объектах сети находится на любом контроллере домена. Но при наличии нескольких доменов эта функция глобального каталога становится важной. Другая функция глобального каталога, полезная независимо от того, сколько доме­ нов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, указывая имя участника системы безопасности (user prinipal name, UPN) вида [email protected], оно сначала сверяется с содержимым гло­ бального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных

•jgg

Планирование сайтов

Глава 5

от того, где хранится нужная пользовательская учетная запись. Кроме того, это позво­ ляет входить в сеть, когда контроллер домена недоступен, например из-за того, что не работает WAN-канал. Примечание В Windows Server 2003 введена новая функция — кэширование информа­ ции о членстве в универсальных группах. Если эта функция активизирована для сайта, контроллеры домена этого сайта кэшируют информацию о членстве пользователей в универсальных группах, когда пользователи входят в сеть. Контроллеры домена также обновляют этот кэш, связываясь через заданные интервалы с серверами глобального каталога. Если кэширование информации о членстве в универсальных группах вклю­ чено, контроллеры доменов могут аутентифицировать пользователей, не обращаясь к глобальному каталогу. Эта функция полезна в случае небольших сайтов, когда добав­ ление сервера глобального каталога привело бы к созданию лишнего трафика репли­ кации. По умолчанию сервером глобального каталога становится первый контроллер доме­ на, установленный в лесу. Однако в отличие от ролей хозяина операций роль сервера глобального каталога может быть назначена нескольким контроллерам. Установка до­ статочного количества серверов глобального каталога на каждом участке обеспечит при­ емлемое время отклика для пользователей, входящих в сеть из удаленных доменов. Подготовка к экзамену В лесу с одним доменом сделайте все контроллеры домена сер­ верами глобального каталога, поскольку для этого не потребуется дополнительного про­ странства и это не приведет к генерации дополнительного трафика репликации. В лесу с несколькими доменами можно создать столько серверов глобального каталога, сколь­ ко нужно, чтобы обеспечить балансировку нагрузки и избыточность. Microsoft реко­ мендует устанавливать минимум один сервер глобального каталога в каждом сайте. Хотя любой контроллер домена можно сделать сервером глобального каталога, будь­ те осторожны, решая, каким серверам назначить те или иные роли. Прежде всего не следует превращать один и тот же контроллер домена в хозяина инфраструктуры и в сервер глобального каталога, если у вас не один контроллер домена. Кроме того, сервер глобального каталога требует большого объема ресурсов от контроллера домена. По этой причине не стоит создавать сервер глобального каталога из контроллера домена, вы­ полняющего другие ресурсоемкие роли. При добавлении серверов глобального каталога в сайты руководствуйтесь следую­ щими правилами. • Если сайт включает более 100 пользователей, поместите в него сервер глобального каталога, чтобы сократить трафик аутентификации, передаваемый по WAN-кана­ лам. В случае небольших сайтов используйте вместо сервера глобального каталога кэширование информации о членстве в универсальных группах. • Если в сайте несколько контроллеров домена, установите несколько серверов гло­ бального каталога. Общее базовое правило — количество серверов глобального ка­ талога должно быть равно половине количества контроллеров домена в сайте. • Помещайте серверы глобального каталога в сайты, в которых установлены прило­ жения, постоянно выполняющие поиск в Active Directory. Возможность обращаться к локальному серверу глобального каталога повысит производительность и сократит трафик по WAN-каналам.

Занятие 2

Планирование контроллеров доменов

-| g j

Планирование пропускной способности контроллеров доменов Под пропускной способностью контроллера домена имеется в виду число пользовате­ лей сайта, которое может поддерживать этот контроллер. Администраторы должны по­ нимать требования, предъявляемые к каждому контроллеру домена, и подбирать аппа­ ратное обеспечение в соответствии с этими требованиями, чтобы в дальнейшем не было трудноразрешимых проблем, связанных с тем, что контроллеры доменов не отвечают на запросы пользователей, поскольку не справляются с нагрузкой. Основной фактор, влияющий на требования к пропускной способности, — количе­ ство пользователей домена, которые должны проходить аутентификацию. После того как вы оценили требования к оборудованию с учетом количества пользователей, следу­ ет уточнить эти требования — принять во внимание дополнительные роли и службы, которые будут работать на этом контроллере домена.

Определение требований к процессорам Количество процессоров, необходимых контроллеру домена, в основном зависит от того, сколько пользователей будут входить в домен. Чтобы по числу пользователей, входящих в домен, определить, какие процессоры использовать, руководствуйтесь следующими правилами. • Если пользователей меньше 500, контроллеру домена под управлением Windows Server 2003 достаточно одного процессора с тактовой частотой 850 МГц или выше. • Если количество пользователей находится в пределах от 500 до 1500, контроллеру домена под управлением Windows Server 2003 требуется два процессора с тактовой частотой 850 МГц или выше. • Если пользователей больше 1500, контроллеру домена под управлением Windows Server 2003 нужно четыре процессора с тактовой частотой 850 МГц или выше. На заметку Хотя для сдачи экзамена вы должны запомнить требования, перечислен­ ные в разделе «Определение требований к процессорам», есть и другие подходы к обес­ печению необходимой процессорной мощности. С ростом числа пользователей кон­ троллерам доменов требуются дополнительные вычислительные ресурсы. Вместо уста­ новки дополнительных процессоров можно увеличивать тактовую частоту процессора. Так, один процессор с тактовой частотой 1,6 ГГц способен заменить два процессора на 850 МГц, а процессор с тактовой частотой 3 ГГц — четыре процессора на 850 МГц. Преимущество многопроцессорных систем — возможность одновременной обработки большего количества запросов, но это преимущество во многих случаях не компенси­ рует издержки от установки нескольких процессоров. Системы с несколькими процес­ сорами, как правило, дороже, чем системы с одним, но более мощным процессором. Кроме того, условия лицензирования ПО зависят от количества процессоров в системе.

Определение требований к дисковому пространству Как и требования к процессорам, требования к дисковому пространству в первую оче­ редь зависят от числа пользователей в домене. Чтобы определить требования к дисково­ му пространству, руководствуйтесь следующими правилами.

Занятие 2

Планирований контроллеров доменов

-j g j

Планирование пропускной способности контроллеров доменов Под пропускной способностью контроллера домена имеется в виду число пользовате­ лей сайта, которое может поддерживать этот контроллер. Администраторы должны по­ нимать требования, предъявляемые к каждому контроллеру домена, и подбирать аппа­ ратное обеспечение в соответствии с этими требованиями, чтобы в дальнейшем не было трудноразрешимых проблем, связанных с тем, что контроллеры доменов не отвечают на опросы пользователей, поскольку не справляются с нагрузкой. Основной фактор, влияющий на требования к пропускной способности, — количе­ ство пользователей домена, которые должны проходить аутентификацию. После того как вы оценили требования к оборудованию с учетом количества пользователей, следу­ ет уточнить эти требования — принять во внимание дополнительные роли и службы, которые будут работать на этом контроллере домена.

Определение требований к процессорам Количество процессоров, необходимых контроллеру домена, в основном зависит от того, сколько пользователей будут входить в домен. Чтобы по числу пользователей, входящих з домен, определить, какие процессоры использовать, руководствуйтесь следующими .травилами. • Если пользователей меньше 500, контроллеру домена под управлением Windows Server 2003 достаточно одного процессора с тактовой частотой 850 МГц или выше. • Если количество пользователей находится в пределах от 500 до 1500, контроллеру домена под управлением Windows Server 2003 требуется два процессора с тактовой частотой 850 МГц или выше. • Если пользователей больше 1500, контроллеру домена под управлением Windows Server 2003 нужно четыре процессора с тактовой частотой 850 МГц или выше. На заметку Хотя для сдачи экзамена вы должны запомнить требования, перечислен­ ные в разделе «Определение требований к процессорам», есть и другие подходы к обес­ печению необходимой процессорной мощности. С ростом числа пользователей кон­ троллерам доменов требуются дополнительные вычислительные ресурсы. Вместо уста­ новки дополнительных процессоров можно увеличивать тактовую частоту процессора. Так, один процессор с тактовой частотой 1,6 ГГц способен заменить два процессора на 350 МГц, а процессор с тактовой частотой 3 ГГц — четыре процессора на 850 МГц. Преимущество многопроцессорных систем — возможность одновременной обработки большего количества запросов, но это преимущество во многих случаях не компенси­ рует издержки от установки нескольких процессоров. Системы с несколькими процес­ сорами, как правило, дороже, чем системы с одним, но более мощным процессором. Кроме того, условия лицензирования ПО зависят от количества процессоров в системе.

Определение требований к дисковому пространству Как и требования к процессорам, требования к дисковому пространству в первую оче­ редь зависят от числа пользователей в домене. Чтобы определить требования к дисково­ му пространству, руководствуйтесь следующими правилами.

158

Планирование сайтаз

Глава 5

•

На диске, содержащем БД Active Directory (NTDS.dit), для хранения данных о каж­ дой 1000 пользователей необходимо выделить минимум 400 Мб. Сюда входит и про­ странство, занимаемое разделом DNS. • На диске, содержащем файлы журналов транзакций Active Directory, должно быть минимум 500 Мб свободного места. • На диске, содержащем общие папки SYSVOL, должно быть минимум 500 Мб. • На диске, на который устанавливается ОС Windows Server 2003, должно быть при­ мерно 2 Гб свободного дискового пространства. Определив минимальный объем дискового пространства, необходимый контролле­ рам доменов, вы должны выделить дополнительное дисковое пространство на тех кон­ троллерах домена, на которых будет храниться глобальный каталог. Если в лесу только один домен, назначение контроллеру домена роли сервера глобального каталога не при­ ведет к увеличению размера БД. Однако, если в лесу более одного домена, для каждого дополнительного домена размер глобального каталога увеличивается приблизительно на 50% от размера базы данных этого домена.

Определение требований к памяти И вновь основным фактором, влияющим на требования к объему памяти контроллера домена, является количество пользователей. Чтобы определить требования к памяти контроллера домена, руководствуйтесь следующими правилами. • Если пользователей меньше 500, контроллеру домена требуется 512 Мб памяти. • Если количество пользователей находится в пределах от 500 до 1000, контроллеру домена требуется 1 Гб памяти. • Если пользователей больше 1000, контроллеру домена требуется 2 Гб памяти.

Совет Microsoft предлагает утилиту Active Directory Sizer Tool, которая по числу пользо­ вателей, информации о домене и топологии сайтов сети позволяет оценить требования к оборудованию для развертывания Active Directory. Эта утилита доступна по ссылке http://www.microsoft.com/windows2000/downloads/tools/sizer/default.asp. Она разработана д Windows 2000, но остается полезной и при оценке требований к оборудованию компью­ тера под управлением Windows Server 2003.

Лабораторная работа. Планирование контроллеров доменов На этой лабораторной работе вы спроектируете размещение контроллеров доменов и серверов глобального каталога для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Отве­ ты для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих возможности в передаче данных. Сейчас Northwind Traders использует основную мо­ дель доменов Microsoft Windows NT 4.0 (master domain model). Все домены настроены на двусторонние доверительные отношения между собой. В последние годы компания зна­ чительно расширилась и ожидает дальнейшего существенного роста в следующие три года, в том числе увеличения своей доли рынка, доходов и численности сотрудников.

Занятие 2

Планирование контроллеров доменов

Помимо открытия двух новых офисов, администрация решила реализовать новый про­ ект Windows Server 2003 Active Directory, отвечающий текущим и будущим потребнос­ тям компании. Территориальная структура сети компании Northwind показана ниже. Сотрудники ИТ-отдела, расположенного в главном офисе корпорации в Париже, очень хотели бы оез проблем выполнять поиск информации, которая будет содержаться в БД Active Directory. Это требование объясняется тем, что в текущей модели поиск различных ресурсов и информации об учетных записях занимает много времени. Кроме того, не­ которые сотрудники региональных офисов посещают главный офис в Париже. Им нуж­ но без проблем входить на компьютеры парижского офиса и других офисов, в которых они бывают.

В офисе в Сиднее планируется установить несколько серверных DCOM-приложений (Distributed Component Object Model), работающих с сайтами. Эти приложения потребуют быстрого ответа от серверов.

Вопросы к лабораторной работе Исходя из этого сценария ответьте на следующие вопросы. 1. Сколько контроллеров домена вы установили бы в каждом сайте? Почему? Укажите их количество в следующей таблице. Домен

Число контроллеров домена в каждом сайте Париж

Nwtraders .local AsiaPacific. nwtraders .local NAeast.nwtraders.local NAwest.nwtraders.local Corp.nwtraders.local RDNwtraders.local Glasgow.RDNwtraders.local

Глазго

Сидней

Атланта

Лос-Анджелес

160

Планирование сайтов

Глава 5

2. В каких сайтах вы разместили бы серверы глобального каталога? В каких сайтах вы включили бы кэширование членства в универсальных группах? Заполните следую­ щую таблицу. Сайт

Число серверов глобального каталога для леса Nwtraders.local

Число серверов глобального каталога для леса RDNwtraders.local

Включить кэширование членства в группах для сайта (да/нет)

Париж Глазго Сидней Атланта Лос-Анджелес

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. По каким причинам в сайты помещают контроллеры домена? Какие причины могут быть для того, чтобы не помещать в сайт контроллер домена? 2. Вы определяете, сколько контроллеров доменов нужно установить в сайте. Сайт охватывает 15 000 пользователей. Поддерживается восемь соединений репликации с сайтом. Сколько контроллеров доменов следует установить? 3. Какие рекомендации следует выполнять при установке серверов глобального ката­ лога?

Резюме •

Основная причина помещения контроллеров доменов в сайт — необходимость изба­ виться от передачи WAN-трафика между сайтами. Этот трафик может генериро­ ваться, когда пользователи связываются с контроллерами доменов при аутентифи­ кации, когда приложения, работающие с сайтами, обращаются к контроллерам доменов, чтобы выполнить поиск, а также при репликации. • Если пользователей сайта менее 1000, достаточно одного контроллера домена. Если пользователей от 1000 до 10 000, рекомендуется установить два контроллера домена. Для каждых дополнительных 5000 пользователей сверх 10 000 добавляйте один кон­ тролер домена. Однако даже в сайтах менее чем с 1000 пользователей следует уста­ навливать второй контроллер домена, чтобы обеспечить отказоустойчивость. • По возможности назначайте все роли хозяина операций для леса или домена одному и тому же контроллеру домена. Запомните следующее правило: хозяин инфраструк­ туры не должен хранить глобальный каталог за исключением случая, когда все дру­ гие контроллеры этого домена тоже содержат глобальный каталог. • На серверах глобального каталога хранится подмножество атрибутов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компью­ теры. Они позволяют пользователям входить в сеть и искать объекты Active Director, по всему лесу, не обращаясь к тем контроллерам домена, где хранятся эти объекты.

Занятие 3 •

Планирование стратегам репликации

jg-j

Требования к оборудованию контроллера домена в основном зависят от числа пользо­ вателей, которые должны проходить аутентификацию в домене. Определив требова­ ния в соответствии с этим критерием, примите во внимание, является ли контрол­ лер домена сервером глобального каталога и выполняет ли он другие роли.

Занятие 3. Планирование стратегии репликации Репликация Active Directory — жизненно важная операция, которую необходимо тща­ тельно планировать. Правильно спланированная репликация ускоряет ответ каталога, уменьшает сетевой трафик по WAN-каналам и сокращает административные издерж­ ки. На этом занятии рассказывается, как выполняется репликация и как выработать четкую стратегию репликации. Изучив материал этого занятия, вы сможете: •S объяснить, как выполняется репликация Active Directory внутри сайта и между сайтами; •S рассказать об использовании связей сайтов, мостов связей сайтов и серверов-плацдармов (серверов репликации между сайтами); •S выработать стратегию репликации для компании. Продолжительность занятия — около 25 минут.

Процесс репликации Как вы уже знаете, в Windows Server 2003 используется модель репликации с несколь­ кими хозяевами, при которой на всех контроллерах домена хранятся равноправные копии БД Active Directory. Когда вы создаете, удаляете или переносите объект либо изменяете его атрибуты на любом контроллере домена, эти изменения реплицируются на остальные контроллеры домена.

Внутрисайтовая и межсайтовая репликация Поскольку в Active Directory могут храниться тысячи и даже миллионы объектов, реп­ ликация изменений этих объектов запросто может отобрать значительную часть про­ пускной способности сети и системных ресурсов контроллеров доменов. Внутрисайто­ вая (между контроллерами домена одного сайта) и межсайтовая репликация (между контроллерами домена, относящимися к разным сайтам) выполняется по-разному. При внутрисайтовой репликации трафик репликации передается в несжатом фор­ мате. Это объясняется тем, что контроллеры домена, принадлежащие одному сайту, как предполагается, связаны каналами с высокой пропускной способностью. Помимо того, что данные не сжимаются, используется механизм репликации, основанный на уве­ домлении об изменениях. Значит, если в данные домена вносятся изменения, эти изме- . нения быстро реплицируются на все контроллеры домена. При межсайтовой репликации все данные передаются в сжатом виде. Это отражает тот факт, что трафик, вероятно, передается по более медленным WAN-каналам (в срав-

162

Планирование сайтов

Глава 5

нении с соединениями локальной сети, используемыми при внутрисайтовой реплика­ ции). Однако при этом увеличивается нагрузка на серверы, поскольку, помимо прочих операций по обработке, им приходится упаковывать/распаковывать данные. Кроме того, репликация выполняется по расписанию во время, лучше подходящее данной органи­ зации. Например, вы можете разрешить репликацию только в те часы, когда каналы менее загружены. Конечно, из-за того, что репликация выполняется с задержкой, воз­ никает задержка и в передаче изменений на серверы других сайтов. Примечание Подробнее о том, как работает система уведомлений об изменениях, и об основных механизмах репликации — в руководстве «Directory Services Guide», кото­ рое является частью Microsoft Windows Server 2003 Resource Kit (Microsoft Press, 2003). Дополнительные сайты создаются для управления передачей трафика репликации по медленным WAN-каналам. Например, у вас имеется несколько контроллеров доме­ на в основной LAN и несколько контроллеров домена в LAN филиала. Эти две LAN связаны друг с другом относительно медленным WAN-каналом. Вы хотели бы, чтобы репликация между контроллерами домена каждой локальной сети выполнялась сразу после внесения изменений, а репликация по WAN-каналу — с некоторой задержкой. Чтобы соблюсти это требование, создайте два сайта: один будет охватывать все кон­ троллеры домена основной LAN, а другой — все контроллеры домена удаленной LAN.

Транспорты, используемые при репликации При любом коммуникационном взаимодействии в сети нужен некий транспорт­ ный протокол, по которому передается информация. Это относится и к трафику репликации Active Directory. При репликации данных применяются два транс­ порта: RPC (Remote Procedure Call) и SMTP (Simple Mail Transfer Protocol). Удаленные вызовы процедур выполняются при отправке сообщений репли­ кации внутри сайта и между сайтами. Протокол RPC используется по умолча­ нию при всех операциях репликации Active Directory, поскольку является отра­ слевым стандартом и совместим с большинством типов сетей. SMTP применяется при репликации между сайтами, не связанными посто­ янными соединениями (необходимыми для работы RPC). Одно из ограничений при использовании SMTP — он не позволяет реплицировать информацию раздела домена (domain partition information) на DC, входящие в домен. Поскольку SMTP применяется только при репликации между сайтами, проблем с репликацией информации раздела домена внутри домена не возникает (в этом случае автома­ тически используется RPC). То есть SMTP полезен лишь при репликации схе­ мы и глобального каталога.

Как выполняется репликация Каждый контроллер домена в сайте представляется объектом-сервером. У каждого объекта-сервера есть дочерний объект NTDS Settings, управляющий репликацией дан­ ных контроллера домена внутри сайта, а у каждого объекта NTDS Settings — объектсоединение, в котором хранятся атрибуты соединения и который представляет комму­ никационный канал, применяемый при репликации данных с одного контроллера до-

Занятие 8

Планирование стратегам репликации

мена на другой. Для репликации нужно, чтобы на обеих сторонах было по объектусоединению. Сервис Knowledge Consistency Checker (KCC) автоматически создает набор объек­ тов-соединений для репликации с одного контроллера домена на другой. Однако при необходимости можно создать объекты-соединения вручную. КСС создает различные топологии (т. е. задает местонахождение объектов-соедине­ ний и их конфигурацию) для внутрисайтовой и межсайтовой репликации. Кроме того, КСС изменяет созданные им топологии всякий раз, когда вы добавляете и удаляете контроллеры домена или перемещаете их из одного сайта в другой. Примечание О топологиях, создаваемых сервисом КСС, — в руководстве «Directory Services Guide», входящем в Windows Server 2003 Resource Kit (Microsoft Press, 2003).

Связи сайта Связь сайта (site link) — это объект Active Directory, представляющий физическое со­ единение между двумя или более сайтами. Для репликации данных между сайтами необходимо создать связь между ними. Эта связь состоит из двух компонентов: соб­ ственно физического соединения между сайтами (обычно WAN-канала) и объекта свя­ зи сайта. Последний определяет протокол, используемый при передаче трафика репли­ кации (IP или SMTP), и расписание репликации. Вся сайты, входящие в объект связи, должны быть соединены сетью одного типа. Чтобы контроллеры домена, относящиеся к одному сайту, могли реплицировать дан­ ные об изменениях каталога на контроллеры домена, относящиеся к другому сайту, с помощью связей сайтов вы должны вручную связать сайт с другими сайтами. Один и тот же объект связи сайта можно использовать для управления более чем одной парой сайтов. Например, если ваша сеть состоит из четырех сайтов, которые используют один и тот же протокол, соединены WAN-каналами одного типа и пропускной способности и должны выполнять репликацию по одному и тому же расписанию, вы можете создать один объект связи для всех этих сайтов. Кроме того, если два сайта связаны более чем одним WAN-соединением, вам нужно создать лишь одну связь сайта, так как назна­ чить эту связь заданному соединению нельзя. Если используется более сложная сеть, в которой имеются соединения разных ти­ пов и пропускных способностей, потребуется создать отдельные связи сайтов, опреде­ ляющие разные типы соединений. Однако по возможности старайтесь группировать однотипные WAN-каналы, создавая для них одну и ту же связь сайта.

Транзитивность связей сайтов и мосты таких связей По умолчанию связи сайта являются транзитивными (рис. 5-4). То есть, если связаны сайты А и В, В и С, то сайты А и С также связаны транзитивным соединением. Вы можете отключить транзитивность связей сайтов для заданного транспорта, но это не рекомендуется, кроме особых случаев, когда: • нужен полный контроль над репликацией; • требуется исключить определенный путь репликации; • сеть не обеспечивает полной маршрутизации или же брандмауэр не позволяет на­ прямую выполнять репликацию между двумя сайтами.

184

Планирование сайтов

Глава 5

Рис. 5-4. По умолчанию связи сайтов транзитивны Отключение транзитивности связей сайтов для транспорта влияет на все связи, ис­ пользующие этот транспорт, — они станут нетранзитивными. Тогда, чтобы поддержи­ вать транзитивные соединения, вам придется создать мосты связей сайтов. Мосты связей сайтов (site-link bridges) — логические соединения, использующие связи сайтов в качестве транспорта. Когда транзитивность связей включена, между всеми сайтами автоматически создаются логические мосты связей сайтов. А когда тран­ зитивность связей отключена, вы должны создавать такие мосты вручную. На рис. 5-5 показана простая группа из четырех сайтов, соединенных связями по принципу кару­ сели. Если транзитивность связей для этих сайтов отключена, вам придется вручную создать мосты связей сайтов, чтобы сделать возможной репликацию между всеми сай­ тами. В основном такие мосты служат для того, чтобы при отключенной транзитивности связей у каждого сайта был путь репликации к другим сайтам. Рассуждайте следую­ щим образом. Когда транзитивность связей включена, между всеми связями сайтов имеются мосты, поэтому все сайты могут обмениваться данными репликации друг с другом. А когда транзитивность отключена, вы должны самостоятельно создать мосты, поскольку связаны только те сайты, между которыми вручную сконфигурированы свя­ зи. Мосты связей сайтов передают трафик репликации между соответствующими сай­ тами по цепочке из нескольких связей.

I сайт А I V J %. ^S

(

СайтС 1 ^"*—^

f \ \

^Ч Сайт В I §

м00т связи

сайта

связь сайта

\тш,_ ~~~-—J СайтО I

Рис. 5-5. Мосты связей сайтов используются, когда транзитивность связей отключена Подготовка к экзамену По возможности всегда применяйте конфигурацию по умолча­ нию (в которой транзитивность связей сайтов включена). На экзамене вы можете стол­ кнуться с двумя случаями, где требуется отключить связи сайтов и использовать мосты связей: при необходимости полного контроля над путями репликации (из-за ограниче­ ний WAN-каналов или конфигурации брандмауэров) и при отсутствии в сети полной маршрутизации.

Занятие 3

Планирование стратегии репликации

Назначение цен связям сайтов Всем связям сайтов назначается цена, которая определяет, насколько данный путь лучше или хуже других связей. По умолчанию все связи имеют цену 100. Если одну связь сделать дороже другой, то при репликации (и при работе других приложений и служб, например Domain Controller Locator) предпочтение будет отдаваться связи с меньшей ценой. Цены цепочки связей суммируются. Например, рассмотрим схему на рис. 5-6. Если контроллеру домена в сайте А потребуется реплицировать информацию на контроллер домена в сайте D, будет использоваться путь через сайт В, поскольку его суммарная цена (600) меньше, чем суммарная цена другого доступного пути (1000).

Рис. 5-6. Цены цепочки связей суммируются Желательно выработать единую схему назначения цен связям сайтов на основе до­ ступной пропускной способности соединений. В табл. 5-1 показано, какие цены реко­ мендуется назначать в зависимости от доступной пропускной способности. Табл. 5-1. Рекомендуемая шкала зависимости цен связей сайтов от доступной пропускной способности Доступная пропускная способность (Кбит/с)

Цена связи сайта

9,6

1042

19,2

798

38,4

644

56

586

64

567

128

486

256

425

512

378

1024

340

2048

309

4096

283

166

Планирование сайтов

Глава 5

Расписание доступности связей сайтов По умолчанию связи сайтов доступны постоянно, т. е. репликация может выполняться, как только в ней возникнет необходимость. Однако, если вы хотите более тонко управ­ лять репликацией, то можете изменить время доступности связей, например задать расписание, указывающее, что связь доступна только в нерабочее время, чтобы репли­ кация не мешала использованию WAN-каналов в других целях. Но имейте в виду: такая блокировка репликации в определенное время не только отдает приоритет друго­ му WAN-трафику, но и увеличивает задержку при репликации — время, которое требу­ ется, чтобы все контроллеры данного домена пришли в одно и то же состояние. Когда при репликации между двумя сайтами используется несколько связей, реп­ ликация домена не завершится, пока каждая связь в этой цепочке не получит возмож­ ность передать данные репликации. Помимо репликации по расписанию, есть еще один подход — задание интервала репликации. Это значение указывает, насколько часто должна выполняться реплика­ ция с использованием данной связи. По умолчанию интервал репликации равен 180 минутам, т. е. репликация между сайтами происходит примерно раз в три часа (если это позволяет расписание, заданное для связи). Как и создание расписания, определение интервала репликации — своего рода искусство. Задавая более продолжительные ин­ тервалы, вы сокращаете трафик по WAN-каналу, но увеличиваете задержку при реп­ ликации.

Создание связей сайтов При установке Active Directory для протокола IP создается объект связи сайта по умол­ чанию — DEFAULTIPSITELINK. Этот объект сопоставляется с сайтом, используемым по умолчанию. Для протокола SMTP объект связи сайта по умолчанию не создается. При создании дополнительных связей учтите следующее. • Убедитесь, что все сайты соединены друг с другом. • Когда вы добавляете сайт в связь, проверьте, не является ли этот сайт членом другой связи, и, если это нужно, удалите ее. Иначе КСС сгенерирует топологию, в которой данный сайт будет членом двух связей. • Используйте для именования связей сайтов единую схему, позволяющую идентифи­ цировать их предназначение. • Используйте для всех связей сайтов транспортный протокол RPC поверх IP за ис­ ключением случаев, когда ваша сеть не обеспечивает полную маршрутизацию и приходится применять SMTP.

Серверы-плацдармы После создания связей сайтов КСС автоматически назначает один или несколько кон­ троллеров в каждом домене на роль серверов-плацдармов (bridgehead servers), или серве­ ров репликации между сайтами. Данные репликации передаются между этими серве­ рами, а не напрямую между всеми контроллерами домена (рис. 5-7). Запомните, что внутри сайта контроллеры домена (в том числе и серверы репликации между сайтами) выполняют репликацию, как только в ней возникает необходимость. Затем, когда со­ гласно расписанию связи доступны, серверы-плацдармы инициируют репликацию с аналогичными серверами других сайтов через заданный интервал.

Занятие 3

Планирование стратегий репликации

Рис. 5-7. Серверы репликации между сайтами Соединения репликации, создаваемые КСС, случайным образом распределяются между всеми серверами сайта, которые могут быть плацдармами репликации между сайтами, — это делается для распределения нагрузки по поддержке репликации. Обыч­ но КСС распределяет соединения, только когда создаются новые объекты-соединения. Однако в Windows Server 2003 Resource Kit имеется утилита Active Directory Load Balancing (ADLB), которую можно использовать для перераспределения ролей серве­ ров-плацдармов в любое другое время (например, при добавлении новых контроллеров домена).

Лабораторная работа. Создание структуры сайтов и стратегии репликации На этой лабораторной работе вы создадите проект сайтов для компании Northwind Trad­ ers. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих возможности в передаче данных. Сейчас Northwind Traders использует основную мо­ дель доменов Microsoft Windows NT 4.0 (master domain model). В последние годы компа­ ния значительно расширилась и ожидает дальнейшего существенного роста в следую­ щие три года, в том числе увеличения своей доли рынка, доходов и численности со­ трудников. Помимо открытия двух новых офисов, администрация решила реализовать новый проект Windows Server 2003 Active Directory, отвечающий текущим и будущим потребностям компании. В следующей таблице перечислены территории, отделы на каждой территории и количество пользователей. Территория Париж

Отделы Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

Число пользователей 2000

(см. след. стр.)

168

Глава 5

Планирование сайтов

(окончание) Территория

Отделы

Число пользователей

Лос-Анджелес

Продажи Маркетинг Финансы ИГ Обслуживание клиентов Техническая поддержка клиентов Обучение Исследования Разработка Долгосрочные проекты ИТ Консалтинг Производство Продажи Финансы

1000

Атланта

Глазго, Шотландия

Сидней, Австралия

750

750

500

Большая часть вычислительных мощностей компании находится в главном офисе в Париже. Корпоративный ИТ-отдел хочет централизовать управление паролями и пара­ метрами защиты. Локальному ИТ-отделу в Лос-Анджелесе нужно сохранить управле­ ние свой инфраструктурой без участия корпоративного ИТ-отдела. Локальный ИТ-от­ дел в Глазго требует эксклюзивного управления своей сетевой средой по соображениям безопасности, так как должен исключить несанкционированный доступ к данным, получаемым в результате научно-исследовательских и опытно-конструкторских работ (research and development, R&D). Ton-менеджеры корпорации разделяют эту озабочен­ ность и хотят добиться максимальной защиты данных R&D. Следующая схема отражает соединения между разными территориальными участ­ ками компании. Кроме того, в Лос-Анджелесе и Атланте имеются VPN-соединения с главным офисом в Париже через Интернет.

(Лос-Анджелес)

f

Атланта ^

4 w

V

" - " " iШирокополосное lk соединение

В следующей таблице дана остальная информация о возможностях соединений в рамках компании Northwind Traders.

Занятие 3

Планирование стратегии репликации

Связь

Тип

Скорость

Доступная пропускная способность

Париж — Интернет

Dual ЕЗ (с избыточностью) Fractional El El Широкополосное соединение Т1

34,368 Мбит/с

10 Мбит/с

768 Кбит/с 2,048 Мбит/с 1,5 Мбит/с

128 Кбит/с 32 Кбит/с 384 Кбит/с

1,544 Мбит/с

56 Кбит/с

Париж — Глазго Париж — Сидней Атланта — Интернет Лос-Анджелес — Интернет

Вопросы к лабораторной работе Исходя из этого сценария, ответьте на следующие вопросы. 1. Нарисуйте схему сайтов для компании Northwind Traders, в том числе все связи сайтов, которые вы создадите. Укажите цену, которую вы назначите каждой такой связи. Кроме того, задайте расписание для тех связей, для которых не годится рас­ писание по умолчанию. 2. Собираетесь ли вы отключить транзитивность связей сайтов? Если да, то будете ли вы создавать какие-либо мосты связей сайтов?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие характеристики должны быть у WAN-каналов, чтобы за ними можно было закрепить общую связь сайта? 2. Расскажите, чем отличается внутрисайтовая репликация от межсайтовой. 3. Перечислите причины, по которым может потребоваться отключить транзитивность связей сайтов.

Резюме •

Внутрисайтовая репликация оптимизирована для повышения скорости. Контролле­ ры домена реплицируют изменения сразу после их внесения и передают данные в несжатом формате. Межсайтовая репликация оптимизирована для минимального использования пропускной способности. При этом происходит обмен информацией между серверами-плацдармами (серверами репликации между сайтами), данные сжимаются, и можно задать расписание доступности связей сайтов и интервалы, через которые выполняется репликация. • Сервис Knowledge Consistency Checker (КСС) автоматически создает и изменяет топологию объектов-соединений, необходимых, чтобы контроллеры домена могли обмениваться данными репликации. • Связь сайта — это объект Active Directory, представляющий соединение между дву­ мя или более сайтами. Для репликации между сайтами нужно установить связь между ними. Все сайты, входящие в такую связь, должны быть соединены сетью одного типа. Каждой связи сайта назначается цена, определяющая, какие связи

Плакирование сайтов

Глава 5

лучше выбирать при определении пути репликации. По умолчанию всем связям назначается цена 100. и По умолчанию связи сайтов являются транзитивными. Вы можете отключить тран­ зитивность, но тогда, чтобы выполнять репликацию данных между всеми сайтами домена, потребуется вручную создать мосты связей сайтов.

Занятие 4. Разработка стратегии перехода Если вы проектируете структуру Active Directory для уже работающей сети на основе Microsoft Windows NT 4 или Windows 2000, вам придется подумать над тем, как перейти на Windows Server 2003 и реализовать новую инфраструктуру сети. Если вы следовали рекомендациям из главы 2, то уже хорошо понимаете существующую инфраструктуру сети и располагаете набором схем, описывающих эту инфраструктуру. На этом занятии рассказывается, как перейти от Windows NT 4 и Windows 2000 к Windows Server 2003. Изучив материал этого занятия, вы сможете:

•S рассказать об основных проблемах перехода от доменов Windows NT 4; •/ описать основные проблемы перехода от доменов Windows 2000. Продолжительность занятия — около 10 минут.

Переход от доменов Windows NT 4 Между Windows NT 4 и Windows Server 2003 много отличий. С точки зрения проектиро­ вания доменов, одно из самых больших отличий в том, что в Windows NT 4 не исполь­ зуются сайты. В Windows NT 4 для создания структуры управления репликацией и логической структуры безопасности служат домены. Поэтому создание доменов в сети на основе Windows NT 4 подчиняется другой логике. Часто для управления трафиком репликации создается несколько доменов там, где в случае Windows Server 2003 можно было бы создать один домен и несколько сайтов. Кроме того, в Windows NT 4 домены применяются для реализации административной структуры, тогда как в Windows Server 2003 можно было бы обойтись одним доменом и несколькими организационными еди­ ницами (OU). Учитывая эти различия, переход от структуры доменов Windows NT 4 к структуре доменов Windows Server 2003 можно осуществить двумя способами: изменением струк­ туры доменов или усовершенствованием существующих доменов. Реструктуризация доменов в долгосрочном плане дает больше преимуществ, чем усовершенствование существующих доменов. В большинстве случаев структуру, со­ держащую несколько доменов Windows NT 4, можно преобразовать в структуру, со­ держащую один (или хотя бы меньше, чем раньше) домен Windows Server 2003. Кроме того, сеть с хорошо продуманной структурой сайтов и OU почти всегда работает эф­ фективнее. Однако усовершенствование существующей структуры доменов дает свои преиму­ щества. Этот подход также следует принимать во внимание. В частности, он годится при следующих обстоятельствах. • Существующую структуру доменов несложно перенести в среду Windows Server 2005, • Вы должны спроектировать и развернуть сеть за весьма ограниченное время.

Занятие 4

Разработка стратегий перехода

-jy^

•

Вы хотите свести к минимуму изменения в текущей административной структуре и управлении передачей информации по сети. • Вам нужно, чтобы переход как можно меньше повлиял на работу пользователей и администраторов.

Переход от доменов Windows 2000 Если вы обновляете структуру доменов Windows 2000, перед вами стоит более простая задача, чем при переходе от Windows NT 4. Большинство функций Active Directory, реализованных в Windows Server 2003, доступно и в Windows 2000, поэтому в распоряже­ нии проектировщика сети уже имеется продуманная архитектура: структура лесов и доменов, административная структура, размещение сайтов и контроллеров домена и топология репликации. Решение, которое позволит свести к минимуму издержки и усилия, затрачиваемые на проектирование, — обновить контроллеры доменов и задействовать существующую структуру доменов. Обновление существующих доменов также позволяет свести к ми­ нимуму неудобства, причиняемые пользователям, и время, когда сеть недоступна. Вы можете обновить с Windows 2000 либо все контроллеры доменов, либо некоторые, но имейте в виду, что кое-какие функции, введенные в Windows Server 2003, будут недо­ ступны, если не все контроллеры в домене или лесу работают под управлением Windows Server 2003. Это функциональный уровень леса или домена. Что такое функциональ­ ные уровни, см. в главе 1. Перед подготовкой леса Windows 2000 к обновлению до Windows Server 2003 или добавлением нового контроллера домена под управлением Windows Server 2003 необхо­ димо запустить программу Adprep.exe (Active Directory Preparation), которая находится в папке \I386 на дистрибутивном компакт-диске Windows Server 2003. Это средство подготавливает леса и домены: добавляет в схему соответствующие изменения, сбрасы­ вает разрешения на доступ к встроенным контейнерам и объектам Active Directory и обновляет административные средства. Примечание В этом разделе дано лишь поверхностное описание методики перехода. Подробнее об обновлении и изменении структуры — в Microsoft Windows Server 2003 Deployment Kit (Microsoft Press, 2003).

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Каковы основные различия Windows NT 4 и Windows Server 2003 с точки зрения проектирования структуры доменов? 2. В каких случаях при переходе с Windows NT 4 на Windows Server 2003 стоит поду­ мать об усовершенствовании существующей структуры доменов, а не о ее измене­ нии? 3. Можно ли обновить с Windows 2000 до Windows Server 2003 лишь некоторые кон­ троллеры доменов? 7 Зак. 312

Планирование сайтов

Глава 5

Резюме •

С точки зрения проектирования, самое главное различие между Windows NT 4 и Windows Server 2003 — введение сайтов, позволяющих отделить физическую струк­ туру сети от логической структуры доменов, и появление организационных единиц, позволяющих делить домены на дополнительные области административного управ­ ления. • При переходе с Windows NT 4 на Windows Server 2003 обновлять существующие домены вместо того, чтобы изменять структуру доменов, рекомендуется в следую­ щих случаях: перенос существующей структуры доменов не составляет труда, нуж­ но свести к минимуму неудобства для пользователей, нужно свести к минимуму изменения в административной структуре и управлении передачей информации, у вас мало времени или денежных средств. • Если вы обновляете операционную систему с Windows 2000 до Windows Server 2003, самая простая и эффективная стратегия перехода — обновить существующие до­ мены.

Ц Пример из практики Рассмотрите следующий пример из практики и ответьте на вопросы.

Сценарий Вы должны составить план новой инфраструктуры для Contoso Ltd., производителя модемов с главным офисом в Далласе, штат Техас. В настоящее время все серверы в сети этой компании работают под управлением Windows NT Server 4.0. На клиентских компьютерах установлены разные системы — Windows 98 и Windows 2000 Professional. Contoso наняла вас для модернизации сетевой инфраструктуры компании. Нужно, что­ бы все серверы работали под управлением Windows Server 2003 и чтобы вы подготовили проект реализации Active Directory. Компания также хочет перевести все клиентские компьютеры на Windows XP Professional.

Краткие сведения о компании За последнее десятилетие Contoso стала одним из основных производителей модемов в стране, продавая их главным образом крупным компаниям и интернет-провайдерам (Internet Service Providers, ISP). Два года назад Contoso приобрела лондонскую фирму Trey Research — производителя модемов, которая ориентирована на аналогичный ры­ нок в Европейских странах.

География В главном офисе в Далласе работает 1900 пользователей и имеется полностью уком­ плектованный сотрудниками ИТ-отдел. Кроме основного участка, Contoso располагает двумя филиалами в США — в Мемфисе (Теннеси) и Сан-Диего (Калифорния). В фи­ лиале в Сан-Диего работает 185 пользователей, и есть собственный ИТ-отдел. В фили-

Пример из практики

173

пе в Мемфисе 35 пользователей, а ИТ-отдела нет. Этот филиал обслуживается ИТ}тделом, расположенным в главном офисе в Далласе. Филиал в Мемфисе расположен в небольшом здании, доступ к рабочим местам не ограничен. Поскольку в этом фили­ але нет своего ИТ-отдела, сотрудники филиала не могут обеспечить сопровождение и физическую безопасность своих серверов. Дочерняя компания (Trey Research) находится в Лондоне. В лондонском офисе ра­ ботает 215 пользователей — он располагает полным штатом сотрудников, в том числе собственным ИТ-персоналом, и самостоятельно управляет своей сетевой инфраструк­ турой. Лондонский офис также поддерживает собственное пространство имен.

Сетевая инфраструктура Главный офис в Далласе соединен с филиалом в Мемфисе и Сан-Диего 512-килобитным каналом, а с офисом в Лондоне — 256-килобитным каналом. В качестве опорной сети (backbone) офисы в Далласе и Лондоне используют 155-мегабитную ATM. Клиен­ ты подключаются к опорной сети через 10/100-мегабитные соединения. В филиалах все клиенты и серверы связаны 10/100-мегабитными соединениями. Сеть офиса в Далласе состоит из четырнадцати подсетей, сеть офиса в Сан-Диего — из трех, а офиса в Мем­ фисе — из одной. В настоящее время на каждом территориальном участке сконфигурирован свой до­ мен, имя которого соответствует названию участка. Уже принято решение о создании домена contoso.com, который будет использоваться офисами в Далласе, Сан-Диего и Мемфисе. Кроме того, для компании в Лондоне будет создан еще один домен — treyresearch.com, содержащийся в отдельном дереве.

Планы на будущее На данный момент у компании нет планов по значительному расширению штатов. Од­ нако не исключено, что компания приобретет небольшую фирму в Монреале, которая владеет новой многообещающей технологией, относящейся к модемам. Если покупка состоится, компания в Монреале сохранит свой ИТ-персонал и собственное простран­ ство имен. Ваши планы должны учитывать этот момент.

ИТ-менеджмент ИТ-персонал в Далласе отвечает за обслуживание офисов в Далласе и Мемфисе. Сети в офисах в Лондоне и Сан-Диего обслуживаются местными штатами ИТ-сотрудников. Однако основной ИТ-отдел в Далласе отвечает в конечном счете за всю сеть.

Вопросы Исходя из этого сценария, ответьте на следующие вопросы. 1. Сколько сайтов вы бы использовали? Нарисуйте схему этих сайтов. 2. Какое минимальное количество контроллеров домена следует использовать в каж­ дом сайте? 3. Сколько связей сайтов нужно создать для этой сети? 4. Где бы вы разместили серверы глобального каталога этой сети?

•|74

Планирование сайтэв

Глава 5

щ] Резюме главы в

в

•

в

в

•

в

в

в

в

в

Сайты используются для управления сетевым трафиком, генерируемым при входе на рабочие станции, при репликации данных Active Directory, работе DFS (Distributed File System) и FRS (File Replication Service). Чтобы подготовиться к разработке структуры сайтов, нужны сведения о территори­ альной структуре компании, структуре и скорости локальной сети каждого из офи­ сов, TCP/IP-подсетях каждого из офисов и пропускной способности каналов между офисами. Вы должны создать по сайту для каждой LAN (или группы LAN, соединенных вы­ сокоскоростной сетевой магистралью), каждого участка, где есть контроллер доме­ на, и каждого участка, где имеется служба, работающая с сайтами. Основная причина помещения контроллеров доменов в сайт — необходимость изба­ виться от передачи WAN-трафика между сайтами. Этот трафик может генериро­ ваться, когда пользователи связываются с контроллерами доменов при аутентифи­ кации, когда приложения, работающие с сайтами, обращаются к контроллерам доменов, чтобы выполнить поиск, а также при репликации. Если пользователей сайта менее 1000, достаточно одного контроллера домена. Если пользователей от 1000 до 10 000, рекомендуется установить два контроллера домена. Для каждых дополнительных 5000 пользователей сверх 10 000 добавляйте один кон­ тролер домена. Однако даже в сайтах менее чем с 1000 пользователей следует уста­ навливать второй контроллер домена, чтобы обеспечить отказоустойчивость. По возможности назначайте все роли хозяина операций для леса или домена одному и тому же контроллеру домена. Запомните следующее правило: хозяин инфраструк­ туры не должен хранить глобальный каталог за исключением случая, когда все дру­ гие контроллеры этого домена тоже содержат глобальный каталог. На серверах глобального каталога хранится подмножество атрибутов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компью­ теры. Они позволяют пользователям входить в сеть и искать объекты Active Director, по всему лесу, не обращаясь к тем контроллерам домена, где хранятся эти объекты. Требования к оборудованию контроллера домена в основном зависят от числа пользо­ вателей, которые должны проходить аутентификацию в домене. Определив требова­ ния в соответствии с этим критерием, примите во внимание, является ли контрол­ лер домена сервером глобального каталога и выполняет ли он другие роли. Внутрисайтовая репликация оптимизирована для повышения скорости. Контролле­ ры домена реплицируют изменения сразу после их внесения и передают данные s несжатом формате. Межсайтовая репликация оптимизирована для минимального использования пропускной способности. При этом происходит обмен информацией между серверами-плацдармами (серверами репликации между сайтами), данные сжимаются, и можно задать расписание доступности связей сайтов и интервалы через которые выполняется репликация. Сервис Knowledge Consistency Checker (KCC) автоматически создает и изменяет топологию объектов-соединений, необходимых, чтобы контроллеры домена мог~> обмениваться данными репликации. Связь сайта — это объект Active Directory, представляющий соединение между дв;. мя или более сайтами. Для репликации между сайтами нужно установить свя:-; между ними. Все сайты, входящие в такую связь, должны быть соединены сеть:-:

Рекомендаций по подготовке к экзамену

•

•

•

•

-j j g

одного типа. Каждой связи сайта назначается цена, определяющая, какие связи лучше выбирать при определении пути репликации. По умолчанию всем связям назначается цена 100. По умолчанию связи сайтов являются транзитивными. Вы можете отключить тран­ зитивность, но тогда, чтобы выполнять репликацию данных между всеми сайтами домена, потребуется вручную создать мосты связей сайтов. С точки зрения проектирования, самое главное различие между Windows NT 4 и Windows Server 2003 — введение сайтов, позволяющих отделить физическую струк­ туру сети от логической структуры доменов, и появление организационных единиц, позволяющих делить домены на дополнительные области административного управ­ ления. При переходе с Windows NT 4 на Windows Server 2003 обновлять существующие домены вместо того, чтобы изменять структуру доменов, рекомендуется в следую­ щих случаях: перенос существующей структуры доменов не составляет труда, нуж­ но свести к минимуму неудобства для пользователей, нужно свести к минимуму изменения в административной структуре и управлении передачей информации, у вас мало времени или денежных средств. Если вы обновляете операционную систему с Windows 2000 до Windows Server 2003, самая простая и эффективная стратегия перехода — обновить существующие до­ мены.

Л Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Сайты применяются для управления WAN-трафиком, генерируемым при входе на рабочие станции, трафиком репликации, трафиком DFS (Distributed File System) и FRS (File Replication Service). Создавайте по сайту для каждой LAN или группы LAN, соединенных высокоскоростной опорной сетью (10 Мбит/с и выше). Созда­ вайте по сайту для каждого территориального участка, где вы планируете устано­ вить контролер домена. Создавайте по сайту для каждого участка, содержащего сер­ вер, на котором выполняется приложение, работающее с сайтами. • Устанавливайте контроллеры доменов на участках, где много пользователей и где пользователи должны иметь возможность входить в сеть, когда WAN-канал не рабо­ тает, или на участках, где выполняются приложения, работающие с сайтами. • Используйте один контроллер домена в сайтах, где менее 1000 пользователей, два контроллера домена, если число пользователей от 1000 до 10 000, а для каждых 5000 пользователей сверх 10 000 добавляйте по одному контроллеру домена. • В лесу с одним доменом сделайте все контроллеры домена серверами глобального каталога, поскольку при этом экономится место и не генерируется дополнительный трафик репликации. В лесах с несколькими доменами можно создать столько сер­ веров глобального каталога, сколько вы считаете нужным для того, чтобы обеспе­ чить балансировку нагрузки и избыточность. Microsoft рекомендует устанавливать в каждый сайт минимум по одному серверу глобального каталога.

Планирование сайтов

•

Глава 5

Внутрисайтовая репликация оптимизирована для достижения максимальной скоро­ сти. Контроллеры домена реплицируют изменения сразу после того, как они про­ изошли, данные репликации не сжимаются. Межсайтовая репликация оптимизиро­ вана для минимального расходования пропускной способности: в репликации уча­ ствуют серверы-плацдармы, данные сжимаются, можно задать расписание доступ­ ности связей сайтов и интервал, через который выполняется репликация.

Основные термины Knowledge Consistency Checker — Windows-сервис, создающий и изменяющий тополо­ гию репликации доменов, основанную на объектах-соединениях. Транзитивность связей сайтов ~ site-link transitivity — по умолчанию связи сайтов транзитивны. Соединения, поддерживаемые с помощью таких связей, доступны, даже если сайты не соединены напрямую. Вы можете отключить транзитивность связей, но тогда придется создавать мосты связей для сайтов, не связанных напрямую. Хозяева операций - operations masters — определенные роли в домене и в лесу могут принадлежать только одному контроллеру домена. Существует три роли хозяина опе­ раций уровня домена (эмулятор основного контроллера домена, хозяин RID и хозя­ ин инфраструктуры) и две роли хозяина операций уровня леса (хозяин схемы и хозяин именования доменов).

Щ

Вопросы и ответы

Занятие 1. Закрепление материала 1. Вы разрабатываете структуру сайтов для компании, у которой имеются филиалы в Атланте, Чикаго и Лос-Анджелесе. Каждый филиал связан с двумя другими линия­ ми с пропускной способностью 512 Кбит/с. Сколько сайтов вы бы создали? Правильный ответ: нужно определить три сайта — по одному для каждого участка. Чтобы подсети входили в один сайт, их должно связывать соединение с пропускной способностью 10 Мбит/с и выше. 2. Какие задачи управления сетевым трафиком решают с помощью сайтов? Правильный ответ: сайты используются для управления сетевым трафиком, генерируе­ мым при входе на рабочие станции, при репликации Active Directory, работе DFS и FRS. 3. По каким критериям следует определять, нужно ли создавать сайт? Правильный ответ: создавайте по сайту для каждой LAN или группы LAN, соединенных высокоскоростной сетевой магистралью (опорной сетью). Создавайте по сайту для каж­ дого участка, где вы собираетесь установить контроллер домена. Кроме того, создавай­ те по сайту для каждого участка, где есть сервер, на котором выполняется приложение, работающее с сайтами, или где возникает задержка, связанная с большим расстояниеч или типом WAN-канала (например при использовании спутниковой связи).

Занятие 2. Лабораторная работа 1. Сколько контроллеров домена вы установили бы в каждом сайте? Почему? Укажет; их количество в следующей таблице.

Вопросы и ответы Число контроллеров домена в каждом сайте

Домен Nwtraders.local AsiaPacific.nwtraders.local

Париж 2

Глазго 0

Сидней 1

Атланта 1

Лос-Анджелес 1

1

0

2

0

0

NAeastnwtraders.local

1

0

0

2

0

NAwest.nwtraders.local

1

0

0

0

2

Coф.nwtraders.local

3

1

1

2

1

RDNwtraders.local Glasgow. RDNwtraders .local

1

2

0

0

0

1

2

0

0

0

На этот вопрос можно дать только один ответ. В Париже установите по одному контроллеру для каждого домена, чтобы облегчить вход пользователей, приезжающих в Париж из других филиалов. Кроме того, в Париже нужно установить три контроллера для домена corp.nwtraders.local: два — для управле­ ния локальной аутентификацией и один — для управления репликацией в удаленные офисы. Чтобы обеспечить избыточность, добавьте два контроллера для корневого доме­ на леса (nwtraders.local). В Глазго установите два контроллера для корневого домена леса RDNwtraders.local и два для домена Glasgow.RDNwtraders.local. По два контроллера для каждого домена нужны, чтобы обеспечить отказоустойчивость Active Directory. Кроме того, в Глазго требуется установить один контроллер для домена corp.nwtraders.local, чтобы пользова­ тели, которые приезжают из главного офиса, могли входить в сеть. В каждом из осталь­ ных сайтов установите два контроллера для локального домена, чтобы обеспечить отка­ зоустойчивость, один контроллер для корневого домена леса и один контроллер для домена corp.nwtraders.local, чтобы сотрудники, приезжающие из главного офиса, могли входить в сеть, не используя WAN-канал. В каких сайтах вы разместили бы серверы глобального каталога? В каких сайтах вы включили бы кэширование членства в универсальных группах? Заполните следую­ щую таблицу. Сайт

Число серверов глобального ката­ лога для леса Nwtraders.local

Число серверов глобального ката­ лога для леса RDNwtraders.local

Включить кэширо­ вание членства в группах для сайта (да/нет)

Париж

2

1

Нет

Глазго

1

1

Нет

Сидней

1

0

Нет

Атланта Лос-Анджелес

1

0

Нет

1

0

Нет

Правильный ответ: для поддержки локального входа в каждом сайте, кроме парижско­ го, должна быть одна копия глобального каталога для леса nwtraders.local. В Париже нужны две копии глобального каталога, поскольку в этом офисе работает много пользо­ вателей и поскольку сотрудники местного ИТ-отдела часто выполняют поиск в БД Active Directory.

Jg

Планирование сайтов

Глава 5

Занятие 2. Закрепление материала 1. По каким причинам в сайты помещают контроллеры домена? Какие причины могут быть для того, чтобы не помещать в сайт контроллер домена? Правильный ответ: если сайт содержит много пользователей, установка локального кон­ троллера домена уменьшает трафик аутентификации, передаваемый на другие сайты. Если WAN-канал между сайтами перестанет работать, наличие локального контроллера домена позволит проводить аутентификацию. Если в сайте выполняются приложения, работающие с сайтами, использование локального контроллера домена сократит WANтрафик. Контроллер домена не следует помещать в сайт, если ни один сотрудник, работающий в данном месте, не умеет управлять контроллером домена (и обеспечить удаленный доступ тоже нельзя) или если нет гарантий физической безопасности контроллера домена. 2. Вы определяете, сколько контроллеров доменов нужно установить в сайте. Сайт охватывает 15 000 пользователей. Поддерживается восемь соединений репликации с сайтом. Сколько контроллеров доменов следует установить? Правильный ответ: в этом сайте следует установить минимум три контроллера домена. Если пользователей от 1000 до 10 000, рекомендуется установить два контроллера. Для каждых 5000 пользователей сверх 10 000 нужно добавлять один контроллер домена. 3. Какие рекомендации следует выполнять при установке серверов глобального ката­ лога? Правильный ответ: устанавливайте минимум один сервер глобального каталога в каж­ дом сайте. В лесу с одним доменом сделайте все контроллеры домена серверами глобаль­ ного каталога, поскольку это не потребует дополнительного места и не приведет к гене­ рации дополнительного трафика. В лесах с несколькими доменами можно создать столько серверов глобального каталога, сколько нужно, чтобы обеспечить балансировку нагруз­ ки и избыточность.

Занятие 3. Лабораторная работа 1. Нарисуйте схему сайтов для компании Northwind Traders, в том числе все связи сайтов, которые вы создадите. Укажите цену, которую вы назначите каждой такой связи. Кроме того, задайте расписание для тех связей, для которых не годится рас­ писание по умолчанию. Правильный ответ: создавайте по одной связи сайта для каждого WAN-канала или VPNсоединения. Если доступная пропускная способность соединения меньше 64 Кбит/с, за­ давайте расписание репликации для этого соединения, чтобы репликация не выполнялась в период с 8 утра до 5 вечера по местному времени на каждом из участков, где исполь­ зуется это соединение. Для стандартизации местное время преобразовывают во время по Гринвичу (Greenwich Mean Time, GMT). По формуле, приведенной в этой главе, вычи­ сляют цены связей сайтов. 2. Собираетесь ли вы отключить транзитивность связей сайтов? Если да, то будете л;: вы создавать какие-либо мосты связей сайтов? Правильный ответ: ответы на этот вопрос могут быть разными. Один из возможных ответов — отключать транзитивность связей, если вы используете региональную модель доменов и пропускная способность WAN-каналов ограничена. Тогда создавать мосты связей сайтов не требуется.

.опросы и ответу

179

Занятие 3. Закрепление материала '-. Какие характеристики должны быть у WAN-каналов, чтобы за ними можно было закрепить общую связь сайта? Правильный ответ: связь сайта должна объединять WAN-каналы одного типа и скоро­ сти, если только вы не собираетесь использовать разные расписания. 2. Расскажите, чем отличается внутрисайтовая репликация от межсайтовой. Правильный ответ: внутрисайтовая репликация оптимизирована для высокопроизводи­ тельных сетей. Она основана на уведомлении об изменениях. Данные отправляются в несжатом виде. Межсайтовая репликация оптимизирована для минимизации использо­ вания полосы пропускания. Ее выполняют серверы-плацдармы (серверы репликации меж­ ду сайтами). Для репликации между сайтами задают расписание доступности связей сайтов и интервал, через который выполняется репликация. 3. Перечислите причины, по которым может потребоваться отключить транзитивность связей сайтов. Правильный ответ: отключив транзитивность связей сайтов, вам придется вручную кон­ фигурировать мосты связей сайтов, чтобы определить путь репликации между сайтами. Поэтому рекомендуется оставлять включенной транзитивность связей сайтов. Для от­ ключения транзитивности могут быть следующие причины: сеть не обеспечивает полную маршрутизацию или вам нужно полностью контролировать пути репликации в сети.

Занятие 4. Закрепление материала 1. Каковы основные различия Windows NT 4 и Windows Server 2003 с точки зрения проектирования структуры доменов? Правильный ответ: основное отличие в том, что в Windows Server 2003 введены сайты, позволяющие отделять физическую структуру сети от логической структуры доменов, и организационные единицы (OU), позволяющие делить домены на меньшие области адми­ нистрирования. 2. В каких случаях при переходе с Windows NT 4 на Windows Server 2003 стоит поду­ мать об усовершенствовании существующей структуры доменов, а не о ее измене­ нии? Правильный ответ: обновлять существующие домены, а не изменять их структуру реко­ мендуется, когда 1) не составляет труда перенести текущую структуру доменов, 2) нуж­ но свести к минимуму неудобства для пользователей, 3) следует свести к минимуму изме­ нения в административной структуре или в управлении потоками информации, 4) на процесс переход выделены ограниченные время и бюджет. 3. Можно ли обновить с Windows 2000 до Windows Server 2003 лишь некоторые кон­ троллеры доменов? Правильный ответ: да, домен может работать в смешанном режиме. Состояние контрол­ леров в домене или лесу называют функциональным уровнем. Если все контроллеры доменов в лесу работают под управлением Windows Server 2003, говорят, что лес или домен работает на функциональном уровне Windows Server 2003, и ему доступны все возможности, предоставляемые этой ОС.

Планирование сайтов

Глава 5

Пример из практики 1. Сколько сайтов вы бы использовали? Нарисуйте схему этих сайтов. Правильный ответ: скорее всего в этой сети нужно использовать три сайта: общий сайт для Далласа и Мемфиса, сайт для Сан-Диего и сайт для Лондона. Причины того, что для офиса в Мемфисе не создается отдельный сайт, заключаются в следующем: 1) до­ вольно мало пользователей, следовательно, WAN-трафик при входе на рабочие станции будет незначительным, 2) в Мемфисе нет ИТ-отдела, который поддерживал бы кон­ троллер домена, и 3) нет гарантий физической безопасности контроллера домена. 2. Какое минимальное количество контроллеров домена следует использовать в каж­ дом сайте? Правильный ответ: минимальное число контроллеров домена для сайта равно 1. Однако пользователей сайта в Далласе достаточно много, поэтому следует установить второй контроллер домена, чтобы обрабатывать запросы аутентификации. Кроме того, реко­ мендуется создавать для каждого сайта по два контроллера домена, чтобы обеспечить отказоустойчивость. 3. Сколько связей сайтов нужно создать для этой сети? Правильный ответ: нужно создать одну связь для соединения сайта Даллас-Мемфис с сайтом Сан-Диего и одну связь для соединения Далласа с Лондоном. 4. Где бы вы разместили серверы глобального каталога этой сети? Правильный ответ: по возможности все контроллеры домена должны быть серверами глобального каталога, поскольку контроллеры будут присутствовать на каждом из ос­ новных участков. Трафик аутентификации, генерируемый 35 пользователями в Мемфи­ се, незначителен, поэтому в офисе в Мемфисе не будет установлен контроллер домена. Если вы решите не делать все контроллеры домена серверами глобального каталога, позаботьтесь о том, чтобы в каждом сайте был свой сервер глобального каталога.

ГЛАВА

6

Проектирование структуры DNS

Занятие 1 . Анализ существующей реализации DNS

182

Занятие 2. Проектирование стратегии разрешения DNS-имен

188

Занятие 3. Проектирование реализации DNS

199

Занятие 4. Разработка стратегии размещения служб DNS

202

Темы экзамена •

Проектирование инфраструктуры сетевых служб, отвечающей бизнес-требованиям и техническим условиям: а создание концептуального плана инфраструктуры DNS.

• Анализ возможностей DNS для внедрения службы каталогов Active Directory: • анализ существующей инфраструктуры DNS; а анализ существующего пространства имен. •

Проектирование стратегии разрешения DNS-имен: • создание проекта пространства имен; а определение возможности взаимодействия DNS с Active Directory, WINS и DHCP; • определение требований к зонам; а проектирование защиты DNS.

•

Проектирование стратегии взаимодействия DNS со службой имен Berkeley Internet Name Domain (BIND) UNIX для поддержки службы каталогов Active Directory. • Внедрение служб DNS: а разработка стратегии хранения зон DNS; • использование параметров DNS-сервера; а требования к регистрации некоторых записей DNS. •

Проектирование размещения служб DNS.

Прееотрование структуры DNS

Глава 6

В этой главе

Перед проектированием структуры доменной системы именования (Domain Name System DNS) для организации необходимо составить четкую схему инфраструктуры компании с подробными сведениями о размещении серверов, маршрутизаторов и коммутаторов, контроллеров доменов, серверов приложений, пользователей и их групп, подразделе­ ний и т. д. (см. главу 2). Без этой информации спроектировать структуру DNS вряд ли возможно, так как она основана на физической топологии сети компании. Эта глава посвящена разработке инфраструктуры сетевых служб с целью обеспе­ чения взаимодействия DNS с WINS, DHCP и Active Directory. Обычно в организа­ циях уже имеется инфраструктура DNS, кроме случаев, когда приходится создавать сеть «с нуля». Часто DNS реализуют на основе ОС UNIX, что требует интеграции BIND-версии DNS и Active Directory. В силу этих причин очень важно научиться определять текущий тип реализации DNS. В начале главы рассматривается анализ существующей реализации DNS, затем освещается стратегия проектирование и вне­ дрение DNS «с нуля».

Прежде всего Для понимания материала этой главы необходимо овладеть понятиями, изложенными в главе 1, и научиться собирать информацию о существующей сети, как описано в главе 2.

Занятие 1. Анализ существующей реализации DNS Большинство администраторов, которым не требуется создавать сеть «с нуля», сталки­ ваются с необходимостью анализа и использования существующей инфраструктуры DNS. В этом занятии описаны компоненты DNS, рассмотрена терминология, необхо­ димая для проектирования и реализации стратегии DNS для корпоративной сети. Первый этап анализа инфраструктуры сети организации — анализ устройства са­ мой организации. Как сказано в главе 2, понимание принципов работы компании и хода информационных потоков внутри нее является основой проекта сети. На этом занятии вы научитесь собирать информацию о существующей инфраструктуре DNS. Изучив материал этого занятия, вы сможете:

•S распознавать различные компоненты инфраструктуры DNS; S описывать различные типы DNS-серверов и их функции в существующей инфраструктуре; •S анализировать существующее пространство имен. Продолжительность занятия — около 20 минут.

Обзор DNS Люди обычно не любят иметь дело с цифрами и заучивать IP-адреса, необходимые для подключения к ресурсам сети. Намного проще запомнить адрес www.microsoft.com, не-

Занятие 1

Анализ существующей реализации DNS

жели 172.16.45.67. Когда пользователь сети вводит полное доменное имя (Fully Qualified Domain Name, FQDN), какой-либо механизм или компонент должен преобразовать (разрешить) это имя в IP-адрес. Именно это и делает DNS. Как сказано в главе 1, процесс разрешения имен может быть довольно сложным. В этом разделе вы ознакоми­ тесь с различными компонентами, благодаря которым все это работает.

Компоненты DNS К этому моменту вы должны собрать всю информацию о физическом размещении от­ делов и подразделений вашей компании, составить схему сети. Теперь вы почти готовы к анализу структуры DNS в организации. На составленных ранее схемах отражено размещение серверов, маршрутизаторов, коммутаторов и т. д. Эта информация вкупе со сведениями о размещении и числе хостов, подсетей и маршрутизаторов позволит по­ нять, как устроена текущая инфраструктура DNS. Чтобы распознавать компоненты инфраструктуры DNS, прежде всего необходимо понять, как работает DNS. В сущности, DNS — это база данных. Подобно любой БД, она хранит и поддерживает перечень записей, точнее записей ресурсов. В табл. 6-1 показаны наиболее распространенные типы записей ресурсов, хранимые DNS-сервером в зоне. Табл. 6-1.

Типы записей ресурсов DNS

Тип записи

Описание

SOA (Start of Authority) начало полномочий

Содержится в начале каждой зоны

NS (Name Server) — сервер имен

Указывает на DNS-сервер, полномочный для данной зоны

A (host) — хост

Указывает FQDN, сопоставленное IP-адресу

PTR (Pointer Record) указатель

Указывает IP адрес, сопоставленный данному FQDN

CNAME (Canonical name) каноническое имя

Создает псевдоним для FQDN

MX (Mail Exchange) — почтовый сервер

Указывает почтовый сервер, обрабатывающий и пересылающий почтовые сообщения для определенного домена DNS

SRV (Service) — служба

Указывает расположение серверов, на которых работают определенные службы, например почтовые серверы, контроллеры доменов, Web-серверы и т. д.

Зоны DNS Зона (zone)— это непрерывная часть пространства имен DNS, управляемая DNS-cepвером как единое целое. В ней может храниться информация об одном или нескольких доменах. В зоне содержатся записи ресурсов одного домена. Например, пространство DNS-имен для домена contoso.com, принадлежащего компании Contoso, исходно мо­ жет создаваться как одна зона, но по мере роста домена и добавления поддоменов, таких как ftp.contoso.com, www.contoso.com, marketing.contoso.com и т. д. поддомены

184

Проектирование структуры DNS

Глава б

могут выделяться в отдельные зоны. Windows Server 2003 поддерживает различные виды зон (рис. 6-1). • Основная зона (Primary zone) — содержит локальную копию зоны DNS, где создают­ ся и обновляются записи ресурсов. • Дополнительная зона (Secondary zone) — копия зоны DNS, предназначенная только для чтения. Она обновляется только с помощью репликации основной зоны и слу­ жит для избыточности и балансировки нагрузки. • Зона, интегрированная в Active Directory (Active Director}' integrated zone) — основная зона, хранящаяся в БД Active Directory. • Зона-заглушка (Stub zone) — копия зоны, содержащая только записи ресурсов, не­ обходимые для поиска полномочных DNS-серверов. Это упрощает администрирова­ ние DNS и повышает эффективность разрешения имен.

Зона, интегрированная в Active Directory

Дополнительная зона

Основная зона интегрированная в Active Directory

Зона, интегрированная в Active Directory

Зона-заглушка, интегрированная в Active Directory

Рис. 6-1. Различные типы зон О настройке зон речь пойдет позже, а сейчас необходимо выяснить текущую кон­ фигурацию инфраструктуры DNS с целью ее документирования.

Зонные передачи Неразумно хранить все записи ресурсов сети на единственном DNS-сервере, необхо­ димо предусмотреть метод репликации этих важных данных на другие DNS-серверы. В Windows Server 2003 существует зонные передачи трех типов. • Добавочная зонная передача (Incremental Zone Transfer, IXFR) — серверы отслежива­ ют и передают только измененные записи ресурсов зоны. Преимущество этого спо­ соба в том, что он генерирует меньше трафика. и Полная зонная передача (Full Zone Transfer, AXFR) — в ответ на запрос DNS зона передается на дополнительный DNS-сервер целиком. Этот способ зонной передачи вызывает проблемы при использовании медленных WAN-каналов, поэтому важно выяснить и задокументировать, какие именно типы зонной передачи используются в данной сети. • Быстрая зонная передача (Fast zone transfer) — позволяет передавать в одном сообще­ нии несколько записей ресурсов, в Windows Server 2003 используется по умолча­ нию.

Занятие 1

Диализ существующей реализации BUS

Позже вы спроектируете инфраструктуру DNS в соответствии с топологией вашей сети, а сейчас необходимо научиться анализировать и определять конфигурацию DNS в имеющейся сети. Роли DNS-серверов Каждый DNS-сервер выполняют в сети свою функцию. Роли серверов следует указать на схеме размещения серверов в сети; подробнее об этом — в занятии 4. • Основной сервер имен — это DNS-сервер, на котором хранится файл БД локальной зоны, который можно обновлять. В целях обеспечения отказоустойчивости он ре­ плицируется посредством зонной передачи на дополнительный DNS-сервер. • Дополнительный сервер имен — его наличие в сети не обязательно, но рекомендуется; он обеспечивает отказоустойчивость и балансировку загрузки, поскольку на нем хранятся копии зон, поддерживаемых основным DNS-сервером. • Кэширующий сервер — как ясно из названия, кэширует отклики и возвращает кэшированные результаты. Это уменьшает время отклика и снижает трафик, посколь­ ку для разрешения имен не требуется запрашивать несколько DNS-серверов. Подготовка к экзамену Перед экзаменом важно тщательно разобраться во всех компо­ нентах системы и выучить типы серверов (основной, дополнительный и кэширующий). Анализ существующего пространства имен Определить структуру существующего пространства имен компании довольно просто. К этому моменту вы уже должны собрать сведения об инфраструктуре пространства имен Active Directory, что позволит ответить на вопрос, одинакова ли инфраструктура пространства имен в общей и частной сетях компании. Например, если имя общего домена компании contoso.com, используется ли во внутренней сети пространство имен Active Directory sales.contoso.com? Примеры инфраструктуры пространства имен DNS показаны на рис. 6-2 и 6-3, соображения по ее проектированию приводятся ниже, в занятии 2, а сейчас ваша задача — определение и анализ имеющегося пространства имен DNS.

Г

Интернет

Клиент Active Directory: contoso.com (внутреннее пространство имен) Зона DNS: contoso.com (внешнее пространство имен)

Рис. 6-2. Проектирование единого пространства имен DNS

Клиент

186

Глаеа S

Проектирование структуры DNS

*g 3oHaext-contoso.com

I

S

Контроллер домена

} Интернет

Брандмауэр

Клиент

Клиент

Active Directory: contoso.com (внутреннее пространство имен) Зона DNS: ext-contoso.com (внешнее пространство имен)

Рис. 6-3. Проектирование отдельных пространств имен DNS Подготовка к экзамену Важно понимать связь между пространствами имен Active Directory и DNS: во многих случаях они будут идентичными, но возможны ситуации, когда эти пространства имен совершенно различны — этот случай подробно рассматри­ вается в занятии 2.

Ход анализа При изучении существующей инфраструктуры DNS задайте себе следующие вопросы. и Внедрена ли служба каталогов Active Directory ? ш Как расположены DNS-серверы? • Какие типы зон реализованы? Есть несколько способов внедрения DNS в сети; сей­ час главное понять, как существующая организована репликация и избыточность записей ресурсов в инфраструктуре DNS. • Сколько пользователей в каждом участке сети? Как сказано выше, эти сведения определены во время первоначального анализа; отсюда ясно, как важно документи­ ровать все действия, чтобы не повторять лишний раз сделанное ранее. При первоначальном анализе можно воспользоваться ранее составленными схема­ ми и картами сети, на которых должны быть изображены имеющиеся DNS-серверы и их иерархия в виде деревьев и лесов. Можно скопировать эти схемы и просто добавить в них необходимые сведения о ролях DNS-серверов и зонах. На этом этапе необходимо ответить на следующие вопросы. • Использует ли компания одно и то же пространство имен в Active Directory и в качестве внешнего пространства имен DNS? • Какие зоны использует компания: интегрированные в Active Directory или обыч­ ные? • Какие способы зонной передачи или репликации применяются: AXFR, IXFR или быстрая зонная передача?

Занятие 1

Анализ существующей реализации DMS

-| g y

•

Сколько DNS-серверов имеется в компании, и какова роль каждого из них (основ­ ной, дополнительный или кэширующий)? • Защищены ли DNS-серверы, и, если да, то как? По мере изучения материала занятий этой главы, вы будете дополнять схемы сети новой информацией.

Переход от BIND к Windows-реализации DNS Во многих организациях есть ИТ-специалисты, которые считаются авторитета­ ми в области DNS и отвечают за управление всей инфраструктурой DNS. Анали­ зируя существующую инфраструктуру DNS, важно дать понять, что вы хотите не просто изменить существующую структуру. Если ваша цель — замена DNS на основе BIND таковой на основе Microsoft Windows Server 2003, проявляйте осто­ рожность: администраторы склонны привязываться к одной из реализаций DNS. Уговорить администратора перейти с одной на реализации DNS на другой нелегко, поэтому на данном этапе проектирования попробуйте собрать инфор­ мацию, необходимую для интеграции Active Directory с имеющейся инфраструк­ турой BIND DNS (о том, как это сделать, — в занятии 2); не стоит наставить на полном отказе от последней.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие три способа зонной передачи применяются для репликации зонных файлов? 2. Каково преимущество использования интегрированных зон Active Directory в круп­ ной организации? 3. Анализ существующей сетевой инфраструктуры организаций показал наличие не­ скольких DNS-серверов, у одного из них обновление записей занимает слишком много времени. Какова возможная причина задержки?

Резюме •

Первый этап анализа существующей инфраструктуры DNS — создание ее схемы, в отдельных случаях соответствующая схема создается во время анализа структуры Active Directory. • Чтобы определить компоненты существующей инфраструктуры DNS, прежде всего следует разобраться в ее работе. DNS — это, в сущности, база данных, в которой хранятся записи ресурсов, поддерживаемых DNS-серверами. Эти данные должны реплицироваться на другие DNS-серверы для обеспечения отказоустойчивости и балансировки нагрузки. • Репликация зонных файлов происходит с помощью так называемых зонных пере­ дач; реализация DNS в Windows Server 2003 поддерживает три типа зонных передач:" добавочную (IXFR), полную (AXFR) и быструю зонную передачу.

188

Првектароеание структуры DNS

Глава 6

Занятие 2. Проектирование стратегии разрешения DNS-имен Итак, вы знаете компоненты, необходимые для инфраструктуры DNS, и изучили топо­ логию сети вашей компании. Пришло время познакомиться со стратегией проектиро­ вания DNS, которая позволит интегрировать пространство имен Active Directory, UNIXсерверы, обслуживающие BIND DNS, и другие сетевые службы, такие как DHCP и WINS. Из этого занятия вы узнаете, как объединить эти компоненты, а также познако­ митесь с защитными функциями, которые помогут обезопасить инфраструктуру DNS от потенциальных угроз. Изучив материал этого занятия, вы сможете:

•/ создать проект пространства имен; •/ определить возможность взаимодействия DNS с Active Directory, WINS и DHCP; S определить требования к зонам; •" описать защиту DNS; V спроектировать стратегию взаимодействия DNS с UNIX BIND с целью обеспечения поддержки службы каталогов Active Directory. Продолжительность занятия - около 40 минут.

Создание проекта пространства имен Из главы 2 вы узнали, как создать концептуальную схему пространства имен Active Directory, а сейчас вы научитесь планировать пространство имен DNS. Здесь можно задействовать большую часть данных, собранных во время анализа Active Directory. Проектировать пространство имен DNS организации следует с учетом структуры про­ странств имен Active Directory и Интернета. Проектирование пространства имен DNS

При проектировании пространства имен DNS следует сначала спроектировать среду Active Directory, а затем разработать для нее структуру DNS. Рекомендуется начать с поиска ответов на следующие вопросы. • Существуют ли в вашей компании правила назначения доменных имен компьюте­ рам? • Какой домен зарегистрировала организация для использования в Интернете? (При­ мер — contoso.com.) • Где будут располагаться DNS-серверы: в частной (внутренней) сети или в Интер­ нете? • Требуется ли от DNS поддерживать Active Directory в сети организации? Выбор домена

Рекомендуется выбрать и зарегистрировать для организации уникальное доменное имя DNS, скорее всего это будет имя домена второго уровня в одном из доменов верхнего уровня Интернета (табл. 6-2).

Занятие 2 Табл. 6-2.

Проектирование стратегии разрешений DNS-имен

-jgg

Домены верхнего уровня

Имя

Кому делегируется

;от

Коммерческим организациям, таким как Microsoft

edu

Образовательным учреждениям, например Гарвардскому юридическому колледжу

gov

Правительственным организациям, таким как Белый дом

mil

Военным организациям, таким как Глобальная сеть Министерства обороны США (Defense Data Network, DDN)

net

Сетевым организациям, таким как Национальный научный фонд (National Science Foundation, NSF) США Некоммерческим организациям, таким как Center for Networked Information Discovery and Retrieval (CNIDR)

org

Примером домена второго уровня может быть contoso.com. Выбрав имя для роди­ тельского домена, следует создать поддомены с именами, основанными на расположе­ нии или специфике подразделений. Например, поддомен североамериканского фили­ ала можно назвать namerica.contoso.com, а в нем можно создать поддомен для отдела сбыта: sales.namerica.contoso.com.

Проектирование пространства имен DNS для Active Directory Чтобы грамотно спроектировать пространство имен DNS, необходимо заранее спроек­ тировать инфраструктуру Active Directory, если таковая предусмотрена. Предполагает­ ся, что проект инфраструктуры Active Directory уже готов, теперь пора дополнить его подходящей инфраструктурой DNS. Доменам Active Directory назначаются DNS-имена. Имена доменов Active Directory должны начинаться с доменного суффикса — имени DNS-домена Интернета, зареги­ стрированного организацией (скажем, contoso.com), к нему можно добавить часть, отра­ жающую географическое расположение или название подразделения согласно сформу­ лированным ранее правилам именования. К настоящему моменту на схеме сети должно быть отражено следующее: • разбиение локальной сети (LAN) на подсети (если используется). Эту информацию можно использовать для определения зон, если они требуются, выбора способа зон­ ной передачи, а также для принятия решения о создании поддоменов; • расположение маршрутизаторов и всех доступных через них служб, а также брандмау­ эров и прокси-серверов. Эти сведения помогут защитить ресурсы DNS. Об укрепле­ нии защиты путем фильтрации трафика через заданные порты средствами маршру­ тизаторов и брандмауэров рассказывается ниже; • сведения о подсетях: адреса, маски подсети, диапазоны хостов, а также конфигура­ ции DHCP и DNS; требуются для определения числа пользователей сети или ее участка, а также для распределения в ней DNS-серверов.

Взаимодействие DNS с Active Directory, WINS и DHCP При разработке стратегии разрешения DNS-имен необходимо спланировать интегра­ цию с другими сетевыми службами с целью улучшения производительности сети. Из этого раздела вы узнаете, как интеграция с Active Directory улучшает работу сети и снижает издержки на администрирование; что DHCP не только автоматически настра­ ивает параметры IP-конфигурации клиентской рабочей станции, но и взаимодействует

Проектирование структуры DNS

Глава 6

со службой DNS для выполнения динамических обновлений. В завершение будет рас­ смотрена служба WINS, а также оптимизацию DNS для пересылки запросов разреше­ ния NetBIOS-имен WINS-серверам. Начнем с анализа интеграции с Active Directory.

Интеграция с Active Directory Как сказано в главе 2. Active Directory — это инструмент для управления, организации и поиска ресурсов сети. Служба каталогов Active Directory спроектирована для работы со службой DNS-сервер (DNS Server), которая встроена в ее реализацию, благодаря ему эти службы идеально подходят друг для друга.

Установка Active Directory Если при добавлении на сервер роли Контроллер домена (Domain Controller) мастер установки не обнаружит DNS-сервера, полномочного для данного домена, он предло­ жит установить DNS-сервер. Это необходимо, поскольку DNS-сервер требуется для поиска этого и других контроллеров домена Active Directory. Мастер также порекомен­ дует установить DNS, если существующая инфраструктура этой службы не поддержи­ вает динамические обновления DNS. Из предыдущего занятия вы узнали, что одно из преимуществ интеграции DNS с Active Directory состоит в возможности репликации зон без их хранения в текстовых файлах на основном DNS-сервере. Рассмотрим преимущества интеграции с Active Di­ rectory подробнее. • Любой контроллер домена, на котором работает служба DNS-сервера, может быть назначен основным источником данных зоны и способен обновлять их. Это отлича­ ется от стандартной методики, предусматривающей единственный основной DNSсервер с основной DNS-зоной, который может оказаться слабым местом сети. Так, при выходе из строя основного DNS-сервера клиенты не смогут обновлять БД DNS, поскольку обновление дополнительного DNS-сервера возможно только посредством репликации (зонной передачи). В модели DNS, интегрированной с Active Directory, мастер-копия зоны поддерживается службой Active Directory и реплицируется на все контроллеры доменов. • Использование Active Directory повышает безопасность (подробнее об этом см. ниже), поскольку списки управления доступом (Access Control Lists, ACLs) можно применять для защиты объектов DNS, хранящихся в БД Active Directory. Например, ACL позволяют ограничить динамические обновления, выполняемые клиентскими компьютерами, подобно тому, как они ограничивают доступ к сетевым принтерам и папкам. • Зоны автоматически синхронизируются и реплицируются на новые контроллеры доменов без дополнительных усилий по администрированию. • DNS, интегрированная с Active Directory, эффективнее с точки зрения репликации, так как не требует проектирования топологии репликации, отдельной от топологии репликации между контроллерами доменов. Вместо этого БД зон реплицируются между DNS-серверами вместе с другими данными Active Directory, что позволяет объединить стратегии администрирования этих процессов. • Репликация каталога быстрее стандартной репликации DNS, так как в этом случае реплицируются только модификации зон, хранимых в каталоге; к тому же передача обычных зонных файлов (которые могут быть велики), способна отнимать значи­ тельную часть и без того ограниченной полосы пропускания каналов связи.

Занятие 2

Проектирование стратегии разрешений DNS-имен

-jg^

Нетрудно убедиться, что преимущества от интеграции DNS с Active Directory стоят минимальных начальных усилий по ее реализации; а теперь рассмотрим интеграцию DNS с DHCP. Интеграция DNS с DHCP В прежние времена администраторам сети приходилось вручную создавать записи типа А и PTR для новых пользователей, подключающихся к домену, никто даже не думал о возможной автоматизации этого процесса, в результате он требовал много времени и был предрасположен к ошибкам. При установке службы DHCP в Windows Server 2003 создается DHCP-сервер, спо­ собный обновлять от имени DHCP-клиентов DNS-серверы, поддерживающие динами­ ческие обновления. Другими словами, DHCP может регистрировать записи типа А и PTR для DHCP-клиентов, которые предоставляют DHCP-серверу свои FQDN и ин­ струкции по выполнению динамических обновлений DNS. В Windows Server 2003 DHCP-сервер может быть сконфигурирован одним из следующих способов: • сервер обновляет А и PTR по запросу клиента; • сервер обновляет DNS-записи типа А и PTR независимо от клиента; • сервер не регистрирует и не обновляет сведения о клиенте в DNS; * сервер всегда регистрирует и обновляет сведения о клиенте в DNS независимо от запросов клиента на выполнение этих обновлений; а сервер не регистрирует и не обновляет сведения о клиенте в DNS. По умолчанию DHCP-серверы на основе Windows Server 2003 и Windows 2000 на­ строены по первому варианту: они регистрируют и обновляют сведения о клиенте на DNS-сервере, полномочном для зоны, в которой расположен этот DHCP-сервер. Мож­ но настроить DHCP и так, чтобы он приказывал DNS-серверу удалить клиентские записи А и PTR по завершении срока клиентской аренды. Интеграция DHCP улучшает работу сети и помогает администраторам сэкономить время; ниже будет рассмотрено взаимодействие DNS с WINS. Служба WINS В некоторых случаях DNS-серверы не способны разрешать унаследованные NetBIOSимена, для их разрешения применяют службу WINS. DNS обеспечивает разрешение имен в домене DNS, a WINS — в пространстве имен NetBIOS. Чтобы служба DNS смогла просматривать пространство имен NetBIOS (если имя не удается разрешить в пространстве имен DNS), в Windows Server 2003 предусмотрены два типа записей ре­ сурсов, определяющие WINS-серверы: a WINS; • запись обратного просмотра WINS (WINS-R). Запись ресурса WINS Запись ресурса WINS позволяет службе DNS использовать WINS для просмотра NetBIOS-имен и пересылки ей запросов хост-имен, не найденных в БД DNS-зоны. Например, если клиент А запрашивает у основного DNS-сервер разрешение имени клиента В.sales.contoso.com (рис. 6-4), происходит следующее.

192

Проектирование структуры DNS

Глава 6

1. Вначале предпочитаемый DNS-сервер проверяет наличие IP-адреса в своем кэше. 2. Не обнаружив адрес в своем кэше, DNS-сервер опрашивает от имени клиента дру­ гие DNS-серверы, пока не будет найден DNS-сервер, полномочный для зоны sales.contoso.com. 3. Далее DNS-сервер ищет в зонном файле этого сервера соответствующую запись ресурса (рис. 6-4). 4. Если искомая запись отсутствует в зонном файле DNS-сервера, уполномоченного для данной зоны, но для этой зоны поддерживается просмотр БД WINS, сервер выделяет из FQDN хост-имя (имя клиента В, который не показан на рисунке) и отправляет запрос разрешения соответствующего NetBIOS-имени WINS-серверу. 5. Если WINS-сервер разрешает это имя, IP-адрес клиента возвращается DNS-серверу. 6. DNS-сервер на основе полученного от WINS-сервера IP-адреса создает запись типа А и возвращает ее предпочитаемому DNS-серверу, запрошенному клиентом А. 7. Основной DNS-сервер передает соответствующий отклик запрашивающему клиенту. DNS-сервер

DNS-сервер

Предпочитаемый DNS-сервер

DNS-сервер

просмотр БД WINS

WINS-сервер

Рис. 6-4. Интеграция WINS и DNS Запись обратного просмотра WINS Запись WINS-R добавляется к зонам обратного просмотра, если включен обратный просмотр WINS. Как вам уже известно, зона обратного просмотра разрешает хост-име­ на в IP-адреса. База данных WINS не индексируется по IP-адресам, поэтому невоз­ можно, отправив IP-адрес WINS-серверу, получить соответствующее хост-имя; вместо этого DNS-сервер отправляет запрос о состоянии адаптера узла на IP-адрес, обозначен­ ный в запросе обратного просмотра DNS. DNS-сервер получает отклик с состоянием адаптера и NetBIOS-именем этого узла, добавляет доменное имя DNS к NetBIOS-име­ ни и отправляет результат клиенту.

Требования к зонам На занятии 1 вы кратко ознакомились с различными видами зон в Windows Server 2003, на этом занятии мы рассмотрим их подробнее — это поможет вам выбрать подходящий тип зон для сети организации.

Занятие 2

Проектирование стратегии разрешения DNS-имен

Стандартная основная зона Такие зоны обычно применяют в сети на основе UNIX, а также в прежних реализациях DNS. Обычно такая реализация DNS включает минимум один основной и один допол­ нительный DNS-серверы. Данные реплицируются с основного DNS-сервера на допол­ нительный в ходе операции, называемой зонной передачей (zone transfer). Обновлять DNS-данные разрешается только на основном DNS-сервере. Дополнительный DNSсервер доступен только для чтения, поэтому изменять его данные можно только с помо­ щью репликации. Репликация, или зонная передача между основным и дополнительным DNS-серверами происходит: • по истечении периода обновления для зоны; • когда главный сервер сообщает об изменениях вспомогательному; • при запуске службы DNS-сервера на дополнительном DNS-сервере в данной зоне; • когда вспомогательный сервер инициирует передачу с своего главного сервера.

Зона, интегрированная в Active Directory Зоны такого типа обычно реализуют в сети, где уже есть инфраструктура Active Directory, но пока нет инфраструктуры DNS. При этом зоны DNS могут храниться в разделе каталога Active Directory, обслуживающего домен или приложения. Разделы каталога — это структуры данных, с помощью которых Active Directory разделяет данные, подлежащие репликации на разные компьютеры, подробнее об этом — на занятии 3. Рассмотрим возможные области репликации зон, интегрированных в Active Directory. Такие зоны могут реплицироваться на: • все DNS-серверы, работающие на контроллерах доменов леса Active Directory; • все DNS-серверы домена Active Directory (вариант по умолчанию); и все контроллеры данного домена Active Directory; • серверы, заданные параметрами указанного раздела каталога приложений. Одно из ключевых преимуществ зон этого типа по сравнению со стандартными зонами состоит в том, что мастер-копия зонного файла хранится в БД Active Directory и реплицируется с ней на все контроллеры доменов. Обновить можно любую из этих копий, тогда как стандартную зону можно обновить только на основном DNS-сервере. Если в сети работает Active Directory, рекомендуется использовать зоны, интегриро­ ванные в Active Directory, поскольку: • такие зоны надежнее защищены благодаря безопасным динамическим обновлени­ ям и спискам управления избирательным доступом (discretionary access control list, DACL); • они автоматически копируются на все контроллеры домена; • репликация каталога быстрее стандартной репликации DNS.

Защита DNS Стратегию разрешения имен следует разрабатывать, ориентируясь на снижение риска атаки инфраструктуры DNS. DNS-серверы могут быть атакованы через Интернет, поэтому следует максимально обезопасить их. DNS в Windows Server 2003 обладает дополнительными возможностями

Проектирование структуры DNS

Глава 6

защиты, которые помогут в этом. В этом разделе рассматриваются различные типы атак инфраструктуры DNS и способы защиты от них. Читая этот раздел, специалистам по защите и администраторы сетей важно отдавать себе отчет в том, что любая система рискует быть атакованной; если сеть подключена к Интернету, этот риск значительно возрастает. Советы, приведенные в этом разделе, — не панацея от взлома, они призваны затруднить проникновение в вашу сеть и переклю­ чить внимание взломщиков на другие, менее защищенные или вовсе не защищенные системы. Гарантировать абсолютную защиту сервера от атак через сеть можно, только отключив от него сетевой кабель и заперев в комнате с кодовым замком!

Потенциальные угрозы безопасности Защите сетей посвящено множество книг, этот раздел — всего лишь вершина этого «айсберга»; дополнительные сведения см. в справочной системе Windows Server 2003 и на сайте http://www.microsoft.com/technet/ security/prodtech/windows/win2003. Начнем с рассмотрения следующих угроз безопасности инфраструктуры DNS: • разведка сети (footprinting) — дистанционное получение информации о сети при по­ мощи таких инструментов, как whois, nslookup и axfr (эта программа бесплатно рас­ пространяется через Интернет; она получает информацию о зонном файле с любого домена без соответствующей защиты, записывает их в сжатый файл, который взлом­ щик может почитать в любое ему удобное время, отключившись от сеть); • атаки типа «отказ в обслуживании» (denial-of-service, DoS) — прекращение предо­ ставления доступа к ресурсам сети ее «законным» пользователям. Наиболее широко известна атака «ping of death», когда командой ping на сервер отправляется слиш­ ком большой пакет, который сервер не может обработать и прекращает отвечать на запросы пользователей. DoS-атака «захлестывает» DNS-сервер лавиной рекурсив­ ных запросов, перегружая его процессор и блокируя любые другие операции. • перенаправление (redirection) — злоумышленник направляет запросы, посланные пол­ номочному DNS-серверу, на сервер, подконтрольный ему. Обычно это делается пу­ тем взлома кэша DNS-сервера и заполнения его неверными DNS-данными, такими как записи ресурсов, указывающими на сервер злоумышленника. В результате взломщик получает сетевые запросы клиентами, в которых могут содержаться па­ роли к серверам. Видно, что сама по себе DNS крайне уязвима, что и понятно, поскольку ее проек­ тировали почти без защиты или вовсе без нее. Защита инфраструктуры DNS Следующие рекомендации помогут защитить инфраструктуру DNS. • Исключите прямое взаимодействие клиентов внутренней сети с DNS-серверами через Интернет. Для этого можно поместить внутренние DNS-серверы в частное пространство имен, а внешние — разместить на внешних DNS-серверах. Если хосту из внутренней сети потребуется разрешить имя из внешней сети, внутренний DNSсервер сможет переслать запрос внешнему DNS-серверу. • Чтобы закрыть доступ внешним компьютерам к внутреннему пространству имен DNS, настройте брандмауэр так, чтобы взаимодействие по протоколам UDP и TCP через порт 53 было разрешено только внутренним и внешним DNS-серверам. в Чтобы злоумышленник не смог начать DoS-атаку DNS-серверов, ограничьте число IP-адресов, обслуживаемых DNS-сервером, адресами DNS-клиентов, а также от-

Занятяе 2

Проектирование стратегам разрешения DNS-имвк

ключите рекурсию у DNS-серверов, не настроенных на выполнение рекурсивных запросов, ш Чтобы защититься от «отравления» DNS-кэша (cache pollution), не снимайте поме­ ченный по умолчанию флажок Включить безопасный кэш (Secure Cache Against Pollution), чтобы не позволить взломщику добавить в файл зоны ложные записи ресурсов. • На DNS-серверах, работающих на контроллерах домена, используйте DACL с це­ лью управления разрешениями для службы DNS-сервера. DACL входит в дескрип­ тор безопасности DNS-объекта, разрешающий или запрещающий пользователям и группам доступ к этому объекту. • Чтобы предотвратить разведку сети через зонные передачи DNS, разрешайте зон­ ные передачи только между DNS-серверами, указанными в записях ресурсов как серверы имен данной зоны. Это задано по умолчанию, если требуется дополнитель­ ная защита, можно ограничить число IP адресов, на которые разрешена переда зоны. • Чтобы укрепить защиту DNS-сервера на основе Windows Server 2003, всегда ис­ пользуйте файловую систему NTFS, а не FAT или FAT32. ш Если в инфраструктуре DNS используется только зоны, интегрированные в Active Directory, разрешайте только безопасные динамические обновления. Итак, вы познакомились с различными способами защиты DNS-серверов, они не позволяют защитить данные зоны от перехвата во время репликации (зонной переда­ чи), когда они передаются через публичные сети. Всякий раз, когда данные передаются через Интернет, существует опасность, что посторонний, вооруженный анализатором протоколов (программой-перехватчиком па­ кетов), перехватит пакеты и сможет просмотреть их содержимое. В завершение раз­ дела, посвященного защите DNS, мы кратко расскажем о защите данных при репли­ кации.

Защита данных при репликации Вы уже знаете, что значение репликации зон DNS на дополнительные DNS-серверы заключается в обеспечении отказоустойчивости и балансировке загрузки; но что, если данные пересылаются по глобальной сети (WAN), использующей Интернет как среду передачи? Посторонние вполне могут перехватывать ваши данные с помощью анализа­ тора протокола и просматривать их содержимое. Есть несколько способов избежать или, по крайней мере, снизить вероятность перехвата данных: • защита шифрованием с помощью протокола IP-безопасности (IPSec); • защита шифрованием с помощью виртуальной частной сети (VPN); • защита шифрованием средствами Active Directory Трафик зонной репликации можно зашифровать средствами туннеля IPSec или VPN. Независимо от выбранного способа, используйте самый стойкий шифровальный алго­ ритм, например 3DES (произносится как «трипл-дэс»). Еще раз подчеркнем: любые зашифрованные данные могут быть расшифрованы, вопрос лишь в том, сколько вре­ мени это займет. Кроме того, есть простые способы взлома шифра любой сложности, например, похищения единственного шифровального ключа, который по небрежности часто передают через Интернет. Здесь уместно повторить, что шифрование не гаранти­ рует полной защиты от несанкционированного доступа.

196

Проектирование структуры BUS

Глава б

Выбрав зоны, интегрированные в Active Directory, вы автоматически получите их защиту встроенными средствами. Можно настроить Active Directory так, чтобы разре­ шить репликацию зон только на зарегистрированные DNS-серверы зон.

Взаимодействие со службой BIND в UNIX Как сказано в занятии 1, не во всех организациях для разрешения имен используется Microsoft-реализация DNS. Из этого раздела вы узнаете, как интегрировать Active Directory в Windows Server 2003 с реализацией DNS в виде BIND. Если планируется сохранить DNS-серверы на основе BIND, новые DNS-серверы, которые, возможно, буду использовать Microsoft-реализацию DNS, должны поддерживать прежние реали­ зации этой службы: BIND и DNS Windows NT. Windows 2003 рассматривает эти реали­ зации DNS как традиционные DNS-серверы, поддерживающие: • стандартные основные зоны • стандартные дополнительные зоны • делегирование доменов.

Версии BIND, протестированные Microsoft Разработчики DNS для Windows Server 2003 протестировала взаимодействие серверных клиентских служб DNS из Windows Server 2003 со следующими реализациями DNS на основе BIND: • BIND 4.9.7; • BIND 8.1; • BIND 8.2; • BIND 9.1.0. Когда пользователь пытается войти в сеть Windows Server 2003, для поиска контрол­ лера домена и других сетевых ресурсов ему требуется DNS. Фактически при установке Windows Server 2003 на первом сервере сети и повышении его до контроллера домена можно поручить мастеру установки установить DNS-сервер и добавить зоны на основе DNS-имени, введенного при установке. Во многих организациях используется BINDверсия DNS, которая, к сожалению, не всегда соответствует требованиям к DNS для развертыванию Active Directory. Эти проблемы можно решить следующими способами: • обновите все DNS-серверы на основе BIND до версии 8.1.2 и выше; • убедитесь, что текущая реализация DNS на основе BIND поддерживает записи ре­ сурсов типа SRV (указатель службы). Например, запись _http._tcp.contoso.com IK SRV 0 0 80 может указывать всем пользователям Web-сервер webserver.contoso.com; • убедитесь, что текущая реализация DNS на основе BIND поддерживает динамиче­ ские обновления, описанные в RFC 2136; это не обязательно, но настоятельно ре­ комендуется. Без поддержки этой функции текущая реализация DNS на основе BIND потребует ручного администрирования записей SRV для нормальной работь: Active Directory.

Зонная передача BIND Зонная передача между DNS-серверами на основе Windows Server 2003 не представляет сложности: по умолчанию используется быстрая зонная передача, для повышения эф­ фективности применяется сжатие данных. Этот метод позволяет пересылать в одном сообщении несколько записей ресурсов, что повышает скорость зонной передачи.

Занятие 2

Проектирование стратегии разрешения DNS-имен

-цду

DNS-серверы Windows Server 2003 можно настроить на передачу зоны в несжатом виде для обмена зонными данными с серверами, не поддерживающими быструю зон­ ную передачу, например, с BIND-серверами версий до 4.9.4. Также BIND-серверы не распознают записи WINS и WINS-R, поэтому при репликации на такие серверы необ­ ходимо пометить флажок Не выполнять репликацию этой записи (Do Not Replicate This Record).

Лабораторная работа. Проектирование пространства имен DNS для лесов и доменов На этой лабораторной работы вы спроектируете пространство имен DNS для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и от­ веты» в конце главы.

Сценарий Компания Northwind Traders занимается производством сетевого оборудования, пред­ назначенного для наращивания возможностей корпоративных коммуникаций. В насто­ ящее время в сети компании используется модель доменов Windows NT 4.0 (модель с главным доменом). За последние годы компания значительно расширилась, в течение следующих трех лет также ожидается значительный рост, включая увеличение доли на рынке, роста доходов и числа служащих. Чтобы привести сеть компании в соответствие с текущими и будущими потребностям, руководство решило открыть два новых офиса и внедрить модель доменов Active Directory на основе Windows Server 2003. В следующей таблице показано географическое расположение представительств компании, существующие в них отделы и число пользователей. Расположение

Имеющиеся отделы

Число пользователей

Париж

Основной офис Финансы Продажи Маркетинг Производство Исследования Разработки ИТ Продажи Маркетинг Финансы ИТ Обслуживание клиентов Техническая поддержка клиентов Обучение Исследования Разработки Долгосрочные проекты ИТ

2000

Лос-Анджелес

Атланта

Глазго, Шотландия

1000

750

750

(см. след. стр.)

198

Проектирование структуры DNS

Глава 6

(окончание) Расположение

Имеющиеся отделы

Число пользователей

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500

Большинство информационных служб компании расположено в штаб-квартире в Париже. ИТ-отделу требуется возможность централизованного управления паролями и параметрами защиты, но ИТ-подразделение филиала в Лос-Анджелесе хочет оставить за собой управление инфраструктурой филиала, а ИТ-отдел филиала в Глазго требует автономии в управлении сетью филиала с целью надлежащей защиты данных НИОКР. Руководство компанией разделяет их позиции и требует организовать надежную защи­ ту данных отдела НИОКР. На схеме изображены каналы связи между подразделениями компании; кроме того, офисы в Лос-Анджелесе и в Атланте подключены к сети штаб-квартиры в Париже через VPN.

Зона, интегрированная в Active Directory

Дополнительная зона

Основная зона, интегрированная в Active Directory

Зона, интегрированная в Active Directory

Зона-заглушка, интегрированная в Active Directory

Руководство компании Northwind Traders приняло проект лесов и доменов, показан­ ный на рис. ниже; доменам Active Directory решено назначить частные (не зарегистри­ рованные в Интернете) имена.

Лес отдела НИОКР

Лес NWTraders

Вопросы к лабораторной работе Исходя из представленного сценария, выполните следующее задание. По схеме лесов и доменов, приведенной в сценарии, разработайте стратегию име­ нования для компании Northwind Traders. Обоснуйте свое предложение.

Занятие 3

Проектирование реализации DN5

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. В вашей организации более 350 пользователей, работающих с ОС Windows 98 и Windows NT Workstation. Пользователи постоянно перемещаются по территории ком­ пании, при этом вам требуется обновлять записи хостов в DNS. Какие функции DNS позволят снизить нагрузку на администратора по созданию и обновлению этих записей? 2. Прочитав в компьютерном журнале статью про перехват зонной передачи при помо­ щи анализатора протоколов, ваш начальник считает, что репликация DNS-данных по сети слишком уязвима для атак. Как успокоить начальника? 3. Какая версия BIND рекомендуется для использования с Active Directory?

Резюме •

Проектирование пространства имен DNS начинается с изучения существующей среды Active Directory. Сначала спроектируйте инфраструктуру Active Directory, а затем добавьте к ней инфраструктуру DNS. • Для этого процесса критически важно наличие схемы сети и хорошей документа­ ции. • Один из важнейших аспектов проектирования DNS — защита компонентов DNS. Разведка сети, DoS-атаки и «отравление» кэша DNS — это лишь часть потенциаль­ ных угроз безопасности инфраструктуры DNS.

Занятие 3. Проектирование реализации DNS Настало время решить, будет ли новый сервер основным DNS-сервером или кэширующим, а также какие записи ресурсов потребуется создать. Проектировать реализацию DNS необходимо с учетом типа зонной передачи и пропускной способности каналов связи между DNS-серверами. На этом занятии вы узнаете, как выбрать стратегию хра­ нения DNS-зон, как настроить различные параметры DNS-сервера и поближе позна­ комитесь с записями ресурсов DNS. Изучив материал этого занятия, вы сможете:

•S разработать стратегию хранения зоны DNS; S выбрать подходящие параметры DNS-сервера. Продолжительность занятия — около 15 минут.

При проектировании реализации DNS необходимо четко представлять себе тополо­ гию сети, размещение пользователей, серверов, маршрутизаторов и других компонен­ тов. На рис. 6-5 показана общая схема сети. Такую схему можно дополнить конкретной" информацией, например типами зон, сведениями о размещении DNS-серверов и т. п.

200

Проестирование структуры DNS

Глава 6

Рис. 6-5. Пример общей схемы сети

• • • • •

К данному моменту вы должны быть готовы дать ответы на следующие вопросы. Какие типы зон потребуются для проекта: интегрированные с Active Directory, стан­ дартные основные зоны или иные? Как расположить DNS-серверы в сети? (Подробнее об этом — в занятии 4.) Требуется ли проекту интеграция с DNS-службой UNIX BIND или устаревшими версиями DNS? Требуется ли проекту интеграция с другими сетевыми службами, например с DHCP и WINS? Предполагается ли интеграция проектируемого пространства имен DNS с простран­ ством имен Active Directory?

Хранение зон На занятии I вы кратко познакомились с различными способами хранения зон в инфра­ структуре DNS. При наличии Active Directory зонные файы можно хранить двумя спо­ собами: • как текстовые файлы в папке systemroot\System32\DNS на каждом из DNS-серверов. Например, для зоны для домена marketing.contoso.com зонный файл будет назы­ ваться marketing.contoso.com.dns. Заметьте, что зонным файлам назначается расшире­ ние «dns»; • в БД Active Directory (в разделе каталога домена или приложений; см. ниже). о преимуществах зон, интегрированных с Active Directory, см. в занятии 2.

Разделы каталога приложений Из занятия 2 вы узнали, что зоны DNS хранятся в БД Active Directory, например, Б разделе каталога приложений. Этот раздел каталога позволяет, храня данные в Active Directory, разрешить их репликацию только на определенные контроллеры доменов.

Занятие 3

Проектирование реализаций DNS

Зоны-заглушки Зона-заглушка (stub zone) — это копия зоны, содержащая только записи ресурсов, ука­ зывающие на DNS-сервер, полномочный для определенной зоны DNS. При этом за­ прашивающему DNS-серверу не требуется вести поиск полномочного DNS-сервера в Интернете: достаточно обратиться к списку серверов имен (записей ресурсов NS) зоны-заглушки. Список полномочных DNS-серверов для определенной зоны может распространять­ ся с помощью зоны-заглушки. В отличие от дополнительных зон, используемых в пер­ вую очередь для избыточности и балансировки нагрузки, зоны-заглушки используются для повышения эффективность разрешения имен.

Проектирование зон обратного просмотра По соображениям безопасности серверу иногда необходимо узнать имя узла, но изве­ стен лишь его IP-адрес. В таких случаях инициируется обратный просмотр. Зоны об­ ратного просмотра проектируют так же, как зоны прямого просмотра, только с учетом необходимости репликации файлов зон обратного просмотра по домену. Типы зон об­ ратного просмотра бывают те же, что и зон прямого просмотра: • зоны, интегрированные в Active Directory; • стандартные основные зоны; • стандартные дополнительные зоны. Параметры DNS-сервера Проектируя инфраструктуру DNS, необходимо решить, на каких серверах будут хра­ ниться основные и дополнительные копии зон. Если планируется использовать Active Directory необходимо также решить, какие серверы станут контроллерами домена, а какие — его рядовыми серверами. Естественно, от этих решений зависит потребность в оборудовании. Так, если сер­ вер будет совмещать роли основного DNS-сервера и контроллера домена, ему может потребоваться дополнительная память. Подробнее об этом — в занятии 4. Настройка DNS-сервера Определившись с ролью сервера, необходимо настроить его, но сначала следует: • определить, планируется ли развертывание Active Directory. Если да, можно перело­ жить задачу установки и настройки DNS на мастер установки Active Directory; • убедиться, что ОС и TCP/IP настроены правильно; • убедиться, что на дисках сервера достаточно места и оперативной памяти хватит для работы с размещенной на нем зоной; Размещение серверов подробно рассматривается в следующем занятии; вообще, рекомендуется в каждом удаленном участке сети установить хотя бы один DNS-сервер.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

202

Проектирование структуры DNS

Глава 6

1. Вы — администратор сети с Windows Server 2003, в которой имеется компьютер под управлением UNIX, где работает унаследованная программа. Эта программа требу­ ет проверки подлинности подключающихся к ней рабочие станции по хост-именам. Пользователи жалуются, что они не могут работать с этой программой и получают сообщение о отказе в доступе из-за отсутствия разрешений. Что может быть причи­ ной этой проблемы? 2. Вы готовитесь подключить в сеть сервер с Windows Server 2003. Это первый сервер сети, и после установки ОС вы собираетесь повысить его до контроллера домена. Перечислите этапы установки DNS на этот компьютер. 3. Вы только что установили Active Directory и создали зону для домена sales.contoso.com. Назовите два способа хранения зонного файла для этого домена.

Резюме •

•

•

Зонный файл можно хранить двумя способами: в виде текстового файла в папке systemroot\System32\DNS на каждом DNS-сервере, либо (для зон, интегрированных в Active Directory), в БД Active Directory. Раздел каталога приложений позволяет хранить в Active Directory специфичные для приложений данные, которые следует реплицировать только на определенные кон­ троллеры доменов. Зоны обратного просмотра проектируют так же, как зоны прямого просмотра. По­ мните о репликации зон с целью обеспечения отказоустойчивости и балансировки нагрузки.

Занятие 4. Разработка стратегии размещения служб DNS Итак, вы уже собрали в проектной документации информацию о всех серверах сети: а если известны типы зон DNS, топологии LAN и WAN, а также число пользовате­ лей в сети, вы готовы к проектированию стратегии размещения служб DNS. На этом занятии вы узнаете, как разместить DNS-серверы, чтобы обеспечить оптимальную про­ изводительно сть. Изучив материал этого занятия, вы сможете:

•S спроектировать размещение DNS-служб. Продолжительность занятия - около 25 минут.

Проектирование размещения служб DNS Развертывание DNS-серверов в сети требует тщательного анализа всех сведений, со­ бранных к этому моменту, включая схему размещения всех ресурсов сети. Необходим: также четкое представление о пропускной способности каналов связи и производи­ тельность оборудования серверов. Так, необходимые сведения, например число DNSсерверов в каждом офисе, можно нанести на общую схему сети (рис. 6-6).

Занятое 4

Разработка стратегии размещения служб DNS

203

В этом разделе рассматриваются некоторые вопросы, которые помогут верно вы­ брать число серверов и грамотно разместить их в сети.

Рис. 6-6.

Пример схема сети с указанием размещение серверов

Размещение серверов Чтобы решить, сколько DNS-серверов потребуется, и где их следует разместить, необ­ ходимо ответить на следующие вопросы. • Сколько зон будет на DNS-серверах? Чем больше зон, гем больше оперативной памяти потребуется серверу. • Насколько велики зоны? (Ответ зависит от количества записей ресурсов в зоне или размера зонного файла, он также влияет на выбор размера памяти или оборудования сервера для работы с данной зоной.) • Сколько DNS-запросов от клиентов предположительно будет получать служба DNSсервера? Если клиенты постоянно бомбардируют DNS-сервер запросами, его произ­ водительность значительно снизится. Подумайте об установке нескольких DNSсерверов с целью балансировки нагрузки по обработке запросов. • На каких серверах будут храниться основные и дополнительные копии зон? Ответ на этот вопрос поможет оценить влияние трафика, генерируемого зонной переда­ чей. Если это трафик слишком велик, подумайте об установки кэширующих DNSсерверов в удаленных участках сети, подключенных через медленные WAN-кана­ лы. Кэширующие серверы рассматриваются ниже в этом разделе. • Если в сети используется Active Directory, будет ли DNS-сервер работать на кон­ троллере домена или рядовом сервере? От этого зависят требования к оборудованию сервера. я Будут ли использоваться только DNS-серверы на основе Windows Server 2003 или .. планируется применение DNS-реализаций из других ОС? В последнем случае обя­ зательно изучите все применяемые реализации DNS.

204

Проектирование структуры DNS

Глава 6

•

Предусмотрен ли альтернативный DNS-сервер на случай внезапного отказа предпо­ читаемого DNS-сервера? Это очень важно, так как в организациях часто применя­ ют DNS не только для разрешения внутренних имен, но и для доступа к ресурсам через Интернет. Устройство DNS требует наличие хотя бы двух серверов для каждой зоны, основного и дополнительного: это, как и создание зон, интегрированных в Active Directory, обеспечивает отказоустойчивость. • Предусмотрен ли в удаленной подсети альтернативный DNS-сервер на случай вы­ хода из строя маршрутизатора? Если в подсети много пользователей, обращающихся к DNS за разрешением имен, стоит подумать об установке в ней DNS-сервера. Например, установка DNS-сервера в сегменте сети, где всего три пользователя, нерентабельна, лучше направить запросы пользователей на ближайший DNS-сер­ вер. Трафик разрешения имен, как и трафик зонной передачи, делает и без того небыстрые WAN-каналы еще более медленными. Одним из решений этой проблемы является установка кэширующих DNS-серверов, о которых рассказывается ниже.

Мониторинг DNS

Microsoft проведено тестирование производительности своей реализации DNS. В тече­ ние четырех дней велось наблюдение за работой службы DNS, установленной на сер­ вере со следующими параметрами: • однопроцессорный сервер Intel Pentium III (733 МГц); • 256 Мб ОЗУ; • жесткий диск объемом 4 Гб. Конечно, базовый уровень производительности для своей компании следует опреде­ лять самостоятельно, но и результаты тестирования Microsoft вполне пригодны для оп­ ределения снижения производительности DNS-сервера со временем. Производитель­ ность DNS-сервера оценивают, наблюдая за следующими событиями: • общее количество запросов, полученных DNS-сервером; • среднее количество запросов, полученных за секунду; • общее количество откликов, отправленных DNS-сервером; • среднее количество откликов, отправленных DNS-сервером в секунду. DNS-сервер, протестированный Microsoft, выполнял 9500 запросов и 1300 динами­ ческих обновлений в секунду при загруженности процессора 75 %. Также можно ис­ пользовать счетчики производительности DNS для наблюдения за другими аспектам:.работы DNS-сервера. Например, счетчик Отправлено запросов AXFR (AXFR Request Sen позволяет выяснить, не отправляет ли дополнительный DNS-сервер слишком мнсс; запросов полной зонной передачи. Чтобы определить, укладывается ли число запрос:: в норму или превышает ее, сравните значение этого счетчика с ранее зарегистрирован­ ным базовым уровнем.

Кэширующие серверы Для повышения скорости зонной передачи и снижения трафика применяют кэшир\--сщие серверы, не хранящие зон (рис. 6-7). Такие DNS-серверы лишь кэшируют запр-ссы, чтобы затем немедленно обслуживать аналогичные запросы с использованием ко­ тированных записей ресурсов. Другими словами, кэширующий сервер не пересылагидентичные запросы другим DNS-серверам, что ускоряет разрешение имен и снижагтрафик.

Разработка стратегии размещения служб DSS

Занятие

Гонолулу

уам

1 / <эш

DNS

v"

128килобитый канал Т-1

1

1

DNS основная зона ^

Кэширующий DNS-сервер

«

^

DNS>^ contoso.com

-

"""дополнительная зона

Рис. 6-7. Кэширующий сервер не хранит зону

Памяти много не бывает Наверное, вы много раз слышали эти слова, и это понятно: чем больше памяти, тем выше производительность, это особенно верно для DNS-серверов. Увеличив оперативную память DNS-сервера, можно значительно улучшить его производи­ тельность: тогда при запуске службы DNS-сервера все настроенные зоны будут загружены в оперативную память. Почти 4 Мб оперативной памяти используется DNS даже в отсутствие зон. Для каждой новой зоны или записи ресурса требует­ ся дополнительная память, примерно по 100 байт на каждую запись ресурса.

Балансировка нагрузки При проектировании инфраструктуры DNS всегда лучше предусмотреть как можно больше серверов. Если 1000 пользователей попытаются обратиться к одному и тому же DNS-серверу одновременно, ясно, что сервер будет обслуживать их очень медленно. Балансировка нагрузки осуществляется поочередным предоставлением клиентам в от­ вет на их запросы адресов различных DNS-серверов, это увеличивает масштабируе­ мость, позволяя DNS-серверам одновременно обрабатывать намного больше запросов, чем без балансировки. Как видно из рис. 6-8, если настроить клиентов для обращения сначала к DNS-серверу в локальной подсети, это снизит время разрешения имен .

Ф DNS2

Р DNS1

•^ 192.168.0.8

192.168.1.9

Подсеть А

Подсеть 8 маршрутизатор

Клиентская конфигурация DNS:

Клиентская конфигурация DNS:

192.168.0.8 192.168.1.9

192.168.1.9 192.168.0.8

Рис. 6-8. Пример балансировки нагрузки

Проектирование структуры DNS

i Ляй« О

Удаленные участки сети Самый страшный кошмар администратора сети — жалобы пользователей на медлен­ ную работу системы. Если удаленные пользователи при обращении к: DNS-сервер-;, испытывают большие задержки из-за перегрузки WAN-канала, имеет смысл использо­ вать кзширующие серверы. Подготовка к экзамену В практических вопросах экзамена особое внимание уделяется сетевым топологиям, включающим несколько сегментов, связанных медленных WANканалами. Избегайте репликации через медленные каналы, в удаленных сегмента* подключенных к центральной сети через медленные каналы, применяйте кэширующие серверы. Итак, важнейшими аспектами проектирования инфраструктур}! DNS ЯБЛЛЮТ.\Т on ределение необходимого числа DNS-серверов и оптпмалвноо ч«. ^азисш^нш > i.,n • зрения производительности, отказоустойчивости, балаисироы ii нпГрул и и зашты

Лабораторная работа. Проектирование инфраструктуры DNS На этой лабораторной работе вы оцените проект инфраструктуры DNS для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки— в разделе «Вопросы и от­ веты» в конце главы.

Сценарий См. сценарий для лабораторной работы занятия 2.

Вопросы к лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Как уменьшить нагрузку по администрированию DNS-зон в сети? 2. Вы обеспокоены безопасностью автоматических обновлений DNS, поступающие клиентов сети. Как защитить автоматические обновлений, не повышая нагрузк; .. администрированию DNS?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы ;: НЯТИЙ. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай?,:-;; ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце T;ia=^ 1. При проектировании инфраструктуры DNS вам потребовалось выбрать размещс-: ••. DNS-еервера. У вас имеются схемы и документация по топологии и инфрастр;,.-. \ ре сети. В чем значение этих сведений для выбора размещения сервера? 2. После установки дополнительного DNS-сервера в сети удаленного офиса пояьнл_ . проблема из-за перегрузки медленного WAN-канала трафиком зонной передач.; : результате работа сети замедлилась, а пользователи стали жаловаться на задер-л,. _ при доступе к электронной почте и Web-страницам, Как снизит, график э.лщ:. передачи через медленный WAN-канал? 3. Почему рекомендуется устанавливать в сети несколько DNS-серверов?

Пример из практики

2il/

Резюме •

Сведения, собранные во время создания документации сели, в частности ТОПОЛОГИЙ сети и пропускная способность каналов связи, чрезвычайно важны при проектиро­ вании размещения служб DNS. • Наличие нескольких DNS-серверов повышает производительность благодари ба­ лансировке нагрузки, а применение кзшируюших серверов в удаленных сетях сни­ жает загруженности медленных каналов связи трафиком зонных передач. • Настраивать DNS-сервер следует с учетом размещения на этом сервере других служб. Например, серверу, совмещающему роли DNS-сервера и контроллера домена, по­ требуется больше памяти. Помните: размер необходимой DNS-еерверу памяти зави­ сит от величины зонного файла и количества записей ресурсов.

I

Пример из практики

Вам поручено разработать проект новой инфраструктуры DNS для iviTS Consulting. Inc — консалтинговой компании, занятой в гостиничном бизнесе, со штаб-квартирой в Гонолулу, штат Гавайи. Недавно наемный специалист обновил все серверы до Windows Server 2003 и установил Active Directory. На клиентских компьютерах используются ОС Windows 98 и Windows 2000 Professional. MTS наняла вас для проектирования инфра­ структуры DNS, интегрированной с существующей инфраструктурой Active Directory. На всех клиентских компьютерах планируется применять Windows XP Professional.

Общие сведения о компании За последние два года компания MTS расширилась и стала одной из ведущих компаний по консалтингу в сфере гостиничного бизнеса в странах Тихоокеанского региона В про­ шлом месяце было открыты представительства в Японии, Гонконге, на Тайване и не­ большой офис на Гуаме. В настоящее время под управление?..! MTS находится более 300 отелей по всему региону. В компетенцию компании входят все операции, от бронирова­ ния номеров (клиенты могут самостоятельно забронировать номер на сайте компании; до ведения хозяйства (услуг прачечной, питания, коммунальных услуг, безопасности) и бух­ галтерии (расчета заработной платы и т. д.). В компании применяются трехуровневые приложения, требующие для работы Web-браузер и подключение к Интернету.

География Кроме офиса в Гонолулу, у MTS имеются филиалы на островах Мауи и Кауаи, откуда можно выполнять все операции по управлению отелями на Гаваях. Филиалы полно­ стью укомплектованы ИТ-специалистами.

Сетевая инфраструктура Офис в Гонолулу подключен с филиалами на Мауи и Кауаи по 256-килобитному кана­ лу Fractional Tl и резервному ISDN-каналу, офис на Гуаме сообщается с Гонолулу по 128-килобитному каналу Fractional Tl. Отделения в Японии, Гонконге и на Тайване связываются с офисами Тихоокеанского региона через Интернет и зависят от местных поставщиков услуг Интернета. Во всех офисах Тихоокеанского региона установлены

208

Проектирование структуры ВШ

Глава 6

LAN со скоростью передачи данных в 10/100 Мбит/с. На рис. 6-9 показана схема части сети компании.

Рис. 6-9. Схема части сети

Планы на будущее На данный момент не планируется значительное расширение штата имеющихся офисов, но в течение ближайших двух лет возможно открытие филиала в Пекине.

ИТ-менеджмент ИТ-специалисты в Гонолулу отвечают за филиалы в Гонолулу, на Мауи, Кауаи и Гуа­ ме. Отдельные ИТ-отделы имеются в Токио, Тайбее, Гонкоге. Однако за проектирова­ ние и поддержку инфраструктуры DNS отвечает руководство ИТ-отдела в Гонолулу.

Вопросы Исходя из этого сценария, ответьте на следующие вопросы. 1. Какую дополнительную информацию потребуется собрать для размещения DNSсерверов? 2. Предположим, что файлы DNS-зон реплицируются из офиса Гонолулу в Токио ; помощью зонных передач. О чем следует позаботиться, принимая во внимание су­ ществующую топологию сети? Как снизить или полностью исключить угрозы безо­ пасности репликации, связанные с текущей инфраструктурой сети? 3. Пользователи в офисе на Гуаме жалуются на медленный доступ к ресурсам чере: Интернет. Хотя в этом офисе есть DNS-сервер, оказалось, что канал, связываю­ щий Гуама и Гонолулу, загружен в основном зонной передачей. Как решить эту проблему?

Резюме главы

4. Вы заключили с MTS контракт на участие в организации филиала в Китае. Менед­ жеры филиала говорят, что уже используют DNS на основе UNIX-службы BIND и не собираются отказываться от нее, поскольку у администратора DNS китайского филиала имеется большой опыт работы с этой реализацией DNS. Таким образом, важно интегрировать текущую реализацию DNS в Active Directory. О чем нужно позаботиться, чтобы выполнить поставленную задачу?

Ц Резюме главы •

•

•

•

•

•

•

•

•

•

•

Первый этап анализа существующей инфраструктуры DNS — создание ее схемы, в отдельных случаях соответствующая схема создается во время анализа структуры Active Directory. Чтобы определить компоненты существующей инфраструктуры DNS, прежде всего следует разобраться в ее работе. DNS — это, в сущности, база данных, в которой хранятся записи ресурсов, поддерживаемых DNS-серверами. Эти данные должны реплицироваться на другие DNS-серверы для обеспечения отказоустойчивости и балансировки нагрузки. Репликация зонных файлов происходит с помощью так называемых зонных пере­ дач; реализация DNS в Windows Server 2003 поддерживает три типа зонных передач: добавочную (IXFR), полную (AXFR) и быструю зонную передачу. Проектирование пространства имен DNS начинается с изучения существующей среды Active Directory. Сначала спроектируйте инфраструктуру Active Directory, a затем добавьте к ней инфраструктуру DNS. Один из важнейших аспектов проектирования DNS — защита компонентов DNS. Разведка сети, DoS-атаки и «отравление» кэша DNS — это лишь некоторые из потенциальных угроз безопасности инфраструктуры DNS. Зонный файл можно хранить двумя способами: в виде текстового файла в папке systemroot\System32\DNS на каждом DNS-сервере, либо (для зон, интегрированных в Active Directory), в БД Active Directory. Раздел каталога приложений позволяет хранить в Active Directory специфичные для приложений данные, которые следует реплицировать только на определенные кон­ троллеры доменов. Зоны обратного просмотра проектируют так же, как зоны прямого просмотра. По­ мните о репликации зон с целью обеспечения отказоустойчивости и балансировки нагрузки. Сведения, собранные во время создания документации сети, в частности топология сети и пропускная способность каналов связи, чрезвычайно важны при проектиро­ вании размещения служб DNS. Наличие нескольких DNS-серверов улучшает производительность благодаря балан­ сировке нагрузки, а применение кэширующих серверов в удаленных сетях снижает загруженности медленных каналов связи трафиком зонных передач. Настраивать DNS-сервер следует с учетом размещения на этом сервере других служб. Например, серверу, совмещающему роли DNS-сервера и контроллера домена, по­ требуется больше памяти. Помните: размер необходимой DNS-серверу памяти зави­ сит от величины зонного файла и количества записей ресурсов.

2i0

Проектирование структуры DNS

S«s!»a 0

Ц Рекомендации по подготовке sc экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, ирньойенкьк ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения ы Для анализа существующей инфраструктуры DNS критически ьажио наличии д., кументации и схем сети, это основа проекта сети. * Проектирование пространства имен DNS начинаете,! . IU,I,HI,,I . ,<и. т,»,шч1 среды Active Directory. Сначала спроектируйте инфри. r^yi ( , p , А> ii • Due. {.,,>, л затем добавьте к ней инфраструктуру DNS * Защита инфраструктуры DNS начинается с анализа возможных рисков Развелч-а сети; DoS-атаки и «отравление» кэша DNS — зто лишь некоторые из ногеппиши. ных угроз безопасности инфраструктуры DNS,, * Проектировать стратегию разрешения DNS-имен следует с учетом погребли, ти D интеграции с другими сетевыми службами, такими как DHCP и WII IS — з;о позво­ лит обеспечить высокую производительность этих служб.

Основные термины Зона - гене — непрерывная часть пространства имен DNS, управляемая DNS-cepacpo..! как единое целое. Зонная передача ~ zone transfer — процесс репликации DNS-данных с ОД11ОГ0 сервера на другой. Windows Server 2003 поддерживает три типа зонных шреиач. добавочна.-, (IFXR), полная (AXFR) и быстрая. Жьшарутщш сервер - caching-only server — DMS-еервер, который котирует о'пошкп п_ запросы и возвращает клиентам кэшированные данные. Это уменьшает врг.мя <,о служивания и снижает трафик, освобождая от необходимости запроса Других ВПС серверов. Служба имен Berkeley Internet Name Domain (BIND) -- реализация DNS, имеющаяся D_ многих системах UNIX. Для ПО Active Directory от Microsoft требуется версия ВП ,'ь не ниже $.1.2,

ЦУ Вопросы и ответы Занятие 1. Закрепление материала 1. Какие три способа зонной передачи применяются для репликации зонных файлов Правильный ответ: IXFR, AXFR и быстрая зонная передача (используется в WindowServer 2003 по умолчанию). 2. Каково преимущество использования интегрированных зон Active Directory в круп­ ной организации? Правильный ответ: главное преимущество — отсутствие зонных передач, зоны реплици­ руются вместе с данными Active Directory.

Вопросы а ответы

£11

Аиятгиз существующей сетевой инфраструктуры организаций показал наличие нео-г.дькич р н з серверов, у одного из них обновление записей занимает слишком много прт-м«'-н!т Кокова возможная причина задержки? Правильный ответ1 ч.г?йы усовершенствовать навыки устранения неполадок, необжодиf«> полимя^ь, это вачгао не только размещение серверов, но и скорость передачи данных но WAN- началам, связывавшим подсети, от которой во многом зависят зонные переда­ чи Fc.ni! Г1ПСТТПНМ только медленные каналы, лучше поискать другие способы обтовле нчя яачнсей ресурсов. Плинии? 5 Лабораторная работа

По cy.tM= ле г "? и доменов, приведенной в сценарии, разработайте стратегию им? ис"?яииа гггтя .компании Northwirtd Traders. Обоснуйте свое предложение, П[»з««л*>рчЦ '»т5ет'- возможны различные варианты, одна из подходящих стратегий изо*)ряш-сня ня .г (к»ду¥ш,ей схеме. Так как доменные имена не зарегистрированы в Интернет», и г п п г и - . Э Т е т с л .поигРЛЬНОе ПРОСТРЯИСГВО ИМ8Н. r^nfJ^/hr^rjersJOOe!

NWtraders.local

/ .л Глазго

Asia Pacific Гс.Г; гпцпг*

NAeast

НИПКР

NAwest

Лес NWtraders

з.янятио ?_ закрепление материала 1

В .чашей организации более 350 пользователей, работающих с ОС Windows 98 и Wmdovs T-.IT 'Workstation. Пользователи постоянно перемещаются по территории ком панич, при этом вам требуется обновлять записи хостов в DNS. Какие функции г у т позволят снизить нагрузку на администратора по созданию и обновлению этих Правильный ответ: можно настроить DHCP-сервер так, чтобы он выполнял обновления от имени DHCP-клиентов, DHCP-сервер зарегистрирует записи типа А (хост) и РТР для «кеч DHCP-клиентов, В результате администратору не придется вводить эту ий-

? Прочитав в компьютерном журнале статью про перехват зонной передачи при помо­ щи анализатора протокола, ваш начальник считает, что репликация DN8-данных по сети слишком уязвима для атак. Как успокоить начальника? Правильный ответ: скажите ему, что зонные передачи можно разрешить только на определенные тр..я.дреса и защитить шифрованием, '• Какая версия B'HD рекомендуется для использования с Active Directory? Правильный ответ; 8Л,2 или выше.

феплвнмв мау£#ш£Ш£> S^*™™™**-

6ЫЯ7

гле работает унаследованная-программа.

Эта

S^=^2S^5S?S^^^

программа

4

>OuKfe&S>X?& ъ u T a * i t ъ даст^тл та-^ъ отсутствия р а з р е ш е н и й . % о может быть п р и ч и ­ н о й этой проблемы?

Правильный ответ: так как UNIX-программа проверяет подлинность рабочей тгтищг по ее хост-имени, требуется зона обратного просмотра. Зоны обратного просмотра рав-Ч решают IP-адрес в хост-имена, а зоны прямого просмотра — хост-имена в IP-адреса. Из вопроса ясно, что пользователи не могут получить доступ к программе, стало быть, DNS-сервер с зоной обратного просмотра недоступен. Администратор должен убедить­ ся, что зона обратного просмотра доступна пользователям, а также подумать о созда­ нии дополнительной зоны для обеспечения отказоустойчивости. 2. Вы готовитесь подключить в сеть сервер с Windows Server 2003. Это первый сервер сети, и после установки ОС вы собираетесь повысить его до контроллера домена. Перечислите этапы установки DNS на этот компьютер. Правильный ответ: так как в сети нет других DNS-серверов, мастер установки Active Directory предложит установить DNS и автоматически настроит ее по ТСРДР-параметрам сервера. 3. Вы только что установили Active Directory и создали зону для домена sales.contoso.com. Назовите два способа хранения зонного файла для этого домена. Правильный ответ: файл стандартной зоны хранится в текстовом формате; зона, инте­ грированная в Active Directory, хранится в дереве Active Directory, расположенном в разделе каталога домена или приложений.

Занятие 4. Лабораторная работа 1. Как уменьшить нагрузку по администрированию DNS-зон в сети? Правильный ответ: рекомендуется использовать DNS-серверы на основе Windows Server 2003 и Windows 2000 Server, а также зоны, интегрированные в Active Directory. 2. Вы обеспокоены безопасностью автоматических обновлений DNS, поступающих от клиентов сети. Как защитить автоматические обновлений, не повышая нагрузку по администрированию DNS? Правильный ответ: на всех серверах следует разрешить только безопасные динамические обновления.

Занятие 4. Закрепление материала 1. При проектировании инфраструктуры DNS вам потребовалось выбрать размещение DNS-сервера. У вас имеются схемы и документация по топологии и инфраструкту­ ре сети. В чем значение этих сведений для выбора размещения сервера? Правильный ответ: в документации указана доступная полоса пропускания каналов, связывающих филиалы компании, а также подробности о числе серверов, размещении маршрутизаторов, распределении пользователей по подсетям и другие сведения, от ко­ торых зависит размещение DNS-серверов и требования к их оборудованию.

Проектирование структуры DMS

Глава 6

Занятие 3. Закрепление материала 1. Вы — администратор сети с Windows Server 2003, в которой имеется компьютер под управлением UNIX, где работает унаследованная программа. Эта программа требу­ ет проверки подлинности подключающихся к ней рабочие станции по хост-именам. Пользователи жалуются, что они не могут работать с этой программой и получают сообщение о отказе в доступе из-за отсутствия разрешений. Что может быть причи­ ной этой проблемы? Правильный ответ: так как UNIX-программа проверяет подлинность рабочей станции по ее хост-имени, требуется зона обратного просмотра. Зоны обратного просмотра раз­ решают IP-адрес в хост-имена, а зоны прямого просмотра — хост-имена в IP-адреса. Из вопроса ясно, что пользователи не могут получить доступ к программе, стало быть, DNS-сервер с зоной обратного просмотра недоступен. Администратор должен убедить­ ся, что зона обратного просмотра доступна пользователям, а также подумать о созда­ нии дополнительной зоны для обеспечения отказоустойчивости. 2. Вы готовитесь подключить в сеть сервер с Windows Server 2003. Это первый сервер сети, и после установки ОС вы собираетесь повысить его до контроллера домена. Перечислите этапы установки DNS на этот компьютер. Правильный ответ: так как в сети нет других DNS-серверов, мастер установки Active Directory предложит установить DNS и автоматически настроит ее по TCP/IP -парамет­ рам сервера. 3. Вы только что установили Active Director)' и создали зону для домена sales.contoso.com. Назовите два способа хранения зонного файла для этого домена. Правильный ответ: файл стандартной зоны хранится в текстовом формате; зона, инте­ грированная в Active Directory, хранится в дереве Active Directory, расположенном в разделе каталога домена или приложений.

Занятие 4. Лабораторная работа 1. Как уменьшить нагрузку по администрированию DNS-зон в сети? Правильный ответ: рекомендуется использовать DNS-серверы на основе Windows Server 2003 и Windows 2000 Server, а также зоны, интегрированные в Active Directory. 2. Вы обеспокоены безопасностью автоматических обновлений DNS, поступающих от клиентов сети. Как защитить автоматические обновлений, не повышая нагрузку по администрированию DNS? Правильный ответ: на всех серверах следует разрешить только безопасные динамические обновления.

Занятие 4. Закрепление материала 1. При проектировании инфраструктуры DNS вам потребовалось выбрать размещение DNS-сервера. У вас имеются схемы и документация по топологии и инфраструкту­ ре сети. В чем значение этих сведений для выбора размещения сервера? Правильный ответ: в документации указана доступная полоса пропускания каналов, связывающих филиалы компании, а также подробности о числе серверов, размещении маршрутизаторов, распределении пользователей по подсетям и другие сведения, от ко­ торых зависит размещение DNS-серверов и требования к их оборудованию.

Вопросы и ответы

213

2. После установки дополнительного DNS-сервера в сети удаленного офиса появилась проблема из-за перегрузки медленного WAN-канала трафиком зонной передачи, в результате работа сети замедлилась, а пользователи стали жаловаться на задержки при доступе к электронной почте и Web-страницам. Как снизить трафик зонной передачи через медленный WAN-канал? Правильный ответ: установите в удаленной сети кэширующий сервер. Поскольку он не хранит зон, это уменьшит объем трафика через WAN-каналы. 3. Почему рекомендуется устанавливать в сети несколько DNS-серверов? Правильный ответ: преимуществ несколько. Во-первых, при неисправности одного DNSсервера пользователи смогут обратиться к резервному DNS-серверу. Во-вторых, ис­ пользование нескольких DNS-серверов в сети рекомендуется для балансировки нагруз­ ки, которая увеличивает возможности служб DNS по сравнению с возможностями оди­ ночного сервера.

Пример из практики 1. Какую дополнительную информацию потребуется собрать для размещения DNSсерверов? Правильный ответ: в сценарии не указано число пользователей в различных филиалов в Тихоокеанском регионе и количестве запросов, отправляемых ими DNS-серверам. Эта информация очень важна, так как от нее зависит размещение и число DNS-серверов. Также следует узнать доступную полосу пропускания и задержку каналов связи между офисами. 2. Предположим, что файлы DNS-зон реплицируются из офиса Гонолулу в Токио с помощью зонных передач. О чем следует позаботиться, принимая во внимание су­ ществующую топологию сети? Как снизить или полностью исключить угрозы безо­ пасности репликации, связанные с текущей инфраструктурой сети? Правильный ответ: в существующей инфраструктуре зонные передачи между Гонолулу и Токио будут осуществляться через Интернет, и потому будут уязвимы для множества атак, включая разведку сети, DoS-атаки и перехват. Защититься от них можно созда­ нием виртуальной частной сети (VPN) между Токио и Гонолулу, которая будет шифро­ вать все зонные передачи, а также использованием зон, интегрированных в Active Directory, и разрешением зонных передач только между авторизованными DNS-серверами. 3. Пользователи в офисе на Гуаме жалуются на медленный доступ к ресурсам через Интернет. Хотя в этом офисе есть DNS-сервер, оказалось, что канал, связываю­ щий Гуама и Гонолулу, загружен в основном зонной передачей. Как решить эту проблему? Правильный ответ: по-видимому, проблема возникает из-за зонных передач, поэтому быстрее и проще всего сделать имеющийся DNS-сервер кэширующим сервером. Пользо­ ватели должны заметить повышение скорости доступа к Web-сайтам, поскольку их за­ просы будут кэшироваться сервером, снижая тем самым потребность в рекурсивных запросах. Кроме того, поскольку сервер кэширования не хранит зонные файлы, связы­ вающий офисы канал больше не будет использоваться для зонной передачи, что освобо­ дит его для передачи других данных.

Проектирование структуры DNS

Глава 8

Вы заключили с MTS контракт на участие в организации филиала в Китае. Менед­ жеры филиала говорят, что уже используют DNS на основе UNIX-службы BIND и не собираются отказываться от нее, поскольку у администратора DNS китайского филиала имеется большой опыт работы с этой реализацией DNS. Таким образом, п ажно интегрировать текущую реализацию DNS в Active Directory. О чем нужно позаботиться, чтобы выполнить поставленную задачу? Прзвильный ответ: в первую очередь убедитесь, что в пекинском офисе используется версия BIND 8.1.2 или более поздняя, согласно требованиям к DNS для Active Directory, Текущая версия BIND ня обязана поддерживать динамические обновления записей ре­ сурсов, но должна поддерживать записи ресурсов типа SRV, поскольку они используют­ ся для поиска служб, необходимых в сети с Active Directory.

ГЛ ABA

7

Проектирование структуры WINS

Зэыягиа

1

Р!о,
2^f?

Занртте 2, Проектирование инфраструктуры WINS

226

Чаиятио з. Рззг»явг>ткч г.трятегии репликации WINS

Ш2

Тдмы ^замена а Т7г,энир'Ш.чч.и^ инфраструктуры сетевых служб в соответствии с бизнес-требованиямтт IT г=!хни,1£'С^|'м^ ограничениями. г) г.оманме. концептуального плана инфраструктуры WINS. л Планирование оаэрешения NetBIOS-имен: м планирование репликации WINS. В этой гпз.вй

Подобно DNS, инфраструктура службы межсетевых имен Windows (Windows Internet Name System WINS) основана на физической и логической топологиях сети. Перед планированием инфраструктуры WINS для компании необходимо составить схему су­ ществующей физической топологии корпоративной сети с подробной информацией о расположении серверов, маршрутизаторов и коммутаторов, контроллеров доменов, серверов приложений, пользователей, групп, подразделений и т. д. (см. главу 2). Данная глава посвящена созданию концептуального плана инфраструктуры WINS. Наверно, вас обрадует, что здесь можно использовать информацию, собранную ранее для проектирования инфраструктуры DNS (см. главу 6) и не «изобретать велосипед». Глава начинается с обзора WINS и принципов ее работы. Далее вы научитесь планиро­ вать инфраструктуру WINS и узнаете, как происходит репликация данных между WINSсерверами (это процесс напоминает репликацию DNS-данных). Прежде всего Для изучения материала этой главы необходимо овладеть понятиями, описанными в главе 1.

2-fg

Проектирование структуры WiNS

Глава 7

Занятие 1. Введение в WINS Служба WINS — это распределенная база данных, хранящая сведения об именах и службах сетевой базовой системы ввода-вывода (NetBIOS). NetBIOS-имена сопостав­ ляются IP-адресам. Подобно DNS, WINS обеспечивает доступ к ресурсам сети посред­ ством простых понятных имен вместо трудных для запоминания IP-адресов. В этом занятии дается обзор компонентов WINS и некоторых терминов, необходимых для про­ ектирования и внедрения стратегии WINS в компании. Изучив материал этого занятия, вы сможете: •/ определить различные компоненты инфраструктуры WINS; •S описать разрешение NetBIOS-имен и понять его значение в среде Windows Server 2003; •/ назвать причины, по которым следует подумать о включении WINS в проект сети. Продолжительность занятия - около 40 минут.

Обзор WINS Многие администраторы считали, что поддержка WINS будет исключена из Windows Server 2003, и были немного удивлены тем, что ее не только оставили, но и усовершен­ ствовали. Поскольку есть компьютеры, работающие под управлением версий Windows до Windows 2000, возникает потребность в WINS. Тех, кто уже работал с WINS в Windows 2000, обрадует, что в новой версии ОС интерфейс WINS не изменился, и появились новшества, упрощающие работу сетевых администраторов. Новинки Windows Server 2003 •

Усовершенствованная фильтрация и возможность поиска в БД WINS помогут найти записи отдельных типов. Например, можно искать записи по IP-адресу или вла­ дельцу. Поскольку БД WINS могут быть громоздкими, эта новинка экономит много времени. м Как и в DNS, разрешается ограничивать и блокировать репликацию записей имен для отдельных партнеров по репликации, а также разрешать к приему с других серверов только определенные записи. Например, можно определить список, уп­ равляющий серверами, которые будут обновлять определенный WINS-сервер во вре­ мя опрашивающей репликации (см. занятие 3). Обзор разрешения NetBIOS-имен NetBIOS была разработана в начале 80-х годов корпорацией Sytek по заказу IBM как средство обеспечения сетевого взаимодействия для созданных IBM приложений. И сей­ час, спустя 20 лет, многие приложения все еще используют NetBIOS. Прежние версии Windows использовали NetBIOS-имена для идентификации ресур­ сов сети. NetBIOS-имя — это 16-разрядный адрес, идентифицирующий сетевой ресурс подобно тому, как имя хоста идентифицирует ресурс в сети TCP/IP. Первые 15 симво­ лов NetBIOS-имени определяются администратором, а шестнадцатый символ, шест-

Занятие 1

Заедание в WINS

217

надцатеричное число, зарезервирован для определения типа ресурса. Многие называют рабочие станции именами, которые в действительности являются NetBIOS-именами, по которым к ним могут обращаться другие рабочие станции. В табл. 7-1 и 7-2 пред­ ставлены примеры NetBIOS-имен, используемых различными компонентами ОС от Microsoft. Табл. 7-1.

Уникальные NetBIOS-имена компонентов Microsoft

Уникальные имена

Описание

computer_name[00h ]

Имя клиентского компьютера, зарегистрированное у WINS службой рабочей станции

computer_name[03h]

Регистрируется службой Messenger клиента WINS

computer_name [20h]

Регистрируется службой Server клиента WINS

username[03h]

Имя пользователя, зарегистрированное Messenger, позволяющее получать команды net send

Табл. 7-2.

Групповые NetBIOS-имена компонентов Microsoft

Групповые имена

Описание

domain_name[lCh] MSBROWSE [01 h]

Регистрируется в домене контроллером домена Регистрируется главным обозревателем для каждой подсети

domain_name[lEh]

Используется браузерами для выбора главного обозревателя

Для доступа к общему ресурсу Payroll на компьютере с NetBIOS-именем HRDirector следует ввести в окне Выполнить (Run) и исполнить команду \\hr_director\payroll — рабочая станция будет вести широковещательную передачу имени hr_director[20h] в сегменте (LAN), пока не найдет IP-адрес станции-адресата (см. рис. 7-1).

Локальная сеть

Рис. 7-1.

Разрешение NetBIOS-имени широковещанием

Как видно на рис. 7-1, все рабочие станции, получившие широковещательный за­ прос разрешения имени, должны ответить, не принадлежит ли им NetBIOS-имя hr_director[20h]. Рабочая станция, которой назначено имя hr_director, ответит запраши­ вающей рабочей станции своим IP-адресом. Проблема в том, что для разрешения NetBIOS-имен необходим широковещатель­ ный трафик. Порой широковещательная передача, осуществляемая во все порты сети и замедляющая ее работу, является неизбежным злом, но администраторы стараются све-

Проектирование структуры WINS

Глава 7

сти к минимуму широковещательный трафик, один из способов достижения этого — применение WINS, другой — создание файла Lmhosts (см. ниже), третий — подключе­ ние v ^егмечтам сети маршрутизаторов (см, главу 8), Метод, который клиент использу­ ет для разрешения имен, зависит от типа узла (см, табл. 7-3). Табл. 7-3.

ТИРЫ NetBIOS-УЗЛОВ

Режим разрешения имен

Описание

В-узел

Использует широковещательные сообщения для регистрации NetBIOS-имен и разрешения NetBIOS-имен в IP-адреса Использует направленную (одноадресную) передачу для прямого взаимодействия с сервером NetBIOS-имен (WINS-сервером) для регистрации и разрешения NetBIOS-имен

Р-узел

М-Узел

Сначала пытается зарегистрировать или разрешить NetBIOS-имя широковещанием (как В-узел), а затем запрашивает WINS-сервер (как Р-узел), если первая попытка оказалась неудачной. Буква «М» означает смешанный (mixed) тип узла, сочетающего черты В- и Р-узлов

4-узег'

Гибридный узел (h-узел), комбинация Р- и В-узлов. Другими словами, для разрешения NetBIOS-имен такой узел сначала обращается к WINS-серверу. Если эта попытка терпит неудачу, Н-узел пытается разрешить имя широковещанием

Компьютеры под управлением Windows Server 2003 по умолчанию работают в режи­ ме Ь-узла. если WINS не настроена, и используют режим h-узла в противном случае. Чтобы быстро узнать тип узла, используемый клиентом, введите в командную строку клиентской рабочей станции и исполните команду ipconfig /all (рис. 7-2). Среди проче­ го программа выводит тип узла, в этом случае — гибридный (h-узел), это позволяет предположить, что в данной сети есть WINS-сервер. Типы узлов на клиентских компьюг^х'я моч/т-ю ч яг трзичят!- ядг'-ччтние^ки ПРИ помощи протокола DHCP (см. главу 8).

-taxi G i s D o c u n e n t s and S e t t i n g s > i p c o n f isr V a i l Настройка протокола I P для Windows •'--.-/". Имя компьютера ш •'-. .'.';..-.-.:*-" - •; ..<•'/'. ; гр2О0 р • Основной PHS-суФФикс - . > - - L - d design.ru : . Тип у з л а . -v.» ._\..-. • . * ; . . . . : н неизвестный '..'. 1Р-маршрйтизация включена . - -. . = WIHS-проксй включен - - - у - - i» .= ; Порядок просмотра суффиксов DNS .--/«• d iGB - Ethernet адаптер- /; DNS-гсуФФйкс этого подключения - - s РВО/1ОШ0 МТ сетевое подключение . — . - - « -= - - - - V . s Intel I Физический адрес. ... . -:..:- .".._- -..- - -,V : О SO-O3-47-32^60-CF DHCP включен. . . . . . . . . . . : н нет ' V IP-адрес -=. i . . . . .." - -•' . . s192.168.20.100 i Маска подсети ъ - •:_•. . - . . ;. i : 2 2551.255.255.0 Основной шлюз ... . . . . i; . . V : 1 192.168.20-1 DMS-серверы..-.. . . . - .,,,. - - - - - .= 1 192.168.20.1 C:\Docunehts and S e t t i n g s ^ . _ ; -Описание

Рис, 7-2. Вывод типа узла командой Ipconfig / All Вам должно быть известно, что маршрутизаторы ограничивают распространение широковещательного трафика, по умолчанию задерживая его. Обратите внимание, что

Занятие 1

Введение в WINS

219

в сети, показанной на рис. 7-3, маршрутизатором разделены сегменты 1 и 2. Если бы в сегменте 2 была рабочая станция Computer 2-1, компьютер Computer 1-1 не смог бы подключиться к ней при помощи UNC-имени \\Computer2-1. Дело в том, что маршру­ тизатор задерживает широковещательное сообщение с запросом разрешения NetBIOSимени в IP-адрес, Только рабочие станции в сегменте 1 получат широковещательный запрос, адресованный компьютеру Computer 2-1. В локальном сегменте такого ком­ пьютера нет, поэтому Computer 1-1 не получит его отклик и спустя некоторое время сочтет систему Computer 2-J недоступной. Компьютер

Широковещательное сообщение, адресованное компьютеру 1-1

Сегмент 2 Рис. 7-3, Разрешение NetBIOS-имени в маршрутизируемой сети Чтобы справиться с проблемой удаленного разрешения NetBIOS-имен, отредакти­ руйте файл Lmhosts, который расположен в каталоге %systemRoot%\System32\Drivers\Etc, включив в него NetBIOS-имена, разрешение которых требуется. Это тексто­ вый файл с парами «NetBIOS-имя — IP-адрес», вот пример файла Lmhosts с записью компьютера Computer 2-1 и его IP-адресом: 192.168.8.2

computer2-1 #PRE

192.168.8.3

computer2-2

Наконец можно применять WINS — самый эффективный способ разрешения NetBIOS-имен в маршрутизируемой сети, в то же время снижающий количество широ­ ковещательного трафика в локальной сети. Посмотрим, что изменится, если создать в данной LAN WINS-сервер, а рабочие станции настроить как WINS-клиенты (позже вы узнаете о WINS-серверах и клиентах подробнее, а сейчас мы вкратце поясним преимущества WINS). Заметьте, что на рис. 7-4 вместо передачи широковещательного сообщения в LAN рабочая станция напря­ мую обращается к WINS-серверу с запросом разрешения NetBIOS-имени в IP-адрес. WINS-сервер ищет в своей БД соответствующую запись и возвращает IP-адрес, вот и все — никакого широковещания, никаких длинных текстовых файлов!

220

Проектирование структуры WiNS

Глава 7

Рис. 7-4. Разрешение NetBIOS-имени при помощи WINS Так, в двух словах, работает служба WINS. Причины, по которым ее желательно использовать при планировании сети, таковы: • снижение широковещательного трафика в локальном сегменте сети; • возможность разрешения NetBIOS-имен в маршрутизируемой сети; • возможность централизованного управления NetBIOS-ресурсами. Давайте рассмотрим разрешение NetBIOS-имен подробнее. Разрешение NetBIOS-имен Как сказано выше, есть три способа разрешения NetBIOS-имен: • широковещанием; • при помощи файлов Lmhosts; • с применением WINS. Широковещание неэффективно, если в сети установлены маршрутизаторы, и ге­ нерирует слишком большой трафик. Файлы Lmhosts могут разрастаться и становиться громоздкими, к тому же, являясь статическими, требуют ручного обновления через текстовый редактор всякий раз, когда к сегменту добавляется новая рабочая станция. При этом велика вероятность опечаток и ошибок по невнимательности. Данные же WINS динамически обновляются клиентскими компьютерами при их запуске, эта служба не генерирует широковещательного трафика и работает через маршрутизаторы. А сейчас рассмотрим компоненты WINS.

Компоненты WINS Для работы WINS в сети необходимы, как минимум, два компонента: • WINS-сервер; • WINS-клиент. WINS-сервер WINS-сервер позволяет клиентам динамически регистрировать свои NetBIOS-имена и IP-адреса, избавляя администратора от их ручного ввода. WINS-сервер отвечает на кли­ ентские запросы разрешения NetBIOS-имен в IP-адреса. Если запрашиваемая запись есть в БД WINS, запрашивающему клиенту возвращается соответствующий IP-адрес. Функции WINS-сервера описаны в табл. 7-4.

Занятие 1

Табл. 7-4.

Введение в WINS

Функции WINS-сервера

Функция

Описание

Регистрация имени

При запуске WINS-клиент регистрирует свое NetBIOS-имя и IP-адрес у WINS-сервера, на который он настроен. Эти данные хранятся в БД WINS

Обновление имени

WINS-клиент должен обновлять свое NetBIOS-имя, иначе оно может быть присвоено другому клиенту, запросившему именно его

Освобождение имени

Если WINS-клиенту уже не нужно NetBIOS-имя (например, при завершении работы), клиент посылает WINS-серверу сообщение об освобождении имени

Запрос имени и разрешение имени

WINS-сервер выполняет поиск в БД имен, зарегистрированных WINS-клиентами

Подобно DNS, требующей репликации своей БД на другие DNS-серверы, WINS также следует развертывать минимум на двух серверах, если требуется отказоустойчи­ вость. В результате создаются: • основной WINS-сервер, выполняющий регистрацию, обновление, освобождение имен, а также обслуживающий запросы имен и их разрешения; • дополнительный WINS-сервер, который выполняет те же функции, но использует­ ся, только когда основной сервер недоступен, и WINS-клиент настроен для исполь­ зования обоих WINS-серверов. Если основной WINS-сервер не сможет разрешить имя, и в списке настроенных WINS-серверов указан дополнительный WINS-сер­ вер, будет выполнен поиск запрошенного имени в БД дополнительного WINS-сер­ вера. Клиенты под управлением Windows XP и Windows 2000 поддерживают до 12 дополнительных WINS-серверов.

Проблема дублирования имен В сетях крупных организаций, использующих NetBIOS-имена, важно преду­ смотреть общую стратегию именования, а не полагаться на случайную раздачу NetBIOS-имен сотрудниками службы технической поддержки. В отсутствие об­ щих правил именования часто возникают проблемы, когда несколько пользо­ вателей самовольно назначают своим рабочим станциям одинаковые имена. Если рабочая станция с дублирующимся именем отключена, и другой клиент пожелает зарегистрировать такое же имя, WINS попытается связаться с рабо­ чей станцией — обладательницей дублирующегося имени по IP-адресу. Не по­ лучив отклика, WINS предпримет еще несколько попыток связи, и, если они также не увенчаются успехом, присвоит клиенту запрошенное им имя. Дубли­ рование NetBIOS-имен приводит к неразберихе не меньшей, чем дублирование IP-адресов.

WINS-клиенты Чтобы компьютер смог регистрировать свое NetBIOS-имя на WINS-сервере, он должен быть настроен как WINS-клиент или, согласно принятой терминологии, поддерживать

222

f/i^^3 7

!!Р*НЖТИ!Р0ВЙНШ 0Tpw.TWbi WIMB

С л у ж б у WII*-J5• П о Д Д й р Ж И Б З Ю Ш ^ е С гту*бу M N

P

' к Л Ч с - н г м LFP- т о л ь к о С*сЖ!-И.трИРУЧОТ CROH

имена на WINS-серзерах, но н я обновляют свои имена; я освобождают свои имен?»; и получают из БД WINS IP-адрс^я,. ^оп^стягт^п-имр N^RTor*-TH--,r^H'aM WIN 3-^кл мечтами могут быть компьютер'-* под управлением гледуто!ли.х ОС.' и ОС семейства. Windows Sery pr ? r,ri ^. ci-riin-iaa <сч-рйз^ягтнме р'-дакнии OaT.a.center Hdition Enterprise .Edison, я Windows XP "Professional и Home F^'o'on, включая *?4-разрядные версии; Р Windows Millennium.; я Windows 2000; т Windows NT Ser-'er: ш Windows NT Workstation; я Windows 95. 9Я щ

^A/itifimvc д л я рЭ.бОЧИХ

r

P7 T T T I .

я Microsoft LAN Manager: я MS-DOS; я OS/2; я Linux и UNIX с ПО SAMBA. Обр
Ниже вы убедитесь, что клиенты. н р подяерж^^^яине WT?T^;_ рее ряпип &.*огут 'легго/г^ зовать ее в части регистрации и разрешения имен ГЕР.И п/пи^нн т.ро^си WINS., Для взаимодействия с WJNS-ссрвероы WINS-клиенты "снопьзуют одноадресные пакеты вместо широковещательные С не лью обе г пе' л ^н ,д я г^быточиосТ1Л мож^о р Я строить на клиенте до 1 ?. WT1 <З-с^вср^в. но не г г ° н т но cry пат ^ тя к без абсо дютно^ необходимости, так как это может снизить быстродействие сети- Например, если NetBIOS "Имя не может быть разрешено о с н ^ и ы м "^VTTTCI -сервером будут проверен1-1 все остальные серверы* что может м^я^ят-ься ГГУТгои тря/rotv вр^-мен^т

Прокси W!MS Иногда в сети присутствуют pa^o : j w c сгяннин. 'тетюгть^у^'шт'е TietBTo^ имена. 11о не поддерживаюэди; службу WIN>. ^я рис ?•'> в подсети А есть клиент, " р п оддеожива­ ющий службу WINS, использует для разрешения NetBIOS -имени широковещательные пакеты. Обратите внимание, что в этой подсети нет WINS-сервера, а подсети А и В разделены маршрутизатором. Заметьте также, что в подсети А есть WINS-клиент, на­ строенный как прокси WINS. Прокси WINS — это WINS-клиент, настроенный для регистрации, освобождения и запроса NetBIOS-имен для клиентов, не поддерживаю­ щих WINS.

Занятие 1

Введение в WiNS

223

Подсеть В Рис. 7-5.

Применение прокси WINS

В большинстве сетей прокси WINS не требуется, поскольку большинство компью­ теров поддерживает WINS, Если в примере, показанном на рис. 7-5, не поддерживаю­ щий WINS клиентский компьютер запросит разрешение NetBIOS-имени, произойдет следующее. 1. Клиент, не поддерживающий WINS, пошлет широковещательное сообщение с за­ просом разрешения имени, которое будет перехвачено прокси WINS. 2. Прокси WINS проверит наличие запрошенного NetBIOS-имени и соответствующе­ го ему IP-адреса в своем кэше. 3. Если нужное NetBIOS-имя найдено в кэше, прокси WINS пошлет IP-адрес клиен­ ту, не поддерживающему WINS. 4. Если запрошенного NetBIOS-имени в кэше нет, прокси WINS пошлет запрос раз­ решения имени WINS-серверу, на который он настроен. 5. Если WINS-сервера нет в данном сегменте LAN, прокси WINS сможет послать прямой запрос WINS-серверу через маршрутизатор, поскольку этот запрос отправ­ ляется в виде одноадресного, а не широковещательного сообщения. В сети, где имеются не поддерживающие WINS клиенты, необходимо настроить хотя бы один WINS-клиент в качестве прокси WINS.

224

Проектирование структуры WINS

Глава 7

Маршрутизаторы и передача широковещательного трафика Технически, маршрутизаторы способны передавать широковещательные сооб­ щения, однако их предназначение — ограничение размеров домена широкове­ щательной рассылки. В силу этих причин администраторы сетей ограничивают передачу широковещательных пакетов через маршрутизаторы. Если с ростом подсети в ней участились коллизии и наблюдается перегрузка, можно разделить ее на подсети, связанные маршрутизатором. Так удается один большой домен широковещательной рассылки разделить на два меньших по размеру домена, и снизить тем самым широковещательный трафик. Прежде чем пойти на это, как следует обдумайте намеченное или посоветуйтесь со специалистом по маршру­ тизируемым сетям.

База данных WINS БД WINS для работы использует расширяемый механизм хранения данных (Extensible Storage Engine, ESE), тот же механизм, что используют службы Active Directory, Microsoft Exchange и многие другие компоненты Windows. Механизм ESE основан на Joint Engine Technology (JET). Большая часть СУБД, таких как Microsoft SQL Server, Oracle и Sybase, сначала записывают транзакции в файл журнала, затем вносят измене­ ния в файл БД. Это повышает быстродействие, так как файловый ввод-вывод осуще­ ствляется быстро, следующие транзакции могут быть записаны в ту область БД, в кото­ рой хранятся записи. ESE также отдельно ведет регистрационные журналы и журналы транзакций для оптимизации производительности. Например, при загрузке клиента, поддерживающего службу WINS, тот регистриру­ ет свое имя IP-адрес на WINS-сервере, который сразу же записывает соответствую­ щую транзакцию в файл журнала. Позже, при наличии свободного процессорного вре­ мени, транзакции будут перенесены в БД. К преимуществам данного метода относятся: • повышенное быстродействие; • отказоустойчивость. С быстродействием мы уже разобрались, но как достигается отказоустойчивость? Все транзакции записываются сначала в файл журнала, поэтому при аварии жесткого диска файл БД можно будет восстановить по архивной копии и файлу журнала, храня­ щемуся на другом диске. Транзакции можно восстановить вплоть до момента аварии (конечно, если есть резервные копии БД WINS и текущих журналов). Вы познакомились с общими принципами работы БД, а сейчас рассмотрим работу БД WINS.

Файлы БД WINS Служба WINS использует технологию БД JET для хранения данных пяти разных типов. • Файлы журнала. Вы уже знаете, что транзакции хранятся в файлах журнала. Име­ на этих файлов начинаются на букву «J», далее десятичное число, если файл журна­ ла хранит новую транзакцию, примером может быть J10.log. Если файл журнала заполнен, ему назначается новое имя, в котором к прежнему имени добавляется

Занятие 1

и

•

ш в

Введение в WINS

225

шестнадцатеричное число, например J100000F.log, затем создается новый файл жур­ нала с исходным именем. Файлы журнала могут быстро заполняться. Из краткого обзора БД вы узнали, что запись в файлы журнала увеличивает скорость и эффективность хранения и позво­ ляет восстановить данные в случае неполадки или аварии. Удалять файлы журнала можно только после создания резервной копии БД. Если создана резервная копия БД, копии файлов журнала уже не требуются, поскольку транзакции уже переписаны в БД, а так заархивирована на магнитной пленке или другом носителе. Сбой БД, для которой нет резервных копий журнала, потеря данных необратима. В отсутствие программного или аппаратного RAID уда­ стся восстановить только состояние систему на момент последнего резервного ко­ пирования, а все транзакции, выполненные между архивацией и аварией, будут утеряны. Файлы контрольных точек. Файлы контрольной точки используются во время вос­ становления системы. Они определяют расположение информации, успешно пере­ несенной из файлов журнала транзакций в БД. Wins.mdb. БД WlNS-сервера, содержит две таблицы: таблицу IP-адресов с сопо­ ставлением идентификационных номеров владельцев и таблицу имен с сопостав­ ленными им IP-адресами. Winstmp.mdb. Временный вспомогательный файл, созданный службой WINS-cepвера для обслуживания индексов. файл Res# .log. Зарезервированные файлы журнала, используются при исчерпа­ нии сервером места на диске и невозможности создания дополнительные файлов журнала транзакций. Сервер помещает незавершенные транзакции в эти файлы, служба WINS завершает свою работу и регистрирует соответствующие события в журнале, доступном для просмотра чрез консоль Просмотр событий (Event Viewer).

Размер БД По мере увеличения числа записей в БД, ее размер может существенно увеличиться. При удалении записей не все освободившееся место автоматически возвращается сер­ веру (см. занятие 3). Это означает, что размер БД может быть больше, чем место, заня­ тое использующимися записями. Чтобы освободить неиспользуемое место, можно вы­ полнить сжатие БД. Windows Server 2003 поддерживает два способа сжатия БД WINS: • динамическое — происходит автоматически, в фоновом режиме, когда БД простаи­ вает, поэтому в такие моменты не следует выключать WINS-сервер; • ручное — ручное сжатие требует остановки WINS-сервера и его отключения от сети. Ручное сжатие эффективнее динамического, его следует проводить 1 раз в месяц в крупных сетях и реже в сетях меньшего размера.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Назовите 4 типа узлов по способу разрешения NetBIOS-имен. 2. Клиентскому компьютеру, работающему в режиме В-узла и не поддерживающему службу WINS, нужен доступ к ресурсам вашей сети при помощи NetBIOS-имени.

Проектирован!» структуры WINS

f.nssn 1

В данном сегменте с,е'ги чет WTNS-сервера, чо г>" имеется в ДРУГОЙ подсети, но.» кдюченной через маршрутизатор Назовите возможные сноербы получения, клиен­ том доступ к сетевым ресурсам по и.-: NCT.ETOI- п м е 1 ! а м . 3, БД WTNS в -своей работе использует _" рчзлицньр- типов факсов Назовите их " дайте краткую характеристику их ф/чкчий.

Резюме Я*

С л у ж б а W I N S ' • - ЗЛО ря/:,прлпр-гт^ггияа Г,П\ -фацттгягт гпгт^итда о N.-tBTO*-* ци^и-л^ СЛУЖбЭ-К, N^-tB^O? • ifMewa '-.оггг.^т-лп ггек.от'- л ТР a пр^-r а у ?

и

Т'Ту/г'ч^»'-» Г>Т:!5. ОДун^я W^N."*

ОбССИ^ЧИВЗ^ г ДОСТУП К р-УУ/Г'-- 3 : i . ,ТМ \l'J'-'.Vc-'--r- 15 ОМ H 0 H T * T I 4 ' " f

???-fC:^^ ВМЕСТО

f t'VEITf-('

ИДЯ ? З Г Ю М И Н 9 . Ч И а I F ' я п р ^ ' / т S*

^^TD^LHSHn1? N e t B I O S ВСрС-ИЙ W i n d o w s ,

HMS U ?- T 4r-t

''1!1С

H ' - O ^ f '•TTMKI / > ТЗ ' ^ Я Я ' '

КЯК' W ' n / i ' / ' y / ' c ? ^ . ^ ^ / ^ ^ т-т р я ^ я . пт*уг u у

Г^ОДИСрЖИ^Э-^ТССГ трт.-т 'ЛТО' '~,Г>Я [ ' Я . э р ^ д т т ^ и т - л

Г'О 11 у Н Г ' ? 1 1 гт^-гттдг-г^ ТН.КИ/.

TJ ' ^;Т![ WiriH-'у'ус

? 'Ц'ЯТТТОП гтм^мт.

r f

* -r. f ^f ? Q 0 " !

i f X ^. тр"'"*tJ" С р ^- гт f я " » £ : ' - f .

rrp iт

П О М О Щ И ФсН^Л^В Т. /гпЪо^.Я х-т г* n-y^v-^^r 17/ТТЛГ! SB

Д.ЛЛ Г ' ^ В У П . ^ ^ И Я ' Г*т,г^-тротг^иг7пг,1.*т К ГТ V/T7-] r ; г р д и . з я Е/ЩТТЛ ^."ЯЛЯЛ?. ^ Н ' Л ' У Л Р ^ О Т ' Я и Ф-!И

ВОССТАНОВИТЬ ,?1?ЛНМ С т г о г д ^ <-;Погт Я

ОрОКСИ W I N S

- - ?тО WTN>

3?ПрОС N e t B I O S

ь-щ.г^тгт,

И М ^ н ггттст к тпт<--ит<.п_

иялтр'/^-ттгттлы

net р ^ г т т ^ - г р я т п . г ^

1л<-~- ггмгг n_^[_rsi.' итая p - i i n u v W I T ! - . т гг

о ^ В О ^ О Ж ЛОНЧ? н

Tl '.'.е'Т'гВЬТХ

r p

; !'!if;"

тах без WINS-сервер? клиентские рамоли?, слан'нтч. рабо э шшр' в р^-химе В-у/эяа и не поддерживающие WTNS, ор.л.нляаютг;я г прокси WIN? посредством 11гмооковс;ШЭ-Т-ЛЬЧЛГ^ СООО"Щ ^ Н И Й . TOD

О Т И?.,|^т_Г1,т

Я HDOK'.- rT

Г П

' Я 1ЬН.^'"' Г '

Ц & ттогтттс.гч -.ьу.гтая L O l f l ' T ' • W F T T ^

:;г

'

^ / И ' Тг:- '. с рп с -[и,"..[ ij^.j-.c-.T

?.трт(1руг'гтэсз

J,- Tf [.r';U Г Я

Занятие 2- Проектирование инфраструктуры Vw I НМЛ После изучения структуры компании, для которой созлзетсл сеть, можно пру^т^пять i проектированию инфраструктуры WINS, При :МОГ,Т 'т !е ^/ет прич^т-г, RO тнп-птяигт^ ут? енты как поддерживающие, так и не нопдерживаюшне WTN".. обдумать размещение прокси WINS, а также -тело и расположение Л-Мг^-П-геррс,рор Как сказано в прелзддущем занятии, слу^ж^а WTMS не яцля^'^гя обя^а^едт-цш-л ко*-» понентом сети- Если рабсиле стани7л1т и cep^epw р-я^отякгт г-гоп Ynp^BTewi^^'^ winH'y-ч 2000 и выше, разрешение N^tP.IO-^_HfT^H не гр^у^-тга v/ттт^ rav-Ke н.е ттг'трс-Пус,гг-" если рабочие станции будут настроены как В-узлы и разрешают НетВЮЗ-имена широ­ ковещанием, генерируемый при '?том лопо^лнительный графи1: не вызовет проблем = небольших сетях, В данной главе предполагается, что клиенты сети работ?ю т под управлением пр°кних версий Windows, поэтому WINS необходима. }•]?. это?» занятии вы науныесь при1 менять полученные значия о планировании инфраструктуры. Acti'-'e. Directory и ]пт-т~ при проектировании инфраструктуры WIN5,

йапмШь 1

ЩшъМщмьаяйа

Ш$ч!М\#уЩри

ШМШ

227

Изучив материал этого занятая, вы сможете: «'•оЗлаТТ lii'siiLiQUi'j&ji'LnLih оПрсДсЛп /Т. ya-'Ai^nu-л' к ii ii-

инап

иНфра-.

Ly'/i- К/рЫ V / l N l r .

•: iik-uO..! wji'U i-'f чги-Л'/ W i N ^ T,£;pBCpOB,

bDipaOOia i ь Gi'pa i Ci'niO W i i J*J Длл т.лл.лрШруЛ'ИЗЯруеНЫХ ki MapiHp y"i н З И р у с ы ш л li-c'i i.i'i,

Создание концёпгуалипого

n/idnu

il_C< л с СоЗДаинЛ i.'.Xv./i i «.'.i-iiH IV.D i лаВЫ 2 и G; DL.1 ц ч л л - л и 3 H a i t ^ЛсДуЮщсс-^ й

р а з д е л е Н а Ли o e i L o p i a m u a u i i n n a ПоДСеШ

J?io пйЖло,, TaK KaK НУЖНО иПре\ДеЛИТЬСЯ

С p a 3 U e u j e r m c i 'i WlNCi -«.ерБсроо н и лi'Jи<." t'- J ;u i, *

ря(;ЙОлОЖс;пги> М а р ш р у Т H3aj "p'-'B

« s

cti't-Ю (WA.H^ чуть поуже ьы узпасле с слож.ностял с- 1Ларшругизаиией широковёща"ГёЛЬН^ГО Траф^Ка, расположение ЙССХ серверов и рабочие с-ганшш; inn lipoueccGpa и биегр-олснствпс •"срьороь Эгп сведения п/жиы, чтобы выбрать сервер для разъертиваетл WINS; объем и гпп йаьыти Для оптмзльнон р а б о т WiN4J сервера требуйся некий мини

в

•,^vUliii;ilonjii.~ .. c-L ieHi Ы L A N И L A N С ГлобаЛЬНО'Й

ЬЗЛ'ВНЫЙ OOT&i-.i HaMi'llIt. «м

БСб СЛуЖОЫ. рйбоТаКЛЛПе Ь "."п'Гкл.К,. OTCTf/cT HiaTL, K.dKHe СЩС СЛуЖбЫ ЫСГуТ р а б о ­ та1! t и з W I N S - с е р в е р е ( н а п р и м е р D i 4 ^ аЯи

в

L/HCP);

OOiH.e^ ЧИСЛО И раЗГ sr-ji.u~HliC ПО йхЗОВа YCTiCD Д л л '_'<.>3.uaim;i к о п и е й i jaт.шп

и l'uiaiia

е п ч - ^ ^ - л й л V/lP-l^ ПОТрёОус'ТСЯ ИЗучИТЬ ТёТСу-

Щ'ую 'i<>iio'Ji'.;i jiio O e i i i ; a в Ы р а б о ш i r_ •_. Cpaj't.-j iii*. [ ' ^ з р . ш с л и л iGiJj/i'.* n a i J G ' j i i o c "^ффех-.Л iiBHi.ie мч-То.м'Ы р : - а л м З а ц | т .

rjcl.iiiob-ilb'iejrt.^ ПСДД'ерЖИВа-

1 ак_, Ьа.ч-Ии ЗНЙТ'Ь раСПОЛОЖСНИС

маршрутизаторов п еети: поскольку WINS вес же генерирует график, что может быть проблемой Б CLLAX С медленными 'tCai-iajiainn «,ЙЯЗП. Необходимо принять стратегическое решение, побрав ме^ду juHpwKi>bv":ia'aiJiiv..i.'i, файла]iw Imitosis и WINS. Ответы на сле~ ДУЬ.лЛнС ВоПрОСЫ Гю'юГуТ с <,о :'.uniii.ii'i

пиана.

Ш СКОЛЬКО W I N S CcpBepOB HOipoGye А,<л;' «I

iLah, ОТрЕЗИТСЯ Т р а ф И к W1.NU ti'a paOu/'c ivic.^j Лс-ННЫХ W A N - К а Н а Л О В /

*fi

М'уЖНа ЛИ ОТКаЗОуСГОНЧИЬОСТЬ И KdKoi О ур'-^гичЛ.'

Й

Какую стратегию репликации выбрать ((.;м. занятие- Ъ)'.

Выработка стратегий разрешений NetBIOS-имен Как следует разобравшись в топологии сети, можно выбирать наилучший способ разре­ шения NetBIOS-имен. Вы уже знаете, использую для этой цели широковещание и файлы Lmhosts на клиентских компьютерах. На этом занятии вы узнаете, как настро­ ить службу WINS с целью повышения производительности.

Сколько потребуется WlNS-серверов? Наверное, вас обрадует, что в небольших сетях единственный WINS-сервер сможет обслуживать до 10 000 клиентов. Тем не менее, не помешает создать дополнительный

4«»ШЙЬ 1

П|^«йУй$;£&й*те ИНф^«^Г|>уКГурЫ W M

Изучив материал этого занятия, вы сможете' СоЗааГТ. КОПиеП i jalii-tiLil'i

и л а п п Н ф р й / Tpyi- Гури W I N * ; ;

•>I"J р*-;Дс- /l ii'i'L. раОлОлО-i- С H I : V. ;. Ц1,иСлодп: кЛ --tin'. л о W1H b-CcpBSpGBj "*-

bi^ipciGu i« i t C i p a i OiT'iiO WiiTО Для л ^ м а р Ы р / Г п зИрусПЫХ i'i ivjapjjj'p y' i иаНруьыхлл oOi vi'i,

Прсдолшгелььосгь уаняУий - около 2-5 минут

С о З Д й и и е к о и Ц б п ту и л ь н о г о

гшагш

ilOCi'ic СОЗДагиаЛ оХом i t i h ( j"i). uidbLj _£ 11 t.j DTI ц и я л - i i t i i n a i ' i . оЛсДуЮЩсСС ш раЗДСЛсНа Jii'i a , i L о р Г а т и с ш п П Ha й о л к ' С т . J i u па_*нО . TaK KaK Ну'ЖНО ОЛрсДсЛИТЬСЯ С p a Ji.'i CIJJ е л i"i С [ 'J W l f j Ъ -ч.орЬсрос j jo ii»iJM-i;ii j i"

« а в •*

раСНОЛоЖ.СппО i tapiiipy i'(i-3i4i o p o B

v осДИИЛЮшИ/; ч eT ; i^rii'Li

L A N И L A N С ГЛобаЛЬНОЙ

гглью (WAH>, чуть позже ъы узнало о сложностях с маршрутизацией широкоБсщатс льного т р а ф я т : ра- положение всех серверов и рабочих сгашшй; inn пропеесс-ра ii ouf'rpODCi'iciDiic -лерьеров 3 I H сведения нужны, чтобы выбрать сервер для развертывания WINS; осьеь и гпп памяти Для отнтгшлтной расоги WI'N'J- сервера 'требуется некий миниыальньш обьеы наня'иТ ВСё *"' ЛуЖОхУ. р8.б\>Та 10шИ'~' Ь OiiCTCi.ii;. КЛСдУ'СТ SjiaTL

Т'ДКИб 6Щ£ СЛ'уЖбЫ ыОГуТ р а б о -

тать на WINS-сервере (например DN^ п/ш L/HCP); •

OOiii.CC ЧИСЛО n paSi/sCjJiCHIjC. ПОЛЬЗОВЗЛТЛСП j\n;i

<'- оЗ^йППЛ ]>. o n u t i i i yajjj.ii о j О и л а л а DUA-/j|^iin;i W i H Гз i~i О'ТрССуСТСЯ ИЗУЧИТЬ ТеКу-

Uiyio' Т о л о л С ) Hio CeiTi ; a DUpaOuio I r. >. ф а и п и - . p a ;рч и ю г ш Я [''iol.iilO^-lliviCrl, ПОДДсрЖКВа" tODi'yio- jrialiOojioO д ф ф ь г л П Й Н П ^ i iv To ТЫ pCaju'iSaiiiii'i. 1 a iO, ВаЖНО ЗНаТЬ раСТЮЛОЖбНИб

мар'й1рутнзат^.роь D сети, поскольку WINS БОС же гепериру^т трафик, что может быть нрОбЛсмо-Й Ь ОСТЯХ С м с Д л е Н Н ы м п Kartajidi/ш съЯЗп. НеобхОДИМО ПрИНЯТЬ СГраТСТИЧССКОС

решение- ьыбраь мСя-.ду шир^и-й-тшашкля

файлами IiiibcisTs и WINS. Ответы на сле-

jl.yjo-ijj.riC ЬОПрООЫ CiGi' IOI^^'T D <-o>uaiilii'i u nana.. Ш СКОЛЬКО VViNb • С с р Ь е р о Ь i i o i p e O y e i о л /

ш к_ак отразится трафик wir-i^ па работе ]'Н".дленныА WAN--каналов? «s

11уЖНа ЛИ ОТКаЗОуСТОЙЧИЬОС it- И КаКОГО урогшЯ'.'

i* Какую страт&гню репликации выбрать (см, занятие J>)/

Выработка стратегии разрешений NetBiOS-ммен Как следует разобравшись в топологии сети, можно выбирать наилучший способ разре­ шения NetBIOS-имен. Вы уже знаете, использую для этой цели широковещание и файлы Lmhosts на клиентских компьютерах. На этом занятии вы узнаете, как настро­ ить службу WINS с целью повышения производительности.

Сколько потребуется WINS-серверов? Наверное, вас обрадует, что в небольших сетях единственный WINS-сервер сможет обслуживать до 10 000 клиентов. Тем не менее, не помешает создать дополнительный

Проектирований инфраструктуры WINS

Замтие 2

£29

Из занятия 1 вы узнали, что при запуске рабочая станция, поддерживающая WINS, автоматически регистрирует свое NetBIOS-имя и IP-адрес на указанном в ее настрой­ ках WINS-сервере. В больших сетях это может вызвать перегрузку. WINS-клиенты также регистрируют свое имя пользователя, имя домена и, в зависимости от версии ОС, работающие на них службы. WINS-клиенты с Windows XP обычно регистрируют больше NetBIOS-имен, чем другие клиенты. Они могут регистрировать имена для служб Server, Replicator, Messenger, Computer Browser и других. На рис. 7-6 показан пример записей БД WINS для WINS-клиента под управлением Windows XP. JiJSl

швшяшвшшияшшш £0Н*КН1Ь

Действие

«••*'£]

:

ВИД

CrpaBta

a ni' rt

<8| WIN5 У Состояние сервере гГ f j ) CCMPJTER1 [192.156 0 1] {J& АктлйНай регистрации :

- - Ш ^ Партнеры репликации

Активные регистрации: Стфильтр^ааяывззл^иг 7— Нэйдеччые мписи^ 7 S-яя загаси %DOMAMI

; 1?«ада®е Г01 hj другой

1У21бь 20 г:

j Со:старяи5 Активно

[IBh] Основной обозреват..

192.168.20,21

Активно

COMPUTER1

[OOh]Рабочая станция

192,168.20,21

Активно

COMPUTER1

[20h] Файл-сервер

192.168.20,21

Активно

.DOMAIN1

[OOh] Workgroup

192.168.20.21

Активно

DOMAIN1

[ICh] Контроллер домена

192.168.20,21

Активно

, DOMAIN 1

[1 Eh] Обычное имя группы

192.168.20.21

Активно

I Стат... 1

fifiaasrau

1 Вере

192 168 0.1 192.168.0.1 192.168.0.1 192.168.0.1 192.168.0.1 192.168,0,1 192.168.0.1 2

Рис. 7-6. Записи БД WINS для клиента под управлением Windows XP Кроме того, при выключении клиентский компьютер освобождает все зарегистри­ рованные им имена, создавая дополнительный трафик. Проектирование инфраструк­ туры WINS для маршрутизируемой сети связано с дополнительными проблемами и яв­ ляется еще более сложным. Если бы WINS-сервер располагался за маршрутизатором, то каждый день утром и вечером, когда включаются и выключаются тысячи рабочих станций, WAN-каналы подвергались бы сильной перегрузке. Не следует забывать и о дополнительном трафике, который генерирует репликация между многочисленными WINS-серверами. В любом случае нужно учесть влияние то­ пологии сети на стратегию разрешения NetBIOS-имен.

Обеспечение отказоустойчивости При проектировании инфраструктуры WINS нужно учесть возможность неполадок, поскольку они возникают время от времени. Независимо от размера маршрутизируе­ мой сети, если в ней функционирует единственный WINS-сервер, возможны пробле­ мы при внезапном выходе его из строя из-за поломки оборудования или ошибочного выключения администратором, который не знал, что на данном сервере работает служ­ ба WINS. Избежать этого удастся созданием дополнительного WINS-сервера. Если это невозможно из-за недостатка средств, разумно создать файлы Lmhosts с записями для главных серверов сети, помеченными тэгами #PRE, — это обеспечит доступ к ресур­ сам сети при отказе маршрутизатора или WINS-сервера.

230

Проектирование структуры WINS

Глава 7

О необходимости этикеток на корпусе серверов В любых организациях сплошь и рядом серверные комнаты заполнены безлики­ ми системными блоками. Рекомендуется помешать на корпуса серверов этикет­ ки с именем компьютера, IP-конфигурацией, списком параметров оборудова­ ния, ОС и, что важнее всего, работающих на сервере служб. Почему это так важно? Предположим, один из серверов вышел из строя из-за отказа оборудова­ ния. Если это WINS-сервер, важно знать, какой он — основной или дополни­ тельный, а может, это единственный DNS-сервер в сети? Эта информация очень важна для устранения проблемы. По соображениям безопасности всю документацию лучше держать в надеж­ ном месте подальше от серверов, это дополнительная защита на случай, если злоумышленнику удастся пробраться в серверную. Впрочем, в этой ситуации уже поздно думать об информационной безопасности, как поздно думать о за­ писной книжке, когда воры уже роются в домашнем сейфе. Важно держать сер­ веры за закрытыми дверями в безопасных местах.

Подготовка к экзамену Не забывайте, что WINS применяют прежде всего для сниже­ ния широковещательного трафика.

^маршрутизируемые сети В небольших LAN с единственным WINS-сервером проблем от выхода из строя WINSсервера куда меньше, чем в сложных маршрутизируемых сетях. Пользователям LAN все ее ресурсы доступны посредством широковещательных запросов, правда, в мед­ ленных сетях это значительно снижает быстродействие.

Маршрутизируемые сети В маршрутизируемых сетях, где пользователи из разных сегментов обращаются к WINSсерверу за разрешением NetBIOS-имен через маршрутизатор, недоступность WINSсервер сможет помешать работе пользователей, блокируя работу всех приложений, тре­ бующих разрешение NetBIOS-имен. Так, пользователи из других сегментов не получат доступа к серверам и принтерам. Сходные проблемы возникают при выходе из строя маршрутизатора, через который подключен сегмент с WINS-сервером. Все это нужнс продумать при планировании инфраструктуры WINS. Если WINS — единственный метод разрешения NetBIOS-имен и подсеть с WINSсервером подключена через маршрутизатор, единственным решением может быть со­ здание WINS-серверов в каждой подсети. Из примера на рис. 7-7 видно, что в Атланте находятся две подсети, А и В, соеди­ ненные при помощи маршрутизаторов и скоростных каналов. В данном случае WINSсерверы дублируют друг друга, и если один из них станет недоступным, клиенты смогут обратиться к другому WINS-серверу, который указан в их конфигурации как дополни­ тельный WINS-сервер. Также обратите внимание, что клиенты во Флориде смогут об­ ращаться к любым NetBIOS-ресурсам в Атланте, так между WINS-серверами происхо­ дит репликация. Это возможно и при использовании медленных WAN-каналов, таких как 128-Кбит/с канал Frame Relay.

(цлй^щ^йшы,

J*id^Tii&

Рис 7-7.

инф^аструлгуры WINS

231

Рб11яИ«йцйя WINS в маршрутизируемой сети

Если маршрутизатор во Флориде окажется недоступен, клиенты сети во Флориде потеряют доступ ко всем NetBIOS-ресурсам ь Атланте, поскольку тот маршрутизатор является единственным соединением между Флоридой и Атлантой. При этом WINSсервер во Флориде продолжит разрешение NetBIOS-имени для местной подсети. Если же WINS-сервер во Флориде выйдет из строя, а маршрутизатор будет работать, WINSклиенты сети из Флориды смогут обращаться к NetBIOS-ресурсам через маршрутиза­ тор, только если в их настройках WINS-сервер из Атланты указан как дополнительный WINS-сервер. При проектировании стратегии разрешения NetBIOS-имен очень важно знать по­ тенциальные места есоев. Для этого нужно ответить на вопросы типа! «как отразится на работе сети отказ этого маршрутизатора? Можно ли избежать негативных последствий отказа основного WINS-сервера, создав дополнительный WINS-сервер в этой подсети?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия Если Bbi не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Каковы критерии выбора компьютеров для роли WINS-серверов? 2. Почему WINS-сервер иногда необходим в ^Маршрутизируемых сетях? 3. Когда WINS-клиент генерирует трафик, связанный с работой этой службы?

Резюме ш Перед созданием концептуального плана разрешения NetBIOS-имени нужно тща­ тельно изучить текущую топо/югию сети" и ее документацию (схемы, конфигурацию серверов и рабочих станций и т. п.) « Несмотря на применение WINS- > <-,рверсв, vVINS-клиенты генерируют трафик, то же происходит при репликации данных между WiNS-серверами (см, занятие 3). в Выбор сервера, на котором будет работать служба WINS, зависит от скорости про­ цессора, размера ОЗУ, типа жесткого диска и сетевого адаптера. По соображениям масштабируемости лучше выбирать компьютеры, оснащенные двумя процессорами

232

Проектирование структуры MUS

Глава 7

и быстрыми жесткими дисками. Размещение WINS-серверов также следует тща­ тельно продумать. Отказоустойчивость и доступность WINS обеспечивается избы­ точностью WINS-серверов и репликацией. • Особого внимания заслуживает проектирование инфраструктуры WINS для марш­ рутизируемой сети, поскольку маршрутизаторы обычно задерживают широковеща­ тельные пакеты. Также необходимо проанализировать последствия отказов маршру­ тизаторов и подумать о создании дополнительных WINS-серверов в различных под­ сетях.

Занятие 3. Разработка стратегии репликации WSNS Проектировать инфраструктуру WINS нужно обязательно с учетом репликации БД WINS между WINS-серверами, расположенных в разных подсетях. Это очень важно, посколь­ ку пользователям требуется обращаться к ресурсам из других подсетей посредством понятных NetBIOS-имен. На данном занятии вы узнаете, как настроить WINS-сервер в качестве партнера по извещающей и опрашивающей репликации. Изучив материал этого занятия, вы сможете:

•S спроектировать стратегию репликации службы WINS; •S описать процедуры удаления стандартных записей и захоронения (tombstone); •S определить партнеров по извещающей и опрашивающей репликации. Продолжительность занятия — около 25 минут.

Выработка стратегии репликации Составив план инфраструктуры WINS и определившись с расположением WINS-сер­ веров, маршрутизаторов, подсетей, пользователей и т. п., пора выбрать стратегию ре­ пликации, обеспечивающую высокое быстродействие и отказоустойчивость сети пред­ приятия. Стратегия репликации для небольших сетей с одним-двумя WINS-серверами проста и ее создание не вызывает особых затруднений, стратегию же для крупной сети необходимо тщательно продумать как на этапе проектирования, так и внедрения. Пример стратегии репликации

Начнем с рассмотрения элементарного примера с двумя подсетям, в каждой из которых имеется один WINS-сервер, обслуживающий 200 пользователей (рис. 7-8). В подсети 1 функционирует единственный WINS-сервер WS1. При запуске компью­ тер Clientl-1 регистрирует все NetBIOS-данные, о которых шла речь выше. Для всех WINS-клиентов данной подсети WS1 указан как основной WINS-сервер. Пытаясь под­ ключиться к \clientl-l, компьютер Clientl-2 отправляет запрос разрешения имен?: WINS-серверу, который находит в БД соответствующую запись и возвращает 1Р-адре; клиенту. В подсети 2 также есть WINS-сервер (WS2). При запуске компьютер Client2-1, ка:< и все рабочие станции подсети 2, также регистрирует NetBIOS-сведения на этом WINS-

Занятие 3

Разработка стратегии репликаций W1MS

233

Запрос разрешения имени Clientl-1 i i "Отклике IP-адресом |

Репликация Рис. 7-8. Элементарный план репликации для сети из двух подсетей сервере. Рассмотрим, что произойдет, если Clientl-1 обратится к Client2-1 по NetBIOSимени. Маршрутизатор (см. рис. 7-8) не пропустит широковещательный запрос, поэто­ му разрешение NetBIOS-имени должно осуществляться с использованием файлов Lmhosts или службы WINS, предположим, что файлов Lmhosts нет. Когда Clientl-1 пошлет запрос серверу WS1, тот не найдет в своей БД ни записи компьютера Client2-1, ни либо другого клиента подсети 2, так как клиенты подсети 2 регистрируются только в БД сервера WS2. Чтобы оба WINS-сервера смогли разрешать NetBIOS-имена в любой подсети, им нужен способ обмена (репликации) содержимого БД. Это возможно при настройке парт­ нерства по репликации. В отношении репликации WINS-сервер может быть: • извещающим (push) партнером; • опрашивающим (pull) партнером; • извещающим и опрашивающим (push/pull) партнером.

Извещающие партнеры Извещающие партнеры уведомляют своих опрашивающих партнеров об изменениях в его БД. Например, после регистрации рабочими станциями своих NetBIOS-имен на указанном в их настройках WINS-сервере тот должен уведомить своих опрашивающих партнеров об этих изменениях. Извещающий партнер можно настроить на оповещение опрашивающих партнеров при следующих событиях: в запуске WIN-сервера; • изменении IP-адреса в сопоставлении «NetBIOS-имя — IP-адрес»; • достижении порогового числа изменений в БД WINS.

Опрашивающие партнеры Опрашивающий партнер запрашивает обновление своей БД у другого WINS-сервера, настроенного как извещающий партнер. Опрашивающий партнер можно настроить для запроса обновлений при следующих событиях: • запуске WINS-сервера; в истечении заданного интервала времени.

234

Проектирование структуры WINS

Глава 7

Опрашивающее партнерство лучше подходит для WINS-серверов, связанных мед­ ленными коммуникациями, причем репликацию лучше запланировать на время, когда сеть меньше загружена (например, на ночь).

Опрашивающие/извещающие партнеры Именно так настроены WINS-серверы по умолчанию. Уведомление об изменениях в БД WINS происходит как описано выше, а опрос — с заданными интервалам, этот тип настройки рекомендуется в большинстве случаев. Подготовка к экзамену Запомните, что извещающее партнерство подходит для серве­ ров, связанных скоростным каналами, а опрашивающее — для серверов, связанных медленными WAN-коммуникациями. Если настроить два WINS-сервера как извещающих/опрашивающих партнеров друг друга, после репликации у каждого из них в БД окажутся NetBIOS-записи для обеих сетей, и любой WINS-клиент сможет обращаться к ресурсам другой сети по NetBIOSименам.

Удаление и захоронение записей Размер БД WINS увеличивается, ее записи реплицируются на другие WINS-серверы, при этом некоторые записи устаревают, и их нужно удалять. Удалить запись из БД WINS очень просто, достаточно выбрать записи и щелкнуть кнопку удаления. Суще­ ствует два способа удаления записей из БД WINS. • Простое удаление — удаление записей из БД локального WINS-сервера, копии уда­ ленной записи останутся в БД других WINS-серверов (если она была решщцирована на них) и могут «вернуться» на локальный WINS-сервер в результате реплика­ ции, что сведет удаление на нет, • Удаление с захоронением (tombstoning) — удаление записей с соответствующей по­ меткой в БД WINS-сервером. Пользователи, запрашивающие у локального сервера разрешение захороненного имени, получат сообщение об ошибке, так как соответ­ ствующая запись помечена для удаления. Но такие записи останутся в БД WINS, и будут реплицироваться, пока не истечет определенный срок, после чего они будут автоматически удалены со всех WINS-серверов.

Защита инфраструктуры WINS Как и для зон DNS при зонной передаче, существует риск перехвата данных WINS в ходе репликации, когда WINS-серверы обмениваются данными по сети. Поскольку WINS-серверы, как и DNS-серверы, могут быть доступны из Интерне­ та, необходимо уделить внимание их защите, Реплицируемые данные WINS могут быть перехвачены из общедоступной сети, такой как Интернет, в результате посторонние завладеют NetBIOS-именами и IP-адресами серверов и рабочих станций. Как в случае DNS, репликацию WINS можно защитить при помощи: • шифрования IPSec; • шифрования VPN. Администратор непременно должен спроектировать план WINS с учетом необходи­ мости защиты информации и сетевых ресурсов компании. Все WINS-серверы нужно

Занятие 3

Разработка стратегий репликации W1U8

235

помещать в помещения с кодовыми замками, доступ к ним должен осуществляться посредством службы Active Directory и только ограниченным числом уполномоченных сотрудников.

Лабораторная работа. Проектирование репликации WINS На этой лабораторной работе вы должны спроектировать репликацию WINS для компа­ нии Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий В компании Northwind Traders решили включить WINS в план развертывания Active Directory на основе Windows Server 2003. Настоящая инфраструктура компании показа­ на на рисунке ниже. Группа менеджеров по ИТ поручила вам спроектировать эффек­ тивную репликацию WINS, особое требование к проекту — отказоустойчивость.

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующий вопрос. Предложите стратегию репликации WINS для Northwind Traders, нарисуйте ее схему. В чем преимущества вашей стратегии?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы проектируете стратегию репликации WINS для двух подсетей. Что нужно учесть, чтобы выбрать тип партнерства по репликации для WINS-сервера? 2. Назовите три способа уведомления извещающим партнером запрашивающих парт­ неров об изменениях в своей БД. 3. Вы администратор крупной сети, вам звонит младший администратор одного из филиалов вашей компании. Администратор, ответственный за несколько WINSсерверов, сообщил, что удалил более 25 устаревших записей из БД WINS-серверов своей сети, но они вновь появились на следующий день. Как вы объясните проис­ шедшее? Что нужно предпринять администратору для того, чтобы наверняка уда­ лить старые записи со всех WINS-серверов?

236

Проектирование структуры WINS

Глава 7

Резюме •

Проектировать инфраструктуру WINS необходимо с учетом репликации БД между WINS-серверами, расположенных в разных подсетях, так разрешение NetBIOSимен будет доступно пользователям любой подсети. • WINS-сервер может быть настроен как опрашивающий, извещающий или опраши­ вающий и извещающий партнер. При выборе стратегии репликации следует исхо­ дить из пропускной способности каналов связи. Если для репликации используются медленные линии, лучше настроить WINS-сервер как опрашивающего партнера с интервалом опроса 12 часов и т. д. В LAN с быстрыми линиями связи WINS-серверы могут обмениваться данными каждые 15 минут без особых проблем. • По мере роста и репликации БД WINS ее записи устаревают, и их необходимо удалять (простым удалением или удалением с захоронением).

р

Пример из практики

Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вы должны создать стратегию разрешения NetBIOS-имен для компании Contoso Ltd., производителя модемов. Штаб-квартира компании находится в Далласе (Техас). В сети компании используются серверы с Windows NT 4.0, 2000 Server и Windows Server 2003 и клиентские компьютеры под управлением Windows 98, 2000 Professional и ХР; несколь­ ко рабочих станций работают под управлением Linux. Вас наняли для создания плана разрешения NetBIOS-имен, который позволит повысить производительность и обеспе­ чит отказоустойчивость. Многие применяемые в компании программы используют NetBIOS поверх TCP/IP, и многим клиентам требуется разрешение NetBIOS-имен для доступа к разнообразным ресурсам корпоративной сети, таким как службы общего до­ ступа к файлам и принтерам.

Краткие сведения о компании За последнее десятилетие Contoso стала одним из основных производителей модемов в стране, продавая их главным образом крупным компаниям и интернет-провайдерам.

География Кроме основного участка, Contoso располагает двумя филиалами в США — в Атланте (Джорджия) и Сан-Франциско (Калифорния).

Сетевая инфраструктура В каждом филиале используется приблизительно 1500 рабочих станций, распределен­ ных поровну по восьми подсетям с именами А-Н. Подсети D и Е связаны линией Frame Relay скоростью 128 Кб/с, остальные сети соединены друг с другом скоростны­ ми WAN-каналами. В филиалах клиенты и серверы связаны 10/100-мегабитными со­ единениями.

reaiumt' uitftttri

Ш1

Планы на будущее Contoso планирует приобрести небольшую компанию, которая располагается во Флори­ де и специализируется на создании документации и учебных пособий. В ее офисе всего девять рабочих станций, составляющих рабочую группу под управлением Windows 95. Необходимо обеспечить для этих рабочих станций доступ к ресурсам филиала Contoso в Атланте.

Вопросы Исходя из предложенного сценария, ответьте на следующие вопросы. 1. Назовите минимально необходимое число WINS-серверов для проекта, к которому не предъявляется дополнительных требований по отказоустойчивости, доступности и быстродействию? 2. Предположим, что Contoso уже приобрела компанию во Флориде. Какая дополни­ тельная информация необходима для составления проекта? Назовите альтернатив­ ные способы организации доступа рабочих станций во Флориде к NetBIOS-ресур­ сам филиала в Атланте. 3. Несколько клиентов, не поддерживающих WINS, работают в режиме В-узла в не­ большом офисе, в котором нет WINS-сервера. Как обеспечить этим клиентам воз­ можность разрешения NetBIOS-имен? 4. Вам требуется спроектировать стратегию репликации между подсетями D и Е. Ка­ кой тип партнерства нужно выбрать для WINS-серверов в этих подсетях?

Ц Резюме главы •

•

и

•

и

и

WINS — это распределенная БД, хранящая сведения о NetBIOS-именах и службах. NetBIOS-имена сопоставляются IP-адресам. Подобно DNS, WINS обеспечивает доступ к ресурсам сети посредством простых понятных имен вместо трудных для запоминания IP-адресов. Разрешение NetBIOS-имен все еще необходимо в сетях под управлением Windows NT, Windows 95/98 и ряда других. В сетях на основе Windows Server 2003 поддержи­ вается три способа разрешения NetBIOS-имен: широковещанием, посредством фай­ лов Lmhosts и службы WINS. Для повышения быстродействия БД WINS транзакции сначала записываются в фай­ лы журнала транзакций, а затем переписываются в БД. Это также позволяет восста­ новить данные после сбоя. Прокси WINS — это WINS-клиент, настроенный для регистрации, освобождения и запроса NetBIOS-имен для клиентов, не поддерживающих службу WINS. В сетевых сегментах без WINS-сервера клиенты, работающие в режиме В-узла и не поддер­ живающие WINS, связываются с прокси WINS широковещательными сообщения­ ми, а тот от имени клиента связывается с WINS-сервером через маршрутизатор. Перед созданием концептуального плана разрешения NetBIOS-имен нужно тща­ тельно изучить текущую топологию и документацию сети (схему сети, конфигура­ цию всех серверов и рабочих станций и т. д.). Несмотря на применение WINS-серверов, WINS-клиенты генерируют трафик, как и репликация данных между WINS-серверами (см. занятие 3).

9Щ

•

я

•

•

•

•

Проектирование структуры WiUS

Глава 7

Выбор сервера, на котором будет работать служба WINS, зависит от скорости про­ цессора, размера ОЗУ, типа жесткого диска и сетевого адаптера. По соображениям масштабируемости лучше выбирать компьютеры с двумя процессорами и быстрыми жесткими дисками. Размещение серверов также следует тщательно продумать. От­ казоустойчивость и доступность службы WINS достигается избыточностью серверов и репликацией. Проектирование инфраструктуры WINS для маршрутизируемой сети требует особо­ го внимания, так маршрутизаторы задерживают широковещательные пакеты. Так­ же нужно учесть последствия отказа маршрутизаторов и решить, требуется ли раз­ местить в различных подсетях дополнительные WINS-серверы. Собирая сведения об инфраструктуре Windows NT 4.0, составьте схему доменов и доверительных отношений. Для каждого домена соберите сведения о контроллерах домена, пользователях и ресурсах домена. Проектировать инфраструктуру WINS следует с учетом репликации БД WINS меж­ ду WINS-серверами, расположенными в разных подсетях. Это обеспечит разреше­ ние NetBIOS-имен для пользователей из любой подсети. WINS-сервер может быть настроен как опрашивающий, извещающий или опраши­ вающий и извещающий партнер. При выборе стратегии репликации следует исхо­ дить из пропускной способности каналов связи. Если для репликации используются медленные линии, лучше настроить WINS-сервер как опрашивающего партнера с интервалом опроса 12 часов и т. д. В LAN с быстрыми линиями связи WINS-серве­ ры могут обмениваться данными каждые 15 минут без особых проблем. По мере роста и репликации БД WINS ее записи устаревают, и их необходимо удалять (простым удалением или удалением с захоронением).

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения я Существует три способа разрешения NetBIOS-имен: широковещанием, при помо­ щи файлов Lmhosts и службы WINS. WINS — распределенная БД, хранящая дан­ ные о NetBIOS-именах и службах. Для повышения производительности БД WINS транзакции записываются сначала в файлы журнала, а затем переносятся в БД. При наличии в сети клиенты, не поддерживающих WINS, можно создать прокси WINS и настроить его для регистрации, освобождения и запроса NetBIOS-имен. • Перед созданием концептуального плана разрешения NetBIOS-имен нужно тща­ тельно изучить текущую топологию и документацию сети (схему сети, конфигура­ цию всех серверов и рабочих станций и т. д.). Проектирование инфраструктуры WINS для маршрутизируемой сети требует особого внимания, так как маршрутиза­ торы задерживают широковещательные пакеты. Выбор сервера, на котором будет работать служба WINS, зависит от скорости процессора, размера ОЗУ, типа жестко­ го диска и сетевого адаптера. По соображениям масштабируемости лучше выбирать компьютеры с двумя процессорами и быстрыми жесткими дисками. Размещение

Вопросы и отаеты

239

серверов также следует тщательно продумать. Отказоустойчивость и доступность службы WINS достигается избыточностью серверов и репликацией • Проектировать инфраструктуру WINS следует с учетом репликации БД WINS меж­ ду WINS-серверами, расположенными в разных подсетях. Это обеспечит разреше­ ние NetBIOS-имен для пользователей из любой подсети. WINS-сервер может быть настроен как опрашивающий, извещающий или опрашивающий и извещающий партнер. Если для репликации используются медленные линии, лучше настроить WINS-сервер как опрашивающий партнер. По мере роста и репликации БД WINS ее записи устаревают, и их необходимо удалять (простым удалением или удалением с захоронением).

Основные термины Прокси WINS ~ WINS proxy — WINS-клиент, настроенный для регистрации, освобож­ дения и запроса NetBIOS-имен для клиентов, не поддерживающих службу WINS. Типы узлов - Node types — существует четыре типа узлов, отличающихся методом раз­ решения NetBIOS-имен: В, Н, Р и М. Партнеры по репликации ~ Replication partners — определяет механизм репликации, WINS-сервер может быть настроен как опрашивающий, извещающий либо извеща­ ющий и опрашивающий партнер. каление с захоронением ~ Tombstoned deletion — при данном виде удаления записи поме­ чаются как освобожденные и запрещенные к использованию локальным WINSсервером. Помеченные записи будут автоматически удалены со всех WINS-серверов спустя время, заданное администратором, это препятствует восстановлению по­ меченных для удаления записей при репликации.

Щ

Вопросы и ответы

Занятие 1. Закрепление материала 1. Назовите 4 типа узлов по способу разрешения NetBIOS-имен. a. В-узел (использует широковещательные сообщения). b. Р-узел (использует сервер NetBIOS-имен, такой как WINS-сервер). c. М-узел (использует механизмы разрешения NetBIOS-имен, характерные для В- и Р-узлов). d. Н-узел (гибрид В- и Р-узлов). 2. Клиентскому компьютеру, работающему в режиме В-узла и не поддерживающему службу WINS, нужен доступ к ресурсам вашей сети при помощи NetBIOS-имени. В данном сегменте сети нет WINS-сервера, но он имеется в другой подсети, подклю­ ченной через маршрутизатор. Назовите возможные способы получения, клиентом доступ к сетевым ресурсам по их NetBIOS-именам. Правильный ответ: можно создать на клиентской рабочей станции файл Lmhosts с сопо­ ставлением NetBIOS-имен и IP-адресов для всех ресурсов, нужных клиенту. Еще лучше настроить один из WINS-клиентов в данном сегменте как прокси WINS. Прокси WINS будет передавать запросы NetBIOS-имен от клиентов, не поддерживающих WINS,

240

Проектирование структуры WINS

Глава 7

WINS-серверу через маршрутизатор. WINS-сервер будет возвращать IP-адрес прокси, а тот — запрашивающему клиенту. 3. БД WINS в своей работе использует 5 различных типов файлов. Назовите их и дайте краткую характеристику их функций. Правильный ответ: a. Файлы журнала — используются для ускорения обновления БД WINS и восстанов­ ления WINS-сервера после сбоев. b. Файлы контрольной точки — используются для указания транзакций, записанных в файл БД. c. Файл БД WINS-сервера (Wins.mdb) — состоит из двух таблиц: сопоставлений IPадресов и идентификационных номеров их владельцев, а также сопоставлений имен и IP-адресов. d. Временный файл БД WINS (Winstmp.mdb) — используется для временного хранения данных и обслуживания индексов. e. Зарезервированные файлы журнала (Res#.log) — используются, когда невозможно создать файл журнала при нехватке места на диске.

Занятие 2. Закрепление материала 1. Каковы критерии выбора компьютеров для роли WINS-серверов? Правильный ответ: скорость и тип процессора, размер ОЗУ, типы и емкость жесткого дисковода, скорость сетевой платы. По соображениям масштабируемости можно поду­ мать об использовании многопроцессорного сервера с быстрыми дисками. 2. Почему WINS-сервер иногда необходим в ^маршрутизируемых сетях? Правильный ответ: в локальных сетях без маршрутизаторов рабочие станции, работа­ ющие в режиме В-узла, могут разрешать NetBIOS-имена посредством широковеща­ ния, это позволяет обойтись без WINS-сервера. Но, если слишком много пользовате­ лей производит разрешение NetBIOS-имен таким способом, интенсивный широковеща­ тельный трафик снизит быстродействие сети. Один из лучших способов снижения ши­ роковещательного трафика — применение WINS, другой вариант — создание на всех рабочих станциях файлов Lmhosts с сопоставлениями NetBIOS-имен и IP-адресов для всех сетевых ресурсов. Это сработает, но потребует много времени и повышает веро­ ятность ошибок. 3.

Когда WINS-клиент генерирует трафик, связанный с работой этой службы? Правильный ответ: даже при использовании WINS-серверов WINS-клиенты генерируют трафик при регистрации, обновлении, освобождении и запросе разрешения NetBIOSимен.

Занятие 3. Лабораторная работа 1. Предложите стратегию репликации WINS для Northwind Traders, нарисуйте ее схе­ му. В чем преимущества вашей стратегии? Правильный ответ: правильных стратегий репликации несколько, лучшая из них показа­ на на рисунке ниже. Согласно этой стратегии, в каждой точке имеется два WINS-серве­ ра, что обеспечивает отказоустойчивость.

Вопраеы и ответы

.WINS-сервер З

WINS-сервер 1 WINSсервер 5

Сидней Партнерство по извещающей и опрашивающей репликации

WINS-сервер 10

WINS-сервер 6

Занятие 3. Закрепление материала 1. Вы проектируете стратегию репликации WINS для двух подсетей. Что нужно учесть, чтобы выбрать тип партнерства по репликации для WINS-сервера? Правильный ответ: самое важное — учесть пропускную способность каналов, связыва­ ющих подсети. Если она ограничена, можно подумать о настройке обоих серверов как опрашивающих партнеров с заданным интервалом опроса. При этом репликацию можно запланировать на время, когда нагрузка на сеть меньше, скажем, на ночь. 2. Назовите три способа уведомления извещающим партнером запрашивающих парт­ неров об изменениях в своей БД. Правильный ответ: при запуске WINS-сервера; при изменении IP-адреса сопоставления NetBIOS-имени IP-адресу и при достижении порогового числа изменений в БД WINS. 3. Вы администратор крупной сети, вам звонит младший администратор одного из филиалов вашей компании. Администратор, ответственный за несколько WINSсерверов, сообщил, что удалил более 25 устаревших записей из БД WINS-серверов своей сети, но они вновь появились на следующий день. Как вы объясните проис­ шедшее? Что нужно предпринять администратору для того, чтобы наверняка уда­ лить старые записи со всех WINS-серверов? Правильный ответ: объясните администратору, что простое удаление уничтожает запи­ си только в БД локального WINS-сервера, после чего они могут быть восстановлены в результате репликации. Порекомендуйте ему воспользоваться удалением с захоронением (tombstone), которое уничтожит выбранные записи на всех WINS-серверах.

Пример из практики 1. Назовите минимально необходимое число WINS-серверов для проекта, к которому не предъявляется дополнительных требований по отказоустойчивости, доступности и быстродействию? Правильный ответ: один. Согласно сценарию, в сети компании Contoso находится при­ близительно 8000 рабочих станций (по 4000 в каждом филиале). WINS-сервер, соответ-

Проектирование структуры WINS

Глава 7

ствующий минимальным требованиям (128 Мб оперативной памяти, процессор 350 МГц, дисковод IDE и т. д.) способен обслужить до 10 000 рабочих станций. Однако в любом случае лучше предусмотреть несколько дополнительных WINS-серверов, чтобы защи­ титься от неполадок, время от времени возникающих на серверах, и сбалансировать нагрузку между ними. Предположим, что Contoso уже приобрела компанию во Флориде. Какая дополни­ тельная информация необходима для составления проекта? Назовите альтернатив­ ные способы организации доступа рабочих станций во Флориде к NetBIOS-ресур­ сам филиала в Атланте. Правильный ответ: нужно выяснить тип линии, связывающей офис во Флориде с офи­ сом в Атланте и указать его на плане сети. В сети офиса во Флориде лучше воспользо­ ваться файлами Lmhosts, чем настраивать WINS-сервер для девяти рабочих станций. Несколько клиентов, не поддерживающих WINS, работают в режиме В-узла в не­ большом офисе, в котором нет WINS-сервера. Как обеспечить этим клиентам воз­ можность разрешения NetBIOS-имен? Правильный ответ: настроить одну рабочую станцию как прокси WINS, он будет ре­ транслировать широковещательные NetBIOS-пакеты от клиентов, не поддерживающих WINS, заданному WINS-серверу, расположенный в другой подсети. Вам требуется спроектировать стратегию репликации между подсетями D и Е. Ка­ кой тип партнерства нужно выбрать для WINS-серверов в этих подсетях? Правильный ответ: так как линия связи, соединяющая эти подсети, достаточно медлен­ ная, лучше настроить серверы как опрашивающие партнеры с заданным интервалом репликации, запланировать репликацию следует на время, когда линия связи загружена слабее, например на ночь.

ГЛАВА

8

Проектирование инфраструктуры сети и маршрутизации

Занятие 1. Создание схемы IP-адресации

244

Занятие 2. Проектирования периметра сети

255

Занятие 3. Введение в DHCP

259

Занятие 4. Разработка стратегии DHCP

263

Темы экзамена •

Проектирование топологии сети и маршрутизации для компании: а проектирование схемы TCP/IP-адресации для IP-сети с подсетями; а выбор размещения маршрутизаторов; а проектирование назначения IP-адресов через DHCP; а проектирование сети периметра.

и Проектирование стратегии назначения IP-адресов: а интеграция DHCP с инфраструктурой DNS; а взаимодействие DHCP с различными типами клиентов. в Проектирование инфраструктуры сетевых служб в соответствии с техническими и бизнес-требованиями: • создание концептуального плана инфраструктуры DHCP.

В этой главе Если вы хорошо разбираетесь в инфраструктуре сети своей организации, вам будет проще устранять неполадки, обслуживать сеть и оптимизировать ее производитель­ ность. IP-маршрутизация и IP-адресация являются основными технологиями в совре­ менных сетях, поэтому для построения эффективной сети необходимы знания и навы­ ки настройки клиентских компьютеров, серверов и маршрутизаторов. Не менее важно

244

Проектирование инфраструктуры сети и маршрутизации

Глава 8

знание принципов IP-адресации и выделения подсетей с целью разделения больших сегментов сети на меньшие по размеру и более управляемые. В этой главе вы получите дополнительные навыки создания IP-адресации и выделения подсетей, а также при­ менения службы DHCP, которая поможет сэкономить время и силы при проектирова­ нии инфраструктуры сети и маршрутизации. Глава начинается с рассмотрения основ двоичной арифметики и IP-адресации, по­ скольку без этих знаний проектирование инфраструктуры сети и маршрутизации не­ возможно.

Прежде всего Для понимания материала этой главы необходимо овладеть понятиями, описанными в главе 1.

Занятие 1. Создание схемы IP-адресации При создании схемы IP-адресации прежде всего требуется решить, будут ли использо­ ваться схема с частными или общими IP-адресами. На этом занятии рассматриваются обе и дается общее представление о применении IP-адресации для сегментирования сети с целью повышения производительности и безопасности. Также здесь обсуждаются различные классы IP-адресов, доступные для компаний, и принципы создания IP-подсетей для повышения производительности. Изучив материал этого занятия, вы сможете:

•S описать различные классы IP-адресов; •S спроектировать схему TCP/IP-адресации для сети, разбитой на подсети. Продолжительность занятия — около 60 минут.

Введение в двоичную систему счисления Как специалисту по сетям, вам нужно знать три системы счисления: с основаниями 2 (двоичную), 10 (десятичную) и 16 (шестнадцатеричную). С десятичной системой счис­ ления знакомы все. Например, число 9876 можно представить как 9 * Ю3 + 8 * 102 + 7 * 10' + 6 * 10°. Видно, что каждое число включает основание (10) в степени 0, 1, 2, 3 и т. д. Множитель при основании может быть любым числом от 0 до 9, то есть таких чисел всего 10, отсюда и название системы счисления.

Двоичная система счисления Компьютеры создают из микросхем, которые «понимают» только два альтернативных значения: «включено — выключено», «правда — ложь», «да — нет», поэтому применяет­ ся двоичная система счисления. Ее основанием является число 2, которое возводится в степень, начиная с 0; степень увеличивается справа налево, как показано ниже. Осно­ вание в данной системе счисления предусматривает лишь две цифры, 0 и 1. Рассмотрим в качестве примера двоичное число 1000 0001. Положение столбца (раз­ ряда), в котором находится 0 или 1, определяет значение данного разряда, как и в случае десятичных чисел. Десятичный эквивалент нашего числа-примера — 129. Двоич-

Занятие 1

Создание схемы !Р-адресации

245

ные числа обычно представляют группами по 8 символов (то есть, 8-разрядными чис­ лами), поскольку байт (распространенная единица информации) состоит из 8 битов. 128

64

32

16

8

4

2

1

27

26

25

24

23

22

2'

2°

0

0

0

0

0

1

1

0

128 + 1 = 129

Максимальное десятичное значение байта (когда все его биты равны 1) — 255: 128

64

32

16

2"

5

4

V 1

2

1

1

2 1

8 2 1

4 3

2 1

2

1

2

1

2'

2°

1

128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255

Шестнадцатеричная система счисления Естественно, компьютеры в силу своей природы работают с нулями и единицами, но людям неудобно манипулировать двоичными числами. Поэтому для людей была разра­ ботана другая система счисления, с основанием 16. И в этой системе счисления число цифр определяется основанием, а поскольку оно равно 16, то и ц и ф р может быть 16, начиная с 0. Д л я представления последних шести цифр шестнадцатеричной системы счисления п р и м е н я ю т буквы, поскольку в десятичной системе д л я этого не хватает ц и ф р — их в н е й всего 10 (0—9). Ц и ф р а А в шестнадцатеричной системе счисления равна 10, В = 11, С = 12 и т. д. Поэтому шестнадцатеричные числа могут быть и такими: 4096 16 1

3

256 16 3

2

16

1

16'

16°

А

В

Преобразование шестнадцатеричного числа 13АБ в десятичное осуществляется ана­ логично преобразованию двоичных в десятичные: 1 * 163 + 3 * 162 + 10 * 161 + 11 * 16° = ... Не расстраивайтесь: вам, скорее всего, никогда не потребуется делать такие преоб­ разования вручную, но чтобы хорошо разбираться в маршрутизации, необходимо пони­ мать, к а к образуются шестнадцатеричные числа, — это важно для создания групповых адресов, о которых в этой книге не рассказывается. Чтобы увидеть шестнадцатеричные числа в действии, выполните команду ipconfig / a l l в командной строке. Поле IP-пакета под названием Physical Address или M A C содержит адрес сетевого адаптера в шестнадцатеричном формате, например 00-0B-DB-28-F3-9A. Шестнадцате­ ричные цифры обычно группируются попарно, цифры такой пары представляют стар­ шие и младшие биты байта. П о л о в и н к и байта называются полубайтами или слогами (nibble). Каждый слог состоит из четырех битов, ну а байт, естественно, из 8. Шестнадцатеричное число 9А в двоичном представлении имеет вид 1001 1010, между слогами для удобочитаемости вставляют пробел. Так, шестнадцатеричное число F3 соответству­ ет двоичному 1111 ООП. Значительно легче прочитать МАС-адрес вроде F3-9A (в шест­ надцатеричном виде), чем в двоичном: 11110011-10011010. Шестнадцатеричные числа обозначают префиксом «Ох», например «0x11».

246

Проектирование инфраструктуры сета и маршрутизации

Глава 8

Думаю, вас обрадует, что все эти преобразования может делать Калькулятор (Calcula­ tor), стандартная программа в ОС от Microsoft. Просто запустите ее и в меню Вид (View) выберите режим Инженерный (Scientific). Для нашего примера установите переключа­ тель установлен в положение Bin, введите двоичное число 1111 ООП 1001 1010 и переве­ дите переключатель в положение Hex. Этих сведений о системах исчисления пока достаточно, они понадобятся вам при изучении раздела, посвященному выделению подсетей. Но сначала познакомимся с IP-адресацией.

!Р-адресация Стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol) в Windows Server 2003 нельзя использовать по выбору, он просто необходим для работы ОС, а для понимания работы TCP/IP необходимо разбираться в IP-адресации. Вам потребуется задавать IP-адреса рабочих станций, принтеров, серверов и других устройств или на­ страивать DHCP-сервер, чтобы он делал эту работу за вас. В любом случае, назначать IP-адреса вам придется.

Классы iP-адресов IP-адрес состоит из четырех байтов, называемых октетами. IP-адрес включает как ад­ рес сети, так и адрес хоста. По десятичному значению первого байта адреса можно определить его класс (см. табл. 8-1). Табл. 8-1.

Классы IP-адресов

Класс

Описание

А

Первый байт имеет значение от 1 до 126 и является адресом сети в составе IP-адреса, остальные три байта представляют адрес хоста. Например, 12.5.5.3 — это IP-адрес класса А, состоящий из идентификатора сети 12 и идентификатора хоста 5.5.3. В сети с адресом класса А может быть более 16 миллионов компьютеров

В

Первый байт имеет значение 128—191. Первый два байта представляют идентифика­ тор сети, а последние два — идентификатор хоста. IP-адрес 172.16.32.15 — это адрес класса В с идентификатором сети 172.16 и идентификатором хоста 32.15. В сети с адресом класса В может быть до 65 000 хостов

С

Первый байт имеет значение 192—223. Первые три байта адреса класса С пред­ ставляют идентификатор сети, а последний — идентификатор хоста. Например, 192.16.32.15 — это адрес класса С с идентификатором сети 192.16.32 и идентифика­ тором хоста 15. В сети с адресом класса С может быть не больше 254 хостов

D

Первый байт имеет значение 224—239, все байты составляют групповой адрес и не могут назначаться отдельным компьютерам

Е

Первый байт имеет значение 240—255, как и адреса класса D, не назначаются компьютерам и являются экспериментальными

Заметьте: первый октет не может быть равен 127, поскольку такие адреса зарезер­ вированы для интерфейсов замыкания на себя и других тестовых нужд. Подготовка к экзамену Обязательно научитесь быстро определять классы IP-адресов по первому байту, особенно классы А (1-126), В (128-191), С (192-223) и D (224-239; это групповые адреса).

Занятие 1

Создание схемы IP-адресации

247

Получение iP-адреса IP-адрес для сети компании можно приобрести у организации InterNIC (Internet Network Information Center)*. Большинство адресов класса А уже занято, поскольку после возникновения Интернета их быстро разобрали военные и научные учреждения. Если вы арендовали адрес класса С, первые три октета этого адреса составят иденти­ фикатор сети вашей компании, а оставшегося октета хватит длишь на 254 компьютера. Почему 254? А потому что для создания адресов остается единственный октет, то есть 8 битов. Самое маленькое число, которое можно представить 8 битами, это 0000 0000, то есть ноль, но идентификаторы хостов, состоящие только из нулей, запрещены. Макси­ мальное число, которое можно представить 8 битами, — 11111111, или (в десятичном виде) 255. Такие адреса также не рекомендуются для хостов. Подробнее о причинах запрета рассказывается ниже, а сейчас просто запомните, что адреса из нулей и еди­ ниц не допускаются. То есть, 8-битный идентификатор хоста дает 28 — 2 = 256 — 2 = 254 возможных адреса, которые можно назначать рабочим станциям, серверам и дру­ гим устройствам. Однако существуют адреса класса А, В и С, предназначеные для использования в качестве внутренних адресов. Это означает, что маршрутизаторы Интернета не будут передавать пакеты на такие адреса, которые также называются «частными», но внутри сети компании их применение разрешено. Частные адреса позволяют, сэкономив сред­ ства, получить неограниченное количество IP-адресов для хостов корпоративной сети. Хостам с частными IP-адресами можно предоставить доступ к Интернету при помощи технологии NAT, описанной в главе 9. В табл. 8-2 приводится список адресов, не требу­ ющих регистрации в InterNIC, и разрешенных для назначения компьютерам во вну­ тренних корпоративных сетях. Табл. 8-2.

Частные и зарезервированные IP-адреса

Диапазон адресов

Описание

10.0.0.1-10.255.255.254

Частные адреса класса А, позволяют создать до 126 сетей, в каждой из которых может быть более 16 миллионов хостов

172.16.0.1-172.31.255.254

Адреса класса В, позволяют создать до 16 независимых сетей класса В либо отвести до 20 битов идентификатора хоста для идентификатора подсети (см. ниже)

192.168.0.1-192.168.255.254

Адреса класса С, позволяют создать до 256 независимых сетей класса С или отвести до 16 битов идентификатора хоста для идентификатора подсети

169.254.0.1-169.254.255.254

Диапазон адресов класса, зарезервированных для динамиче­ ского назначения адресов в отсутствие DHCP-сервера. Эта возможность поддерживается в Windows 98 и более поздних версиях ОС и называется автоматической частной IP-адреса­ цией (Automatic Private IP Addressing, APIPA), подробнее о ней — на занятии 3

Подготовка к экзамену Запомните эти диапазоны адресов, особенно 169.254.х.х: адреса из этого диапазона получают рабочие станции, настроенные как DHCP-клиенты, если DHCP-сервер недоступен. Сейчас распределением IP-адресов ведают, в основном, поставщики услуг Интернета. — Прш. перев.

248

Прееггирование инфраструктуры сети и маршрутизации

Глава 8

Простую сеть можно создать в виде одиночного сегмента с адресами класса С (рис. 8-1). Единый домен широковещательной рассылки

Рис. 8-1. Простую сеть можно построить на одном диапазоне адресов класса С В сети, показанной на рис. 8-1, адреса всех хостов состоят из идентификатора сети 192.168.1.0 и идентификатора хоста из диапазона 1—254. Создать сеть из одного сегмен­ та легко, но более крупные сети, а также сети, состоящие из нескольких физических участков, приходиться делить на сегменты. Для этого необходимо понимать принципы организации подсетей, поскольку часть идентификатора сети из IP-адреса (192.168.8) в этом случае отводится для создания дополнительных идентификаторов, называемых адресами подсетей.

Маска подсети Маска подсети определяет, какая часть IP-адреса является идентификатором сети, а какая — идентификатором хоста посредством булевых вычислений, о которых кратко рассказывается ниже. Каждому классу IP-адресов соответствует маску подсети по умолчанию (табл. 8-3), но она применяется не всегда, почему — будет рассказано позже. Табл. 8-3. Маски подсети по умолчанию Класс

Маска по умолчанию

А В С

255.0.0.0 255.255.0.0 255.255.255.0

Маску подсети указывают в конфигурации рабочей станции вместе с IP-адресами. Например, если для IP-адреса 10.1.2.3 задана маска подсети 255.0.0.0 (маска подсети по умолчанию для адресов класса А), компьютер при помощи логического умножения (булевой операции AND) вычислит идентификатор сети по IP-адресу и маске подсети: AND

00001010.00000001.00000010.000 00011

10.1.2.3

11111111.00000000.00000000.00000000 00001010.00000000.00000000.000 00000

255.0.0.0 10.0.0.0 (это идентификатор сети)

Занятие 1

Создание схемы IP-адресации

В булевой алгебре 1 AND 1 = 1, остальные комбинации нулей и единиц дают ноль. Часть адресов класса 1, соответствующая идентификатору сети и вычисленная по мас­ ке, та же, что показана выше: это первый октет (в нашем примере он равен 10). Если привлечь аналогию с телефонными звонками, можно сказать, что эта опера­ ция позволяет компьютеру «понять», является ли IP-адрес «местным» (находится в дан­ ной подсети) или «междугородним» (то есть доступен только через основной шлюз, который является IP-маршрутизатором). Если идентификаторы сети исходного и целе­ вого адресов пакета совпадают, получатель пакета находится в локальной сети. IPадрес без маски подсети бесполезен, как телефонный номер без кода города. Если известен номер, но не известен код, информации для звонка будет недостаточно. Ана­ логично, установить соединение между компьютерами с IP-адресами 172.16.12.5 и 172.16.13.5, не зная маски подсети, связанные с этими адресами, невозможно. Если в этом примере использовать маску подсети по умолчанию, обе системы окажутся в од­ ной подсети, 172.16.0.0, то есть смогут взаимодействовать без маршрутизатора.

Организация подсетей Напомним, что в адресе класса С первые три октета составляют идентификатор сети, а оставшиеся 8 битов (последний октет) — идентификатор хоста. Чтобы создать на осно­ ве адреса класса С IP-адреса для двух сетей, необходимо «занять» несколько битов идентификатора хоста и создать из них идентификаторы подсетей. Эта процедура на­ зывается разбиением сети на подсети.

Сколько битов занимать? Число битов идентификатора хоста, которое можно «занять» для идентификатора под­ сети, зависит от ответа на следующие вопросы. • Сколько подсетей необходимо создать? • Сколько хостов будет в каждой подсети? Чем больше битов идентификатора хоста отводится для идентификатора подсети, тем больше подсетей удастся создать, и меньше хостов будет в каждой из этих подсе­ тей. Рассмотрим простой пример. Чтобы создать две подсети на основе адреса класса С 192.168.8.0, достаточно отвести один бит последнего октета идентификатора хоста. Это более наглядно, если преобразовать IP-адрес в двоичный вид: 1100 0000.1010 1000. 0000 1000. 0000 0000

192.168.8.0

1111 1111.1111 1111.1111 1111.1000 0000

255.255.255.128 (маска подсети)

Обратите внимание на первый бит четвертого октета (он выделен полужирным шрифтом). Одиночный бит может быть «включен» либо «выключен», то есть принимает значение 1 либо 0. Также обратите внимание, что разряд этого бита в десятичном пред­ ставлении имеет значение 128. Это поможет определить размер блока создаваемой под­ сети, в этом примере размер блока равен 128, то есть созданы подсети с адресами 192.168.8.0 и 192.168.8.128. Если бы использовалась маска 255.255.255.192, то возмож­ ный размер блока подсетей был бы равен 64: октет 192 в двоичном виде записывается как 1100 0000, и второй бит оказался бы в разряде с десятичным значением 64. Таким образом, в этом случае можно создать 0, 64, 128 или 192 подсети. В примере с маской 255.255.255.128 в каждой подсети может быть до 126 хостов, поскольку под адреса хостов отведено 7 битов. Формула для расчета максимального числа хостов имеет вид 2" — 2, или 27 — 2, где п — длина идентификатора хоста в битах.

250

Проектирована инфраструктуры сети ш маршрутизации

Глава 8

У первой подсети был бы идентификатор 192.168.8.0, а у второй — 192.168.8.128. Диапа­ зоны идентификаторов хостов для этих подсетей составляют 1-126 и 192-254 соответ­ ственно (помните, что адреса хостов не могут содержать только нули или единицы). Представив IP-адрес в двоичном виде, несложно увидеть, что адрес 192.168.8.0/25 дает идентификатор хоста только из нулей, а адрес 192.168.8.127 — все единицы: Подсеть 1 1100 0000.1010 1000.0000 1000.0[000 0000]

192.168.8.0/25

1100 0000.1010 1000.0000 1000;0[111 1111]

192.168.8.127/25

В квадратные скобки взяты биты IP-адреса, составляющие идентификатор хоста, а жирным шрифтом отмечен идентификатор подсети. Подсеть 2 1100 0000.1010 1000.0000 ЮОО.ЦООО 0000]

192.168.8.128/25

1100 0000.1010 1000.0000 1000.Ц111 1111]

192.168.8.255/25

Несложно заметить, что в этой подсети идентификаторы хоста 128 и 255 также дают все нули либо единицы.

Примечание Windows 2003 поддерживает адреса подсетей только из нулей или единиц, разрешенные RFC 1812. Раньше из общего числа подсетей приходилось вычитать 2, поскольку такие адреса подсетей не разрешались. Подготовка к экзамену Непременно научитесь разбираться в масках подсети, записан­ ных в нотации безклассовой междоменной маршрутизации (Classless Internet Domain Routing, CIDR), пример — /8 или /16. Так, можно встретить IP-адрес в формате 172.16.8.0/24. Здесь «24» — это длина маски подсети в битах, она составляет три октета по 8 битов каждый. Следовательно, так записана маска подсети 255.255.255.0. Доступно множество калькуляторов и программ для вычисления масок подсети для заданного числа подсетей и хостов. Результаты подобных вычислений для адресов клас­ са А, В и С приводятся в таблицах ниже. В приведенном выше примере у сегмента сети был идентификатор 192.168.1.0. Если владельцу общего адреса класса С требуется разбить сеть на два сегмента, можно на­ значить маску подсети 255.255.255.128 всем рабочим станциям и поместить между сегментами маршрутизатор (рис. 8-2). Всем хостам в подсети 1 назначаются идентификаторы из диапазона 1 — 126, а в подсети 2 — из диапазона 129-254. Каждый сегмент представляет собой отдельный домен широковещательной рассылки. Заметьте, что портам маршрутизатора необходи­ мо назначить IP-адреса, соответствующие IP-адресам основных шлюзов в подсетях, соединенных этим маршрутизатором. Эти шлюзы следует указать всем хостам, требую­ щим доступа к ресурсам, расположенным в других подсетях. На занятии 3 рассказыва­ ется, как настроить DHCP для назначения хостам соответствующих параметров.

Занятие 1

Создание схемы IP-адресации

9§1

Несколько доменов широковещательной рассылки

IP-адрес; 192.168.1.5 Маска подсети: 255.255.255.128 Адрес основного шлюза: 192.168.1.1

IP-адрес: 192.168.1.140 Маска подсети: 255.255.255.128 Адрес основного шлюза: 192.168.1.129

Рис. 8-2. Сеть класса С, разбитая на две подсети Табл. 8-4. Организация подсетей в сети класса А Число подсетей

Занятые биты

Новая маска подсети (в нотации CIDR)

Число хостов в одной подсети

1-2 3-4 5-8 9-16 17-32 33-64 65-128 129-256 257-512 513-1024 1 025-2 048 2 049-4 096 4 097-8 192 8 193-16 384 16 385-32 768 32 769-65 536 65 537-131072 131073-262 144 262 145-524 288 524 289-1048 576 1048 577-2 097 152 2 097 153-4 194 304

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

255.128.0.0/9 255.192.0.0/10 255.224.0.0/11 255.240.0.0/12 255.248.0.0/13 255.252.0.0/14 255.254,0.0/15 255.255.0.0/16 255.255.128.0/17 255.255.192.0/18 255.255.224.0/19 255.255.240.0/20 255.255.248.0/21 255.255.252.0/22 255.255.254.0/23 255.255.255.0/24 255.255.255.0/25 255.255.255.192/26 255.255.255.224/27 255.255.255.240/28 255.255.255.248/29 255.255.255.252/30

8 388 606 4 194 302 2 097 150 1 048 574 524 286 262 142 131070 65 534 32 766 16 382 8 190 4 094 2 046 1022 510 254 126 62 30 14 6 2

252

Проектирование инфраструктуры сети а маршрутизации

Глава 8

Табл. 8-5. Организация подсетей в сети класса В Число подсетей

Занятые биты

Новая маска подсети (в нотации CIDR)

Число хостов в одной подсети

1-2 3-4 5-8 9-16 17-32 33-64 65-128 129-256 257-512 513-1 024 1 025-2 048 2 049-4 096 4 097-8 192 8 193-16 384

1 2 3 4 5 6 7 8 9 10 11 12 13 14

255.255.128.0/17 255.255.192.0/18 255.255.224.0/19 255.255.240.0/20 255.255.248.0/21 255.255.252.0/22 255.255.254.0/23 255.255.255.0/24 255.255.255.128/25 255.255.255.192/26 255.255.255.224./27 255.255.255.240/28 255.255.255.248/29 255.255.255.252/30

32 766 16 382 8 190 4 094 2 046 1022 510 254 126 62 30 14 6 2

Табл. 8-6. Организация подсетей в сети класса С Число подсетей

Занятые биты

Новая маска подсети (в нотации CIDR)

Число хостов в одной подсети

1-2 3-4 5-8 9-16 17-32 33-64

1 2 3 4 5 6

255.255.255.128/25 255.255.255.192/26 255.255.255.224/27 255.255.255.240/28 255.255.255.248/29 255.255.255.252/30

126 62 30 14 6 2

Проблемы из-за неверной маски подсети В компаниях, где настройка IP-адресов для рабочих станциях осуществляется вручную, велика вероятность ошибок при вводе адресов. Одной из самых частых ошибок, возникающих из-за невнимательности, является указание неверной маски подсети для рабочей станции. Предположим, что для рабочей станции указан IP-адрес класса С, 192.16.9.131. Ясно, что на всех рабочих станциях в этой подсети по умолчанию будет настроена маска 255.255.255.0. Далее предположим, что в другой подсети рабочие станции подсети исполь­ зуют маску 255.255.255.192. Как показано выше, эта маска позволяет создать четыре подсети: 192.168.9.0, 192.168.9.64, 192.168.9.128, и 192.168.9.192. Если эти сети соединены маршрутизаторами, указание неверной маски подсети для рабо­ чей станции приведет к тому, что проверка связи с помощью команды ping с компьютером, расположенным в сегменте 192.168.9.64, закончится неудачей:

Занятие 1

Создание схемы !Р-адрееаций

941

вы получите сообщение об ошибке Request Timeout. Это происходит, поскольку эта рабочая станция не сможет обратиться к основному шлюзу, так как по ре­ зультатам вычислений с неверной маской адреса 192.168.9.131 и 192.168.9.66 ока­ жутся в одном и том же сегменте 192.168.9.0. В результате будет предпринята попытка обратиться к этому адресу как к локальному, без использования марш­ рутизатора, а такая попытка, конечно же, потерпит неудачу. Настраивая IP-параметры рабочей станции вручную, всегда проверяйте мас­ ку подсети, сверяя ее с настройками других рабочих станций в данной подсети или со схемой топологии сети.

Лабораторная работа. Создание схемы !Р-адресации На этой лабораторной работе вы спроектируете IP-адресацию для офиса компании Northwind Traders, расположенном в Хьюстоне (Техас). Если вы не сумеете ответить на вопрос, повторите соответствующий материал. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders планирует открыть новый офис в Хьюстоне. Новый офис будет располагаться в деловой части города, в четырех зданиях, связанных выделенны­ ми линиями (см. рис. ниже).

При проектировании решения TCP/IP для соединения сетей нужно определить, сколько подсетей необходимо создать в каждом здании, а также сколько общих и част­ ных IP-адресов потребуется для проекта. К проекту предъявляются следующие требова­ ния: • в сети Хьюстонского офиса будут использоваться частные адреса из диапазона 172.20.0.0/16; • в одной подсети должно быть не более 200 хостов.

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Каково минимальное число подсетей для каждого из зданий и для сети в целом?

254

Проектирование инфраструктуры сети и маршрутизации

Глава 8

2. Выберите верную маску подсети для хостов. a. /16. b. /19. c. /21. d /24. 3. Каково максимально необходимое число частных IP-адресов? a. 7. b. 1204. c. 2903. d 4032. 4. Какое минимально необходимое число общих IP-адресов? a. 1. b. 2. c. 2903. d 4032. 5. Каково максимально возможно число хостов в сети обеспечивает маска подсети, выбранная для проекта? a. 254. b. 1022. c. 6398. d 65 534. 6. Руководство предложило выбрать новый частных адрес. Выберите из следующего списка все частные IP-адреса, подходящие для проекта. a. 10.0.0.0/8 b. 230.120.0.0/16 c. 69.254.0.0/16 d 192.168.0.0/16

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Перечислите пять классов адресов. Чему равны их первые октеты? Какие частные IP-адреса доступны для использования во внутренней сети компании? 2. В сети компании находится более 15 000 рабочих станций, распределенных по не­ скольким городам на Среднем Западе. Вас как администратора сети попросили спро­ ектировать стратегию IP-адресации, основанную на частных IP-адресах. После тща­ тельного анализа оказалось, что потребуется 500—600 подсетей, до 350 хостов в каж­ дой подсети. Укажите диапазон частных IP-адресов и маску подсети для проекта. 3. Вы администратор сети на основе Windows Server 2003. Вам позвонил пользователь и сообщил, что не может подключиться к SQL Server, расположенному в другой под­ сети. Команда ipconfig, выполненная на рабочей станции пользователя дала следу­ ющий результат:

Занятое 2

Проектирование периметра сета

IP Address: 192.168.8.142 Subnet Mask: 255.255.255.128 Default Gateway: 192.168.8.1

В чем возможная причина проблемы?

Резюме в Протокол TCP/IP обязателен для Windows Server 2003. IP-адресация — это важный аспект TCP/IP, в необходимо хорошо разбираться. У всех рабочих станций, принте­ ров, серверов и других хостов должны быть уникальные IP-адреса. • IP-адрес состоит из четырех байтов, называемыми октетами, которые представляют идентификаторы сети и хоста соответственно. По десятичному значению первого октета можно определить класс IP-адрес. В сети с адресом класса А может быть максимальное число хостов, а адреса класса С обеспечивают максимальное число подсетей. • Классам адресов А, В, и С по умолчанию соответствуют маски подсети 255.0.0.0, 255.255.0.0 и 255.255.255.0 соответственно. Маска подсети используется для вычис­ ления идентификатора сети по IP-адресу. • Выделение битов идентификатора хоста для создания идентификаторов подсетей называется разбиением сети на подсети. Число выделяемых битов определяется на основании необходимого числа подсетей и числа хостов в каждой подсети.

Занятие 2. Проектирование периметра сети Проектирование локальной сети, не подключенной к Интернету, проще, и такая сеть определенно безопаснее. Решив использовать общие IP-адреса и Web-сервер для до­ ступа во внешний мир, вы открываете множество дверей посторонним и взломщикам. В этой главе вы научитесь проектировать периметр сети, также называемый деми­ литаризованной зоной (Demilitarization Zone, DMZ), защищающий внутреннюю сеть компании и обеспечивающий доступ к серверам компании из внешнего мира для кли­ ентов, сотрудников и партнеров. Изучив материал этого занятия, вы сможете:

•S описать компоненты периметра сети, такие как брандмауэры, системы обнаружения вторжений и Microsoft ISA Server; •/ спроектировать и задокументировать периметр сети вашей компании. Продолжительность занятия — около 15 минут.

Защита частной сети На рис. 8-3 изображена внутренняя сеть, подключенная к Интернету, следовательно, ресурсы этой сети доступны пользователям Интернета. Возможно, это не было целью проекта сети, но такова реальность сетевых технологий.

258

Проектирование инфраструктуры сети и маршрутизации

Глава 8

Рис. 8-3. Без брандмауэра подключение корпоративной сети к Интернету открыто в обе стороны Существует много компонентов, снижающих риск взлома вашей сети, такие как брандмауэры, прокси и системы обнаружения вторжения. На рис. 8-4 схематически изображен периметр, реализованный как брандмауэр. Брандмауэр может быть аппаратным или программным, он действует как граница меж­ ду вашей сетью и внешним миром. Его работа заключается в фильтрации входящего и исходящего трафика.

Рис. 8-4. Защита брандмауэром подключения внутренней сети к Интернету Маршрутизаторы также можно настраивать как брандмауэры посредством списков управления доступом. Список обеспечивает фильтрацию трафика по критериям, таким как IP-адрес получателя или отправителя пакета, протокол, например UDP или TCP, и номер порта (80 или РОРЗ-порт ПО) и т. д. Существует несколько типов брандмауэров, которые нужно знать: • брандмауэры с фильтрацией пакетов; • брандмауэры SPI; • брандмауэры прикладного уровня. Брандмауэры с фильтрацией пакетов работают так же, как маршрутизаторы, только они несколько сложнее. У такого брандмауэра имеется набор правил, предписываю­ щих пропускать или отбрасывать те или иные пакеты. Брандмауэры SPI (stateful packet inspection) развивают эту идею. Чтобы определить, допустим ли пакет, такие брандмауэры анализируют заголовки пакетов с учетом кон­ текста их приема или отправки (состояния). Например, получив подтверждающий па­ кет (АСК) процедуры трехфазного TCP-квитирования до отправки пакета SYN, бранд­ мауэр SPI заподозрит неладное и отбросит такой пакет. Так, множество программных сканнеров портов отправляет компьютерам пакеты АСК без предварительной отправки пакета SYN, получая таким образом необходимые сведения. Брандмауэры прикладного уровня, такие как Microsoft Proxy Server, анализируют содержимое пакетов и на основании правил, заданных для данного приложения, пере-

Проектирование периметра сета

Занятие 2

25?

дают или отбрасывают пакет. Чаще всего такие брандмауэры используются для блоки­ рования запросов браузерами страниц с запрещенных Web-сайтов. Брандмауэры SPI, проверяющие только заголовки пакетов, не смогли бы блокировать запрос по запро­ шенному URL. Система обнаружения вторжений (intrusion detection system, IDS) не только выпол­ няет фильтрацию трафика и отбрасывает недопустимые пакеты, но и обнаруживает вторжения, а также предупреждают администратора о возможных атаках сети и ее ре­ сурсов. Существует два типа IDS: • для защиты хостов. Такие IDS работают на определенных серверах и анализируют журналы аудита в поисках признаков неполадок или атак; • для защиты сети. Такие IDS работают в сети и анализируют трафик, сравнивая его с заданными образцами, как это делает антивирусная программа, и при совпадении с образцом вредоносных или подозрительных данных подает сигнал тревоги. Примечание Брандмауэр не гарантирует абсолютную безопасность сети, он укрепляет защиту, но не является непреодолимым барьером для взломщиков. Гарантировать неуяз­ вимость возможно, только отключив сетевой кабель. Администратор сети не может лич­ но запретить кому-либо работать с сетью, но может обнаружить проникновение взлом­ щика при помощи IDS и принять контрмеры. Брандмауэры защищают внутренние сети от атак из внешнего мира, но как разре­ шить доступ к Web- и почтовым серверам внешним пользователям? Один из вариан­ тов — вынести эти серверы за пределы частной сети в периметр. Периметр — это небольшая сеть, которая доступна внешним пользователям, но блокирует их доступ к внутренней сети (рис. 8-5). Внутренняя сеть компании

' Интернет ' !

•

v

,^ *j-

"

к

' '-"~

|„ "' Брандмауэр

~ , *%*^

Маршрутизатор

&

I Брандмауэр

Рис. 8-5. Периметр изолирует общие службы от ресурсов внутренней сети Заметьте, что пользователи из внешнего мира получают доступ к Web- и почтовому серверу через брандмауэр, поэтому на пути к внутренней установлены два брандмауэ­ ра, роль которых могут играть, скажем, серверы ISA Server.

258

Проектирование инфраструктуры сети и маршрутизации

Глава 8

Документирование периметра В предыдущих главах было показано, что документирование проекта инфраструктуры сети — это одна из важнейших обязанностей администратора, документирование инфра­ структуры периметра не менее, а может быть, и более важно, поскольку имеет прямое отношение к безопасности и защите информационных ресурсов компании. В периметре не должно быть серверов с критически важной или конфиденциальной информацией, такой как номера социального страхования, кредитных карт, маркетин­ говых планов и т. п., а только серверы, доступные из внешнего мира, при этом доступ к внутренней сети компании должен быть ограничен.

Программные и аппаратные компоненты периметра Документация по периметру должна включать, как минимум, описание используемо­ го в периметре ПО (антивирусных программ, брандмауэров, IDS, прокси и ОС), на­ пример: • VPN-сервер на основе Microsoft ISA Server работает на сервере Dell под управлени­ ем Windows 2000 Server; • брандмауэр на основе CheckPoint Firewall работает на сервере под управлением Solaris Server; • брандмауэр на основе Microsoft ISA-сервер работает на сервере Dell под управле­ нием Windows Server 2003. Эта информация в сочетании со сведениями об управлении системой, версиях ПО и дополнительных компонентах помогут вам и в ваше отсутствие вашим коллегам обслу­ живать сеть и защищать ее от атак.

Имена, пароли и IP-адреса Нет ничего хуже, чем быть на месте нового администратора, которого предшественник оставил без подробной документации или вовсе без нее. В документации должны быть имена и пароли для всех серверов, маршрутизаторов и других систем, для которых они требуются (конечно же, документацию следует хранить в безопасном месте). В доку­ ментации должны быть описаны: • процедуры установки обновлений и исправлений; • процедуры внеплановых отключений; • разрешенные методы доступа к серверам (telnet, ssh, rdp); • контактная информация поставщика; • версии программного обеспечения; • имена хостов и IP-адреса. Так как периметр и внутренняя сеть всегда являются разными подсетями, в доку­ ментации должны быть IP-адреса всех сетевых интерфейсов и устройств, а также мас­ ки и диапазоны подсети, применяемые в периметре. Документация должна храниться в безопасном месте, так как ее потеря сведет на нет защиту инфраструктуры корпоративной сети.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Занятие 3

Введение в DHCP

1. Вы администратор большой сети на основе Windows Server 2003. Вас попросили помочь Web-дизайнеру компании в размещении на корпоративном Web-сайте раз­ дела о вакансиях. Web-сервер находится в одном сегменте с сервером БД, храня­ щим конфиденциальную медицинскую информацию о сотрудниках. Руководитель ИТ-отдела требует, чтобы вы свели к минимуму угрозу конфиденциальности БД. Как реализовать Web-сервер, чтобы внешние пользователи беспрепятственно обра­ щались к нему, но не могли получить доступ к серверу БД? 2. Какие компоненты сети можно использовать для предупреждения об атаках сервера базы данных? 3. Вы закончили проектировать периметр корпоративной сети и собираетесь присту­ пить к его документированию для облегчения сопровождения и поддержки. Что вы включите в документацию?

Резюме •

Периметр — это небольшая сеть, которая разрешает доступ к своим ресурсам вне­ шним пользователям, но запрещает им доступ к внутренней сети. В периметре обыч­ но размещают Web- и почтовые серверы, доступные внешним пользователям. • Брандмауэры с фильтрацией пакетов, SPI и брандмауэры прикладного уровня при­ меняются для защиты внутренней сети компании от доступа посторонних. • В документации периметра должны быть имена и пароли для всех серверов, марш­ рутизаторов и других систем, а также описание сетевых компонентов, применяе­ мых для защиты внутренней сети, таких как брандмауэры, прокси и IDS. в Периметр всегда изолирован от внутренней сети компании, поэтому в документа­ ции должны быть IP-адреса сетевых интерфейсов, а также устройства, маски и диапазоны подсетей, используемые в периметре.

Занятие 3. Введение в DHCP Настроить параметры TCP/IP на одной рабочей станции вручную вовсе не сложно, другое дело, когда требуется настраивать сотни и тысячи рабочих станций — это уто­ мительно и чревато ошибками. Когда приходится лично посещать все рабочие стан­ ции для настройки, почти невозможно избежать опечаток при вводе маски подсети. Эту задачу можно автоматизировать при помощи протокола динамического конфигу­ рирования узлов (DHCP). Возможны ли при этом ошибки? Конечно, да, но вероят­ ность их куда меньше. Кроме того, DHCP позволяет не только назначать IP-адреса. На этом занятии вы научитесь использовать DHCP сервер для динамической настрой­ ки компьютеров сети. Изучив материал этого занятия, вы сможете: •S пояснить, как назначить IP-адрес посредством DHCP; •f описать процедуру назначения IP-адресов при помощи DHCP; •/ рассказать про APIPA. Продолжительность занятия — около 25 минут.

2§Q

Проектирование инфраструктуры сети и маршрутизации

Глава 8

Обзор DHCP Протокол DHCP реализован в виде службы ОС Windows Server 2003. DHCP-сервером может является любой сервер, на котором работает служба DHCP, он автоматически назначает DHCP-клиентам IP-адреса и другие параметры TCP/IP, такие как IP-адре­ са серверов WINS, DNS, основного шлюза и маска подсети.

Назначение IP-адресов Процедура назначения IP-адреса DHCP- клиенту включает четыре этапа. 1. При запуске DHCP-клиент передает широковещательный пакет запроса DHCPсервера. Как вам уже известно, широковещательный трафик задерживается марш­ рутизаторами, если они не настроены иначе. Этот этап называется фазой обнаруже­ ния аренды IP-адреса (IP Lease Discover). 2. Все DHCP-серверы, управляющие допустимыми диапазонами IP-адресов, посыла­ ют DHCP-клиенту пакеты предложения аренды. Эти пакеты включают МАС-адрес клиента, IP-адрес, маску подсети, срок действия аренды и IP-адрес DHCP-серве­ ра, предлагающего IP-адрес. 3. DHCP-клиент принимает предложение от первого ответившего ему DHCP-сервера и посылает ему запрос аренды в виде сообщения DHCPDISCOVER с МАС-адресом своей сетевой платы и своими хост-именем. 4. DHCP-сервер, предложивший клиенту IP-адрес, отвечает на сообщение DHCP­ DISCOVER, и клиенту назначается IP-адрес, после этого предложения остальных DHCP-серверов отвергаются. Как видно из рис. 8-6, процедура назначения IP-адреса проста, но для нее требуется определить диапазон IP-адресов или область (scope), IP-адреса которой разрешено пре­ доставлять DCHP-серверу. IP Широковещательный запрос обнаружения аренды

DHCP-сервер, ответивший клиенту первым

IP Предложение аренды ysry

IP Запрос аренды

Р Н п Р ,„,„„, |Т ,

IP Подтверждение аренды

^^

I

DHCP-сервер IP Широковещательный запрос обнаружения аренды^ .„„ IP Предложение аренды

X -й f

DHCP-сервер, ответивший клиенту вторым , _ , „ „ п „предложение > ыаренды) * „ о п „ (отзывает

DHCP-сервер Рис. 8-6. Этапы назначения IP-адреса посредством DHCP

Создание области DHCP Областью называется диапазон допустимых IP-адресов, предназначенных для DHCPклиентов. Каждому DHCP-серверу требуется, по крайней мере, одна область со следу­ ющими свойствами: • диапазон IP-адресов для назначения DHCP-клиентам; я маска подсети;

Занятие 3 • в •

Введение в DHCP

281

срок действия аренды. По умолчанию для небольших сетей рекомендуется устана­ вливать срок аренды в восемь дней; параметры области DHCP, такие как IP-адреса DNS и WINS-серверов (см.ниже); резервирование адресов. Позволяют назначать определенным DHCP-клиентам по­ стоянные IP-адреса и настройки TCP/IP.

Например, если вы хотите, чтобы DHCP-сервер назначал IP-адреса всем рабочим станциям в подсети 192.168.1.0/24, можно настроить для него область 192.168.1.1— 192.168.1.254. Разумно назначать таким хостам, как сетевые принтеры или серверы, статические IP-адреса, поэтому не забудьте исключить эти IP-адреса из области. Назначение IP-адресов рабочим станциям и серверам большой сети с использова­ нием DHCP экономит время, освобождая от необходимости лично посещать все рабо­ чие станции для их настройки. Если бы DHCP-сервер назначал только IP-адреса, то IP-адреса WINS- и DNS серверов, а также основного шлюза все равно пришлось бы назначать вручную. Но, к счастью, DHCP поддерживает дополнительные параметры (табл. 8-7), позволяющие назначать DHCP-клиентам эти настройки TCP/IP. Табл. 8-7.

Дополнительные параметры конфигурации

Параметр

Описание

003 Router

Назначает IP-адрес основного шлюза

006 DNS Servers

Настраивает IP-адрес DNS-сервера

015 DNS Domain Name

Настраивает имя домена DNS для разрешения имен

044 WINS/NBNS Servers

Назначает IP-адрес WINS-сервера

046 WINS/NBT Node Type

Настраивает тип узла DHCP-клиента в плане разрешения имен (возможные варианты — b- ( h-, р- или т-узел)

047 NetBIOS Scope ID

Настраивает идентификатор области NetBIOS (редко используется на современных компьютерах). Идентификатор области NetBIOS позволяет администратору разделять NetBIOS-хосты подобно тому, как маска подсети позволяет разбивать сеть на подсети

Агент DHCP-ретрансляции Как сказано в главе 7, широковещательный трафик не передается IP-маршрутизато­ ром, если он не настроен иначе. Это может стать проблемой, если DHCP-клиенты оказываются в подсети без DHCP-сервера (рис. 8-7).

%- h

SP

)

1 1

1

ш

IP

-сервер

1

маршрутизатор

DHCP-клие нт

Подсеть А Рис. 8-7.

Маршрутизаторы блокируют DHCP-запросы

Подсеть В

202

Проектирование инфраструктуры еета и маршрутизации

Глава 8

Когда DHCP-клиенты из подсети А посылают широковещательный запрос для по­ иска DHCP сервера, эти запросы не выходят из подсети А и не достигают DHCPсервера, расположенного в подсети В. Эту проблему можно решить двумя способами: • настроить одну или несколько рабочих станций в подсети А как агенты DHCPретрансляции; • настроить маршрутизатор как агент DHCP-ретрансляции. В первом случае рабочая станция, настроенная как агента DHCP-ретрансляции, получив широковещательный запрос DHCP-клиента, передает его DHCP-серверу как одноадресный, а не широковещательный пакет. Это весьма напоминает работу агента WINS Proxy Agent, описанного выше. Если маршрутизатор совместим со стандартом DHCP/BOOTP (RFC 1542), агент DHCP-ретрансляции не нужен.

Автоматическая частная IP-адресация Что, если DHCP-клиент пошлет DHCP-серверу широковещательный запрос IP-адреса в то время как DHCP-сервер остановлен или маршрутизатор — агент DHCP-ретранс­ ляции случайно выключен младшим администратором? В этом случае широковеща­ тельный запрос не достигнет DHCP-сервера в удаленной подсети. Получите ли вы сообщение об ошибке из-за недоступного DHCP-сервера? Конечно, нет. Если DHCPсервер не ответит на широковещательный запрос клиента, то клиент автоматически получит IP-адрес из диапазона 169.254.0.1-169.254.255.254.

Защита инфраструктуры DHCP В сети всегда есть опасность создания неавторизованных DHCP-серверов по невнима­ тельности пользователей. Получив от такого сервера неверную IP-конфигурацию, DHCPклиенты не смогут получать доступ к ресурсам сети. Предотвратить случайное создание неавторизованных DHCP-серверов в сети на основе Windows Server 2003 при использо­ вании службы DHCP, интегрированной с Active Directory, можно при помощи объекта DHCP в Active Directory. Этот объект проверяет все DHCP-серверы и не разрешает им назначать DHCP-клиентам никакие параметры, пока они не пройдут проверку.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какой сервер ответит предложением IP-адреса DHCP-клиенту, если в данном сег­ менте сети имеется несколько DHCP-серверов? 2. Какие параметры DHCP позволяют назначить адреса основного шлюза и DNS-cepвера DHCP-клиенту? 3. Вы администратор сети с Windows Server 2003, во всех подсетях которой внедрен DHCP. Вам звонит пользователь и утверждает, что у него нет связи ни с одним из ресурсов сети. Команда ipconfig / a l l , выполненная на рабочей станции пользова­ теля, дала следующий результат: IP Address: 169.254.112.14 Subnet Mask: 255.255.0.0 Default Gateway:

Назовите возможную причину потери связи.

Занятое

Разработка стратегии DHCP

Резюме в

• •

Протокол DHCP реализован как служба Windows Server 2003. DHCP-сервером на­ зывается любой сервер, на котором работает служба DHCP. DHCP назначает IPадреса и другие параметры TCP/IP, такие как IP-адреса WINS-, DNS-серверов и основного шлюза, а также маску подсети DHCP-клиентам. Область — это диапазон IP-адресов, допустимых для назначения DHCP-клиентам. Каждому DHCP-серверу требуется, по крайней мере, одна область. В маршрутизируемой сети DHCP-сервер не сможет назначать IP-адреса клиентам, расположенным за маршрутизатором, если тот не совместим со стандартом DHCP/ ВООТР (RFC 1542). В этом случае необходимо настроить рабочую станцию в уда­ ленном сегменте как агент DHCP-ретрансляции.

Занятие 4. Разработка стратегии DHCP Чтобы разработать стратегию DHCP, следует знать, сколько хостов планируется объ­ единить в сети и сколько будет подсетей, в которых предполагается внедрить DHCP. Размещение DHCP-серверов выбирается с учетом местоположения маршрутизаторов и скоростей передачи в сегментах конкретной сети. Изучив материал этого занятия, вы сможете:

S •S S •/

спроектировать назначение IP-адресов через DHCP; описать способы интеграции DHCP и DNS; создать концептуальный план инфраструктуры DHCP; описать взаимодействие DHCP с различными типами клиентов. Продолжительность занятия — около 25 минут.

Проектирование схемы адресации DHCP Проектирование стратегий DHCP для немаршрутизируемой и маршрутизируемой сети, безусловно, отличается. В последнем случае необходимо грамотно разместить в сети агенты DHCP-ретрансляции либо использовать маршрутизаторы, совместимые с RFC1542/ ВООТР. Сколько потребуется DHCP-серверов?

Решите, сколько потребуется серверов для проекта инфраструктуры DHCP. В неболь­ ших сетях можно обойтись одним DHCP-сервером. В маршрутизируемой сети нужно учесть скорость каналов, связывающих подсети, особенно WAN-каналов, если они есть. Выбирать необходимое число DHCP-серверов следует на основании: • схемы маршрутизации; • конфигурации сети; • оборудования сервера.

264

Проектирование инфраструктуры сети и марщрутазацш

Глава 8

Размещение DHCP-серверов Если решено использовать в маршрутизируемой сети единственный DHCP-сервер, потребуется настроить агенты DHCP-ретрансляции для пересылки широковещатель­ ных пакетов через маршрутизаторы (такие агенты могут быть созданы на основе Windows NT Server, Windows 2000 Server или Windows Server 2003) или маршрутизаторы, поддер­ живающие протокол ВООТР. Также следует расположить DHCP-сервер на основе Windows Server 2003 в подсети, содержащей наибольшее число хостов. Подумайте о реализации этого варианта, если подсети связаны постоянным скоростными каналами, не удаленными соединениями с маршрутизацией по требованию.

Требования к серверу Необходимо убедиться, что оборудование единственного DHCP-сервера позволит ему справиться с нагрузкой. Ниже приводится конфигурация DHCP-сервера и сети, про­ тестированных Microsoft. В этой конфигурации сервер смог обслуживать тысячи кли­ ентов: • два 500-МГц процессора Intel x86 Family б Model 7 Stepping 3; • 256 Мб ОЗУ; • три 100-мегабитных сетевых платы Ethernet 802.3; • ОС Windows Server 2003 Enterprise Edition; • приблизительно 5 000 областей; • база данных DHCP размером 2 Гб; • несколько тысяч исключенных диапазонов, настроенных параметров и резервиро­ ваний; • сеть с шестью подсетями, из которых четыре отделены от подсети с DHCP-сервером маршрутизаторами, настроенными как агенты DHCP-ретрансляции. В течение 48 дней тестирования DHCP-клиенты не испытывали недостатка в об­ служивании со стороны DHCP-сервера. Результаты тестирования приводятся в табл. 8-8. Табл. 8-8. Результаты тестирования DHCP-сервера и объем сообщений, обработанных за 48 дней Тип DHCP-сообщений

Обработано

Назначение аренды Обнаружение сервера Предложение аренды Запрос аренды Подтверждение аренды Отсутствие подтверждения Отклонение аренды Освобождение аренды

68 412 059 20 039 592 20 039 253 57 559 426 57 470 934 484012 190 901 0

Из таблицы видно, что DHCP-сервер способен справиться с чрезвычайно большой нагрузкой. На практике БД DHCP очень редко достигают таких размеров, как в этом

Занэтяе 4

Разработка стратегий DHCP

2§5

примере (2 Гб), средний размер такой БД не превышает 10 Мб. Результаты этого тести­ рования будут полезны в качестве эталона при проектировании инфраструктуры DHCP. Рекомендуется устанавливать в сети несколько DHCP-серверов, также лучше со­ здавать отдельные DHCP-серверы в подсетях, подключенных через медленные WANканалы и линии коммутируемого доступа во избежание передачи DHCP-запросов по медленными линям связи. Если DHCP-серверов несколько, нагрузку по обслуживания клиентов можно распределить между ними. Это позволит сэкономить, отказавшись от покупки самого производительного оборудования. В общем, производительность DHCPсервера выше, если он оснащен: • несколькими процессорами; в быстрыми жесткими дисками; • несколькими сетевыми платами или одной, но быстрой. Повышение доступности DHCP-серверов: правило «80/20»» Чтобы повысить коэффициент доступности двух DHCP-серверов, расположенных в разных подсетях, можно распределить области между ними. Рекомендуется выделить 80% IP-адресов DHCP-серверу, расположенному в локальном сегменте, и 20% — DHCP-серверу в удаленном сегменте сети. При аварии DHCP-сервера, обслуживаю­ щего 80% IP-адресов, DHCP-клиенты смогут получать IP-адреса от удаленного DHCPсервера. Интеграция DNS При использовании Windows Server 2003 можно настроить динамические обновления DNS-сервера (если он их поддерживает). DHCP-сервер может регистрировать записи типа PTR и А от имени DHCP-клиентов, а также удалять эти записи по завершении аренды IP-адреса клиентом.

Поддержка различных DHCP-клиентов Если в сети имеются только клиенты под управлением ОС от Microsoft, их легко на­ строить в качестве DHCP-клиентов. Но что, если требуется автоматическая настройка IP-параметров в сети, где имеются клиенты под управлением других ОС? Возможности таких клиентов описаны в табл. 8-9. Табл. 8-9. Возможности DHCP-клиентов Тип клиента

Описание

DHCP клиенты под управлением ОС, отличной от Windows

Могут требовать поддержки дополнительных возможностей, а также не поддерживать расширения, предусмотренные производителем

Клиенты ВООТР

Каждый раз при запуске запрашивают IP-адрес, не поддерживают аренду IP-адресов

Клиенты, не поддерживающие DHCP

Адреса для этих клиентов настраивают только вручную

Проектирование инфраструктуры сети и маршрутизации

Глава 8

Лабораторная работа. Выработка стратегии DHCP В этой лабораторной работе вы спроектируете инфраструктуру DHCP для бразильского филиала Northwind Traders в Рио-де-Жанейро. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопровер­ ки—в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders планирует открыть офис в Рио-де-Жанейро. Новый офис будет занимать три этажа большого здания в центре города. Существующая сеть здания состоит из нескольких подсетей (см. схему ниже); все маршрутизаторы могут быть настроены для пересылки DHCP-запросов. ..-«•

Проксисервер

— Интернет i."'

Подсеть А 1

И5"

Подсеть В1

Брандмауэр-

4_^v_,-'''

Подсеть А2

Маршрутизатор А2

Маршрутизатор А 1

Маршрутизатор A3 Подсеть A3

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Сколько DHCP-серверов потребуется (без учета требований отказоустойчивости)? Обоснуйте свой ответ. 2. Сколько агентов DHCP-ретрансляции потребуется (без учета требований отказоус­ тойчивости)? Обоснуйте свой ответ. 3. Каково минимальное число областей DHCP для данного числа подсетей? Обоснуйте свой ответ. 4. Администрация хочет сэкономить на обслуживании маршрутизаторов, удалив их из сети. Как спроектировать сеть без маршрутизаторов с учетом требований избыточ­ ности?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Пример из практики

26"

1. Вы проектируете стратегию DHCP для небольшой сети из трех подсетей (А, В и С), подключенных к одному RFC-154-совестимому маршрутизатору. DHCP-сервер рас­ полагается в самой большой подсети В, содержащей большинство DHCP-клиентов, в других подсетях DHCP-серверы отсутствуют. Сколько агентов DHCP-ретрансляции потребуется, чтобы все рабочие станции смогли получать IP-адреса от DHCPсервера? 2. Что нужно принять во внимание, если используется единственный DHCP-сервер в маршрутизируемой сети? 3. Перечислите три фактора, которые нужно учитывать при выборе компьютера для размещения службы DHCP.

Резюме •

При проектировании стратегии DHCP, нужно знать, сколько хостов будет в сети, сколько планируется создать подсетей, обслуживаемых DHCP-сервером, а также размещение маршрутизаторов и скорость всех каналов, связывающих сегменты сети. • Если решено использовать в маршрутизируемой сети единственный DHCP-сервер, потребуется настроить агенты DHCP-ретрансляции (такие агенты могут быть со­ зданы на основе Windows NT Server, Windows 2000 Server или Windows Server 2003) или маршрутизаторы, поддерживающие протокол ВООТР. в DHCP-сервер может регистрировать записи типа PTR и А от имени DHCP-клиен­ тов, а также удалять эти записи по завершении аренды IP-адреса клиентом. «в Чтобы повысить коэффициент доступности двух DHCP-серверов, расположенных в разных подсетях, можно распределить области между ними. Рекомендуется выде­ лить 80% IP-адресов DHCP-ссрвсру, расположенному в локальном сегменте, и 20% — DHCP-серверу в удаленном сегменте сети.

Ц Пример из практики Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вам поручено спроектировать схему IP-адресации для крупной компании, занятой ис­ следованиями в области маркетинга. Эта компания только что заключила с одним из крупнейших операторов сотовой связи в США контракт на 15 миллионов долларов и приобрела новые компьютеры: рабочие станции под управлением Windows XP Profes­ sional и серверы с Windows Server 2003.

Краткие сведения о компании Офисы компании Trey Research располагаются в Чикаго, Майами и Нью-Йорке. Ком­ пания предлагает своим клиентам доступ к крупнейшим хранилищам данных, в кото­ рых собрана информация о потребительских предпочтениях более чем 200 миллионов человек во всем мире.

10 Зак. 312

Проектирование инфраструктуры сети и маршрутизации

Глава 8

Сетевая инфраструктура Джек Моран, руководитель ИТ-отдела компании Trey Research предоставил вам схему сети компании (см. рис. ниже). От вас требуется соединить всеми офисы компании корпоративную частную сеть. В нью-йоркском офисе установлено несколько Web-сер­ веров и три сервера Microsoft Exchange 2003. Руководитель хочет, чтобы эти серверы были доступны пользователям из Интернета, но конкретные вопросы зашиты серверов его не интересуют.

} Интернет

Недавно Джек прочитал статью в компьютерном журнале, в которой говорится, что в сети с сотнями рабочих станций велика вероятность потери данных и перегрузки широковещательным трафиком. Поэтому он хочет, что спроектированная вами схема IP-адресации предусматривала не более 300 узлов в одной подсети. Планы на будущее Компания рассматривает возможность покупки недвижимости в Лос-Анжелесе, где в течение года планируется открыть несколько филиалов, в которых будет более чем 3000 рабочих станций.

Вопросы Исходя из данного сценария, ответьте на следующие вопросы. 1. Какой класс частных IP-адресов подойдет для этой сети? Сколько подсетей потре­ буется в чикагских филиалах? 2. Как спроектировать сеть, чтобы предоставить внешним пользователям доступ к Webсерверу, сведя к минимуму риск взлома внутренней сети компании? 3. Какие компоненты позволят защитить периметр и внутреннюю сеть компании?

Резюме главы Протокол TCP/IP обязателен для Windows Server 2003. IP-адресация — это важный аспект TCP/IP, в необходимо хорошо разбираться. У всех рабочих станций, принте­ ров, серверов и других хостов должны быть уникальные IP-адреса. IP-адрес состоит из четырех байтов, называемыми октетами, которые представляют идентификаторы сети и хоста, соответственно. По десятичному значению первого октета можно определить класс IP-адрес. В сети с адресом класса А может быть максимальное число хостов, а адреса класса С обеспечивают максимальное число подсетей.

Резюме главы •

•

•

• •

в

в

• •

в

в

в в

2§;

Классам адресов А, В, и С по умолчанию соответствуют маски подсети 255.0.0.0, 255.255.0.0 и 255.255.255.0, соответственно. Маска подсети используется для вычис­ ления идентификатора сети по IP-адресу. Выделение битов идентификатора хоста для создания идентификаторов подсетей называется разбиением сети на подсети. Число выделяемых битов определяется на основании необходимого числа подсетей и числа хостов в каждой подсети. Периметр — это небольшая сеть, которая разрешает доступ к своим ресурсам вне­ шним пользователям, но запрещает им доступ к внутренней сети. В периметре обыч­ но размещают Web- и почтовые серверы, доступные внешним пользователям. Брандмауэры с фильтрацией пакетов, SPI и брандмауэры прикладного уровня при­ меняются для защиты внутренней сети компании от доступа посторонних. В документации периметра должны быть имена и пароли для всех серверов, марш­ рутизаторов и других систем, а также описание сетевых компонентов, применяе­ мых для защиты внутренней сети, таких как брандмауэры, прокси и IDS. Докумен­ тацию следует хранить в надежно защищенном месте. Периметр всегда изолирован от внутренней сети компании, поэтому в документа­ ции должны быть IP-адреса сетевых интерфейсов, а также устройства, маски и диапазоны подсетей, используемые в периметре. Протокол DHCP реализован как служба Windows Server 2003. DHCP-сервером на­ зывается любой сервер, на котором работает служба DHCP. DHCP назначает IPадреса и другие параметры TCP/IP, такие как IP-адреса WINS-, DNS-серверов и основного шлюза, а также маску подсети DHCP-клиентам. Область — это диапазон IP-адресов, допустимых для назначения DHCP-клиентам. Каждому DHCP-серверу требуется, по крайней мере, одна область. В маршрутизируемой сети DHCP-сервер не сможет назначать IP-адреса клиентам, расположенным за маршрутизатором, если тот не совместим со стандартом DHCP/ ВООТР (RFC 1542). В этом случае необходимо настроить рабочую станцию в уда­ ленном сегменте как агент DHCP-ретрансляции. При проектировании стратегии DHCP, нужно знать, сколько хостов будет в сети, сколько планируется создать подсетей, обслуживаемых DHCP-сервером, а также размещение маршрутизаторов и скорость всех каналов, связывающих сегменты сети. Если решено использовать в маршрутизируемой сети единственный DHCP-сервер, потребуется настроить агенты DHCP-ретрансляции (такие агенты могут быть со­ зданы на основе Windows NT Server, Windows 2000 Server или Windows Server 2003) или маршрутизаторы, поддерживающие протокол ВООТР. DHCP-сервер может регистрировать записи типа PTR и А от имени DHCP-клиентов, а также удалять эти записи по завершении аренды IP-адреса клиентом. Чтобы повысить коэффициент доступности двух DHCP-серверов, расположенных в разных подсетях, можно распределить области между ними. Рекомендуется вы­ делить 80% IP-адресов DHCP-серверу, расположенному в локальном сегменте, и 20% — DHCP-серверу в удаленном сегменте сети. При аварии DHCP-сервера, обслуживающего 80% IP-адресов, DHCP-клиенты смогут получать IP-адреса от удаленного DHCP-сервера.

270

Проекгароеанйв инфраструктуры

С£

™ и маршрутизации

Глава 8

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Протокол TCP/IP — неотъемлемая часть Windows Server 2003. IP-адресация — это важный аспект TCP/IP, в необходимо хорошо разбираться. У всех рабочих станций, принтеров, серверов и других хостов должны быть уникальные IP-адреса. я Периметр — это небольшая сеть, которая разрешает доступ к своим ресурсам вне­ шним пользователям, но запрещает им доступ к внутренней сети. В периметре обыч­ но размещают Web- и почтовые серверы, доступные внешним пользователям. Важ­ но хорошо документировать периметр, чтобы все имена, пароли и параметры IPподсетей были доступны ответственным за обслуживание и поддержку системы. * DHCP назначает IP-адреса и другие параметры TCP/IP, такие как IP-адреса WINSDNS-серверов и основного шлюза, а также маску подсети DHCP-клиентам. Об­ ласть — это диапазон IP-адресов, допустимых для назначения DHCP-клиентам. Каждому DHCP-серверу требуется, по крайней мере, одна область. в Если решено использовать в маршрутизируемой сети единственный DHCP-сервер, потребуется настроить агенты DHCP-ретрансляции (такие агенты могут быть со­ зданы на основе Windows NT Server, Windows 2000 Server или Windows Server 2003) или маршрутизаторы, поддерживающие протокол ВООТР. DHCP-сервер может ре­ гистрировать записи типа PTR и А от имени DHCP-клиентов, а также удалять эти записи по завершении аренды IP-адреса клиентом.

Основные термины Создание подсетей ~ Subnetting — выделение битов идентификатора хоста из IP-адреса для создания идентификаторов подсетей. Периметр ~ Perimeter network — небольшой сегмент сети, в котором находятся серверы, доступные внешним пользователям; изолирован от внутренней сети брандмауэрами и системами обнаружения вторжений (Intrusion Detection Systems, IDS). Агент DHCP-ретрансляции ~ DHCP Relay Agent — программный компонент, передаю­ щий сообщения DHCP/BOOTP серверам DHCP, расположенным в других подсе­ тях. RFC-1542-совместимыми маршрутизаторами называются маршрутизаторы, спо­ собные выступать в роли агентов DHCP-ретрансляции. Правило 80/20 ~ 80/20 Rule — рекомендуемый метод, состоящий в распределении IPадресов области между DHCP-серверами в локальной и удаленной подсетях в соот­ ношении 80 : 20%.

Вопросы и ответы

271

у у Вопросы и ответы Занятие 1. Лабораторная работа 1. Каково минимальное число подсетей для каждого из зданий и для сети в целом? Правильный ответ: Здание А: 5 (6 + WAN); здание В: 7 (9 + WAN + Интернет); здание С: 1 (2 + WAN); здание D: 4 (5 + WAN). 2. Выберите верную маску подсети для хостов. a. /16. b. /19. c. /21. d. /24. Правильный ответ: d. 3. Каково максимально необходимое число частных IP-адресов? a. 7. b. 1204. c. 2903. d. 4032. Правильный ответ: с (2903 частных адресов, распределенных следующим образом: зда­ ние А — 808; здание В — 1311; здание С — 129; здание D — 655). 4. Какое минимально необходимое число общих IP-адресов? a. 1. b. 2. c. 2903. d 4032. Правильный ответ: а. 5. Каково максимально возможно число хостов в сети обеспечивает маска подсети, выбранная для проекта? a. 254. b. 1022. c. 6398. d. 65 534. Правильный ответ: а. 6. Руководство предложило выбрать новый частных адрес. Выберите из следующего списка все частные IP-адреса, подходящие для проекта. a. 10.0.0.0/8 b. 230.120.0.0/16 c. 69.254.0.0/16 d. 192.168.0.0/16 Правильные ответы: a n d .

272

Проектирование инфраструктуры сета и маршрутизации

Глава 8

Занятие 1. Закрепление материала 1. Перечислите пять классов адресов. Чему равны их первые октеты? Какие частные IP-адреса доступны для использования во внутренней сети компании? Правильный ответ: А (1-126), В (128-191), С (192-223), D (224-239) и Е (240-255). Частные IP-адреса: 10.0.0.1-10.255.255.254, 172.16.0.1-172.31.255.254 и 192.168.0.1192.168.255.254. 2. В сети компании находится более 15 000 рабочих станций, распределенных по не­ скольким городам на Среднем Западе. Вас как администратора сети попросили спроектировать стратегию IP-адресации, основанную на частных IP-адресах. Пос­ ле тщательного анализа оказалось, что потребуется 500—600 подсетей, до 350 хос­ тов в каждой подсети. Укажите диапазон частных IP-адресов и маску подсети для проекта. Правильный ответ: для начала исключим адреса класса С, так их не хватит даже без учета подсетей. Адрес класса С допускает максимум 254 хостов в сети, а если разбить сеть на подсети, это число сократиться до 126, 62, 30 и т. д. Адрес класса В без разде­ ления на подсети поддерживает более 65 000 хостов, так что рассмотрим его. Проблема возникает, поскольку требуется 500—600 подсетей, а маска подсети по умолчанию для адреса класса В — 255.255.0.0. Для создания 600 подсетей потребуется отвести более 8 битов (28 = 256), что затронет четвертый октет, а по условию все 8 битов последнего октета нужны для создания 250 адресов хостов. Остаются только частные адреса класса А. Если использовать идентификатор сети 10.0.0.0 и маску подсети 255.255.192.0, можно создать до 1024 подсетей с более 16 000 хостов в каждой. При необходимости можно выделить больше битов третьего октета на создание дополнительных подсетей за счет сокращения числа идентификаторов в каж­ дой подсети. Например, маска подсети 255.255.240.0 позволит создать более 4000 под­ сетей с приблизительно 4000 хостами в каждой, а маска 255.255.248.0 — до 8000 подсе­ тей с 2000 хостами. 3. Вы администратор сети на основе Windows Server 2003. Вам позвонил пользователь и сообщил, что не может подключиться к SQL Server, расположенному в другой под­ сети. Команда ipconfig, выполненная на рабочей станции пользователя дала следу­ ющий результат: IP Address: 192.168.8.142 Subnet Mask: 255,255.255.128 Default Gateway: 192.168.8.1 В чем возможная причина проблемы? Правильный ответ: прежде всего нужно определить класс адреса рабочей станции (С в данном случае). Так как предпоследний октет не равен нулю, из этого следует, что в этой сети существуют подсети. За счет одного бита из четвертого октета создаются две подсети с размером блока 128. В первой подсети находятся идентификаторы хостов начиная с 1 (ноль как идентификатор хоста запрещен) по 126 (127 также запрещен, так как дает все единицы). Следующая подсеть начинается с адреса 192.168.8.128 и вклю­ чает идентификаторы хостов с 129 по 254. Видно, что IP-адреса рабочей станции и основного шлюза находятся в разных подсетях. То есть, либо IP-адрес, либо маска подсети, либо основной шлюз указан с ошибкой. Проще всего проверить это, открыв параметры TCP/IP на других рабочих станциях из той же подсети, если и у них задан адрес основного шлюза 192.168.8.1, то скорее всего, ошибка в IP-адресе.

Вопросы й ответы

273

Занятие 2. Закрепление материала 1. Вы администратор большой сети на основе Windows Server 2003. Вас попросили помочь Web-дизайнеру компании в размещении на корпоративном Web-сайте раз­ дела о вакансиях. Web-сервер находится в одном сегменте с сервером БД, храня­ щим конфиденциальную медицинскую информацию о сотрудниках. Руководитель ИТ-отдела требует, чтобы вы свели к минимуму угрозу конфиденциальности БД. Как реализовать Web-сервер, чтобы внешние пользователи беспрепятственно обра­ щались к нему, но не могли получить доступ к серверу БД? Правильный ответ: Web-сервер следует разместить в периметре и изолировать от внут­ ренней сети компании. 2. Какие компоненты сети можно использовать для предупреждения об атаках сервера базы данных? Правильный ответ: IDS предупредят о возможной атаке или вторжении в сеть. ISA Server способен выполнять функции брандмауэра и IDS (с некоторыми ограничениями). 3. Вы закончили проектировать периметр корпоративной сети и собираетесь присту­ пить к его документированию для облегчения сопровождения и поддержки. Что вы включите в документацию? Правильный ответ: по крайней мере, следует описать все оборудование (маршрутизато­ ры, брандмауэры и IDS). Для каждого из брандмауэров нужно указать тип (прокси, SPI и т. д.), производителя, модель, а также все имена и пароли, необходимые для доступа к системе. Это справедливо для всех устройств и серверов сети компании.

Занятие 3. Закрепление материала 1. Какой сервер ответит предложением IP-адреса DHCP-клиенту, если в данном сег­ менте сети имеется несколько DHCP-серверов? Правильный ответ: все. Все DHCP-серверы получат пакет широковещательной рассыл­ ки, DCHP-клиент выберет ответит серверу, чей отклик он получит первым, а остальные DHCP-серверы отзовут свои предложения. 2. Какие параметры DHCP позволяют назначить адреса основного шлюза и DNS-cepвера DHCP-клиенту? Правильный ответ: параметры 003 Router и 006 DNS Servers настраивают IP-адреса основного шлюза и DNS-сервера. 3. Вы администратор сети с Windows Server 2003, во всех подсетях которой внедрен DHCP. Вам звонит пользователь и утверждает, что у него нет связи ни с одним из ресурсов сети. Команда ipconfig / a l l , выполненная на рабочей станции пользова­ теля, дала следующий результат: IP Address: 169.254.112.14 Subnet Mask: 255.255.0.0 Default Gateway: Назовите возможную причину потери связи. Правильный ответ: так как в этой сети реализован DHCP, то IP-адрес 169.254.х.х указывает, что служба DHCP была недоступна в момент запуска компьютера и IPадрес клиенту назначен механизмом APIPA.

!

74

Проектирование инфраструктуры еета и маршрутизации

Глава

Занятие 4. Лабораторная работа 1. Сколько DHCP-серверов потребуется (без учета требований отказоустойчивости)? Обоснуйте свой ответ. Правильный ответ: только один, так как один DHCP сервер сможет обслуживать до 10 000 клиентских компьютеров. 2. Сколько агентов DHCP-ретрансляции потребуется (без учета требований отказо­ устойчивости)? Обоснуйте свой ответ. Правильный ответ: ни одного, поскольку все маршрутизаторы будут ретранслировать широковещательные сообщения DHCP. 3. Каково минимальное число областей DHCP для данного числа подсетей? Обоснуйте свой ответ. Правильный ответ: три области, по одной для каждой подсети, 4. Администрация хочет сэкономить на обслуживании маршрутизаторов, удалив их из сети. Как спроектировать сеть без маршрутизаторов с учетом требований избыточ­ ности? Правильный ответ: нужно установить второй прокси-сервер и установить в компьютеры прокси-серверов по четыре сетевых платы. Затем нужно соединить каждый прокси-сер­ вер со всеми подсетями и настроить резервный DHCP-сервер, как описано выше. Также нужно настроить два DHCP-сервера, несущих области для всех подсетей, распределив адреса каждой из областей согласно правилу «80/20». В завершение следует настроить несколько основных шлюзов для клиентов.

Занятие 4. Закрепление материала 1. Вы проектируете стратегию DHCP для небольшой сети из трех подсетей (А, В и С), подключенных к одному RFC-154-совестимому маршрутизатору. DHCP-сервер рас­ полагается в самой большой подсети В, содержащей большинство DHCP-клиентов, в других подсетях DHCP-серверы отсутствуют. Сколько агентов DHCP-ретрансля­ ции потребуется, чтобы все рабочие станции смогли получать IP-адреса от DHCPсервера? Правильный ответ: ни одного. Этот маршрутизатор является RFC-1542-совместимым (ВООТР совместимым), а значит, может быть настроен как агент DHCP-ретрансляции. 2. Что нужно принять во внимание, если используется единственный DHCP-сервера в маршрутизируемой сети? Правильный ответ: следует подумать об использовании агентов DHCP-ретрансляции в подсетях без DHCP-серверов либо применять RFC-1542-совместимые маршрутизаторы. Также нужно проверить, справится ли оборудование сервера с поддержкой имеющихся пользователей. 3. Перечислите три фактора, которые нужно учитывать при выборе компьютера для размещения службы DHCP. Правильный ответ: использование дополнительных процессоров, быстрых жестких дис­ ков и нескольких сетевых плат.

Вопросы и ответы

275

Пример из практики 1. Какой класс частных IP-адресов подойдет для этой сети? Сколько подсетей потре­ буется в чикагских филиалах? Правильный ответ: частные IP-адреса классов А и В позволяют создать требуемое чи­ сло подсетей и идентификаторов хостов. В Чикаго всего 1100 хостов, распределенных по четырем подсетям, примерно по 300 хостов в каждой. Напомним, что руководитель запретил помещать в подсеть более 300 хостов. Если использовать идентификатор сети 10.0.0.0/16, то можно создать 256 подсетей, по 65 000 хостов в каждой, а идентифика­ тор 10.0.0.0/24 позволит создать до 65 536 подсетей с 254 хостами в каждой. Частный адрес класса В 172.16.0.1/24 позволит создать 256 подсетей с 254 хостами в каждой, это достаточный запас на будущее. 2. Как спроектировать сеть, чтобы предоставить внешним пользователям доступ к Webсерверу, сведя к минимуму риск взлома внутренней сети компании? Правильный ответ: следует создать периметр и разместить в нем Web-сервер и почтовые серверы. 3. Какие компоненты позволят защитить периметр и внутреннюю сеть компании? Правильный ответ: можно поместить брандмауэры между Интернетом и периметром, а также между периметром и внутренней сетью. В этом случае взломщику придется преодолеть два брандмауэра, чтобы вторгнуться во внутреннюю сеть. Также можно было бы разместить IDS на границах периметра.

ГЛАВА

9

Проектирование подключения к Интернету

Занятие 1 . Определение требований к избыточности

277

Занятие 2. Определение требований к пропускной способности канала

280

Занятие 3. Преобразование сетевых адресов

284

Занятие 4. Проектирование стратегии NAT

288

Темы экзамена •

Проектирование подключения корпоративной сети к Интернету.

В этой главе Как говорилось в главе 8, многие компании выбирают для своей сети частные IP-адреса, чтобы сэкономить на приобретении общих IP-адресов. Применение частных IP-адре­ сов — эффективное и недорогое решение, но оно не дает пользователям прямого досту­ па к Интернету. В таких случаях для обеспечения связи с Интернетом нужно выпол­ нять преобразование частных IP-адресов в маршрутизируемые общие. В этой главе рассматривается технология преобразования частных IP-адресов в об­ щие IP-адреса, маршрутизируемые в Интернете. Вы узнаете, как функционирует пре­ образование сетевых адресов (Network Address Translation, NAT), и научитесь проектиро­ вать стратегию NAT.

Прежде всего Для изучения этой главы необходимо овладеть понятиями, описанными в главе 1.

Занятие 1

Определение требований к избыточности

277

Занятие 1. Определение требований к избыточности Подобно файловой системе и данным, избыточность которых обеспечивают при помо­ щи дисковых массивов RAID, сетевые подключения требуют защиты избыточностью. Единственный способ доступа к Интернету или к ресурсам сети является потенциаль­ ной проблемой, которая станет реальной, как только этот канал прервется. Изучив материал этого занятия, вы сможете:

•S описать различные типы каналов связи, обеспечивающие избыточность; •S определить доступные типы подключений. Продолжительность занятия — около 20 минут.

Создание избыточной инфраструктуры Проектируя доступ в Интернет для компании, следует обдумать создание нескольких каналов связи, особенно если доступ необходим для ведения дела. Однако, как не стоит тратить на защиту данных больше, чем стоят они сами, так и стоимость избы­ точности не должна быть больше убытков от простоя при невозможности подключения к Интернету. Может быть, лучше подождать несколько часов, пока интернет-провайдер не вос­ становит DNS-сервер, или это чревато для компании неприемлемыми финансовыми потерями? Может ли компания лишиться связи с Интернетом, не понеся при этом значительных денежных потерь? Для организаций, ежеминутно заключающих в Интернете тысячи сделок, например для инвестиционных или торговых компаний, избыточность системы необходима. Кро­ ме того, помимо избыточности сетевой инфраструктуры желательна избыточность элек­ тропитания. Правительственным организациям могут потребоваться автономные гене­ раторы на случай отключения или перебоев подачи электроэнергии. Перед включением избыточности в проект подключения к Интернету задайте себе следующие вопросы. • Необходима ли избыточность? Если для ведения дел компании не требуется доступ к Интернету, можно найти другие приложения денежным средствам. Может быть, компании лучше приобрести дополнительные дисковые системы или компьютеры, а не резервные каналы связи или маршрутизаторы? в Какова допустимая длительность отключения? Как долго компания сможет обходить­ ся без связи с Интернетом? Пять секунд (минут, часов)? Это важный вопрос, кото­ рый должен быть задан руководству, и не следует откладывать его до тех пор, пока связь с Интернетом действительно не оборвется, потому что может быть уже поздно. Для биржевых компаний с Уолл-стрит разрыв связи более чем на полторы секунды недопустим, тогда как компания по продаже цветов может позволить себе потерю связи на несколько часов без особых убытков или вообще без них. • Какова цена отключения? Очень важно определить размер ущерба от потери связи с Интернетом. Какую сумму компания теряет за каждую минуту, когда удаленные пользователи или служащие компании не имеют доступа к Интернету? Этот пара­ метр порой сложно выразить количественно, особенно, если компания не занимает-

Проектирование подключения к Интернету

•

•

•

• .

Глава 9

ся интернет-торговлей. В противном случае следует знать как минимум средний объем продаж за день. Конечно, следует учесть не только фактическую, но и упу­ щенную прибыль. Повлечет ли отключение потерю клиентов? Несомненно, да. Например, если сайт компании будет недоступен несколько дней, весьма вероятно, что потенциальные клиенты удалят ведущую на него закладку. Большинство интернет-покупателей уй­ дут на другой сайт, если им придется ждать отображения Web-страницы дольше, чем несколько секунд. Ожидание восстановления связи в течение нескольких ми­ нут или часов может иметь катастрофические последствия для компании. Каким из внутренних служб требуется связь с Интернетом? Например, если удаленные пользователи получают доступ к внутренним ресурсам компании через VPN, отсут­ ствие связи может привести к остановке работы. Каковы издержки, связанные с отсутствием избыточности? Чтобы оценить потери на заработной плате удаленных работников, достаточно подсчитать их почасовую опла­ ту труда плюс стоимость соцпакета (медицинской страховки, отпускных, оплату больничных и т. д.). Сложнее подсчитать прибыль, упущенную из-за отключения. В любом случае следует с максимальной уверенностью убедиться в рентабельности дополнительного канала связи с Интернетом. Защищены ли существующие подключения избыточностью? Есть ли у удаленных пользователей, подключающихся к ресурсам компании через интернет (через VPN, подробнее — в главе 10), альтернативные способы доступа к ресурсам при обрыве связи с Интернетом? VPN-подключения используют Интернет как среду передачи данных. Удастся ли получить доступ к данным в отсутствие связи с ISP? Если ком­ пания использует канал Frame Relay, есть ли резервная линия на случай отказа этого канала? Часто у служащих есть доступ к Интернету дома. Наконец, если не работает электронная почта, можно просто позвонить!

Оценка поставщиков услуг Интернета Многие компании полностью полагаются на своих провайдеров в вопросах обеспече­ ния связи для всех своих пользователей. Часто для небольших компаний это един­ ственный способ обеспечить пользователям и клиентам доступ к ресурсам компании. Виртуальные частные сети (VPN) — рентабельный способ подключения как внешних, так и внутренних пользователей, но VPN еще не так широко распространены, а неиз­ вестность отпугивает. Надеяться на бесперебойную работу ISP слишком рискованно для компании, заня­ той электронной коммерцией. ISP часто появляются, как и любые интернет-компании, и некоторые из них так же быстро исчезают. Поэтому, проектируя подключение к Ин­ тернету, следует выработать стратегию выбора ISP. Перед выбором поставщика услуг связи для создания VPN или доступа в Интернет выясните следующее. • По каким каналам ISP сам получает доступ? • Предоставляет ли ISP какие-либо гарантии относительно уровня обслуживания (на­ пример, 99% времени безотказной связи)? Как рассчитывается это время? Как ком­ пенсируется несоответствие заявленному уровню обслуживания? • Предлагает ли ISP какие-либо средства защиты, например системы обнаружения вторжений или брандмауэры? Одни компании предлагают только VPN на основе РРТР, а другие — IPSec-туннели на основе L2TP с более стойким шифрованием.

Занятие 1

Определение требований к избыточности

•

Как ISP или поставщик решения для мониторинга отслеживает использование ре­ сурсов? Предоставляются ли ежедневные или еженедельные отчеты по использова­ нию канала связи или сетевых ресурсов? • Сколько компаний обслуживают канал доступа в Интернет? Например, одна ком­ пания может отвечать за состояние физической линии связи (Т1), а другая — за подключение к Интернету. Если этих компаний несколько, как они взаимодей­ ствуют? Если у них возникнут разногласия, среди пострадавших может оказаться и ваша компания. В некоторых случаях одна компания отвечает и за аппаратуру канала, и за кабельное соединение, и за подключение к Интернету. Поставщики предлагают разные способы подключения: через коммутируемые ли­ нии, через выделенные линии и доступ с коммутацией пакетов. Подключения через коммутируемые линии включают: я модемы, максимальная скорость 56 Кбит/с; • цифровую сеть интегрированных услуг (Integrated Services Digital Network, ISDN) скорость от 64 Кбит/с до 2,048 Мбит/с. Разновидности выделенных линий включают: • цифровую абонентскую линию (Digital Subscriber Line, DSL), которая может быть как синхронной, так и асинхронной. Асинхронные линии имеют более высокую скорость, варьирующуюся от 144 Кбит/с до 1,544 Мбит/с и даже выше; в цифровые линии T-carrier, доступные в Северной Америке, созданные комбиниро­ ванием нескольких каналов со скоростью 64 Кбит/с. Линия Т-1 состоит из 24 кана­ лов со скоростью 64 Кбит/с, с общей скоростью 1,544 Мбит/с. Линия Т-2 имеет скорость 6,312 Мбит/с, Т-3 — 44,736 Мбит/с, а Т-4 — 274,176 Мбит/с. Провайдер также может продавать канал Т-1 «частями» (fractional Т-1), кратными 64 Кбит/с; • линии E-carrier, доступные в Европе, также создаются из нескольких каналов со скоростью 64 Кбит/с. Линии fractional E-1 аналогичны Т-1, за исключением скоро­ сти — 2,048 Мбит/с. Линии Е-2 имеют скорость 8,448 Мбит/с. Подключения с коммутацией пакетов бывают следующих видов: • протокол Х.25, спроектированный для использования с ненадежными аналоговыми телефонными линиями. Скорость варьируется от 9600 бит/с до 1,544 Мбит/с и выше; • соединения с ретрансляцией кадров (Frame Relay) со скоростью от 56 Кбит/с до 1,544 Мбит/с; • линии с асинхронной передачей данных (Asynchronous Transfer Mode, ATM), обес­ печивающие скорость 25—622 Мбит/с; • виртуальные частные сети (VPN), которые создаются на основе маршрутизируемого соединения между двумя частными сетями. Обычно ISP поддерживают не все эти технологии, так что важно выбрать решение, удовлетворяющее потребностям вашей компании.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы администратор средней компании, которая только начала использовать Интер­ нет для продажи рыболовных блесен. Большинство товаров указано в каталогах, которые рассылаются покупателям, приобретающим рыболовные снасти в магази-

280

Проецирование подключения к Интернету

Глава 9

нах в разных частях США. Для подключения к Интернету используется DSL и NAT. Вы узнали, что следует обеспечить избыточность каналов связи с Интернетом, а в сети должен быть резервный сервер. Что необходимо предпринять до реализации избыточности в сети? 2. Вы администратор сети небольшой компании, занятой разработкой ПО, 95% сделок заключающей в Интернете. Проект сети включает маршрутизатор, коммутатор, сер­ вер доступа к сети (Network Access Server, NAS), настроенный как NAT-сервер, два сервера под управлением Windows Server 2003 Standard Edition и 32 рабочих станции под управлением Windows XP Professional. Служащие подключаются к Интернету через NAT и DSL. Укажите компоненты сети, выход из строя которых может нару­ шить работу компании. 3. Вы администратор сети небольшого агентства недвижимости, которому нужно вы­ брать ISP для реализации сетевых служб. Планируется также применение VPN. По каким критериям вы будете выбирать ISP?

Резюме •

При проектировании системы, обеспечивающей доступ к Интернету, следует поду­ мать об установке резервных каналов связи, особенно, если доступ в Интернет не­ обходим для ведения дел. Полагаться на бесперебойную работу ISP в электронной коммерции слишком рискованно. • Перед включением избыточности в проект подключения убедиться в его необходи­ мости. Если для работы компании не требуется доступ к Интернету, лучше вложить средства в другие проекты. ш Необходимо определить потенциальный ущерб при отключении. Какую сумму ком­ пания потеряет за каждую минуту, когда удаленные пользователи или служащие компании не получат доступ к Интернету? • При проектировании избыточности нужно выявить слабые места — компоненты, выход из строя которых вызовет остановку всей сети, поскольку без них работа пользователей невозможна. Например, что будет, если сервер удаленного доступа выйдет из строя? • Перед выбором ISP для реализации VPN или доступа в Интернет следует выяснить, надежность собственных каналов связи этого поставщика, его финансовую ста­ бильность и наличие гарантий относительно уровня обслуживания. Узнайте также, предлагает ли поставщик какие-либо средства защиты, например системы обнару­ жения вторжений или брандмауэры, предоставляет ли ежедневные или еженедель­ ные отчеты об использовании канала связи. Это поможет спланировать систему доступа в Интернет с учетом дальнейшего роста вашей компании.

Занятие 2. Определение требований к пропускной способности канала Процессоры становятся все быстрее и быстрее. Закон Мура, в 1965 г. предсказавший экспоненциальный рост тактовой частоты процессоров, в следующие 20 лет реализо­ вался с точностью до мегагерц. Феноменально возросли и характеристики памяти, ко­ торую нельзя назвать узким местом современных высоких технологий. По-видимому,

Занятие 2

Определение требований к пропускной способности канала

основные проблемы связаны с пропускной способностью каналов связи — ее всегда не хватает. В этом занятии рассматривается пропускная способность каналов связи и ее влияние на эффективность доступа в Интернет. Изучив материал этого занятия, вы сможете:

•S определить потребности сети в пропускной способности; •S описать потребности в пропускной способности канал различных компьютерных технологий. Продолжительность занятия — около 20 минут.

Потребности в пропускной способности Спроектировав избыточность, нужно убедиться в том, что доступная пропускная спо­ собность удовлетворяет нужды компании. Если серверов и каналов связи достаточно, но не хватает пропускной способности для передачи данных, сетевую инфраструктуру нельзя считать грамотно спроектированной. Ниже приводятся рекомендации, которые помогут вам справиться с возможными проблемами.

Потребности дополнительных служб в пропускной способности Было бы хорошо, если бы пропускная способность использовалась только ключевыми службами. Фактически же скорее всего придется разделять доступную пропускную способность с другими службами. Например, вполне возможно, что электронная почта будет передаваться по каналу, связывающему разные сегменты сети. В зависимости от типа почтовых сообщений загруженность канала может варьироваться. Одна из самых значительных статей расхода пропускной способности — просмотр Web-страниц, так что при нехватке пропускной способности можно ограничить использование Web. Клиенты Outlook в среднем расходуют 13—25 Мб трафика ежедневно. Если умно­ жить эти цифры на 100 пользователей и учесть восьмичасовой рабочий день, получит­ ся, что по каналу связи проходит приблизительно 2 миллиарда бит данных в час, или 500 000 бит в секунду. Если для подключения к почтовому серверу используется линия Т-1, то лишь почтовый трафик займет более 30% канала. Нетрудно понять, как важно провести исчерпывающий анализ трафика, который пойдет через каналы связи. Необходимо учесть и издержки на передачу служебных данных Ethernet. Если указана скорость канала 10 Мбит/с, не факт, что удастся пере­ давать 10 Мбит данных в секунду. Фактически, из-за присущих Ethernet помех и кол­ лизий в некоммутируемых сетях может теряться до 40% пропускной способности. В результате большинство специалистов по сетям исходят из цифры 6 Мбит/с. Анало­ гично, заявленная скорость подключения к Интернету — это скорее теоретический предел чем практическая характеристика. Действительная пропускная способность бу­ дет ниже (хотя разница зависит от типа подключения), поэтому при определении требо­ ваний к пропускной способности канала связи для сетевой инфраструктуры ответьте на следующие вопросы. • Будет ли электронная почта передаваться через этот канал? Как было сказано выше, она способна занимать значительную часть пропускной способности, что нужно ' учесть при определении доступной пропускной способности.

282

Проектирование подключения к Интернету

Tnasa 9

•

Будет ли через этот канал проходить DHCP- и DNS-трафик? Если да, постарайтесь разместить эти службы на одном сервере. • Будет ли этот канал использоваться для просмотра Web-страниц или других инте­ рактивных задач? Если в компании используются графические приложения или приложения, работающие с БД и требующие передачи больших объемов данных, они могут занимать значительную часть канала. В зависимости от нагрузки на сеть, создаваемой такими программами, производительность работы сети может сни­ жаться. • Будет ли этот канал использоваться для передачи голосового трафика (по техноло­ гии Voice over IP, VoIP)? VoIP дает возможность передавать по одной сети данные и голосовой трафик, что позволяет сэкономить на прокладке отдельных телефонных линий ценой роста трафика в компьютерной сети, который следует учитывать при определении доступной пропускной способности. Если вышеперечисленные службы занимают значительную часть канала связи, сле­ дует подумать о его наращивании. Стоит также установить дополнительные маршрути­ заторы, чтобы сохранить связь при сбое одного из маршрутизаторов.

Виртуальные частные сети Виртуальные частные сети (Virtual Private Networks, VPN) детально обсуждаются в гла­ ве 10, здесь же рассматриваются только потребности VPN в пропускной способности. При подсчете пропускной способности нужно знать число пользователей, которым по­ надобится доступ к сети. Также необходимо выяснить, будет ли применяться VPN толь­ ко для определенных транзакций либо для передачи всего трафика, в том числе не требующего дополнительной защиты. Если удаленным пользователям не требуется за­ щищать данные при передаче по сети, предоставьте им другую линию. Ответьте также на следующие вопросы. • Будут ли дополнительные службы использовать VPN? • Будет ли через VPN передаваться трафик VoIP, электронной почты или Web-серве­ ров? Если да, то какую часть канала он займет? Подобно авиакомпаниям, позволяющим бронировать больше билетов, чем имеется мест в самолетах, многие ISP продают больше услуг, чем позволяет пропускная способ­ ность их канала. Это следует учитывать, чтобы получить более реалистичные сведения о доступной пропускной способности. Продавая трафик в количестве, превышающем реальную пропускную способность, ISP рассчитывают на то, что не все клиенты пол­ ностью используют оплаченный ими трафик, как и авиакомпании рассчитывают на то, что некоторые клиенты не выкупают или сдают заказанные ими билеты.

Увеличение доступной пропускной способности Нужно честно признаться: легче сказать, что все проблемы с пропускной способностью легко решить заменой Т-1 на Т-3, чем сделать это, хотя бы потому, что стоимость такого решения может быть неприемлемой. Тем не менее, существуют способы опти­ мизации текущей инфраструктуры, позволяющие выжать максимум из имеющихся каналов. • Комбинирование сетевых служб. Размещение сетевых служб на одном сервере помо­ жет уменьшить трафик, предоставив в ваше распоряжение больше пропускной спо­ собности. Например, Web-серверу не нужно будет отправлять запросы проверки

Занятие 2

Определений требований к пропускной способности канала

подлинности контроллеру домена Active Directory через VPN, если они работают на одном сервере. Подумайте об этом, если ваши линии связи перегружены. • Анализ трафика. Какой трафик передается в часы пиковой нагрузки на сеть? Может быть, часть этого трафика удастся передать в другое время? Например, можно по­ просить служащих обмениваться данными в часы, когда загруженность канала свя­ зи минимальна. и Сжатие данных при передаче через WAN. При передаче через WAN данные можно сжимать и не пропускать в WAN-канал посторонний трафик, не связанный с рабо­ той Web-сайта (потоковые данные, трафик, генерируемый при обращении к общим ресурсам). Можно настроить маршрутизаторы для предоставления более высокого приоритета определенному типу трафика, например HTTP или Telnet, по сравне­ нию с другими, такими как SMTP и FTP.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы администратор сети крупного магазина одежды. Необходимо предоставить 100 служащим удаленный доступ к серверу БД цен в сети магазина. Командированные торговые представители будут использовать 56-килобитные модемные каналы, что­ бы для подключения через Интернет к серверу БД, на котором работает специаль­ ное Web-приложение. О чем нужно позаботиться перед реализацией проекта? 2. Вы сетевой администратор средней компании. Вам поступает множество звонков от пользователей с жалобами на медленную работу сети. Единственным изменением в инфраструктуре сети была недавняя установка цифровой АТС, основанной из-за стремления руководства сэкономить на VoIP. Почему новая АТС замедлила работу сети? 3. Важно ли при проектировании сетевой инфраструктуры учитывать совместное раз­ мещение служб на определенных компьютерах? Объясните свой ответ.

Резюме •

Подобно авиакомпаниям, позволяющим бронировать больше билетов, чем имеется мест в самолетах, многие ISP продают больше услуг, чем позволяет пропускная способность их канала. 1SP рассчитывают на то, что не все клиенты полностью используют оплаченный ими трафик, как и авиакомпании рассчитывают на то, что некоторые клиенты не выкупают или сдают заказанные ими билеты. и Скорее всего, доступная пропускная способность будет распределяться между раз­ личными сетевыми службами, поэтому необходим исчерпывающий анализ трафи­ ка, который планируется передавать по всем каналам связи. • Для расчета потребности VPN в пропускной способности важно знать число пользо­ вателей, которым потребуется доступ к сети, будет ли передаваться через VPN тра­ фик электронной почты, VoIP или Web-серверов, и какую часть канала займут эти службы. и Наблюдайте за передачей трафика в наиболее загруженные часы, и выясните, мож­ но ли передавать какие-либо из этих данных в другое время. Например, служащие могут передавать по сети данные в часы с наименьшей загрузкой канала связи.

Проектирование подключения к Интернету

Глава 9

Занятие 3. Преобразование сетевых адресов Необходимость доступа в Интернет для компании любого размера не вызывает сомне­ ния. Поэтому специалист по сетям должен уметь проектировать подключение сетевой инфраструктуры компании к Интернету. Преобразование сетевых адресов (Network Address Translation, NAT) — это протокол, позволяющий подключить частную сеть к Интернету. На этом занятии приводится обзор протокола NAT и стратегий его безопас­ ного применения для подключения к Интернету. Изучив материал этого занятия, вы сможете: •S понять и описать работу NAT; S описать ограничения NAT. Продолжительность занятия — около 20 минут.

Обзор NAT NAT позволяет небольшим компаниям, использующим схему адресации для частной сети, подключаться к ресурсам Интернета. Помните, что IP-адреса, приведенные в табл. 9-1, маршрутизируемы только в частных или корпоративных сетях, и не маршру­ тизируются в Интернете. Табл. 9-1. Адреса, применяемые в частных сетях Класс

Адрес частной сети/маска подсети

Диапазон IP-адресов

А

10.0.0.0/8

10.0.0.1-10.255.255.254

В

172.16.0.0/12

172.16.0.1-172.16.31.254

С

192.168.0.0/16

192.168.0.1-192.168.255.254

Если узлу сети или рабочей станции назначить такой IP-адрес, подключить его к Интернету будет невозможно. Компьютер с Windows Server 2003, на котором настроена служба .маршрутизации и удаленного доступа (Routing and Remote Access, RRAS) или Общий доступ к Интернету (Internet Connection Sharing, ICF), может работать как сервер NAT. ICF рекомендует­ ся применять только в небольших сетях, более крупные организации должны использо­ вать NAT и службу RRAS (см. рис. 9-1). NAT преобразует частные IP-адреса и связанные с ними номера портов TCP/UDP в общие IP-адреса и назначает каждому сеансу уникальный порт. Со всеми клиентами частной сети сопоставляется один общий IP-адрес, выданный Internet Network Informa­ tion Center (InterNIC) или ISP, и каждому клиенту назначается уникальный порт, сге­ нерированный сервером NAT. Это сопоставление позволяет серверу NAT отправлять пакеты нужной рабочей станции в частной сети. В занятии 4 рассматривается сопо­ ставление частным IP-адресам нескольких общих, а сейчас мы рассмотрим только сопоставление одного общего адреса. В табл. 9-2 показано содержимое таблицы сопоставлений на компьютере с Windows Server 2003.

Преобразование сетевых адресов лММ

t Маршрутизации и удаленный д

" m\$

Л _ Маршрутизация и удаленный дост\п \Ш Состояние сервера d it) COMPUTER! (локально) _&|_ Интерфейсы сети j§L Клиенты удаленного доступа (Oj

;--]|[ Порты

ЭДЭЗ/Ефййгьй йранйм&уф 1 бсФГО^МГЖЗ^. ^ П о д к л ю ч е н и е по локальной сети

Д^^бпеще*

О

^ П о д к л ю ч е н и е по локальной сети 2 - О

B - j f l . IP-маршрутизация • j | [ Общие •jg^ Статические маршруты j g ^ Агент ОНСР-ретранслчции

Е+ *Q Политика удаленного до т,п<з [+. и Л Ведение +^ри-зла удалснчот доступа

1L Рис. 9-1. Настройка NAT с помощью консоли Маршрутизация и удаленный доступ

Табл. 9-2.

Таблица сопоставления сеансов NAT

Значение

Описание

Протокол

Используемый для передачи пакетов протокол (TCP или UDP)

Направление Частный адрес

Входящий или исходящий трафик IP-адрес компьютера из внутренней сети

Частный порт

Номер частного порта, назначенного клиентскому сеансу

Общий адрес

Маршрутизируемый общий IP-адрес, выдается провайдером или InterNIC

Общий порт

Общий порт, назначенный сеансу

Удаленный адрес

Удаленный IP-адрес, к которому обращается клиент. Если клиент подключается к Web-сайту, это обычно IP-адрес DNS-сервера, обслуживающего клиентов внутренней сети

Удаленный порт

Номер порта, назначенного сеансу. Если подключение выполняется к удаленному DNS-серверу, будет использован порт 53

Время бездействия

Используется для отслеживания записей таблицы сопоставлений. Если в течении заданного времени через подключение не передавались данные, запись удаляется, при получении от клиента новых данных время бездействия сбрасывается

На рис. 9-2 показан сервер NAT в небольшой сети. Сервер NAT сопоставляет все частные IP-адреса общему IP-адресу 66.x. 130.77, доступному из Интернета. При этом происходит следующее.

286

Проектирование подключений к Интернету

Глава Э

1. Клиент пытается подключиться к общему IP-адресу из внутренней частной сети. 2. Клиентский стек IP генерирует пакет, в котором указаны IP-адрес назначения (адрес узла, к которому пытается подключиться клиент), исходный IP-адрес (192.168.8.2), порт назначения (TCP или UDP), а также исходный порт. 3. IP-адрес назначения не найден в локальной подсети, поэтому пакет отправляется в основной шлюз, которым является сервер NAT. 4. NAT преобразует исходный IP-адрес клиентского пакета в общий (внешний) IPадрес 66.x.130.77, сопоставляет исходный порт TCP или UDP, сохраняет эту инфор­ мацию в таблице сопоставлений и отправляет пакет в Интернет. 5. Компьютер — получатель пакета отвечает серверу NAT, который использует сведе­ ния таблицы сопоставлений для преобразования общего IP-адреса и номера внеш­ него порта в IP-заголовке в частный IP-адрес и внутренний порт клиента, которому предназначен отклик.

Рис. 9-2. Пересылка пакетов из частной сети в Интернет сервером NAT

Проблема нехватки IP-адресов Протокол NAT создан как временное решение проблемы нехватки IP-адресов для удов­ летворения множества запросов, поступающих в InterNIC. Когда-то IP-адресов было более чем достаточно, но в наши дни, когда к Интернету подключаются миллионы пользователей, возник дефицит IP-адресов. Так как большинство пользователей при­ меняют протокол IP версии 4 (IPv4), NAT остается одним из решений проблемы не­ хватки IP-адресов. Протокол IP версии 6 (IPv6), ранее известный как IPng (Internet Protocol Next Generation), позволит решить эту проблему, увеличив число доступных адресов с 4 миллиардов (в IPv4) до ундециллиона (математически подкованные сообразят, что это 1036). Формат адреса IPv6 отличается от привычного формата IPv4. Например, адрес IPv6 может выглядеть следующим образом: 1AB1:0:0:ABCD:DCBA:12 34:5678:9ABC К такому формату нужно будет привыкать, но зато отпадет необходимость примене­ ния NAT и других механизмов преобразования IP-адресов. Семейство ОС Windows Server 2003 поддерживает протокол IPv6, который можно установить открыв окно свойств любого подключения по локальной сети и щелкнув кнопку Установить (Install). Далее нужно выбрать Протокол (Protocol), щелкнуть кнопку Добавить (Add) и выбрать Microsoft TCP/IP версия 6 (Microsoft TCP/IP version 6).

Дополнительная защита NAT Хотя использовать NAT вместо брандмауэра не следует, NAT обеспечивает дополни­ тельную защиту, скрывая схему IP-адресации в частной сети от внешнего мира. На-

Занятий 3

Преобразование сетевых адресов

пример, в случае, показанном на рис 9-2, только пользователи внутренней сети будут знать о существовании подсети 192.168.0.0/24. Внешний пользователь, проанализиро­ вав заголовок IP-пакета из частной сети, увидит только общий IP-адрес сервера NAT, который ретранслирует из Интернета предназначенные пользователям пакеты на их компьютеры в частной сети. При этом пакеты, не имеющие соответствующего номера порта в таблице сопоставления сеансов, отбрасываются, что также усиливает защиту внутренней сети.

Ограничения NAT Версия NAT, реализованная в службе RRAS, поддерживает только протокол IP и не может преобразовывать адреса для следующих служб и протоколов: ш Simple Network Management Protocol (SNMP); м Lightweight Directory Access Protocol (LDAP); • Component Object Model (COM); я Distributed Component Object Model (DCOM); a Kerberos версии 5; • Remote Procedure Call (RFC). Поскольку служба каталогов Active Directory использует протокол Kerberos v5, кон­ троллеры доменов не могут выполнять репликацию через сервер NAT. Для приложе­ ний, не поддерживающих NAT, можно использовать прокси-сервер.

Редакторы МАТ В отличие от Windows 2000, NAT в Windows Server 2003 поддерживает VPN-подключе­ ния, использующие L2TP и IPSec. Однако, если приложение, такое как FTP-клиент, посылающий команду Port, хранит IP-адреса и сведения о портах в собственном заго­ ловке, потребуется редактор NAT. NAT в Windows Server 2003 включает редакторы для следующих протоколов: в FTP; ш ICMP; a Point-to-Point (исходящие пакеты); • Direct Play (исходящие пакеты); и регистрация в Интернете службы ILS (Internet Locator Service), основанной на LDAP.

Технология MAT Traversal Если сетевое приложение внедряет IP-адреса в собственные заголовки, вследствие чего они не поддаются преобразованию NAT, или требует использования входящих пакетов, не связанных с существующим подключением, возникают проблемы. Технология NAT Traversal (Передача через NAT) позволяет сетевым приложениям определить присут­ ствие сервера NAT в сегменте сети. Определив наличие NAT, приложение сможет настроить сопоставление портов и динамически открывать и закрывать необходимые порты без участия пользователя.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

288

Проектирование подключения к Интернету

Глава

1. Служащие, работающие на дому, интересуются, можно ли подключить несколько компьютеров к DSL-линии, которую они используют для доступа к Интернету. Что необходимо выяснить, перед тем как посоветовать применение NAT? 2. Вы настраиваете доступ к Интернету на клиентской рабочей станции с частным IPадресом и выбрали в качестве решения NAT. Все рабочие станции в данной подсети имеют статические IP-адреса. Как настроить подключение этой рабочей станции к серверу NAT, расположенному в той же подсети? 3. После внедрения в организации NAT пользователь сообщил, что он не может под­ ключиться к Интернету, но приложение, использующее БД, расположенную на сер­ вере под управлением NetWare 4.11, продолжает работать. Чем может быть вызвана эта проблема?

Резюме •

• •

•

Преобразование сетевых адресов (NAT) — это протокол, позволяющий подключить частную сеть к Интернету. На сервере NAT создается таблица, в которой хранятся все сопоставления внутренних IP-адресов портам и внешнему IP-адресу, назначен­ ного корпоративной сети. NAT разработан как временное решение проблемы нехватки IP-адресов у InterNIC. Сервер NAT пересылает пакеты от пользователей из Интернета на компьютеры частной корпоративной сети, отсеивая пакеты, не имеющего сопоставленного но­ мера порта в таблице сопоставлений. Технология NAT Traversal позволяет приложениям определять присутствие в сети сервера NAT, автоматически выполнять сопоставление портов и динамически от­ крывать и закрывать порты без участия пользователя.

Занятие 4. Проектирование стратегии NAT Это занятие поможет понять важность настройки и размещения сервера NAT, а также ответить на вопросы, возникающие при проектировании стратегии NAT. Здесь также рассматриваются вопросы защиты NAT. Изучив материал этого занятия, вы сможете:

•S создать концептуальный проект стратегии NAT; S определить настройки и расположение сервера NAT; •S обеспечить защиту NAT Продолжительность занятия — около 25 минут.

Создание концептуального проекта При проектировании стратегии NAT для сетевой инфраструктуры компании необходи­ мо решить: я соответствует ли NAT размерам компании и потребностям пользователей; • имеются ли в сети приложения или протоколы, не поддерживаемые NAT;

Занятае 4

Проектирование стратегий NAT

• •

каким интерфейсам будут назначены частные, а каким — общие IP-адреса; будет ли NAT использоваться для назначения IP-адресов и пересылки запросов DNS (то есть работать DHCP-распределителем и прокси DNS); в будут ли применяться фильтры для ограничения доступа к Интернету пользователей частной сети; • будет ли внешним пользователям разрешен доступ к ресурсам частной сети; в будут ли предусмотрены резервные каналы связи с Интернетом для обеспечения избыточности; я какие серверы станут серверами NAT, будет ли это их единственной функцией. NAT не всегда является лучшим способом подключения сети компании к Интерне­ ту. Поскольку NAT не поддерживает стандартные средства защиты, работающие на сетевом уровне, он рекомендуется только для небольших немарщрутизируемых сетей с невысокими требованиями к защите. Например, туннель L2TP/IPSec нельзя провести через сервер NAT, правда, существует надстройка IPSec, называемая IPSec NATTraversal (IPSec NAT-T), которая позволяет пакетам IPSec проходить через NAT. Кро­ ме того, NAT применяют только в сетях, использующих частные IP-адреса, если же пользователям сети назначены общие IP-адреса, NAT не требуется. Вместо использования статических частных IP-адресов или назначения IP-адресов посредством отдельного DHCP-сервера для назначения частных IP-адресов любым DHCP-клиентам можно применять NAT (рис. 9-3).

i ir-«fllse£a компьютерам частгйи с&нп&л

i

*

~'~-

f.>. - , : > ; - .

Рис. 9-3.

'.,. - .-г;

рзг ...1W. psr ffi

iPsV!--

v- ч,,А,

пемсц$и1рсгокелй&*:СЯ

и

™

— j

««.

j

Применение NAT для назначения адресов через DHCP

Можно также настроить все клиентские компьютеры на использование для разре­ шения имен функции прокси DNS, поддерживаемой NAT: при этом сервер NAT пере­ сылает клиентские запросы разрешения имен DNS-серверу частной сети или Интер­ нета (рис. 9-4).

Проектирование подключений к Интернету

CBowcfBar[SftT/npocToH%i^«^iajf^^^: \

^Преобразовав»

Глава 9

зя

Нй5нзч«*ие appstp? ft

йевтеет&^шдо именам к*?№Ьйтерда ЙЙИ. З^р^алЬсдвег

^

OK

[

Очкета

Рис. 9-4. NAT может работать как прокси DNS

Серверы NAT Сервер NAT не менее важен, чем сервер WINS или DHCP. При проектировании NAT среди прочего следует обдумать: в размещение сервера; в производительность сервера; • конфигурацию интерфейса сервера.

Размещение сервера Сервер NAT должен располагаться в частной сети и иметь две сетевых платы: на одной должен быть настроен внешний IP-адрес для подключения к Интернету, на другой — внутренний IP-адрес для связи с компьютерами внутренней (частной) сети.

Производительность сервера Для оптимальной производительности установите NAT на отдельном сервере, не вы­ полняющем никаких других функций. В этом случае другие приложения не будут зани­ мать ресурсы системы, замедляя тем самым ее работу, а их сбои не потребуют переза­ грузки сервера.

Конфигурация интерфейса сервера После разработки концептуального проекта подходит очередь настройки интерфейсов сервера NAT. Доступ к настройкам сетевых плат сервера NAT можно получить, щелк­ нув правой кнопкой мыши интерфейс сервера NAT в консоли Маршрутизация и удален­ ный доступ (Routing and Remote Access). На рис. 9-5 показан LAN-интерфейс, подклю­ ченный к частной сети.

Занятие 4

вдидвздаг:

Проектирование стратегии NAT

л-,

Рис. 9-5. Для настройки NAT нужно указать внутренний и внешний интерфейсы

Защита NAT Создав проект NAT, нужно определить, достаточно ли он защищен, или требуются до­ полнительные меры защиты. Как показано в занятии 3, NAT не является заменой бранд­ мауэра или прокси-сервера, хотя и предоставляет некоторые функции для дополни­ тельной защиты внутренней сети.

Фильтры входящего трафика Фильтры входящего трафика позволяют администратору ограничивать трафик на осно­ ве IP-адресов компьютеров, пытающихся получить доступ к внутренней сети. Напри­ мер, можно пропускать только трафик из определенной сети.

Фильтры исходящего трафика Фильтры исходящего трафика предназначены для ограничения трафика, отправляемо­ го в Интернет. Например, можно ограничить исходящий трафик компьютера с задан­ ным IP-адресом. Такие фильтры удобны для блокирования трафика, создаваемого оп­ ределенными приложениями, например службами мгновенного обмена сообщениями.

Доступ к ресурсам частной сети Иногда требуется предоставить внешним пользователям доступ к Web-серверам, распо­ ложенным в частной сети. Так как адреса частной сети не видны из Интернета, адми­ нистратор может сопоставить частным IP-адресам и портам внешние общие IP-адреса и порты, используя следующие функции. • Особые порты — это статические сопоставления общих IP-адресов и номеров портов частным IP-адресам и портам. Особые порты применяются для подключения пользо-

Проектирование подключения к Интерне

Глава

вателей из Интернета к ресурсам частной сети. Например, можно создать в частной сети Web-сервер, который будет доступен из Интернета. На рис. 9-6 показано диа­ логовое окно Службы и порты (Services And Ports), которое можно вызвать командой Свойства (Properties) из контекстного меню объекта, представляющего общий ин­ терфейс. При этом Web-серверу требуются статический IP-адрес, маска подсети, основной шлюз и IP-адрес DNS-сервера, выбранные из диапазона частных IP-ад­ ресов внутренней сети. Свойства; Подк л к й е н и Ш Ш Ш г Ш Щ Р МДт ^тидаъй бэ*дааздар j Пдв щремр

&«*&! н петы | jttoP j

Ингер-г*е* i la осчэз»данного Sbffrjpa бдазг соз&агы ис&ян^е^ыя аг& (5?3f iMfljB за

• FTF-сергер П Протокол Internet Mail Access Protocol, версия 3 (1МмРЗ) •

Протокол Internet Mail Access Protocol, версия 4IIMAP4)

П Почтовый сервер Интернета (SMTP) П IP-безопасность !1KE) Q IP безопасность [проспел ивание IKE NAT1 П Протокол Posf-Ofhce Protocol версия 3 [РОРЗ] П Дистанционное управление рабочим столом Г~1 Безопасный веб сервер IHTTPS] П Telnet -сервер

I

Рис. 9-6.

Отчина

j

$№&&$*

Внутренние службы могут быть доступны из Интернета

Пулы адресов — это диапазоны общих IP-адресов, которые выдал вашей компании ISP. Например, вместо единственного общего IP-адреса можно использовать для доступа в Интернет диапазон IP-адресов. Число адресов в диапазоне равно 2, возве­ денной в соответствующую степень; 2, 4, 8, 16 и т. д., поэтому можно записать диапазон, указав IP-адрес и маску подсети. Например, если имеется 8 общих IPадресов, 192.168.1.32-192.168.1.39, этот диапазон можно записать как 192.168.1.32 с маской подсети 255.255.255.248. Щелкнув кнопку Add (Добавить) на вкладке Пул адресов (Address Pool), показанной на рис. 9-7, можно ввести диапазон общих IPадресов, выданный ISP. Подготовка к экзамену Помните; NAT обеспечивает доступ извне к ресурсам частной сети при использовании особых портов и назначении ресурсам статических частных IP-адресов, маски подсети и адреса основного шлюза.

1анатие 4

Проектирование стратегии MAT

JJJSJ МАТ !*(-.риЗКЗЙ{Ь*-£ма<РО

r.i)4!S!!iMi|Cfi.lKf/s.'...r»P!,!! ЮяР \

3 * w f«ft aupeeis s-a3H5tae-;C4jT3CT3£uH->>-i-^t:4" ИЕТ^МЕТС,

|;ДоЯадъ. j

,;:••


I

tJTCfti?

j

ГЕ^^'^ТЬ

РИС. 9-7. NAT может использовать несколько общих IP-адресов

Не открывайте слишком много портов Как сказано в главе 8, периметр — это небольшой сегмент сети, доступный пользователям не только частной, но и внешней сети. Серверы, которые должны быть доступны из Интернета, для чего потребуется открыть те или иные порты, например почтовые или Web-серверы, следует размещать в сети периметра. Во­ обще, чем больше портов открыто для доступа извне, тем выше риск атаки. Брандмауэр, на котором открыто слишком много портов, даже опаснее полного отсутствия брандмауэра, так как создает ложное ощущение безопасности.

Лабораторная работа. Разработка стратегии NAT Сейчас вы создадите стратегию NAT для вымышленной компании. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders занимается производством сетевого оборудования, пред­ назначенного для наращивания возможностей корпоративных коммуникаций. В насто­ ящее время в сети компании используется модель доменов Windows NT 4.0 (модель с главным доменом). За последние годы компания значительно расширилась, в течение следующих трех лет также ожидается значительный рост, включая увеличение доли на рынке, роста доходов и числа служащих. Чтобы привести сеть компании в соответствие с текущими и будущими потребностям, руководство решило открыть два новых офиса и внедрить модель доменов Active Directory на основе Windows Server 2003.

Проектирование подключений к интернету В следующей таблице показано географическое расположение представительств компании, существующие в них отделы и число пользователей. Расположение

Имеющиеся отделы

Число пользователей

Париж

Основной офис Финансы Продажи Маркетинг

2000

Производство Исследования

Лос-Анджелес

Разработки ИТ Продажи

1000

Маркетинг Финансы Атланта

ИТ Обслуживание клиентов Техническая поддержка клиентов

750

Обучение Глазго, Шотландия

Сидней, Австралия

Исследования Разработки Долгосрочные проекты ИТ Консалтинг Производство Продажи Финансы

750

500

Вопросы по лабораторной работе 1. У представительства в Глазго имеются собственные имена доменов и общие IPадреса для каждого из отделов. Там хотят внедрить NAT. Как защитить NAT в Глазго? 2. В парижском офисе только что обновили серверы до Windows Server 2003, систему обмена сообщениями до Exchange Server 2000, а многие пользователи в качестве почтового клиента теперь используют Outlook 2003. Outlook 2003 подключается к почтовому серверу Exchange через RPC. Удаленным пользователям требуется до­ ступ к почте. Может ли NAT выполнять преобразование адресов для этой службы? Почему?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Пример из практики

1. Вы администратор небольшой частной компании, работающей с федеральным правительством. Необходимо предоставить пользователям возможность доступа че­ рез Интернет к конфиденциальным данным, хранящимся в частной сети, и при этом обеспечить их безопасность. Вы рассматриваете применение NAT как одно из решений этой задачи. Подходит ли NAT на эту роль? Объясните ответ. 2. В качестве администратора небольшой бухгалтерской фирмы вы должны внедрить систему, позволяющую нескольким пользователям работать в Интернете, используя единственный общий IP-адрес, выделенный ISP. Вы решили, что NAT будет отлич­ ным решением задачи. Как настроить сервер NAT, чтобы он обеспечивал доступ в Интернет и назначал IP-адреса 25 компьютерам работников компании? 3. Вы администратор небольшой компании, которому требуется предоставить пользо­ вателям доступ к Web-серверу компании из Интернета. Компьютеры сети компа­ нии используют частные IP-адреса и не видны из Интернета. Как решить постав­ ленную задачу?

Резюме •

Проектируя стратегию NAT, необходимо определить, соответствует ли NAT разме­ рам компании и потребностям пользователей. Выясните, поддерживает ли NAT име­ ющиеся в сети приложения и протоколы. я Размещение сервера, его производительность и конфигурация интерфейсов — важ­ ные составляющие проекта сети. Сервер, выполняющий функции NAT, должен рас­ полагаться в частной сети и иметь две сетевых платы. Для достижения оптимальной производительности отведите для NAT отдельный сервер, не выполняющий ника­ ких других функций. • Защиту NAT можно обеспечить установкой фильтров входящего и исходящего тра­ фика. Настроив особые порты и пулы адресов, можно предоставить доступ к ресур­ сам частной сети из Интернета.

Ц Пример из практики Компания Contoso, Ltd., занимающаяся разработкой ПО, имеет штат из 300 сотрудни­ ков и занимает большое офисное здание, расположенное в Вашингтоне (округ Колум­ бия). Недавно плату за аренду помещения значительно увеличили. Большая часть рабо­ ты по разработке ПО может выполняться удаленно, положительный опыт надомной работы у сотрудников имеется. Из-за повышения стоимости аренды компания решила закрыть главный офис с большими помещениями и паркингом, и перейти на удаленную работу. Дома у старших разработчиков будут по две рабочих станции с Windows XP Professional и сервер с Windows Server 2003, а у младших разработчиков — по одной рабочей станции с Windows ХР Professional, подключенной к Интернету.

География Руководство решило арендовать в разных частях Вашингтона 10 небольших офисов, в каждом из которых разместятся 20 рабочих станций под управлением Windows ХР Professional и один сервер с Windows Server 2003. Эти офисы будут центрами, откуда старшие разработчики будут координировать работу младших разработчиков и их под­ чиненных.

296

Проектирование подключения к Интернету

Глава 9

Сетевая инфраструктура Через новые офисы, подключенные к Интернету, в частную сеть должен проходить трафик только от ведущих инженеров. Рабочие станции будут подключаться к Интер­ нету через канал DSL, подключенный к серверу с Windows Server 2003. Рабочие компью­ теры младших разработчиков подключаются к Интернет)' через канал DSL или кабель­ ные модемы.

Вопросы 1. Некоторые из младших разработчиков пытались получить из дома доступ к ресур­ сам одного из офисов, но безуспешно. Фильтры входящего трафика на сервере ус­ тановлены не были. Почему возникла проблема с доступом? Как ее решить? 2. Вы решаете внедрить Active Directory, добавив к внутренней сети каждого офиса сети сервер с Windows Server 2003. Командой dcpromo на одном из серверов создан лес, но включить в этот лес сервер с Windows Server 2003, расположенный в другом центральном офисе, не удалось. Почему? 3. Настроив все серверы с Windows Server 2003 как серверы NAT, вы решили дать доступ к серверу в одном из офисов только пользователю с частным IP-адресом 10.1.1.112. Возможно ли это?

Л Резюме главы и Проектируя доступ к Интернету, подумайте о резервных каналах связи, особенно, если компания использует Интернет для ведения дел. Полагаться на бесперебойную работу ISP слишком рискованно для компании, занятой электронной коммерцией. и Перед включением избыточности в проект подключения к Интернету нужно выяс­ нить, есть ли такая необходимость. Если компании не требуется доступ к Интернету для ведения дел, можно вложить средства в другие проекты. Также следует опреде­ лить потенциальный ущерб от отключения. Какую сумму компания теряет за каж­ дую минуту, когда удаленные пользователи или служащие компании не могут полу­ чить доступ к Интернету? и Чтобы выбрать поставщика услуг для реализации VPN или доступа в Интернет, нужно выяснить, насколько надежны его собственные каналы связи, насколько эта компания стабильна финансово и предоставляются ли какие-либо гарантии относи­ тельно уровня обслуживания. Узнайте также, предлагает ли ISP какие-либо сред­ ства защиты, такие как системы обнаружения вторжений или брандмауэры, и пре­ доставляет ли он ежедневные или еженедельные отчеты об использовании канала связи. Это поможет спланировать систему доступа в Интернет с учетом дальнейше­ го роста вашей компании. и Скорее всего, доступная пропускная способность будет распределяться между раз­ личными сетевыми службами, поэтому необходим исчерпывающий анализ трафи­ ка, который планируется передавать по всем каналам связи. и Для расчета потребности VPN в пропускной способности важно знать число пользо­ вателей, которым потребуется доступ к сети, будет ли передаваться через VPN тргфик электронной почты, VoIP или Web-серверов, и какую часть канала займут эт:: службы.

Рекомендации по подготовке к экзамену •

и

в •

я

•

•

•

297

Наблюдайте за передачей трафика в наиболее загруженные часы, и выясните, мож­ но ли передавать какие-либо из этих данных в другое время. Например, служащие могут передавать по сети данные в часы с наименьшей загрузкой канала связи. Преобразование сетевых адресов (NAT) — это протокол, позволяющий подключить частную сеть к Интернету. На сервере NAT создается таблица, в которой хранятся все сопоставления внутренних IP-адресов портам и внешнему IP-адресу, назначен­ ного корпоративной сети. NAT разработан как временное решение проблемы нехватки IP-адресов у InterNIC. Сервер NAT пересылает пакеты от пользователей из Интернета на компьютеры частной корпоративной сети, отсеивая пакеты, не имеющие сопоставленного номе­ ра порта в таблице сопоставлений. Технология NAT Traversal позволяет приложениям определять присутствие в сети сервера NAT, автоматически выполнять сопоставление портов и динамически от­ крывать и закрывать порты без участия пользователя. Проектируя стратегию NAT, необходимо определить, соответствует ли NAT разме­ рам компании и потребностям пользователей. Выясните, поддерживает ли NAT име­ ющиеся в сети приложения и протоколы. Размещение сервера, его производительность и конфигурация интерфейсов — важ­ ные составляющие проекта сети. Сервер, выполняющий функции NAT, должен рас­ полагаться в частной сети и иметь две сетевых платы. Для достижения оптимальной производительности отведите для NAT отдельный сервер. Защиту NAT можно обеспечить установкой фильтров входящего и исходящего тра­ фика. Настроив особые порты и пулы адресов, можно предоставить доступ к ресур­ сам частной сети из Интернета.

j j Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Перед включением избыточности в проект подключения к Интернету нужно выяс­ нить, есть ли такая необходимость. Также следует определить ущерб от возможного отключения, например, в виде суммы, которую компания теряет за каждую минуту, когда удаленные пользователи или служащие компании не имеют доступа к Интер­ нету. и При проектировании избыточности нужно определить оборудование, выход которо­ го из строя может привести к остановке всей сети, поскольку это оборудование было единственным средством связи пользователей с Интернетом. • Чтобы выбрать поставщика услуг для реализации VPN или доступа в Интернет, выясните, насколько надежны его собственные каналы связи, какова финансовая стабильность этого ISP и предоставляет ли какие-либо гарантии относительно уров­ ня обслуживания. Узнайте также, предлагает ли ISP какие-либо средства защиты и предоставляет ли он ежедневные или еженедельные отчеты об использовании кана-

Проектирование подключении к Интернету

Глава Э

ла связи. Это поможет спланировать систему доступа в Интернет с учетом дальней­ шего роста вашей компании, и Подобно авиакомпаниям, позволяющим бронировать больше билетов, чем имеется мест в самолетах, многие ISP продают больше услуг, чем позволяет пропускная способность их канала. ISP рассчитывают на то, что не все клиенты полностью используют оплаченный ими трафик, как и авиакомпании рассчитывают на то, что некоторые клиенты не выкупают или сдают заказанные ими билеты •

Для расчета потребности VPN в пропускной способности важно знать число пользо­ вателей, которым потребуется доступ к сети, будет ли передаваться через VPN тра­ фик электронной почты, VoIP или Web-серверов, и какую часть канала займут эти службы. я NAT позволяет подключать частные сети к Интернету. С адресов, зарезервирован­ ных для использования в частных сетях (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16), невозможен доступ к ресурсам Интернета, если не выполнить их преобразования в общие IP-адреса. а Сервер NAT отсеивает пакеты, у которых нет соответствующих номеров портов в таблице сопоставления. и Проектируя стратегию NAT, необходимо выяснить, соответствует ли NAT размерам компании и потребностям пользователей. • Обеспечить защиту NAT можно при помощи фильтров входящего и исходящего тра­ фика, а также пулов адресов.

Основные термины Система обнаружения вторжений ~ Intrusion detection system (IDS) — ПО для обнаруже­ ния подозрительного входящего и исходящего трафика, предупреждает пользовате­ ля о возможном вторжении. Виртуальная частная сеть ~ Virtual private network (VPN) — частная сеть, использующая общую сеть в качестве среды передачи. Для шифрования данных, передаваемых по общей сети, использует туннельные протоколы. Пропускная способность (ширина) канала ~ Bandwidth — количество данных, которое мо­ жет быть передано через канал за единицу в времени, обычно выражается в бит/с. Преобразование сетевых адресов ~ Network Address Translation (NAT) — протокол, позво­ ляющий серверам преобразовывать IP-адреса и порты в пакетах для пересылки адресату в частной сети. NAT Traversal — технология, позволяющая сетевым приложениям определять присут­ ствие в сети серверов NAT. Фильтры входящего/исходящего трафика ~ Inbound/Outbound Filters — фильтры, установ­ ленные на интерфейсах NAT, разрешающие или запрещающие входящий или исхо­ дящий трафик. Особый порт ~ Special Port — сопоставляет входящее подключение из Интернета част­ ному адресу во внутренней сети. Voice over IP (VoIP) — технология, позволяющая передавать данные и голосовую инфор­ мацию по одной сети, делает возможной телефонные звонки через Интернет.

Вопросы и ответы

£9'

Цу; Вопросы и ответы Занятие 1, Закрепление материала 1. Вы администратор средней компании, которая только начала использовать Интер­ нет для продажи рыболовных блесен. Большинство товаров указано в каталогах, которые рассылаются покупателям, приобретающим рыболовные снасти в магази­ нах в разных частях США. Для подключения к Интернету используется DSL и NAT. Вы узнали, что следует обеспечить избыточность каналов связи с Интернетом, а в сети должен быть резервный сервер. Что необходимо предпринять до реализации избыточности в сети? Правильный ответ: до реализации избыточности каналов связи и серверов следует опре­ делить, нужна ли вообще избыточность для этого проекта, подсчитать убытки, связан­ ные с отключением доступа к Интернету. Затраты на обеспечение избыточности могут перевесить любых убытки из-за перебоев связи. 2. Вы администратор сети небольшой компании, занятой разработкой ПО, 95% сделок заключающей в Интернете. Проект сети включает маршрутизатор, коммутатор, сер­ вер доступа к сети (Network Access Server, NAS), настроенный как NAT-сервер, два сервера под управлением Windows Server 2003 Standard Edition и 32 рабочих станции под управлением Windows XP Professional. Служащие подключаются к Интернету через NAT и DSL. Укажите компоненты сети, выход из строя которых может нару­ шить работу компании. Правильный ответ: многие компоненты этого проекта могут стать причиной остановки работы. Например, при выходе из строя маршрутизатора, коммутатора или NAS слу­ жащие не смогут получить доступ к Интернету. 3. Вы администратор сети небольшого агентства недвижимости, которому нужно вы­ брать ISP для реализации сетевых служб. Планируется также применение VPN. По каким критериям вы будете выбирать ISP? Правильный ответ: нужно узнать, предоставляет ли ISP какие-либо защитные техноло­ гии, такие как системы обнаружения вторжений или брандмауэры. Также выясните, насколько надежны собственные каналы связи этого ISP и предоставляются ли какиелибо гарантии относительно уровня обслуживания.

Занятие 2. Закрепление материала 1. Вы администратор сети крупного магазина одежды. Необходимо предоставить 100 служащим удаленный доступ к серверу БД цен в сети магазина. Командированные торговые представители будут использовать 56-килобитные модемные каналы, что­ бы для подключения через Интернет к серверу БД, на котором работает специаль­ ное Web-приложение. О чем нужно позаботиться перед реализацией проекта? Правильный ответ: необходимо выяснить потребности в пропускной способности Webприложения, индивидуальные потребности каждого торгового представителя и объем трафика, генерируемого сервером БД. 2. Вы сетевой администратор средней компании. Вам поступает множество звонков от пользователей с жалобами на медленную работу сети. Единственным изменени­ ем в инфраструктуре сети была недавняя установка цифровой АТС, основанной

2QQ

Проектирование подключения к Интернету

Глава 9

из-за стремления руководства сэкономить на VoIP. Почему новая АТС замедлила работу сети? Правильный ответ: VoIP использует существующую сетевую инфраструктуру для пере­ дачи голосовых сообщений. Это позволяет избежать прокладки отдельных сетей для передачи данных и голоса ценой роста трафика, который может привести к замедлению работы сети. 3. Важно ли при проектировании сетевой инфраструктуры учитывать совместное раз­ мещение служб на определенных компьютерах? Объясните свой ответ. Правильный ответ: да. Пропускная способность очень важна для создания системы, удовлетворяющей пользователей. Чем больше пропускная способность, тем лучше. Если установить на одном компьютере службы, которые должны взаимодействовать, это по­ зволит уменьшить объем данных, пересылаемых через сеть, освободив большую часть канала связи для пользователей.

Занятие 3. Закрепление материала 1. Служащие, работающие на дому, интересуются, можно ли подключить несколько компьютеров к DSL-линии, которую они используют для доступа к Интернету. Что необходимо выяснить, перед тем как посоветовать применение NAT? Правильный ответ: во-первых, выясните, поддерживает ли NAT приложения, с которы­ ми работают пользователи. Во-вторых, сервер NAT должен иметь две сетевых платы, настроенных соответствующим образом: одна должна быть подключена к внутренней частной сети, другая — к каналу DSL. 2. Вы настраиваете доступ к Интернету на клиентской рабочей станции с частным IPадресом и выбрали в качестве решения NAT. Все рабочие станции в данной подсети имеют статические IP-адреса. Как настроить подключение этой рабочей станции к серверу NAT, расположенному в той же подсети? Правильный ответ: если на рабочей станции уже настроены частный IP-адрес и маска подсети, их, скорее всего, можно сохранить. Однако адрес основного шлюза следует заменить адресом сервера NAT. Для всех клиентов NAT адресом основного шлюза дол­ жен быть IP-адрес сервера NAT, который будет преобразовывать частный IP-адрес кли­ ентской рабочей станции в общий IP-адрес корпоративной сети, назначать соединению уникальный номер порта и пересылать пакеты в Интернет. 3. После внедрения в организации NAT пользователь сообщил, что он не может под­ ключиться к Интернету, но приложение, использующее БД, расположенную на сер­ вере под управлением NetWare 4.11, продолжает работать. Чем может быть вызвана эта проблема? Правильный ответ: NAT требует, чтобы на клиентских компьютерах был настроен про­ токол TCP/IP. Так как пользователь может подключаться к серверу NetWare, возмож­ но, для связи используется протокол IPX/SPX, а не TCP/IP. Для решения проблемы нужно настроить протокол TCP/IP.

Занятие 4. Лабораторная работа 1. У представительства в Глазго имеются собственные имена доменов и общие IPадреса для каждого из отделов. Там хотят внедрить NAT. Как защитить NAT в Глазго? Правильный ответ: создание фильтров входящего трафика позволит подключаться только с определенных IP-адресов и только уполномоченным пользователям.

Вопросы и ответы Создание фильтров исходящего трафика позволит администраторам управлять исходя­ щими данными и блокировать определенные типы трафика. Также следует принять меры по защите служб, работающих в частной сети, от внешних пользователей, для которым они не предназначены. Например, можно позволить удален­ ным пользователям подключаться к внутреннему Web-серверу, но запретить доступ к файловым серверам. 2. В парижском офисе только что обновили серверы до Windows Server 2003, систему обмена сообщениями до Exchange Server 2000, а многие пользователи в качестве почтового клиента теперь используют Outlook 2003. Outlook 2003 подключается к почтовому серверу Exchange через RPC. Удаленным пользователям требуется до­ ступ к этой возможности. Может ли NAT выполнять преобразование адресов для этой службы? Почему? Правильный ответ: нет. NAT не может выполнять преобразование таких адресов, по­ скольку NAT не поддерживает RPC, SNMP, LDAP, COM, DCOM и Kerberos v5. Exchange 2003 включает службу прокси для RPC, обеспечивающую работу RPC через NAT.

Занятие 4. Закрепление материала 1. Вы администратор небольшой частной компании, работающей с федеральным пра­ вительством. Необходимо предоставить пользователям возможность доступа через Интернет к конфиденциальным данным, хранящимся в частной сети, и при этом обеспечить их безопасность. Подходит ли NAT на эту роль? Объясните ответ. Правильный ответ: нет, не подходит, если только не применять усовершенствованную версию IPSec, IPSec с NAT-Traversal (IPSec NAT-T), которая позволяет пакетам IPSec проходить через серверы NAT. 2. В качестве администратора небольшой бухгалтерской фирмы вы должны внедрить систему, позволяющую нескольким пользователям работать в Интернете, используя единственный общий IP-адрес, выделенный ISP. Вы решили, что NAT будет отлич­ ным решением задачи. Как настроить сервер NAT, чтобы он обеспечивал доступ в Интернет и назначал IP-адреса 25 компьютерам работников компании? Правильный ответ: сервер NAT нужно разместить во внутренней сети и оснастить его двумя сетевыми платами, одной из которых назначить общий IP-адрес для подключения к Интернету, а другой — внутренний IP-адрес для подключения к частной сети. Для пользователей частной сети нужно указать частный IP-адрес сервера NAT в качестве адреса основного шлюза. Поскольку задание требует автоматического назначения IP-адресов, следует настроить сервер NAT как DHCP-распределитель. DHCP- распре­ делитель будет предоставлять IP-адреса и связанные с ними сведения об основном шлю­ зе по умолчанию и маску подсети всем пользователям внутренней сети. 3. Вы администратор небольшой компании, которому требуется предоставить пользо­ вателям доступ к Web-серверу компании из Интернета. Компьютеры сети компании используют частные IP-адреса и не видны из Интернета. Как решить поставленную задачу? Правильный ответ: чтобы внешние пользователи смогли получать доступ к Web-серверу во внутренней сети, следует, во-первых, назначить ему статический IP-адрес, маску подсети и адрес основного шлюза. IP-адрес следует выбрать из диапазона частных IPадресов, применяемого в вашей компании. Во-вторых, нужно создать особый порт, со­ поставляющий частный IP-адрес и порт внешнему общему IP-адресу и порту.

ГЛАВА

10

Выработка стратегии удаленного доступа

Занятие 1. Стратегия удаленного доступа

304

Занятие 2. Проектирование инфраструктуры удаленного доступа

316

Занятие 3. Проектирование защиты удаленного доступа

321

Темы экзамена ш Проектирование инфраструктуры сетевых служб согласно бизнес-требованиям и техническим ограничениям: а создание концептуального плана инфраструктуры удаленного доступа; о выработка стратегии удаленного доступа; а выбор способа удаленного доступа; • выбор метода аутентификации для удаленного доступа; а проектирование инфраструктуры удаленного доступа; а планирование пропускной способности; а проверка параметров настройки сети для доступа к ресурсам; а разработка проекта, обеспечивающего доступность, избыточность и бесперебой­ ность работы. •

Проектирование защиты удаленных пользователей: а определение требований к защите хостов; • выбор провайдера аутентификации и ведения учета; а проектирование политик удаленного доступа.

в Определение настроек ведения журналов и аудита.

В этой главе Важно дать пользователям возможность получения доступа к сетевой инфраструктуре из любого места, поскольку они не всегда находятся в здании, где расположены серве­ ры и другие ресурсы сети. Удаленная работа получает все более широкое распростране-

304

Выработка стратегия удаленного доступа

Глава 10

ние, поскольку во многих компаниях осознали, что менеджеры и другие служащие могут работать на дому не менее эффективно, чем в офисе. Командированным требует­ ся оперативный доступ к информации, защищенной от несанкционированного досту­ па, а удаленным пользователям необходим круглосуточный доступ к ресурсам корпора­ тивной сети. В этой главе вы научитесь проектировать стратегию удаленного доступа. Такая стра­ тегия должна обеспечивать доступность корпоративных информационных ресурсов и их защиту при помощи избыточности, централизованной аутентификации и политик удаленного доступа. Сначала мы рассмотрим создание концептуального плана удален­ ного доступа, а затем подробно разберем проектирование инфраструктуры удаленного доступа и способы его защиты. Прежде всего

Для понимания материала этой главы необходимо овладеть понятиями, описанными в главе 1.

Занятие 1. Стратегия удаленного доступа При помощи удаленного доступа пользователи получают возможность подключаться к корпоративной сети или Интернету, находясь за пределами здания, в котором находит­ ся локальная сеть. В этом занятии приводится очерк удаленного доступа, а также ком­ понентов и терминов, которые необходимо усвоить для проектирования и внедрения стратегии удаленного доступа к корпоративной сети. Изучив материал этого занятия, вы сможете:

S рассказать о компонентах удаленного доступа; •/ описать аутентификацию удаленного доступа; •S составить концептуальный план инфраструктуры удаленного доступа. Продолжительность занятия — около 50 минут.

Обзор удаленного доступа Благодаря внедрению высокоскоростных каналов и спутниковой связи мы восприни­ маем мир уже не таким большим, как раньше, а клиенты и работники различных компаний часто оказываются удаленными от ее информационных ресурсов. Удаленные клиенты Windows Server 2003 могут получать доступ к ресурсам сети через коммутиру­ емые линии и виртуальную частную сеть (virtual private network, VPN). Независимо от выбранного метода, удаленные клиенты получают доступ к ресурсам совсем как со своих рабочих компьютеров в главном офисе.

Компоненты удаленного доступа через коммутируемые линии Чтобы удаленные клиенты смогли обращаться через коммутируемые линии к ресурсам сети, находящейся за многие километры, необходимы следующие составляющие ком­ поненты:

Занятие 1

• •

Стратегия удаленного доступа

сетевой клиент (Network Access Client); сервер доступа к сети (Network Access Server, NAS).

Сетевой клиент Сетевым клиентом может быть любой компьютер под управлением Microsoft Windows 95, 98, 2000, ХР и выше, а также любой клиент, поддерживающий протокол РРР (Pointto-Point Protocol), например компьютеры с ОС Linux, Macintosh или NetWare. Клиент удаленного доступа просто запускает соответствующее ПО и подключается к серверу удаленного доступа. Существуют три типа клиентов удаленного доступа: в клиенты, подключающиеся через коммутируемые линии; • VPN-клиенты; в беспроводные клиенты. Клиенты доступа через коммутируемые линии

Такие клиенты используют коммутируемые линии для подключения к серверу удален­ ного доступа. Удаленные клиенты могут получать доступ к ресурсам сети, подключать сетевые диски и выполнять другие действия, как если бы их компьютеры были под­ ключены к локальной сети напрямую. После того как соединение установлено, клиен­ там не требуется отдельно подключаться к каждому ресурсу в ходе сеанса. Такие кли­ енты применяются, если: в доступ к частной сети компании через Интернет слишком рискован; • бюджет компании позволяет оплатить модемы, телефонные линии и многопортовые адаптеры; • пропускная способность коммутируемого канала достаточна для работы удаленных клиентов; и по требованиям безопасности подлинность удаленных клиентов должна проверяться при помощи обратного вызова либо АОН. Проектируя стратегию коммутируемого доступа, необходимо учесть следующее: * коммутируемое подключение требует приобретения модемов, коммуникационного оборудования, серверов и установки дополнительных телефонных линий; в каждая дополнительная телефонная линия для удаленного доступа увеличивает сто­ имость владения инфраструктуры; • общее число пользователей влияет на итоговую стоимость поддержки решения уда­ ленного доступа, поскольку пользователи нуждаются в обучении, а персонал служ­ бы технической поддержки должен уметь разрешать проблемы, возникающие у пользователей, а также помогать в развертывании решения для удаленного доступа. Наиболее популярны коммутируемые подключения через: • коммутируемую телефонную сеть общего пользования (Public Switched Telephone Network, PSTN). Клиент может подключиться к физическому порту сервера удален­ ного доступа через аналоговую телефонную линию. Эта методология требует ис­ пользования аналоговых модемов на сервере удаленного доступа и у клиента; • цифровую сеть комплексных услуг (Integrated Services Digital Network, ISDN). ISDN разработана для замены PSTN более новой, быстрой и эффективной цифровой технологией. BRI-интерфейс ISDN состоит из каналов двух типов, В и D. В-канал используется для передачи голоса или данных, таких каналов в BRI-интерфейсе

306

Выработка стратегии удаленного доступа

Глаеа 10

ISDN два, каждый способен передавать данные со скоростью 64 Кбит/с; эти кана­ лы можно объединить, достигнув скорости передачи 128 Кбит/с. D-канал служит для передачи служебной информации и обладает пропускной способностью в 16 Кбит/с. Также имеется PRI-интерфейс ISDN, обеспечивающий более высокую пропуск­ ную способность. PRI содержит 23 64-килобитных В-канала и один 64-килобитный D-канал. Клиент и сервер удаленного доступа должны быть укомплектованы ISDNадаптерами или соединены через ISDN-маршрутизатор (см. рис. 10-1).

Рис. 10-1. ISDN при редкой сегодня дешевизне обеспечивает более высокую скорость передачи по требованию, чем обычная телефонная линия Крупным компаниям может потребоваться стороннее оборудование для создания модемных пулов, обеспечивающих одновременное подключение нескольких удален­ ных клиентов. С адаптером модемного пула работают драйверы, которые устанавлива­ ют на сервере удаленного доступа. В результате модемный пул отображается как мно­ гопортовый модем. Разрешения удаленного доступа устанавливаются для каждого пор­ та модемного пула, и порты регистрируются на сервере по отдельности. Оборудование модемного пула и его порты можно настроить через окно Порты (Ports) оснастки Мар­ шрутизация и удаленный доступ (Routing and Remote Access). При настройке клиента удаленного доступа следует установить разрешения для его учетной записи в Active Directory (табл. 10-1). Табл. 10-1. Разрешения учетных записей пользователей на подключение через телефонную линию Свойство

Описание

Разрешить удаленный доступ (VPN или модем) [Remote Access Permission (Dial-in or VPN)] Проверять код звонящего (Verify Caller ID)

Позволяет явно запретить пользователю удаленный доступ к серверу или включить авторизацию соединений посредством политик удаленного доступа (см. занятие 3) Сервер удаленного доступа проверит, совпадает ли номер звонящего с внесенным в его список. Если телефонный номер не совпадает, соединение будет запрещено

Ответный вызов сервера (Callback Options)

Сервер удаленного доступа перезванивает удаленному клиенту по номеру, заданному клиентом или администратором После того как соединение установлено, клиенту удаленного доступа может быть назначен статический IP адрес, определенный администратором

Статический IP-адрес пользователя (Assign a Static Internet Protocol (IP) Address)

Использовать статическую маршру- Если это свойство установлено, в таблицу маршрутитизацию (Apply Static Routes) зации на сервере RRAS вносится маршрут для подключения по требованию

Занятие 1

Стратегия удаленного доступа

VPN-клиент

VPN-клиенты подключаются к сети через Интернет или другую сеть общего доступа, используя эту сеть как среду передачи, а также IPSec-туннелирование (см. ниже) и шифрование для защиты данных при передаче через общую сеть. Беспроводные клиенты

Беспроводные клиенты подключаются к сети по радиоканалам в диапазоне частот 2,4— 5,0 ГГц в зависимости от используемой ими версии стандарта беспроводных сетей 802.11 (см. табл. 10-2). Также используются инфракрасные лучи (IR), частота которых немно­ го ниже частот видимой части спектра света, и сигналы с расширением спектра для пересылки данных по широкому диапазону частот. Bluetooth — это другой популярный стандарт беспроводных соединений для компактных устройств с небольшим радиусом действия, таких как персональные цифровые помощники (Personal Digital Assistants, PDA). Этот стандарт поддерживают ОС Windows XP SP 1 и выше. Табл. 10-2. Стандарты беспроводных сетей Стандарт

Диапазон частот (ГГц) / Максимальная скорость (Мбит/с)

802.11 802.11b 802.11а 802. llg

2,4/2 2,4/11 5/54 2,4 / 22

Для подключения к серверу удаленного доступа беспроводному клиенту необходи­ мы следующие компоненты: • беспроводная сетевая плата — преобразует цифровые электрические импульсы в ра­ диосигналы, которые передаются на приемопередатчик. Для покрытия большой тер­ ритории может потребоваться несколько приемопередатчиков (см. занятие 2); • точка доступа, ТД (Access Point, АР) — это приемопередатчик, который прини­ мает сигналы от беспроводных клиентов. ТД подключаются к сегменту LAN, по которой принятые от беспроводных клиентов данные передаются серверу уда­ ленного доступа. При проектировании беспроводной сети расположение беспроводных ТД следует выбирать в зависимости от расположения беспроводных клиентов. Следует создать схе­ му беспроводной сети, отметив на плане здания зону покрытия такой сети (она может охватывать все здание). Также необходимо учесть все устройства, способные создавать помехи: ш микроволновые печи; м радиотелефоны, работающие на частотах 2,4—2,5 ГГц; • беспроводные видеокамеры; > медицинское оборудование, например, рентгеновские установки. Помехи также могут создавать металлические конструкции здания: ш шахты лифтов; ш теплотрассы; в вентиляционные каналы; и металлическая сетка под штукатуркой.

Выработка стратегий удаленного доступа

Глава 10

Сколько точек доступа потребуется? Рекомендуется включать в проекты сетей меры по обеспечению отказоустойчивости и избыточности, это относится и к беспроводным сетям. Наличие единственной ТД не только чревато отказами, но и негативно отражается на производительности удаленных клиентов, находящихся на значительном расстоянии от ТД. Радиус действия большин­ ства беспроводных устройств составляет примерно 45 м. Следует заранее определить примерное число беспроводных клиентов, которым по­ требуется доступ к сети. На стадии проектирования необходимо оценить требуемую пропускную способность радиоканала в расчете на один беспроводной клиент. Умно­ жив это число на общее число пользователей, можно достаточно точно оценить общую требуемую скорость беспроводного канала. Эта оценка поможет определить необходи­ мое число ТД для инфраструктуры удаленного доступа. Чем больше пользователей ра­ ботает с ТД, тем ниже реальная скорость передачи данных и полоса пропускания, доступная отдельному пользователю.

Защита беспроводного доступа Существует несколько угроз безопасности при использовании беспроводных технологий: • возможность перехвата данных неуполномоченным пользователем, находящимся вблизи ТД; • получение доступа к беспроводной сети неуполномоченным пользователем посред­ ством компьютера, оснащенного совместимым беспроводным адаптером. Чтобы защититься от таких атак, следует настроить ТД как клиент службы RADIUS, так запросы доступа будут направляться для проверки подлинности RADIUS-серверу, на котором работает служба IAS (см. занятие 3). Также можно защищать данные ши­ фрованием, чтобы неуполномоченный пользователь, подключившийся к беспроводной сети и перехвативший данные, не смог их понять. На рис. 10-2 показаны клиенты, подключающиеся к NAS, настроенному как сервер удаленного доступа. В Windows Server 2003 NAS настраивают как серверы удаленного доступа посредством службы маршрутизации и удаленного доступа (RRAS).

^"'Клиент, подключающийся через коммутируемую линию

Рис. 10-2. Клиенты подключаются к NAS через телефонные линии, VPN и беспроводные сети

Занятие 1

Стратегия удаленного доступа

g0g

Сервер доступа к сети Сервер доступа к сети (NAS) — это сервер, выступающий в роли шлюза для удаленных клиентов. Служба RRAS позволяет настроить сервер с Windows Server 2003 как сервер удаленного доступа, обеспечивающий доступ через коммутируемые подключения, или как VPN-сервер. Сервер удаленного доступа аутентифицирует клиентов при попытке подключения, также может быть настроен центральный сервер аутентификации, способный обслу­ живать несколько серверов удаленного доступа. Таким сервером является IAS-сервер (Microsoft-реализация RADIUS, подробнее о RADIUS — на занятии 3). При настройке сервера удаленного доступа имеется возможность: • запретить удаленным клиентам доступ к серверу удаленного доступа либо ко всей сети. Это позволяет дать определенным клиентам доступ только к серверам удален­ ного доступа. Например, можно разместить сведения о вакансиях в общей папке на сервере удаленного доступа, открыв ее для просмотра потенциальными работника­ ми. Но эти пользователи не должны получать доступ к другим ресурсам сети, и, разрешив им обращаться только к серверу удаленного доступа, удается снизить ве­ роятность взлома; • выбрать методы аутентификации, которые будут использоваться сервером. Аутенти­ фикация — это проверка удостоверений пользователя при попытке подключения к серверу удаленного доступа. Иными словами, аутентификация отвечает на вопрос, является ли пользователь тем, за кого себя выдает, и совпадает ли введенный им пароль с хранящимся в БД сервера. Хорошая аналогия — ситуация, когда иногород­ ний пытается оплатить счет в ресторане именным чеком. Официанту или менедже­ ру ресторана необходимо сверить личность плательщика с тем, на кого выписан чек, обычно проверив два вида документов с фотографией. Не путайте аутентификацию с авторизацией. Авторизация — это проверка права пользователя быть там, где он находится. То есть после установления соединения авторизация проверяет, если у него право, скажем, на просмотр списка счетов. Авторизация происходит после входа в систему и проверки подлинности (аутенти­ фикации) пользователя; • настроить параметры протокола РРР, промышленного стандарта, сменившего про­ токол SLIP. SLIP поддерживает только IP, а РРР — несколько протоколов, он также лучше защищен благодаря поддержке шифрования, взаимной аутентификации, об­ ратного вызова и проверке номера звонящего; • настроить приоритет записи событий. Сервер доступа к сети поддерживает три типа журналов событий: а запись событий в общий журнал Система. Существуют четыре уровня записи, предусматривающих регистрацию только: — ошибок и предупреждений (задан по умолчанию); — максимально подробных данных; — запрет ведения журнала; а запись событий локальной аутентификации и ведение учета что позволяет сле­ дить за удаленным доступом и попытками аутентификации; а запись событий об аутентификации RADIUS и ведение учета, позволяет следить за удаленным доступом и попытками аутентификации на нескольких серверах удаленного доступа. RADIUS — это служба централизованного аудита и учета, применяемая большинством поставщиков услуг Интернета.

Выработка стратегий удаленного доступа

Глава 10

Методы аутентификации при удаленном доступе После настройки удаленного клиента, сервера и инфраструктуры сети следует реализо­ вать метод аутентификации клиентов удаленного доступа. Все это поможет исключить несанкционированный доступ к сети компании. В табл. 10-3 перечислены методы аутен­ тификации удаленных клиентов, в том числе подключающихся через беспроводные сети. Табл. 10-3.

Протоколы аутентификации

Протокол

Описание

Challenge Handshake Authentication Protocol (CHAP) Password Authentication Protocol (PAP) Shiva Password Authentication Protocol (SPAP) Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)

Протокол на основе запросов и откликов, применя­ ется для аутентификации РРР-подключений Наименее защищенный протокол, поскольку передает пароли открытым текстом Более защищен, чем РАР, но использует нестойкое шифрование пароля

Microsoft Challenge Handshake Authenti­ cation Protocol version 2 (MS-CHAP v2) Extensible Authentication Protocol Trans­ port Layer Security (EAP-TLS)

Protected Extensible Authentication Protocol (PEAP) MD-5 Challenge

Протокол от Microsoft, близкий по функциональ­ ности к CHAP Поддерживает взаимную аутентификацию, исполь­ зуется по умолчанию в Windows 2000 и выше Обеспечивает максимальную защиту проверки подлинности благодаря поддержке хранения сертификатов, хранящихся на смарт-картах, и взаимной аутентификации Используется в сетях 802.1х, укрепляет защиту беспроводной сети шифрованием, предоставляет доступ после проверки удостоверений пользователя Поддерживает ЕАР-аутентификацию с использова­ нием стандартной комбинации имя — пароль, а также нестандартные протоколы аутентификации для серверов удаленного доступа

Протокол Extensible Authentication Protocol (EAP) обеспечивает поддержку смарткарт и биометрических устройств аутентификации, проверяющие подлинность по био­ метрическим параметрам человека. В настоящее время поддерживаются следующие методы биометрической аутентификации, основанные на: • записи образца голоса; и сканирование отпечатков пальцев; • сканировании сетчатки глаза; • сканировании ладони. Внедрение биометрической системы аутентификации обойдется недешево, по­ скольку соответствующее оборудование придется установить на всех компьютерах, которые используются для доступа к сети! Смарт-карты в этом плане предпочтитель­ нее, они обеспечивают наиболее защищенную аутентификацию для Windows Server 2003. Windows XP и семейство ОС Windows Server 2003 поддерживают криптографи­ ческие смарт-карты, которые подобно рассматриваются в курсе 2810, посвященном ;гтевой безопасности.

Занятое 1

Стратегия удаленного доступа

311

Обучение персонала Независимо от совершенства и сложности технических защитных систем, важ­ нейшим компонентом системы безопасности является человек (работник компа­ нии), поскольку его нельзя просто настроить на заданные действия, как адми­ нистраторы сети настраивают устройства и программы. Вместо этого правила безопасности, принятые в компании, приходится доводить до сведения персона­ ла посредством документов, памяток, а также отучать работников сообщать по телефону любую, даже, казалось бы, невинную, информацию кому бы то ни было, даже лицам, представившимся работниками службы технической поддер­ жки. Обученный и бдительный коллектив намного важнее дорогих биометриче­ ских устройств контроля доступа, установленных на каждом шагу.

Размещение серверов доступа к сети Расположение NAS-сервера в топологии сети влияет на трафик и защиту сетевой инфраструктуры. Располагать NAS следует в сегменте сети, содержащем большинство нужных клиентам ресурсов.

Удаленный доступ через VPN Если в компании удаленный доступ к сетевым ресурсам предоставляется многим пользо­ вателям, часто внедряют решение на основе VPN. В сравнении с коммутируемым до­ ступом стоимость удаленного доступа через VPN ниже и осуществляется через имею­ щуюся инфраструктуру для доступа в Интернет. Ниже перечислены некоторые пре­ имущества внедрения решения на основе VPN. • Меньшая стоимость. VPN-подключение производится через Интернет, поэтому уда­ ется сэкономить на приобретении модемов и другого оборудования, оплате счетов за телефон, в общем, почти на всех затратах, связанных с коммутируемым доступом, в Возможность аутентификации и шифрования. Аутентификация предотвращает под­ ключение неуполномоченных пользователей к частной сети компании. Стойкие ал­ горитмы шифрования, такие как 3-DES, усложняют интерпретацию данных, пере­ хваченных анализатором сети во время передачи через VPN-подключение. Клиенты используют туннельные протоколы для подключения к VPN-серверу. Пре­ имущество такой технологии в том, что средой передачи служит Интернет. Но Интер­ нет — это сеть общего доступа, поэтому необходимо внедрять туннельные протоколы для защиты данных от перехвата во время передачи. Данные в VPN шифруются, поэто­ му даже если их и перехватят во время передачи через Интернет, злоумышленнику придется их сначала расшифровывать.

Обзор VPN VPN воспроизводит выделенную линию связи «точка — точка», соединяющую два ком­ пьютера через общую сеть. Каждый из них перед передачей добавляет к данным заго­ ловок с необходимой для маршрутизации информацией, что позволяет передавать дан­ ные через общую сеть к месту назначения. Поскольку данные шифруются, злоумыш­ леннику будет нелегко интерпретировать их, даже если он перехватит пакеты из сети.

312

Выработка стратегии удаленного доступа

Глава 10

Такой закрытый канал для обмена инкапсулированными и зашифрованными данными называется VPN-туннелем (рис. 10-3). Контроллер домена S

Корпоративная база данных

VPN-сервер

Рис. 10-3. VPN обеспечивает конфиденциальность данных при передаче через общую сеть На компьютерах с Windows Server 2003 Standard Edition разрешается до 1000 одно­ временных подключений по протоколу РРТР или L2TP. При попытке VPN-подключе­ ния через Интернет к ресурсам частной сети происходит следующее. 1. VPN-клиент устанавливает соединение с NAS (шлюзом), настроенным как VPNсервер, посредством службы RRAS. 2. VPN-сервер принимает вызов, аутентифицирует клиента и проверяет наличие у него прав для подключения к серверу. 3. VPN-сервер ретранслирует все данные между VPN-клиентом и ресурсами корпора­ тивной сети (в этом случае — корпоративной базой данных). Таким образом, компании могут предоставлять удаленный доступ к ресурсам своих частных сетей через общие сети без установки дополнительных телефонных линий и ежемесячной оплаты счетов. Ниже приводятся дополнительные преимущества исполь­ зования VPN. • Улучшенная защита. VPN-сервер требует аутентификации и шифрования, тем са­ мым защищая важные данные от несанкционированного доступа. • Поддержка сетевых протоколов. VPN поддерживает большинство стандартных се­ тевых протоколов, позволяя клиентам удаленного доступа работать с множеством различных приложений. • Защита IP-адресов. Поскольку весь трафик, передаваемый через Интернет, шиф­ руется, VPN не раскрывает схему IP-адресации во внутренней сети компании по­ сторонним.

Компоненты VPN В создании VPN-подключения участвует, помимо описанных выше VPN-клиента и VPN-сервера, множество других компонентов. Следующие компоненты также необхо­ димы для создания VPN соединения: • транзитная сеть. Это общая сеть, через которую передаются инкапсулированные данные, обычно для этого используют Интернет; • туннельные протоколы. Для управления туннелями и инкапсулированными частны­ ми данными используется два протокола: РРТР и L2TR Первый поддерживает РРРаутентификацию на уровне пользователя, а также защиту шифрованием по прото-

Занятие 1

Стратеги удаленного доступа

g-j

колу МРРЕ (Microsoft Point-to-Point Encryption). L2TP/IPSec использует аутенти­ фикацию на основе сертификатов и является одним из наиболее защищенных мето­ дов обмена данными через общую сеть. Поддержка клиентов и серверов L2TP встро­ ена ПО клиента удаленного доступа Windows XP и Windows Server 2003; ш туннель VPN — канал связи или подключение, которое инкапсулирует и шифрует частные данные; • туннелируемые данные — данные, пересылаемые через канал связи; • аутентификация — проверка подлинности клиента и VPN-сервера с целью защиты от подменены конечных точек VPN-туннеля злоумышленником; • выделение IP-адресов и настройка серверов имен. VPN-сервер отвечает за выделение IP-адресов из статического диапазона или посредством DHCP, а также за назначе­ ние клиентам адресов DNS и WINS-серверов.

Размещение VPN серверов Размещение VPN-серверов — еще один важный аспект разработки стратегии удален­ ного доступа. С одной стороны, VPN-сервер должен быть доступен удаленным пользо­ вателям, а с другой — требуется защитить сеть от несанкционированного доступа через VPN. Имеется два альтернативных варианта размещения VPN-серверов, каждый со сво­ ими особенностями проектирования: • во внутренней сети; и в сети периметра. При установке VPN-сервера во внутренней сети необходимо настроить защищаю­ щий внутреннюю сеть брандмауэр так, чтобы он пропускал трафик, адресованный VPNсерверу. Если же решено расположить VPN-сервер в сети периметра, то необходимо настроить входящие и исходящие фильтры интерфейса, связывающего VPN-сервер с Интернетом, чтобы они разрешали только VPN-трафик. Затем потребуется настроить брандмауэр на границе с внутренней сетью, чтобы он пропускал самые разные типы трафика от VPN-сервера, этот трафик уже не шифруется. Таким образом, придется разрешить множество протоколов и открыть массу портов на внутреннем брандмауэре, чтобы обеспечить корректную работу приложений, необходимых пользователям VPN.

Создание концептуального плана После определения компонентов инфраструктуры удаленного доступа и VPN настало время создания концептуального плана удаленного доступа для вашей компании. Хоро­ шо справившись с этой задачей, вы сэкономите деньги компании, а также свое время и нервы.

Задавайте верные вопросы Задавая верные вопросы на этапе проектирования, вы застрахуете себя от реплик вроде «о нет, неужели кто-то из служащих может удаленно просматривать данные по прода­ жам?». В концептуальном плане необходимо определить функции всех компонентов сети, а также общее число пользователей, которым требуется доступ. Ниже приводятся возможные вопросы, на которые должен давать ответ концептуальный план. •

Сколько пользователей нуждается в удаленном доступе к ресурсам сети вашей ком­ пании и кто эти люди?

314

выработка стратегия удаленного доступа

Глава 10

в Какие средства аутентификации и шифрования соответствуют требованиям к безо­ пасности, принятым вашей организации? я Какие ресурсы внутренней сети должны быть доступны? в Каков необходимый уровень избыточности? в Как будут работать сетевые приложения через подключения удаленного доступа, каковы будут задержки по сравнению с работой в локальной сети? • Потребуется ли беспроводным клиентам доступ к ресурсам сети? в Достаточна ли пропускная способность существующего канала связи с Интернетом для поддержки предполагаемого числа одновременных VPN-подключений? • Понадобится ли модемный пул для обеспечения работы клиентов, подключающихся через коммутируемые линии? Важно, чтобы проект был достаточно гибким и допускал внесение изменений при изменении сетевой инфраструктуры. Например, исходным планом предусмотрен до­ ступ к серверу 10 пользователей через коммутируемые линии. После этого компания открыла несколько новых офисов, что потребовало поддержки 150 дополнительных уда­ ленных пользователей. В этой ситуации придется расширить план в связи с увеличени­ ем нагрузки на сетевые службы. Необходимо быть готовым к установке модемного пула или перенастройке NAS, чтобы справляться с возросшей нагрузкой. Также необходимо спланировать пропускную способность канала с запасом для дополнительных клиентов коммутируемого удаленного доступа, поскольку все подклю­ чения таких клиентов проходят через интерфейс NAS-сервера. Например, предполо­ жим, что вы проектируете канал для 256 удаленных пользователей, одновременно под­ ключающихся при помощи 56-килобитных модемов. Пользователи работают с прило­ жением для бронирования услуг, которое занимает 30-килобитную часть канала в рас­ чете на клиента. При этом оценить необходимую пропускную способность можно по формуле: 30 Кбит/с х 256 = 7680 Мбит/с. Это означает, что канал связи с NAS будет загружен на 70% от теоретического пре­ дела 10-мегабитной сети Ethernet, что негативно скажется на быстродействии сети. Причем это без учета небольшой, но существующей вероятности одновременной рабо­ ты пользователей с дополнительными службами. Впрочем, даже телефонные лини ни­ когда не загружаются полностью, по этой причине ISP и другие поставщики услуг связи продают больше услуг связи, чем способны оказать в действительности, и уста­ навливают меньше модемов, чем нужно, чтобы справиться с пиковой нагрузкой. В любом случае очень важно оценить требуемую пропускную способность каналов свя­ зи до внедрения коммутируемого доступа. В проекте должны быть описаны методы мониторинга загруженности ресурсов и внесения необходимых изменений. Например, служба удаленного доступа должна со­ ответствовать спецификациям исходного проекта, и в то же время быть достаточно гибкой, чтобы справится с повышенной нагрузкой из-за дополнительных серверов, маршрутизаторов, брандмауэров и IDS, добавленных после внедрения проекта. Посколь­ ку все эти компоненты влияют на загруженность канала связи, ее мониторинг позволит быть в курсе любых изменений.

Занятие 1

Стратегия удаленного доступа

Лабораторная работа. Проектирование доступа через беспроводную сеть На этой лабораторной работе вы спроектируете инфраструктуру беспроводного досту­ па для Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders в настоящий момент использует WEP и ограничение по МАС-адресам для защиты беспроводного доступа к корпоративной сети в Париже. Ру­ ководство хочет укрепить защиту беспроводной сети в Париже и внедрить беспровод­ ные сети в Глазго, Сиднее, Атланте и Лос-Анжелесе. К новому проекту беспроводного доступа предъявляются следующие требования: • только сотрудникам компании разрешено подключаться к беспроводным сетям ком­ пании; гости и посторонние, находящиеся рядом с офисом компании, не должны подключаться к беспроводной сети; • беспроводная сеть должна быть защищена наиболее стойким на сегодняшний день алгоритмом шифрования.

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Какой протокол аутентификации вы порекомендуете Northwind Traders для внедре­ ния во всех беспроводных сетях? Почему? 2. Какой алгоритм шифрования следует выбрать для защиты беспроводных сетей Northwind Traders? Почему? 3. Назовите дополнительные типы серверов и сетевых служб, которые придется вне­ дрить для поддержки беспроводных сетей. Обоснуйте свой ответ.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Опишите различия между аутентификацией и авторизацией. 2. Несколько программистов из ИТ-отдела хотят работать на дому, чтобы выдержать поставленные перед ними сроки. Дому у них есть доступ в Интернет, поэтому вас попросили внедрить стратегию удаленного доступа, которая позволит программи­ стам работать на дому. Однако один из руководителей считает, это слишком риско­ ванно, и конкурентам легко перехватят код разрабатываемого ПО, поскольку Ин­ тернет — слабо защищенная сеть. Какое решение вы порекомендуете, чтобы ре­ шить эту проблему и успокоить руководство? 3. Ваше малое предприятие по розничной торговле так выросло за последние шесть месяцев, что у коммивояжеров появились жалобы на то, что трудно дозвониться к серверу для загрузки прайс-листов. В данный момент на вашем сервере удаленного доступа установлен один модем, который в рабочие часы постоянно занят. Как ре­ шить эту проблему?

3"f §

Выработка стратегии удаленного доступа

Глава 10

Резюме • •

• •

•

Решение удаленного доступа предоставляет удаленным пользователям возможность подключения к корпоративной сети или Интернету. Клиент, использующие коммутируемые линии, подключается к серверу удаленного доступа через физические соединения с использованием телекоммуникационной инфраструктуры. VPN-клиенты подключается к сети через Интернет или другие общие сети, исполь­ зуя TCP/IP, а также туннельные протоколы РРТР и L2TP. Беспроводные клиенты подключаются к сети по радиоканалам в диапазоне частот 2,4—5 ГГц в зависимости от используемой ими версии стандарта беспроводных се­ тей 802.1х. Кроме того, применяют связь на инфракрасных (IR) лучах, частота кото­ рых чуть ниже частоты видимой части спектра, а также каналы с расширением спектра частот. Протокол ЕАР является основой для внедрения смарт-карт и биометрических устройств контроля доступа; последние используют для проверки подлинности био­ метрические параметры человека.

Занятие 2. Проектирование инфраструктуры удаленного доступа При проектировании инфраструктуры удаленного доступа вы должны обеспечить до­ ступность сетевых ресурсов компании при необходимости. Так же, как и с проектом сетевой инфраструктуры, вы должны предусмотреть избыточность серверов доступа к сети, а также учесть поломки маршрутизаторов, сбои каналов связи и т. д. На данном занятии вы научитесь проектировать инфраструктуру удаленного досту­ па с избыточностью, обеспечивающей постоянную доступность серверов удаленного доступа. Изучив материал этого занятия, вы сможете:

•S спланировать пропускную способность инфраструктуры удаленного доступа; •/ описать способы обеспечения избыточности для инфраструктуры удаленного доступа компании. Продолжительность занятия - около 20 минут.

Планирование пропускной способности инфраструктуры удаленного доступа После создания концептуального плана инфраструктуры удаленного доступа должны быть найдены все ответы, необходимые для начала проектирования решения удаленно­ го доступа. Для этого необходимо иметь представление о требованиях к проекту, а так­ же спланировать меры повышения доступности серверов удаленного доступа и обеспе­ чения избыточности на случай аварии серверов, маршрутизаторов и каналов связи.

Занятие 2

Проектирование инфраструктуры удаленного доступа

Требования к оборудованию VPN-сервера Проектируя инфраструктуру удаленного доступа, необходимо следить, чтобы загружен­ ность NAS и других компонентов не превышала оптимальную. Ниже приведены ком­ поненты и их рекомендуемые конфигурации. • Сетевые платы. Если сеть должна работать на скорости 100 Мбит/с и интерфейс сервера удаленного доступа подключен к сети общего доступа, настройте все устрой­ ства на работу в полнодуплексном режиме со скоростью 100 Мбит/с и подключите все интерфейсы внутренней сети к скоростному коммутатору. Также рекомендуется использовать сетевые адаптеры, поддерживающие аппаратное ускорение IPSec (IPSec hardware offload), если чрезмерная загруженность процессора сервера снижает об­ щее быстродействие системы. в Процессор. Для достижения оптимальной производительности лучше удвоить ско­ рость процессора, чем число процессоров. На многопроцессорном компьютере на­ значьте каждому процессору отдельный сетевой адаптер. • Оперативная память. Обычно чем больше оперативной памяти, тем лучше. Если не требуется обслуживать больше 1000 одновременных подключений, 512 Мб вполне достаточно. На каждую дополнительную 1000 одновременных подключений потре­ буется установить дополнительные 128 Мб оперативной памяти, 128 Мб необходимо службам удаленного доступа и вспомогательным службам. Например, для выделен­ ного NAS-сервера рекомендуется 256 Мб оперативной памяти, но для поддержки 2000 одновременных VPN-подключений потребуется 768 Мб: 256 + (128 х 2) + (128 х 2) Если включено сжатие данных, обработка каждого соединения займет больший объем невыгружаемой памяти и будет сильнее загружать процессор; повысить произво­ дительность можно, отключив сжатие.

Требования к проекту Перед проектированием удаленного доступа необходимо определить следующее. я Потребности пользователей. Скольким пользователям требуется удаленный доступ к ресурсам компании? Где расположены эти пользователи? Допускает ли существую­ щая инфраструктура сети внесение изменений? а Типы каналов связи. Потребуется ли заменить 56-килобитные линии каналом Т1, чтобы справиться с возросшей нагрузкой? а Существующая инфраструктура сети. Где расположены маршрутизаторы, коммутато­ ры и каналы связи? Потребуется ли приобретение дополнительных маршрутизато­ ров, чтобы справится с возросшей нагрузкой? ж Текущая схема потоков трафика. Есть ли в проекте потенциальные узкие места, ко­ торые можно легко устранить? я Важные приложения, работающие в удаленной сети. Если таковые имеются, как влияет скорость передачи данных и сетевой протокол на их работу? Например, смогут ли пользователи продолжать использовать приложение для бронирования номеров в гостинице, работающее на сервере под управлением NetWare 4.11 с протоколом IPX/SPX, через подключение удаленного доступа? Не менее важно убедиться, что задержки передачи данных не помешают работе критически важных приложений. Если пользователь из Бостона попытается под­ ключиться к VPN-серверу в Редмонде, запустив приложение на сервере, располо-

318

Выработка стратегий удаленного доступа

Глава 10

женном во внутренней сети Бостонского филиала, данным придется четырежды пересечь всю страну. Эта латентность может послужить причиной сбоя программы. Заблаговременная оценка задержки сети позволит проектировщику понять, что в Бостоне необходимо установить VPN-сервер. Итак, до начала проектирования инфраструктуры удаленного доступа необходимо найти ответы на многие вопросы. А теперь рассмотрим сетевые службы, которые, воз­ можно, придется внедрять в рамках решения для удаленного доступа: • сервер удаленного доступа через коммутируемые линии; • VPN; и беспроводная сеть. Любая из этих служб может быть чрезвычайно важной для работы компании, и определение потребностей в избыточности или других страховочных мерах следует на­ чинать именно с нее. Например, если удаленным пользователям необходим доступ к системе бронирования гостиничных номеров, но при этом работает единственный сер­ вер удаленного доступа через коммутируемые линии, авария или отключение этого сер­ вера чреваты серьезными проблемами. Этого удастся избежать, обеспечив резервный сервер, например VPN-сервер для доступа через Интернет. Помните: доступность ре­ сурсов компании чрезвычайно важна для ее работников! Необходимо проанализировать текущее распределение ресурсов между сетевыми службами, работающими на NAS, чтобы выбрать сервер, подходящий для той или иной роли в инфраструктуре удаленного доступа (табл. 10-4). Табл. 10-4.

Загруженность подсистем различных типов NAS

Тип NAS

Процессор

Память

Диск

Сеть

Сервер доступа через коммутируемые линии VPN-сервер IAS-сервер

Сильная Сильная Средняя

Сильная Слабая Сильная

—

Сильная Слабая Слабая

-

Чтобы настроить NAS в соответствии с требованиями к удаленному доступу, следу­ ет найти ответы на следующие вопросы: в Сколько пользовательских учетных записей получат разрешение на удаленный до­ ступ? • Каково максимальное число одновременных подключений? в Сколько коммутируемых портов, телефонных линий и модемов потребуется для под­ держки клиентов удаленного доступа через коммутируемые линии? • Сколько портов РРТР необходимо для поддержки предполагаемого максимального числа VPN-подключений? • Сколько портов L2TP потребуется для поддержки предполагаемого максимального числа VPN-подключений? Определив наиболее загруженную подсистему сервера, можно решить, какой из серверов следует настроить как IAS-сервер, а какой — в качестве сервера доступа через коммутируемые линии. Не забывайте, что даже если с сервером все в порядке, может выйти из строя мар­ шрутизатор. Если этот маршрутизатор — единственный шлюз, ведущий в корпоратив­ ную сеть, налицо проблема. Всегда следует помнить о компонентах инфраструктуры сети или проекта, не имеющих резервирования и способных в случае поломки вывести

Занятие 2

Проектирование инфраструктуры удаленного доступа

из строя всю сеть. Слабым звеном проекта является то, которое целиком и полностью зависит от нормальной работы единственного компонента. Иногда сети службы или компоненты работает без сбоев, но все равно является причиной проблем: медленно работающая служба также выбьет компанию из колеи. Сервер доступа через коммутируемые линии, оснащенный единственным модемом, также станет источником проблем, если 30 коммивояжерам одновременно потребуется подключиться через него к корпоративной БД. Чрезвычайно важно быть в курсе загру­ женности компонентов и знать максимальное число пользователей, которое способен обслужить каждый NAS.

Обеспечение избыточности В большинстве случаев для поддержки всех пользователей компании достаточно един­ ственного NAS при условии его правильного размещения. Но, чтобы гарантировать максимальную доступность NAS, необходимо предусмотреть резервные серверы в каж­ дой из сетей. Если корпоративная сеть состоит из нескольких удаленных участков, следует распределить резервные NAS между ними. Это обеспечит избыточность, а так­ же снизит задержку для пользователей, подключающихся к ближайшему VPN-серверу. Там, где подсети связаны единственным маршрутизатором, следует установить до­ полнительный маршрутизатор. Еще раз подчеркнем, что наличие единственного канала обмена данными с подсетью, в которой работает критически важное приложение, — игра с огнем.

Создание решения на основе коммутируемого доступа Если после создания концептуального плана стало ясно, что вместо 10 клиентов потре­ буется поддерживать 150, встанут новые вопросы. • Где расположить NAS? • Нужно ли обеспечить избыточность, установив несколько NAS-серверов? • Куда поместить NAS: во внутреннюю сеть или в периметр? NAS для доступа через коммутируемые линии обеспечивают доступ ко внутренним ресурсам компании, поэтому план должен включать: в общее число телефонных линий, модемов и адаптеров, необходимых для поддержки максимального числа удаленных клиентов, подключающихся одновременно; • учетные записи пользователей, которым будет разрешен удаленный доступ; в все ограничения политик удаленного доступа, действующие для групп пользовате­ лей. Также необходимо предусмотреть резервные телефонные линии и модемы на слу­ чай увеличения числа удаленных пользователей, а также неизбежных сбоев сетевого оборудования.

Создание решения на основе VPN Если план предусматривает проектирование решения на основе VPN, обратите внима­ ние на следующее. в Какой туннельный протокол будет использоваться при подключении клиентов к NAS-серверу: РРТР или L2TP? в Будете ли вы использовать политики удаленного доступа для управления доступом к ресурсам? в Какие методы шифрования и аутентификации будут выбраны для VPN-клиентов?

Выработка стратегии удаленного доступа

Глава 10

Лабораторная работа. Проектирование инфраструктуры удаленного доступа На этой лабораторной работе вы спроектируете инфраструктуру удаленного доступа для Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и отве­ ты» в конце главы.

Сценарий В Northwind Traders возникла необходимость организовать для сотрудников доступ к корпоративной сети через Интернет (текущая инфраструктура сети Northwind Traders показана на схеме к лабораторной работе занятия 3 главы 7). Чтобы гарантировать безопасность корпоративных данных, все подключения к корпоративной сети должны быть защищены наиболее стойким алгоритмом шифрования. Также требуется оптими­ зировать трафик в корпоративной сети, чтобы свести загруженность WAN-каналов до­ полнительным трафиком к минимуму.

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Следует ли включить в план дополнительные каналы доступа в Интернет? Если да, то где именно? Почему? 2. Как необходимо расположить VPN-серверы? Почему вы так считаете? 3. Какие методы аутентификации и шифрования следует включить в план? Обоснуйте свой выбор. 4. Назовите дополнительное оборудование и ПО, которое потребуется VPN серверам.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Опишите компоненты, необходимые для проектирования инфраструктуры удален­ ного доступа через коммутируемые линии. 2. Перечислите требования, которые следует проанализировать перед проектировани­ ем инфраструктуры удаленного доступа для компании. 3. Ваш руководитель и администратор сети небольшой компании нанял консультанта, чтобы он помог вам в разработке стратегии удаленного доступа. Командированным требуется доступ к БД. Консультант предложил применить туннельный протокол,

Занятае 3

Проектирование защиты удаленного доступа

чтобы надежнее защитить подключение к сети через Интернет. Объясните значение термина «туннелирование» и приведите два примера туннельных протоколов, под­ держиваемых Microsoft Server 2003.

Резюме •

Перед созданием концептуального плана удаленного доступа необходимо иметь чет­ кое представление о существующей топологии сети, а также подробную документа­ цию (карту сети, список серверов и рабочих станций и т. д.). а Чтобы гарантировать доступность NAS пользователям, следует предусмотреть до­ полнительные серверы в той же или другой подсети, обслуживающей инфраструк­ туру удаленного доступа, с целью обеспечения избыточности и бесперебойности работы. а Перед утверждением плана удаленного доступа выясните потребности пользовате­ лей, существующую инфраструктуру сети, схемы потоков трафика и важные при­ ложения, работающие в системе.

Занятие 3. Проектирование защиты удаленного доступа Защита инфраструктуры удаленного доступа — одна из важнейших задач администра­ тора сети, нуждающейся в круглосуточной защите от вирусов и атак, которые могут быть направлены против любого из сотен ее компьютеров. В частности, для защиты корпоративных данных требуется аутентификация клиентов при подключении к инфра­ структуре удаленного доступа. Изучив материал этого занятия, вы сможете:

•S защитить удаленные компьютеры; •/ проектировать политики удаленного доступа; •S описать механизм централизованного администрирования посредством IAS. Продолжительность занятия — около 60 минут.

Защита инфраструктуры удаленного доступа По мере расширения инфраструктуры удаленного доступа возникает необходимость внедрения системы централизованной аутентификации и учета. Такая система весьма удобна для планирования предоставления доступа и выставления счетов, учета времени доступа и трафика, использованного клиентами. Возможно, эффективными также ока­ жутся политики удаленного доступа, действующие на подразделения и домены органи­ зации, а не на отдельных пользователей. На данном занятии вы научитесь применять службу проверки подлинности в Интер­ нете (Internet Authentication Service, IAS) для управления инфраструктурой удаленного доступа, а также создавать политики удаленного доступа, которые являются более мощ­ ным способом управления разрешениями удаленного доступа, чем назначение разре­ шений отдельным пользователям.

322

Выработка стратегии удаленного доступа

Глава 10

Создание политики удаленного доступа Политика удаленного доступа состоит из набора правил, каждое из которых содержит одно или несколько условий, параметров профиля и разрешений удаленного доступа. Условие — это один или несколько атрибутов (см. табл. 10-5), значения которых срав­ ниваются с параметрами входящего подключения. Табл. 10-5.

Условия политик удаленного доступа

Атрибут

Описание

Тип проверки подлинности пользова­ теля (Authentication Type)

Тип аутентификации, например CHAP, MS-CHAP и т. д., который используется удаленным клиентом

Номер телефона, набранный пользова­ телем (Called Station ID)

Телефонный номер NAS. Сервер, АТС и драйвер устройства должны поддерживать функции АОН

Номер телефона, откуда поступил вызов (Calling Station ID)

Номер телефона звонящего

Понятное имя клиента RADIUS. (только IAS) [Client-Friendly Name]

Имя клиента RADIUS, запрашивающего аутентификацию

IP-адрес клиента (только IAS) [RADIUS. Client IP Address]

IP-адрес клиента RADIUS

Изготовитель RADIUS-прокси или NAS (только IAS) [Client Vendor]

Производитель сервера доступа к сети, запрашивающего аутентификацию

Периоды времени и дни недели, в ко­ торые пользователю разрешено под­ ключение (Day and Time Restrictions)

День недели и время, когда может быть установлено соединение

Используемый протокол (Framed Protocol)

Используется IAS для определения типа кадров (РРР, SLIP, Frame Relay или Х.25) входящих пакетов

MS RAS Vendor

Производитель рабочей станции клиента RADIUS (обычно этот атрибут не используется)

Строка идентификации NAS — источника запроса (только IAS) [NAS Identifier]

Имя сервера доступа к сети

IP-адрес NAS, откуда поступил запрос (только IAS) [NAS IP Address]

IP-адрес сервера доступа к сети (клиента RADIUS)

Тип физического порта NAS, откуда поступил запрос (только IAS) [NAS Port Type]

Тип сетевой среды, используемый клиентом доступа, например ISDN, беспроводная сеть или аналоговая телефонная линия

Тип службы, запрашиваемой пользова­ телем (Service Type)

Тип службы, например РРР, Telnet и т. д., который запросил пользователь

Используемые туннельные протоколы (Tunnel Type)

Тип туннеля, например PPTR L2TP и т. д., который запрашивается пользователем

Группы Windows, к которым принадле­ жит пользователь (Windows Groups)

Имена групп, в которые входят пользователи и компьютеры, пытающиеся установить соединение

Правила определяют, следует ли разрешить или отклонить подключение. Если под­ ключение разрешено, проверяется профиль, который также может налагать ограниче-

Занятие 8

Проектирование защиты удаленного доступа

ния. Профиль удаленного доступа — это набор свойств, проверяемых для разрешенных подключений. Профиль содержит следующие группы свойств. • Ограничения по входящим звонкам (Dial-in constraints) — позволяет установить время бездействия до отключения сервера, по умолчанию RRAS не разрывает бездейству­ ющие соединения. Также здесь можно установить максимальное время подключе­ ния, дни недели и часы, когда подключение разрешено; ограничения могут быть установлены и по типу сетевой среды. Кроме того, можно отклонять запросы мо­ демных подключений с телефонных номеров, отсутствующих в списке сервера уда­ ленного доступа. м IP (IP). Варианты настройки включают выделение IP-адреса сервером доступа, запрос IP-адреса клиентом и, если статический адрес не назначен, назначение ди­ намического адреса сервером доступа. Здесь также можно настроить фильтры IPпакетов, ограничивающие или блокирующие входящий и исходящий трафик на ос­ новании IP-адреса. в Многоканальное подключение (Multilink) — позволяет разрешить многоканальные подключения, настроить их свойства и определить максимальное число портов для многоканального подключения. • Проверка подлинности (Authentication) — служит для настройки типа аутентифика­ ции подключений (MS-CHAP, EAP и т. д.), также позволяет указать, разрешено ли пользователям изменять просроченные пароли в MS-CHAP и MS- CHAP v2. в Шифрование (Encryption) — позволяет настроить алгоритм шифрования или запре­ тить его, пометив флажок без шифрования, простое, сильное или стойкое шифро­ вание (по алгоритму 3DES с 160-битным ключом). а Дополнительные (Advanced). Вы можете установить дополнительные свойства, оп­ ределив, какие атрибуты RADIUS отсылаются сервером IAS обратно клиенту RADIUS. После авторизации соединения политики удаленного доступа также могут налагать дополнительные ограничения на основании: • времени бездействия; в максимальной длительности сеанса; • стойкости шифрования; в 1Р-фильтров; • дополнительных критериев, таких как IP-адрес для РРР-подключений и статиче­ ских маршрутов.

Применение серверов SAS Если в организации используется несколько серверов доступа к сети, централизация учета и аутентификации подключения становится одной из важных составляющих ве­ дения бизнеса. При использовании службы IAS серверы доступа к сети не отслежива­ ют длительность соединения и не проверяют подлинность пользователей, делегируя эти задачи центральному серверу IAS. Чтобы понять роль IAS, необходимо разобраться в работе службы удаленной проверки подлинности (Remote Authentication Dial-In User Service, RADIUS). Это популярный протокол для централизованного учета, аутентификации и авторизации удаленного до­ ступа к сети. RADIUS поддерживает управление доступом к сети через VPN, комму­ тируемые линии и беспроводные сети.

324

Выработка стратегии удаленного доступа

Глава 10

Как работает RADIUS Для внедрения RADIUS необходимы следующие компоненты: • RADIUS-сервер — сервер, выполняющий аутентификацию, авторизацию и ведущий учет подключения клиентов удаленного доступа, работающих через коммутируемые линии, VPN и беспроводные сети. При попытке подключения RADIUS-сервер срав­ нивает атрибуты входящего подключения с правилами и другими критериями, хра­ нящимися в его БД учетных записей. Такими атрибутами могут быть дата и время, IP-адрес RADIUS-клиента и т. д. На основании их проверки RADIUS-сервер раз­ решает либо отклоняет подключение; • RADIUS-клиент — это сервер удаленного доступа через коммутируемые линии, VPNсервер или беспроводная ТД. При подключении клиента удаленного доступа (рабо­ чей станции) к серверу, являющемуся RADIUS-клиентом, тот принимает запрос и направляет его RADIUS-серверу. Например, если клиент подключился к удаленно­ му серверу — клиенту RADIUS, этот сервер не будет выполнять аутентификацию или авторизацию соединения сам, а передаст эту задачу серверу RADIUS; • RADIUS-прокси. В крупных организациях и компаниях-ISP, предоставляющих услуги коммутируемого доступа, обычно используют для аутентификации, автори­ зации и учета несколько RADIUS-серверов. RADIUS-прокси определяет, какому RADIUS-серверу следует передать запрос. При этом RADIUS-клиент получает за­ прос подключения от клиента удаленного доступа и направит его RADIUS-прокси, а тот, в свою очередь, направляет его соответствующему RADIUS-серверу (см. рис. 10-4).

RADIUSсервер

jf. •%

"4DIUS-ервер

i

!_ NAS

<* 3* I

~

>ig| RADIUS-прокси

Рис. 10-4. RADIUS-клиенты, прокси и серверы совместно обеспечивают аутентификацию пользователей IAS выполняет следующие функции для доступа по коммутируемым линиям, VPN и беспроводным каналам: • централизованный учет. IAS собирает учетную информацию со всех NAS; в централизованная аутентификация. IAS поддерживает множество стандартных мето­ дов аутентификации, таких как CHAP, MS-CHAP версий 1 и 2, а также EAR IAS взаимодействует с любыми коммуникационными устройствами, независимо от их производителя и метода доступа. Если IAS-сервер входит в домен Active Directory, то для аутентификации и авторизации доступа к сети используется БД учетных запи­ сей службы каталогов;

Занятие 3

Проектирование защиты удаленного доступа

в централизованный аудит. IAS регистрирует все успешные и неудачные попытки аутентификации, а также события входа и выхода из сети. Чтобы снять с сервера коммутируемого доступа или VPN-сервера обязанности по учету и аудиту, а также освободить их от хранения соответствующих данных, следует настроить эти серверы как RADIUS-клиенты. В результате они будут направлять все запросы подключений IAS-серверу, при этом политики удаленного доступа RADIUSклиенты перестанут действовать, и вступят в силу политики IAS-сервера.

Проектирование решения на основе RADIUS Приступая к проектированию, прежде всего необходимо определить роль сервера IAS: будет ли он RADIUS-сервером, RADIUS-клиентом или RADIUS-прокси? Скорее все­ го, этот сервер получит роль RADIUS-сервера. Как вам уже известно, NAS, на котором работает служба IAS, называется RADIUS-сервером. Чтобы каждому серверу удаленно­ го доступа не приходилось самостоятельно производить аутентификацию, авторизацию, учет и аудит, включите в проект RADIUS-сервер, способный выполнять все эти функ­ ции. Подобно любому проекту, проект стратегии RADIUS должен предусматривать: • защиту решения на основе RADIUS; • доступность служб RADIUS для удаленных пользователей; и оптимальное быстродействие RADIUS. Чтобы грамотно спроектировать инфраструктуру RADIUS, вновь обратитесь к схе­ мам сети и выясните: в географическое размещение удаленных пользователей; • число пользователей в каждом из удаленных участков; • типы каналов, связывающие удаленные участки, например: Т1, линии с ретрансля­ цией кадров и т. д.

Защита решений на основе RADIUS Удаленные пользователи получат доступ к внутренней сети компании, поэтому реше­ ние на основе RADIUS должно предусматривать защиту конфиденциальной информа­ ции. Так, необходимо защитить соединение между клиентом удаленного доступа и RADIUS-клиентом, а также между клиентом и сервером RADIUS. Для этого можно применять политики удаленного доступа на RADIUS-клиентах, запрещающие подклю­ чение неуполномоченным пользователям, но у применения аналогичных политик на RADIUS-сервере имеется преимущество. Оно состоит в том, что политики удаленного доступа на RADIUS-сервере применяются ко всем пользователям удаленного доступа, поскольку все RADIUS-клиенты, приписанные к данному RADIUS-серверу, исполь­ зуют политики удаленного доступа, настроенные на этом сервере и игнорируют все политики, настроенные для клиента RADIUS. Укрепить защиту решения на основе RADIUS можно при помощи известных вам протоколов аутентификации и алгоритмов шифрования. RADIUS-сервер поддерживает все протоколы аутентификации, о которых рассказывалось выше: в MS-CHAP vl, v2; в EAP-TLS; в CHAP; в SPAP; в PAR

326

Выработка стратегии удаленного доступа

Глава 10

RADIUS-клиенты поддерживают шифрование данных, которыми они обменивают­ ся с клиентами удаленного доступа, при помощи ММРЕ поверх РРТР либо IPSec (если выбран туннельный протокол L2TP). IPSec позволяет шифровать данные по алгоритму со 160-битным ключом, 3-DES.

Обеспечение доступности решений на основе RADIUS Если ваш проект удаленного доступа включает самое современное оборудование и за­ щитные системы, но не в состоянии обеспечить удаленный доступ для клиентов, то вам как системному инженеру не удалось достичь своей цели. Обеспечение доступности инфраструктуры и ресурсов корпоративной сети — это одна из важнейших ваших обя­ занностей. Наиболее очевидный путь повышения доступности для удаленных пользо­ вателей — избыточность RADIUS-клиентов и серверов, но здесь важно найти компро­ мисс между затратами на оборудование резервных IAS-серверов и реально необходи­ мым уровнем доступности. Если компании все же потребуются два IAS-сервера в роли серверов RADIUS, сде­ лайте следующее. • Настройте клиенты RADIUS как RADIUS-прокси, это обеспечит балансировку нагрузки, поскольку RADIUS-прокси будут распределять запросы подключения между RADIUS-серверами. • Сделайте конфигурации обоих IAS-серверов идентичными. Это позволит обоим сер­ верам производить одни и те же функции аутентификации, авторизации, учета и аудита для всех клиентов RADIUS. Убедитесь в доступности серверов и клиентов RADIUS, в том, что удаленные пользо­ ватели смогут получать доступ к ресурсам внутренней сети; проследите, чтобы в систе­ ме не было слабых мест, способных вывести ее из строя. Также поинтересуйтесь у руководства, требуется ли учитывать время подключения пользователей или длительность сеансов. Главное правило для любого проекта — вне­ дрять только те службы и компоненты, которые действительно нужны. Так, не стоит внедрять RADIUS в компании, не требующей централизованного учета, аутентифика­ ции, авторизации и аудита.

Проектирование подключений клиентов Существует несколько способов подключения удаленных клиентов к RADIUS-клиенту, включая технологии, описанные в занятии 1: • аналоговые модемы; • ISDN. В решении следует учесть существующую инфраструктуру и бюджетные ограниче­ ния. В любом случае на схеме сети следует отразить тип внедряемых технологий, реко­ мендованные вами изменения и дополнительные компоненты. Часто в дополнение к каналу с ретрансляцией кадров устанавливают резервную линию ISDN. Если первый канал выйдет из строя, останется доступ через ISDN-линию. Необходимо предусмо­ треть резервирование и для соединений с ISP, поскольку целиком полагаться на него довольно рискованно. Проект может использовать в качестве основного средства досту­ па каналы ISP, когда они работают, но на случай аварии у ISP нужно предусмотреть резервный сервер коммутируемого доступа. Не держите все яйца в одной корзине, по­ заботьтесь о резервировании, особенно если от этого зависит работа компании!

Занятие 3

Праеггирование защиты удаленного доступа

327

Размещение серверов и клиентов RADIUS Проектируя решение на основе RADIUS, продумайте размещение серверов и клиентов RADIUS, чтобы максимально защитить их и свести к минимуму трафик. Необходимо также решить, какой тип клиентов должен поддерживать RADIUS — подключающихся через коммутируемые линии или через VPN. В. любом случае, проект внедрения RADIUS должен включать минимум один RADIUS-сервер и один RADIUS-клиент. RADIUS-клиент следует разместить как можно ближе к пользователям удаленного до­ ступа, это даст следующие преимущества: • уменьшит затраты на телефонную связь благодаря использованию местных звонков; в уменьшит трафик через WAN-каналы; ш уменьшит риск раскрытия конфиденциальных данных благодаря более надежной защите участка сети между RADIUS-клиентом и внутренней сетью компании. RADIUS-сервер следует располагать как можно ближе к контроллеру домена, обеспе­ чивающему аутентификацию клиентов удаленного доступа. Сервер аутентификации и RADIUS-сервер должны находится внутри частной сети, это уменьшит риск атак.

Лабораторная работа. Проектирование защиты удаленного доступа На этой лабораторной работе вы проанализируете требования к планированию защиты удаленного доступа на примере компании, в которой вы работаете (или работали). В качестве плана используйте следующие вопросы. 1. Какие методы аутентификации и шифрования используются в сети вашей органи­ зации для удаленного доступа, в том числе через VPN? 2. Если в вашей организации работает беспроводная сеть, какие механизмы аутенти­ фикации и шифрования используются в ней? 3. Используются ли в вашей организации для аутентификации RADIUS-серверы? Если да, основаны ли они на IAS или другой реализации RADIUS? 4. Используются ли в вашей организации дополнительные средства аутентификации, например смарт-карты? Если да, то в каких случаях?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы администратор сети фирмы по продаже компьютеров, в этой фирме также рабо­ тает множество коммивояжеров. По данным учета оказалось, что стоимость удален­ ного доступа к БД фирмы из стран Азии через модемы очень высока. Какие снизить затраты на удаленный доступ? 2. Вы администратор сети на основе Windows Server 2003, только что закончивший внедрение решения на основе IAS. Каковы преимущества применения политик уда­ ленного доступа на RADIUS-сервере? 3. Вы администратор большой корпоративной сети, по которой разбросано несколько RADIUS-серверов. Какие компоненты помогут передавать запросы подключения определенному RADIUS-серверу?

Выработка стратегии удаленного доступа

Глава 10

Резюме •

Политика удаленного доступа состоит из набора правил, каждое из которых содер­ жит одно или несколько условий, параметров профиля и разрешение удаленного доступа. • Если соединение авторизовано, к подключению применяются ограничения профиля из политики. Профиль удаленного доступа — это набор свойств, применяемых к уже авторизованным соединениям. • По мере роста инфраструктуры удаленного появляется необходимость внедрения централизованной системы аутентификации и учета, такой как IAS, являющейся реализацией Microsoft-реализацией RADIUS. • IAS осуществляет централизованный учет, аутентификацию, авторизацию и аудит доступа через коммутируемые линии, VPN и беспроводные каналы. • RADIUS-сервер выполняет аутентификацию, авторизацию и учет подключений кли­ ентов удаленного доступа. • RADIUS-клиентом может быть сервер коммутируемого доступа, VPN-сервер или беспроводная ТД. При попытке клиента удаленного доступа установить соединение с любым из этих серверов RADIUS-клиент передает запрос подключения RADIUSсерверу. я RADIUS-прокси определяет, какому RADIUS-серверу необходимо направить за­ прос. Так, RADIUS-клиент принимает запрос подключения от удаленного клиента и направляет его RADIUS-прокси, а тот — соответствующему RADIUS-серверу.

Ц Пример из практики Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вам поручено спроектировать стратегию удаленного доступа для отеля на Мауи, кото­ рым управляет компания Contoso Ltd., расположенная в Гонолулу (Гавайи). Бизнес компании построен на бронировании кондоминиумов, квартир и номеров в пятизвездных отелях. Значительная часть дохода Contoso поступает от аренды полей для гольфа, магазинов и ресторанов, расположенных на территории отелей. В сетях многих рестора­ нов работают приложения, не обновлявшиеся в течение десяти лет, что начинает вызы­ вать проблемы. Одна из проблем состоит в том, что магазины расположены слишком далеко от зданий с основными компьютерами (это два сервера под управлением Windows 2000, четыре сервера с Windows Server 2003 и сервер NetWare 4.11, на которых работает база данных заданий по уборке гостиничного комплекса), маршрутизаторами и комму­ таторами, составляющими инфраструктуру сети.

Краткие сведения о компании За последние 12 лет Contoso приобрела множество отелей и ресторанов и продолжает расширять свое присутствие в Юго-Восточной Азии. Основными клиентами являются японские туристы, приносящие компании более 22 миллионов долларов в год.

Пример »з практика

География Кроме штаб-квартиры в Гонолулу, у Contoso имеются филиалы на островах Мауи, Кауаи и в Токио, откуда идет основной поток клиентов. Клиент, желающий посетить острова, должен сделать заказ по телефону. Клиенты диктуют номера кредитных карто­ чек, а служащие, отвечающие за бронирование номеров, заносят их в систему.

Сетевая инфраструктура Каждый филиал отвечает за управление имуществом отелей, включая рестораны и ма­ газины. Большинство офисов связаны подземным оптоволоконным кабелем с главным зданием, в котором располагается все сетевое оборудование (серверы, маршрутизаторы и коммутаторы). Менеджеры в многочисленных небольших офисах используют комму­ тируемые линии для доступа к базе данных отеля.

Планы на будущее Компания планирует разработку Web-приложения для онлайнового бронирования но­ меров с безопасной системой приема платежей банковскими картами.

Вопросы Исходя из предложенного сценария, ответьте на следующие вопросы. 1. Некоторые магазины на Мауи слишком удалены от здания с серверами. В этих магазинах служащим приходится сохранять сведения о клиентах на дискету, а по­ том загружать эти данные на сервер с Windows Server 2003. Это очень неудобно, и вас попросили решить эту проблему. Что вы предложите руководству? 2. Менеджеры, получающие доступ к сети через модемы, жалуются, что утром линия все время занята. Менеджерам важно знать число занятых номеров на определен­ ную дату, поскольку это необходимо для оптовой продажи услуг (во время турниров по гольфу почти все номера в отелях заняты). Как решить эту проблему? 3. Из-за разницы во времени с Японией несколько менеджеров хотят знать, можно ли им получать доступ к внутренней сети из дома, где у них имеется доступ в Интернет через кабельные модемы. Им нужен доступ к корпоративной БД, а также возмож­ ность передачи сведений своим партнерам в Японию. Какую сетевую службу вы порекомендуете для решения этой проблемы? 4. Вам необходимо оценить различные методы аутентификации, которые могут при­ менять клиенты удаленного доступа для подключения к NAS. Какой метод защищен слабее, а какой — сильнее всех?

щ] Резюме главы в Решение удаленного доступа предоставляет удаленным пользователям возможность подключения к корпоративной сети или Интернету. • Клиент, использующие коммутируемые линии, подключается к серверу удаленного доступа через физические соединения с использованием телекоммуникационной инфраструктуры.

330

• •

и

•

•

•

•

•

•

• • м

•

•

Выработка стратегии удаленного доступа

Гяаза 10

VPN-клиенты подключается к сети через Интернет или другие общие сети, исполь­ зуя TCP/IP, а также туннельные протоколы РРТР и L2TP. Беспроводные клиенты подключаются к сети по радиоканалам в диапазоне частот 2,4—5 ГГц, в зависимости от используемой ими версии стандарта беспроводных се­ тей 802.1х. Кроме того, применяют связь на инфракрасных (IR) лучах, частота кото­ рых чуть ниже частоты видимой части спектра, а также каналы с расширением спектра частот. Протокол ЕАР является основой для внедрения смарт-карт и биометрических устройств контроля доступа; последние используют для проверки подлинности биометрические параметры человека. Перед созданием концептуального плана удаленного доступа необходимо иметь чет­ кое представление о существующей топологии сети, а также подробную документа­ цию (карту сети, список серверов и рабочих станций и т. д.). Чтобы гарантировать доступность NAS пользователям, следует предусмотреть до­ полнительные серверы в той же или другой подсети, обслуживающей инфраструк­ туру удаленного доступа, с целью обеспечения избыточности и бесперебойности работы. Перед утверждением плана удаленного доступа выясните потребности пользовате­ лей, существующую инфраструктуру сети, схемы потоков трафика и важные при­ ложения, работающие в системе. Политика удаленного доступа состоит из набора правил, каждое из которых содер­ жит одно или несколько условий, параметров профиля и разрешение удаленного доступа. Если соединение авторизовано, к подключению применяются ограничения профи­ ля. Профиль удаленного доступа — это набор свойств, применяемых к уже автори­ зованным соединениям. По мере роста инфраструктуры удаленного появляется необходимость внедрения централизованной системы аутентификации и учета, такой как IAS, являющейся реализацией Microsoft-реализацией RADIUS. IAS осуществляет централизованный учет, аутентификацию, авторизацию и аудит доступа через коммутируемые линии, VPN и беспроводные каналы. RADIUS-сервер выполняет аутентификацию, авторизацию и учет подключений кли­ ентов удаленного доступа. RADIUS-клиентом может быть сервер коммутируемого доступа, VPN-сервер или беспроводная ТД. При попытке клиента удаленного доступа установить соединение с любым из этих серверов, RADIUS-клиент передает запрос подключения RADIUSсерверу. RADIUS-прокси определяет, какому RADIUS-серверу необходимо направить за­ прос. Так, RADIUS-клиент принимает запрос подключения от удаленного клиента и направляет его RADIUS-прокси, а тот — соответствующему RADIUS-серверу. Если соединение авторизовано, то профиль политики может определять запрещения для данного соединения. Профиль удаленного доступа — это набор свойств, приме­ няемых к соединению в случае его авторизации.

Рекомендации по подготовке к экзамену

gg-|

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Удаленный доступ позволяет удаленным пользователям подключаться к корпора­ тивной сети или Интернету. Клиент, использующие коммутируемые линии, под­ ключается к серверу удаленного доступа через физические соединения с использо­ ванием телекоммуникационной инфраструктуры. VPN-клиенты подключается к частной сети через Интернет или другие общие сети, используя TCP/IP, а также туннельные протоколы РРТР и L2TP для инкапсуляции и шифрования данных. в Для создания концептуального плана удаленного доступа необходимо иметь четкое представление о существующей топологии сети и внедренных в ней технологиях. Чтобы гарантировать доступность NAS пользователям, следует предусмотреть до­ полнительные серверы в той же или другой подсети, обслуживающей инфраструк­ туру удаленного доступа, с целью обеспечения избыточности и бесперебойности работы. т Политика удаленного доступа состоит из набора правил, каждое из которых содер­ жит одно или несколько условий, параметров профиля и разрешение удаленного доступа. К авторизованному подключению применяются ограничения профиля. и По мере роста инфраструктуры удаленного возникает потребность в централизован­ ной системы аутентификации и учета, такой как IAS, являющейся реализацией Microsoft-реализацией RADIUS. IAS — это реализация RADIUS от Microsoft. Ми­ нимальное решение на основе RADIUS включает один RADIUS-сервер и один RADIUS-клиент. • Сервер RADIUS — это NAS со службой IAS. Клиент RADIUS может быть сервером коммутируемого доступа, VPN-сервером или беспроводной ТД. RADIUS-прокси определяет, какому из RADIUS-серверов будет направлен запрос подключения.

Основные термины Точка доступа (ТД) ~ Access point (АР) — приемопередатчик, принимающий сигналы от беспроводных клиентов. ТД подключаются к сегменту LAN, который передает по­ лученные от беспроводного клиента данные серверу удаленного доступа. Сервер доступа к сети ~ Network Access Server (NAS) — сервер, выступающий в роли шлюза для удаленных клиентов, такой сервер можно создать при помощи Windows Server 2003 и службы маршрутизации и удаленного доступа (Routing and Remote Access, RRAS). NAS может быть сервером удаленного доступа через коммутируемые линии либо VPN сервером. RADIUS-сервер — сервер, выполняющий аутентификацию, авторизацию и учет под­ ключений клиентов удаленного доступа. RADIUS-клиент — сервером удаленного доступа через коммутируемые линии, VPN сервер или беспроводная ТД; принимает запросы подключения и направляет их RADIUS-серверу.

332

Выработка стратегий удаленного доступа

Глава 10

RADIUS-прокси — сервер, определяющий, какому RADIUS-серверу следует направить запрос подключения, переданный RADIUS-клиентом. Расширяемый протокол проверки подлинности ~ Extensible Authentication Protocol (EAP) — основа применения таких технологий, как смарт-карты или биометрические устройства контроля доступа, использующие биометрические данные человека для проверки подлинности.

Щ

Вопросы и ответы

Занятие 1. Лабораторная работа 1. Какой протокол аутентификации вы порекомендуете Nortlrwind Traders для внедре­ ния во всех беспроводных сетях? Почему? Правильный ответ: аутентификацию по стандарту 802,1х, поскольку это наиболее безо­ пасный метод аутентификации. 2. Какой алгоритм шифрования следует выбрать для зашиты беспроводных сетей Northwind Traders? Почему? Правильный ответ: WPA (WiFi Protected Access), поскольку этот метод поддерживает наиболее стойкое шифрование. 3. Назовите дополнительные типы серверов и сетевых служб, которые придется вне­ дрить для поддержки беспроводных сетей. Обоснуйте свой ответ. Правильный ответ: для поддержки шифрования WPA потребуется инфраструктура от­ крытых ключей, а также RADIUS-сервер в каждом участке сети для аутентификации 802.1х.

Занятие 1. Закрепление материала 1. Опишите различия между аутентификацией и авторизацией. Правильный ответ: аутентификация — это проверка удостоверений пользователя, та­ ких как имя и пароль, которые пользователь предъявляет серверу удаленного доступа. Авторизация — это проверка наличия у лица, прошедшего проверку подлинности, разре­ шений на доступ к запрашиваемому ресурсу. 2. Несколько программистов из ИТ-отдела хотят работать на дому, чтобы выдержать поставленные перед ними сроки. Дому у них есть доступ в Интернет, поэтому вас попросили внедрить стратегию удаленного доступа, которая позволит программи­ стам работать на дому. Однако один из руководителей считает, это слишком риско­ ванно, и конкурентам легко перехватят код разрабатываемого ПО, поскольку Ин­ тернет — слабо защищенная сеть. Какое решение вы порекомендуете, чтобы ре­ шить эту проблему и успокоить руководство? Правильный ответ: создать VPN-подключения средствами службы RRAS между домаш­ ними компьютерами программистов и VPN-сервером компании. Менеджер может быть уверен, что под защитой шифрованием, обеспечиваемой туннельным протоколом, безо­ пасность данных будет не ниже, чем в LAN. 3. Ваше малое предприятие по розничной торговле так выросло за последние шесть месяцев, что у коммивояжеров появились жалобы на то, что трудно дозвониться к серверу для загрузки прайс-листов. В данный момент на вашем сервере удаленного

Вопросы Й ответы

ggg

доступа установлен один модем, который в рабочие часы постоянно занят. Как ре­ шить эту проблему? Правильный ответ: чтобы сразу несколько пользователей смогли подключаться к серве­ ру удаленного доступа, необходим модемный пул. Драйверы адаптера модемного пула позволяют системе отображать его как многопортовый модем.

Занятие 2. Лабораторная работа 1. Следует ли включить в план дополнительные каналы доступа в Интернет? Если да, то где именно? Почему? Правильный ответ: потребуется добавить подключение к Интернету в Сиднейском офи­ се, обновить интернет-подключения в филиалах Атланты и Лос-Анджелеса, чтобы спра­ виться с дополнительным трафиком. Интернет-подключение в Атланте требует особого внимания, поскольку широкополосные каналы часто ассиметричны и передают данные намного медленнее, чем принимают. 2. Как необходимо расположить VPN-серверы? Почему вы так считаете? Правильный ответ: VPN-серверы — в каждом филиале, чтобы дать пользователям воз­ можность подключаться к ближайшему офису и снизить тем самым объем VPN-трафика через WAN-каналы, Для этого можно настроить брандмауэр Интернета в сети филиала как VPN-сервер. 3. Какие методы аутентификации и шифрования следует включить в план? Обоснуйте свой выбор. Правильный ответ: протоколы L2TP/IPSec для всех соединений, иначе трафик не прой­ дет через сервер NAT. Всем работникам, обращающимся к корпоративной сети через VPN, будут выданы смарт-карты, которые они будут обязаны использовать для аутен­ тификации при получении VPN-доступа. VPN-подключения будут защищены IPSec с шифрованием 3DES. 4. Назовите дополнительное оборудование и ПО, которое потребуется VPN серверам. Правильный ответ: в связи с применением IPSec и аутентификации при помощи смарткарт потребуется внедрить инфраструктуру открытых ключей (Public Key Infrastructure, PKI) для поддержки VPN.

Занятие 2. Закрепление материала 1. Опишите компоненты, необходимые для проектирования инфраструктуры удален­ ного доступа через коммутируемые линии. Правильный ответ: телефонные линии, модемы и адаптеры в количестве, достаточном для поддержки ожидаемого числа одновременных клиентских подключений. 2. Перечислите требования, которые следует проанализировать перед проектировани­ ем инфраструктуры удаленного доступа для компании. Правильный ответ: следует определить потребности пользователей, получить четкое представление о существующей инфраструктуре сети, схемах потоков трафика и всех важных приложениях, применяемых в компании. Разумно заранее выяснить ограничения бюджета, поскольку от этого в значительной степени зависят все дальнейшие действия. 3. Ваш руководитель и администратор сети небольшой компании нанял консультанта, чтобы он помог вам в разработке стратегии удаленного доступа. Командированным требуется доступ к БД. Консультант предложил применить туннельный протокол, чтобы надежнее защитить подключение сети через Интернет. Объясните значение

Выработка стратегии удаленного доступа

Глаза 10

термина «туннелирование» и приведите два примера туннельных протоколов, под­ держиваемых Microsoft Server 2003. Правильный ответ: туннелирование — синоним инкапсуляции, то есть упаковки данных и заголовка с последующим их шифрованием. РРТР и L2TP s два туннельных протоко­ ла, поддерживаемых Windows Server 2003.

Занятие 3. Закрепление материала 1. Вы администратор сети фирмы по продаже компьютеров, в этой фирме также рабо­ тает множество коммивояжеров. По данным учета оказалось, что стоимость удален­ ного доступа к БД из стран Азии через модемы очень высока. Какие снизить затра­ ты на удаленный доступ? Правильный ответ: следует настроить время бездействия до отключения сервера, так как RRAS по умолчанию не отключает простаивающие соединения. Также можно назна­ чить максимальное время подключения, а также дни недели и часы, когда подключение разрешено. Возможно также ограничить входящие звонки по типу среды передачи и, например, отклонять все модемные подключения с телефонных номеров, не соответству­ ющих номерам, заданным в списке сервера удаленного доступа. 2. Вы администратор сети на основе Windows Server 2003, только что закончивший внедрение решения на основе IAS. Каковы преимущества применения политик уда­ ленного доступа на RADIUS-сервере? Правильный ответ: преимущество применения политик удаленного доступа на сервере, а не на клиенте RADIUS в том, что политики удаленного доступа, настроенные на RADIUS-сервере, действуют на всех пользователей удаленного доступа. Все RADIUSклиенты, приписанные к данному серверу RADIUS, используют политики удаленного доступа, настроенные на этом сервере, игнорируя свои политики. 3. Вы администратор большой корпоративной сети, по которой разбросано несколько RADIUS-серверов. Какие компоненты помогут передавать запросы подключения определенному RADIUS-серверу? Правильный ответ: в крупных организациях и ISP, предоставляющих услуги удаленно­ го доступа через коммутируемые линии, аутентификацию, авторизацию и учет, осуще­ ствляют несколько RADIUS-серверов. RADIUS-прокси определяет, какому RADIUSсерверу направить запрос.

Пример из практики 1. Некоторые магазины на Мауи слишком удалены от здания с серверами. В этих магазинах служащим приходится сохранять сведения о клиентах на дискету, а по­ том загружать эти данные на сервер с Windows Server 2003. Это очень неудобно, и вас попросили решить эту проблему. Что вы предложите руководству? Правильный ответ: Пришло время внедрить беспроводную сеть. Поскольку магазин на­ ходится слишком далеко от главной сети, можно установить ТД между магазином и NAS, подключенным к внутренней сети филиала Мауи. позволит автоматически запи­ сывать все сведения о транзакциях, выполненных в магазине, в БД сервера, располо­ женного во внутренней сети. 2.

Менеджеры, получающие доступ к сети через модемы, жалуются, что утром линия все время занята. Менеджерам важно знать число занятых номеров на определен-

Опросы и ответы ную дату, поскольку это необходимо для оптовой продажи услуг (во время турниров по гольфу почти все номера в отелях заняты). Как решить эту проблему? Правильный ответ: скорее всего, модемный пул не установлен, хотя, по-видимому, он требуется в этой ситуации. Если доступен единственный модем, не удивительно, что пользователи испытывают трудности с дозвоном. Выбирайте оборудование модемного пула только из списка совместимых устройств (Hardware Compatibility List, HCL) и проследите за тем, чтобы он был правильно установлен в NAS. 3. Из-за разницы во времени с Японией несколько менеджеров хотят знать, можно ли им получать доступ к внутренней сети из дома, где у них имеется доступ в Интернет через кабельные модемы. Им нужен доступ к корпоративной БД, а также возмож­ ность передачи сведений своим партнерам в Японию. Какую сетевую службу вы порекомендуете для решения этой проблемы? Правильный ответ: можно настроить NAS как VPN-сервер, чтобы VPN-клиенты обме­ нивались данными через защищенный туннель. Пользователи смогут подключаться к внутренней сети вашей компании через Интернет, защитить подключение можно, на­ пример, комбинацией протоколов L2TP и IPSec. 4. Вам необходимо оценить различные методы аутентификации, которые могут при­ менять клиенты удаленного доступа для подключения к NAS. Какой метод защищен слабее, а какой — сильнее всех? Правильный ответ: РАР — наименее защищенный из применяемых для удаленного до­ ступа протоколов аутентификации, поскольку он передает пароли открытым текстом. Протокол ЕАР обеспечивает максимальную защиту аутентификации благодаря исполь­ зованию сертификатов на смарт-картах и взаимной аутентификации клиента и сервера.

Предметный указатель А АСК 256 ACL (access control list) 5, 190 Active Directory 3, 4, 23 — логическая структура 4 — модель 75 — раздел домена 155 — раздел конфигурации 155 — раздел схемы 155 — репликация 13 — физическая структура сети 11 Active Directory integrated zone см. зона, интегрированная в Active Directory ADLB (Active Directory Load Balancing) 167 administrative boundary см. админи­ стративная единица alias см. псевдоним ANI (Automatic Number Identification) 39 APIPA (Automatic Private IP Addressing) 33 ARP (Address Resolution Protocol) 27 ATM (Asynchronous Transfer Mode) 28 AXFR (Full Zone Transfer) см. зонная передача, полная

В BDC (backup domain controller) 62 BIND 187, 196 bridgehead server см. сервер, плацдарм; сервер, межсайтовой репликации

С callback см. обратный вызов Caller ID см. идентификация звонящего CHAP (Challenge Handshake Authentication Protocol) 38, 310, 325 CIDR (Classless Internet Domain Routing) 30 closet см. монтажный шкаф COM (Component Object Model) 287 credential см. удостоверение

D DACL (discretionary access control list) 193 DAP (Directory Access Protocol) 3 data delivery см. доставка данных DCOM (Distributed Component Object Model) 287 default gateway см. шлюз, основной default subnet mask см. маска подсети, по умолчанию

DFS (Distributed File System) 146, 147 DHCP (Dynamic Host Configuration Protocol) 23, 33, 56, 63, 189, 218, 259-264 DHCP relay agent см. агент ретрансляции DHCP dial-up access см. удаленный доступ, по коммутируемым линиям directory см. каталог distribution group см. группа, распро­ странения DMZ (Demilitarization Zone) 255 DN (distinguished name) 80, 87 DNS (Domain Name System) 1, 16, 17, 23, 26, 63, 90, 182-194, 204, 265 — динамическая 23 — зона обратного именования 23 — клиент 21 domain functionality см. домен, функциональность Domain Naming Master см. роль, хозяин, именования доменов domain partition information см. домен, информация раздела down-level domain см. домен, ограниченный

Е ЕАР (Extensible Authentication Protocol) 38, 310 EAP-TLS (Extensible Authentication Protocol Transport Layer Security) 310, 325 equal masters см. равные хозяева Ethernet 28 external trusts см. доверительные отношения, доверие к внешнему домену

F Fast zone transfer см. зонная передача, быстрая firewall см. брандмауэр forest см. лес forest functionality см. лес, функциональность forest root domain см. домен, корневой леса forest trust см. доверительные отношения, доверие к лесу forward lookup query см. запрос, прямого просмотра

Предметный указатель FQDN (fully qualified domain name) 5, 19, 90, 183 . frame см. кадр FRS (File Replication Service) 146, 148 FSMO (flexible single master operations) 89 FTP (File Transfer Protocol) 26

G gateway см. шлюз GPO (Group Policy Object) 61, 107, 108, 109, 127 — OU 129 — домена 129 — локальный 129 — развертывание 132 — сайта 129 — связывание с OU 132 — связывание с доменом 131 — связывание с сайтом 131 — структура 131 — фильтрация 131

н hop см. переход host см. хост host ID см. идентификатор хоста HOSTS 16 HTTP (Hypertext Transfer Protocol) 26

I IAS (Internet Authentication Service) 321, 323 ICF (Internet Connection Sharing) 284 ICMP (Internet Control Message Protocol) 27, 28 IGMP (Internet Group Management Protocol) 27, 28 IIS (Internet Information Services) 63 Infrastructure Master см. роль, хозяин инфраструктуры intersite replication см. репликация, межсайтовая intrasite replication см. репликация, внутрисайтовая inventory см. инвентарный список IP (Internet Protocol) 13,27 IP Lease Discover см. IP-адрес, обнаружение аренды IP routing см. IP-маршрутизация IPSec 195 IP-адрес 28 — аренда 33 — класс 29, 246 — маска подсети 248

ggj

— назначение 260 — обнаружение аренды 260 — получение 247 IP-адресация 28, 56, 244, 246 — автоматическая частная 262 — с применением классов 29 1Р-маршрутизация 16 ISDN (Integrated Services Digital Network) 35, 305 IXFR (Incremental Zone Transfer) см. зонная передача, добавочная

К КСС (Knowledge Consistency Checker) Kerberos 10, 287

163

L L2TP 312 LAN (local area network) 13, 55 LDAP (Lightweight Directory Access Protocol) 3, 4, 86, 118, 287 leasing см. IP-адрес, аренда LMHOSTS 16 load balancing см. балансировка нагрузки locator service см. служба локатора

ш mail exchange record см. запись, почтового сервера MD-5 Challenge 310 member server см. сервер, рядовой MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) 38, 310, 325 multicast group membership см. членство в группах IP-рассылки multicasting см. групповая рассылка multimaster model см. модель репликации с несколькими хозяевами

N name resolution см. разрешение имени name server record см. запись, сервера имен namespace см. пространство имен NAS 309 NAT 284, 288 NDS (Novell Director)' Services) 3 NetBEUI (NetBIOS Extended User Interface) 37 NetBIOS (network basic input output system) 26, 37, 89, 216, 220, 227 network ID см. идентификатор сети node см. узел

838

Предметный указатель

О one-time password system см. система с одноразовым паролем operations master role см. роль, хозяин, операций OSPF (Open Shortest Path First) 32 OU (organizational unit) 7, 8, 48, 76, 101113

P PAP (Password Authentication Protocol) 37, 310, 325 parent and child trusts см. доверительные отношения, доверие к родительскому и дочернему доменам patch panel см. соединительная панель PDA (Persona! Digital Assistants) 307 PDC (primary domain controller) 62 PEAP (Protected Extensible Authentication Protocol) 310 pointer (PTR) record см. запись, указателя policy см. политика РРР (Point-to-Point Protocol) 36 РРТР 312 preferred route см. маршрут пред­ почтительный Primary Domain Controller (PDC) Emulator см. роль, эмулятор основного контроллера домена Primary zone см. зона, основная primary zone file см. зона, основной файл private network см. частная сеть PSTN 305 PSTN (public switched telephone network) 35 public address см. общий адрес

R RADIUS (Remote Authentication Dial-In User Service) 323-326 RAP (Remote Access Policies) 39 RAS 37 RDN (relative distinguished name) 87 realm trusts см. доверительные отношения, доверие к сфере redundancy см. избыточность Relative Identifier (RID) Master см. роль, хозяин RID resolver см. интерпретатор resource record см. запись, ресурса reverse WINS record см. запись, обратного просмотра WINS RIP (Routing Information Protocol) 32 router см. маршрутизатор routing см. маршрутизация

routing table см. таблица маршрутизации RPC (Remote Procedure Call) 162, 287 RRAS (Routing and Remote Access Service) 35, 284 rule см. правило

s SAM (Security Accounts Manager) 2, 75, 76 schema см. схема Schema Master см. роль, хозяин, схемы scope см. область secondary zone см. зона, дополнительная secondary zone file см. зона, дополнительный файл secure access token см. маркер защищенного доступа security boundary см. зона, безопасности security database см. база данных защиты security group см. группа, безопасности security principal см. участник системы безопасности security principal object см. объект участника системы безопасности service record см. запись, службы shortcut trusts см. доверительные отношения, доверие к сокращению SID (security identifier) 12, 88, 154 SLIP (Serial Line Internet Protocol) 37 SMTP (Simple Mail Transfer Protocol) 13, 26, 162 SNMP (Simple Network Management Protocol) 287 SPAP (Shiva Password Authentication Protocol) 37, 310, 325 SRV (service record) 90 stub zone см. зона, заглушка

т TCP (Transmission Control Protocol) 26 TCP/IP (Transmission Control Protocol/ Internet Protocol) 16, 25, 246 — уровень межсетевой 25, 27 прикладной 25, 26 сетевого доступа 25, 28 транспортный 25, 26 Telnet 26 ticket см. билет tree см. дерево tree-root trusts см. доверительные отношения, доверие к корневому домену дерева trust relationships см. доверительные отношения

Предметный указатель

trusting domain см. домен, доверяющий TTL (Time to Live) 27

и UDP (User Datagram Protocol) 26 UPN (user principal name) 83, 87, 88, 155 user object см. объект, пользователя VPN (Virtual Private Network) 304, 311, 312, 313

36, 195, 282,

w WAN (wide area network) 13, 55 well-known service record см. запись, общеизвестных сервисов WINS (Windows Internet Name System) 189, 191, 215-234

X X.25 35 X.500 3

zone

см. зона

A автоматическое назначение частных IP-адресов см. APIPA автоматическое определение номера см. ANI агент DHCP-ретрансляции 56, 261 административная единица 5 аутентификация 121,310

Б база данных защиты 5 балансировка нагрузки 20 билет 121 брандмауэр 31 — SPI (stateful packet inspection) — прикладного уровня 256 — с фильтрацией пакетов 256

256

3 виртуальная частная сеть см. VPN группа 122 — именование 124 — безопасности 122 — вложение 124 — глобальная 122 — локальная домена 123 — распространения 122

16,

— универсальная 123 групповая политика 107,126,127 — администрирование 132 — назначение 127 — наследование 130 — публикация 127 групповая рассылка 28

д делегирование административного управления 102 дерево 4, 6, 81 диспетчер учетных записей безопасности см. SAM доверительные отношения 8 — внешнее доверие 9 — двусторонние транзитивные 8 — доверие к внешнему домену 8 — доверие к корневому домену дерева 8 — доверие к лесу 8, 10, 82 — доверие к родительскому и дочернему доменам 8 — доверие к сокращению 8, 9, 61, 153 — доверие к сфере 8,10 домен 4, 5, 11, 75, 77 — верхнего уровня 18 — второго уровня 19 — доверяющий 8 — информация раздела 162 — корневой 18 — корневой леса 7, 153 — ограниченный 9 — функциональность 64 доменная система именования см. DNS доставка данных 26

запись — Start of Authority 23 — Windows Internet Name Service 23 — захоронение 234 — обратного просмотра WINS 23, 192 — общеизвестных сервисов 23 — почтового сервера 23 — ресурса WINS 191 — ресурса 19, 22, 183 — сервера имен 23 — службы 23 см. также SRV — удаление 234 — указателя 22, 23 запрос — обратного просмотра 21, 22 — прямого просмотра 21 зона 19, 20. 183. 192

Ш

Предметный указатель

— безопасности 5 — демилитаризованная см. DMZ — дополнительная 20, 184 — дополнительный файл 20 — заглушка 184, 201 — интегрированная в Active Directory 193 — обратного просмотра 201 — основная 20, 184 — основной файл 20 — стандартная основная 193 — хранение 200 зонная передача 193 - B I N D 196 — быстрая IS4 — добавочная 184 — полная 184

Л лес 4, 6, 7, 64, 80, 82 локальная сеть см. LAN

м 184,

И идентификатор — защиты см. SID — сети 28 — хоста 28 идентификация — звонящего 39 — пользователя 10 избыточность 20, 277, 319 имя — запрос 221 — каноническое 87, 88 — обновление 221 — освобождение 221 — основное пользователя см. UPN — относительное составное см. RDN — разрешение 221 — регистрация 221 — составное см. DN — участника системы безопасности см. UPN инвентарный список 56 интерпретатор 20, 21

К кадр 58 каталог 2, 10 клиент сетевой 305 коммутируемая телефонная сеть общего пользования см. PSTN контейнер 108 контроллер домена 11, 151, 152 — основной см. PDC — пропускная способность 157 — резервный см. BDC контрольная точка 225

маркер защищенного доступа 38 маршрут предпочтительный 32 маршрутизатор 28, 32, 55 маршрутизация 32 маска подсети 248, 261 — по умолчанию 30 модель репликации с несколькими хозяевами 11, 14 монтажный шкаф 56

О область 33, 260 обратный вызов 38 общий адрес 31 объект 4 — групповой политики см. GPO — класс 5 — ограничение видимости 106 — пользователя 5 — участника системы безопасности 91 организационная единица 4; см. также OU основное имя пользователя см. UPN

п партнер — извещающий 233 — опрашивающий 233 переход 32 персональный цифровой помощник см. PDA политика 39 — удаленного доступа 322 см. также RAP — управления паролями 120 полное доменное имя см. FQDN порт — зарегистрированный 27 — общеизвестный 27 — частный 27 правило 39 пропускная способность 281,316 пространство имен 6, 17, 188 псевдоним 22

Р равные хозяева 14 разрешение имени 16, 20, 218, 220 распределенная файловая система см. DFS региональная сеть см. WAN

Предметный указатель репликация 13, 161 — WINS 232 — внутрисайтовая 14,161 — защита данных 195 — межсайтовая 14,161 — с несколькими хозяевами 147 — транспорт 162 роль — хозяин RID (relative ID master) 12, 88, 154 именования доменов 12, 88, 154 инфраструктуры 12, 154 операций 11,62,153 схемы 11, 79, 153 — эмулятор основного контроллера домена 12, 154

С сайт 13, 145 — объект связи 13 — связь 13, 146, 163, 166 мост 164 расписание доступности 166 транзитивность 163 цена 165 — сервер репликации 167 — структура 148 — топология 145, 150 сервер — глобального каталога 12, 155 — дополнительный имен 185 — доступа к сети 309 — имен 20 — кэширующий 185, 204 — межсайтовой репликации 62 — основной имен 185 — плацдарм 166 — рядовой 118 система с одноразовым паролем 38 служба — локатора 24 — маршрутизации и удаленного доступа см. RRAS — межсетевых имен Windows см. WINS — общего доступа к Интернету см. ICF — проверки подлинности в Интернете см. IAS

— репликации файлов см. FRS — удаленной проверки подлинности см. RADIUS служба каталогов — безопасность 3 — масштабируемость 3 — разделение физической сети 3 — расширяемость 3 — стандартизация 3 — централизация 3 соединительная панель 56 сокет 26 составное имя см. DN список — управления доступом см. ACL — управления избирательным доступом DACL схема 5

т таблица маршрутизации точка доступа 307

32

У удаленный доступ 35, 304, 316, 321 — по коммутируемым линиями 56 — через VPN 311 удостоверение 37 узел 16 см. также хост участник системы безопасности 88, 117 учетная запись 117 учетная запись пользователя 118 — встроенная 119 — доменная 119 — локальная 119

X хост

16 см. также узел

ч частная сеть 31 членство в группах 1Р-рассылки

ш шаблон административный шлюз 32, 37 — основной 32

128

28

Уолтер Гленн (Walter Glenn) MCSE и МСТ, в компьютерной индустрии уже более 17 лет и сейчас работает в Хант­ свилле (Алабама) в качестве консультанта, преподавателя и писателя. Автор или соав­ тор около 20 книг по компьютерной тематике, в том числе «Exchange Server 2003 Administrator's Companion» (Microsoft Press, 2003), «MCSE: Exchange 2000 Server Administration Study Guide» (Sybex, 2000) и «Mike Meyers' MCSA Managing a Microsoft Windows Server 2003 Network Environment Certification Passport» (Osborne, 2003). Также написал целый ряд учебных курсов для обучения через Web для подготовки к серти­ фикации по программам Microsoft. МаЙКЛ Т. СИМПСОН (Michael T. Simpson) Президент и старший консультант компании MTS Consulting, Inc. (штат Гавайи), кото­ рая специализируется на поддержке, конфигурировании и проектировании сетей. Он проводит оценку уязвимостей и тесты на возможность взлома систем безопасности для предприятий, а также ведет семинары по защите сетей в частном секторе и для прави­ тельственных организаций. Майкл является обладателем сертификатов MCSE, MCSA, МСТ, CNE, CCNP, Security-r и Certified Ethical Hacker (СЕН). Соавтор четырех книг, имеет более чем 17-летний опыт работы, в том числе 12-летний в министерстве оборо­ ны, где занимался проектированием и конфигурированием компьютерных сетей, а так­ же был руководителем отдела безопасности информационных систем.

Уолтер Гленн при участии Майкла Т. Симпсона Проектирование инфраструктуры Active Directory и сети на основе Microsoft Windows Server 2003 ЛвСЖЫЙ КурС fiSICs'GSOtt

Перевод с английского под общей редакцией

А. Е. Соловченко

Совместное издание издательства «Русская Редакция» и издательства «Питер»

ML РУССКАЯ Р Е Ш И »

^ППТЕР®

Лицензия ИД № 05784 от 07.09.01. Подписано к печати 22.08.05. Формат 70x100 '/

Усл. п. л. 29,67.

Тираж 2500. Заказ 312. ООО «Питер Принт», 194044, Санкт-Петербург, Б. Сампсониевский пр., д. 29а. Налоговая льгота — общероссийский классификатор продукции ОК 005-93, том 2; 95 3005 — литература учебная. Отпечатано с готовых диапозитивов в ОАО «Техническая книга». 190005, Санкт-Петербург, Измайловский пр., д. 29.

ПЗаАТЕПЬСКПП

ЛОМ

' ПМТ/FD®

I^ZZк W WЕЕ ЕЛ El'"". W.PITER.COM

СПЕЦИАЛИСТАМ

КНИЖНОГО БИЗНЕСА!

ПРЕДСТАВИТЕЛЬСТВА ИЗДАТЕЛЬСКОГО ДОМА «ПИТЕР» предлагают эксклюзивный ассортимент компьютерной, медицинской, психологической, экономической и популярной литературы

РОССИЯ Москва

м. «Павелецкая», 1-й Кожевнический переулок, д. 10; тел./факс (095) 234-38-15, 25570-67, 255-70-68; e-mail: [email protected] Санкт-Петербург м. «Выборгская», Б. Сампсониевский пр., д. 29а; тел./факс (812) 703-73-73, 703-73-72; e-mail: [email protected] Воронеж

Екатеринбург

ул. 25 января, д. 4; тел./факс (0732) 39-43-62, 39-61 -70; e-mail: [email protected]

ул. 8 Марта, д. 2676, офис 203, 205; тел./факс (343) 225-39-94, 225-40-20; e-mail: [email protected]

Нижний Новгород ул. Совхозная, д. 13; тел. (8312) 41-27-31; e-mai!: [email protected] Новосибирск ул. Немировича-Данченко, д. 104, офис 502; тел./факс (383) 354-13-09, 211-27-18; e-mail: [email protected] Ростов-на-Дону

ул. Ульяновская, д. 26; тел. (863) 269-91 -22, 269-91-30; e-mail: [email protected]

Самара

ул. Аминева, д. 17; тел. (846) 994-22-62, 994-69-53; e-mail: [email protected]

Харьков

ул. Суздальские ряды, д. 12, офис 10-11; тел./факс (10-38-057) 712-27-05, 751-10-02, (0572) 58-41-45; e-mail: [email protected]

УКРАИНА

Киев

пр. Московский, д. 6, кор. 1, офис 33; тел./факс (10-38-044) 490-35-68, 490-35-69; e-mail: [email protected]

БЕЛАРУСЬ Минск

r w ^

ул. Бобруйская, д. 21, офис 3; тел./факс (10-375-17) 226-19-53; e-mail: [email protected]

Ищем зарубежных партнеров или посредников, имеющих выход на зарубежный рынок. Телефон для связи: (812) 703-73-73. E-mail: [email protected]

/ V ^ Издательский дом «Питер» приглашает к сотрудничеству авторов. ^ Обращайтесь по телефонам: Санкт-Петербург - (812) 103-73-72, Москва - (095) 974-34-50. Заказ книг для вузов и библиотек: (812) 703-73-73. Специальное предложение - e-mail: [email protected]