Замечания по автоматической установке операционной системы Windows Server.

Вопросы автоматической установки системы не входят в данный учебный курс. Для получения начальной информации по этой теме рекомендуем ознакомиться с материалами, имеющимися на установочном компакт-диске. На этом CD есть папка \SUPPORT\TOOLS, в которой среди прочих имеется файл DEPLOY.CAB. В данном файле содержится ряд утилит, которые помогают автоматизировать процедуру установки системы и подготовить сценарии для тиражирования установки на большое количество серверов. Это в первую очередь программа установки winnt32.exe (и ее 16-битный собрат winnt.exe), которая в комбинации с различными ключами и параметрами может намного ускорить процесс установки. А также программы setupmgr.exe и sysprep.exe. В файле DEPLOY.CAB имеется также файл deploy.chm, в котором содержится подробное описание использование всех данных утилит.

С дистрибутивного компакт-диска можно установить комплект ресурсов Windows Server 2003 Support Tools. Средства поддержки — это универсальный набор утилит для выполнения любых сервисных задач от диагностики системы до сетевого мониторинга.

Есть много способов администрирования систем Windows Server 2003. Чаще всего применяются следующие.

• Панель управления — набор средств для управления конфигурацией системы Windows Server 2003. В классическом меню Пуск (Start) доступ к этим средствам открывает подменю Настройка (Settings), в упрощенном меню Пуск (Start) команда Панель управления (Control Panel) доступна сразу.

• Графические средства администрирования — ключевые средства для управления компьютерами в сети и их ресурсами. Доступ к необходимому средству можно получить, щелкнув его значок в подменю Администрирование (Administrative Tools).

• Мастера администрирования — средства автоматизации ключевых административных задач. В отличие от Windows NT мастера не сосредоточены в центральном месте — доступ к ним происходит посредством выбора соответствующих параметров меню и других средств администрирования.

• Функции командной строки. Большинство административных действий можно выполнять из командной строки.

3. Лабораторная работа: Установка операционной системы Windows 2003 Server:

В этом упражнении вы освоите установку операционных систем семейства Windows 2003 Server

Упражнение 1. Установка операционной системы Windows 2003 Server (редакция Standard или Enterprise)

4. Лекция: Протокол tcp/ip, служба dns:

Работа сетевых компонент операционных систем семейства Windows Server базируется на протоколе TCP/IP, а функционирование службы каталогов Active Directory полностью зависит от службы DNS. По этой причине описание протокола TCP/IP и службы DNS вынесено в отдельный раздел, предваряющий изучение остальных служб и компонент. В лекции 1 были кратко описаны протоколы и приложения, образующие стек TCP/IP, поэтому в данном разделе подробно рассматриваются правила адресации узлов IP-сетей и алгоритмы взаимодействия узлов, а также работа службы доменных имен DNS.

4.1 Основы функционирования протокола tcp/ip (ip-адрес, маска подсети, основной шлюз; деление на подсети с помощью маски подсети; введение в ip-маршрутизацию). Адресация узлов в ip-сетях

В сетях TCP/IP принято различать адреса сетевых узлов трех уровней

• физический (или локальный) адрес узла (МАС-адрес сетевого адаптера или порта маршрутизатора); эти адреса назначаются производителями сетевого оборудования;

• IP-адрес узла (например, 192.168.0.1), данные адреса назначаются сетевыми администраторами или Интернет-провайдерами;

• символьное имя (например, www.microsoft.com); эти имена также назначаются сетевыми администраторами компаний или Интернет-провайдерами.

Рассмотрим подробнее IP-адресацию.

Компьютеры или другие сложные сетевые устройства, подсоединенные к нескольким физическим сетям, имеют несколько IP-адресов — по одному на каждый сетевой интерфейс. Схема адресации позволяет проводить единичную, широковещательную и групповую адресацию. Таким образом, выделяют 3 типа IP-адресов.

1. Unicast-адрес (единичная адресация конкретному узлу) — используется в коммуникациях "один-к-одному".

2. Broadcast-адрес (широковещательный адрес, относящийся ко всем адресам подсети) — используется в коммуникациях "один-ко-всем". В этих адресах поле идентификатора устройства заполнено единицами. IP-адресация допускает широковещательную передачу, но не гарантирует ее — эта возможность зависит от конкретной физической сети. Например, в сетях Ethernet широковещательная передача выполняется с той же эффективностью, что и обычная передача данных, но есть сети, которые вообще не поддерживают такой тип передачи или поддерживают весьма ограничено.

3. Multicast-адрес (групповой адрес для многоадресной отправки пакетов) — используется в коммуникациях "один-ко-многим". Поддержка групповой адресации используется во многих приложениях, например, приложениях интерактивных конференций. Для групповой передачи рабочие станции и маршрутизаторы используют протокол IGMP, который предоставляет информацию о принадлежности устройств определенным группам.

Unicast-адреса.

Каждый сетевой интерфейс на каждом узле сети должен иметь уникальный unicast-адрес. IP-адрес имеет длину 4 байта (или 32 бита). Для удобства чтения адресов 32-битные числа разбивают на октеты по 8 бит, каждый октет переводят в десятичную систему счисления и при записи разделяют точками. Например, IP-адрес 11000000101010000000000000000001 записывается как 192.168.0.1.

I P-адрес состоит из двух частей — идентификатор сети (префикс сети, Network ID) и идентификатор узла (номер устройства, Host ID). Такая схема приводит к двухуровневой адресной иерархии. Структура IP-адреса изображена на рис. 4.1.

Рис. 4.1

Идентификатор сети идентифицирует все узлы, расположенные на одном физическом или логическом сегменте сети, ограниченном IP-маршрутизаторами. Все узлы, находящиеся в одном сегменте должны иметь одинаковый идентификатор сети.

Идентификатор узла идентифицирует конкретный сетевой узел (сетевой адаптер рабочей станции или сервера, порт маршрутизатора). Идентификатор узла должен быть уникален для каждого узла внутри IP-сети, имеющей один идентификатор сети.

Таким образом, в целом IP-адрес будет уникален для каждого сетевого интерфейса всей сети TCP/IP.

Соотношение между идентификатором сети и идентификатором узла в IP-адресе определяется с помощью маски подсети (Network mask), которая имеет длину также 4 байта и также записывается в десятичной форме по 4 октета, разделенных точками. Старшие биты маски подсети, состоящие из 1, определяют, какие разряды IP-адреса относятся к идентификатору сети. Младшие биты маски, состоящие из 0, определяют, какие разряды IP-адреса относятся к идентификатору узла.

IP-адрес и маска подсети — минимальный набор параметров для конфигурирования протокола TCP/IP на сетевом узле.

Для обеспечения гибкости в присваивании адресов компьютерным сетям разработчики протокола определили, что адресное пространство IP должно быть разделено на три различных класса — А, В и С.

В дополнение к этим трем классам выделяют еще два класса. D — этот класс используется для групповой передачи данных. Е — класс, зарезервированный для проведения экспериментов.

IP-адреса класса А.

С тарший бит любого IP-адреса в сети класса А всегда равен 0. Идентификатор сети состоит из 8 бит, идентификатор узла — 24 бита. Маска подсети для узлов сетей класса A — 255.0.0.0. Структура IP-адресов класса А приведена на рис. 4.2.

Рис. 4.2

IP-адреса класса B.

Д ва старших бита любого IP-адреса в сети класса B всегда равны 10. Идентификатор сети состоит из 16 бит, идентификатор узла — 16 бит. Маска подсети для узлов сетей класса B — 255.255.0.0. Структура IP-адресов класса B приведена на рис. 4.3.

Рис. 4.3

IP-адреса класса C.

Т ри старших разряда любого IP-адреса в сети класса C всегда равны 110. Идентификатор сети состоит из 24 разрядов, идентификатор узла — из 8 разрядов. Маска подсети для узлов сетей класса C — 255.255.255.0. Структура IP-адресов класса C приведена на рис. 4.4.

Рис. 4.4

Класс D

IP-адреса класса D используются для групповых адресов (multicast-адреса). Четыре старших разряда любого IP-адреса в сети класса D всегда равны 1110. Оставшиеся 28 бит используются для назначения группового адреса.

Класс E

Пять старших разрядов любого IP-адреса в сети класса E равны 11110. Адреса данного класса зарезервированы для будущего использования (и не поддерживаются системой Windows Server).

Правила назначения идентификаторов сети (Network ID)

• первый октет идентификатора сети не может быть равен 127 (адреса вида 127.x.y.z предназначены для отправки узлом пакетов самому себе и используются как правило для отладки сетевых приложений, такие адреса называются loopback-адресами, или адресами обратной связи);

• все разряды идентификатора сети не могут состоять из одних 1 (IP-адреса, все биты идентификаторов сети которых установлены в 1, используются при широковещательной передаче информации);

• все разряды идентификатора сети не могут состоять из одних 0 (в IP-адресах все биты, установленные в ноль, соответствуют либо данному устройству, либо данной сети);

• идентификатор каждой конкретной сети должен быть уникальным среди подсетей, объединенных в одну сеть с помощью маршрутизаторов.

Диапазоны возможных идентификаторов сети приведены в табл. 4.1.

Правила назначения идентификаторов узла (Host ID)

• все разряды идентификатора узла не могут состоять из одних 1 (идентификатор узла, состоящий из одних 1, используется для широковещательных адресов, или broadcast-адресов);

• все разряды идентификатора сети не могут состоять из одних 0 (если разряды идентификатора узла равны 0, то такой адрес обозначает всю подсеть, например, адрес 192.168.1.0 с маской подсети 255.255.255.0 обозначает всю подсеть с идентификатором сети 192.168.1;

• идентификатор узла должен быть уникальным среди узлов одной подсети.

Диапазоны возможных идентификаторов узла приведены в табл. 4.2.

Другим способом обозначения сети, более удобным и более кратким, является обозначение сети с сетевым префиксом. Такое обозначение имеет вид "/число бит маски подсети". Например, подсеть 192.168.1.0 с маской подсети 255.255.255.0 можно более кратко записать в виде 192.168.1.0/24, где число 24 длина маски подсети в битах.

Публичные и приватные (частные) ip-адреса

Все пространство IP-адресов разделено на 2 части: публичные адреса, которые распределяются между Интернет-провайдерами и компаниями международной организацией Internet Assigned Numbers Authority (сокращенно IANA), и приватные адреса, которые не контролируются IANA и могут назначаться внутрикорпоративным узлам по усмотрению сетевых администраторов. Если какая-либо компания приобрела IP-адреса в публичной сети, то ее сетевые узлы могут напрямую маршрутизировать сетевой трафик в сеть Интернет и могут быть прозрачно доступны из Интернета. Если внутрикорпоративные узлы имеют адреса из приватной сети, то они могут получать доступ в Интернет с помощью протокола трансляции сетевых адресов (NAT, Network Address Translation) или с помощью прокси-сервера. В простейшем случае с помощью NAT возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.

Механизм трансляции адресов NAT преобразует IP-адреса из частного адресного пространства IP (эти адреса еще называют "внутренние", или "серые IP") в зарегистрированное открытое адресное пространство IP. Обычно эти функции (NAT) выполняет либо маршрутизатор, либо межсетевой экран (firewall) — эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов.

На практике обычно компании получают через Интернет-провайдеров небольшие сети в пространстве публичных адресов для размещения своих внешних ресурсов — web-сайтов или почтовых серверов. А для внутрикорпоративных узлов используют приватные IP-сети.

Пространство приватных IP-адресов состоит из трех блоков:

• 10.0.0.0/8 (одна сеть класса A);

• 172.16.0.0/12 (диапазон адресов, состоящий из 16 сетей класса B — от 172.16.0.0/16 до 172.31.0.0/16);

• 192.168.0.0/16(диапазон адресов, состоящий из 256 сетей класса C — от 192.168.0.0/24 до 192.168.255.0/16).

Кроме данных трех блоков имеется еще блок адресов, используемых для автоматической IP-адресации (APIPA, Automatic Private IP Addressing). Автоматическая IP-адресация применяется в том случае, когда сетевой интерфейс настраивается для автоматической настройки IP-конфигурации, но при этом в сети отсутствует сервер DHCP. Диапазон адресов для APIPA — сеть класса B 169.254.0.0/16.

Отображение ip-адресов на физические адреса

Каждый сетевой адаптер имеет свой уникальный физический адрес (или MAC-адрес). За отображение IP-адресов адаптеров на их физические адреса отвечает протокол ARP (Address Resolution Protocol). Необходимость протокола ARP продиктована тем обстоятельством, что IP-адреса устройств в сети назначаются независимо от их физических адресов. Поэтому для доставки сообщений по сети необходимо определить соответствие между физическим адресом устройства и его IP-адресом — это называется разрешением адресов. В большинстве случаев прикладные программы используют именно IP-адреса. А так как схемы физической адресации устройств весьма разнообразны, то необходим специальный, универсальный протокол. Протокол разрешения адресов ARP был разработан таким образом, чтобы его можно было использовать для разрешения адресов в различных сетях. Фактически ARP можно использовать с произвольными физическими адресами и сетевыми протоколами. Протокол ARP предполагает, что каждое устройство знает как свой IP-адрес, так и свой физический адрес. ARP динамически связывает их и заносит в специальную таблицу, где хранятся пары "IP-адрес — физический адрес" (обычно каждая запись в ARP-таблице имеет время жизни 10 мин.). Эта таблица хранится в памяти компьютера и называется кэш протокола ARP (ARP-cache).

Работа протокола ARP заключается в отправке сообщений между сетевыми узлами:

• ARP Request (запрос ARP) — широковещательный запрос, отправляемый на физическом уровне модели TCP/IP, для определения MAC-адреса узла, имеющего конкретный IP-адрес;

• ARP Reply (ответ ARP) — узел, IP-адрес которого содержится в ARP-запросе, отправляет узлу, пославшему ARP-запрос, информацию о своем MAC-адресе;

• RARP Request, или Reverse ARP Request (обратный ARP-запрос) — запрос на определение IP-адреса по известному MAC-адресу;

• RARP Reply, или Reverse ARP Reply (обратный ARP-ответ) — ответ узла на обратный ARP-запрос.

Разбиение сетей на подсети с помощью маски подсети

Для более эффективного использования пространства адресов IP-сети с помощью маски подсети могут быть разбиты на более мелкие подсети (subnetting) или объединены в более крупные сети (supernetting).

Рассмотрим на примере разбиение сети 192.168.1.0/24 (сеть класса C) на более мелкие подсети. В исходной сети в IP-адресе 24 бита относятся к идентификатору сети и 8 бит — к идентификатору узла. Используем маску подсети из 27 бит, или, в десятичном обозначении, — 255.255.255.224, в двоичном обозначении — 11111111 11111111 11111111 11100000. Получим следующее разбиение на подсети:

Таким образом, мы получили 8 подсетей, в каждой из которых может быть до 30 узлов. Напомним, что идентификатор узла, состоящий из нулей, обозначает всю подсеть, а идентификатор узла, состоящий из одних единиц, означает широковещательный адрес (пакет, отправленный на такой адрес, будет доставлен всем узлам подсети).

IP-адреса в данных подсетях будут иметь структуру:

Отметим очень важный момент. С использованием такой маски узлы с такими, например, IP-адресами, как 192.168.1.48 и 192.168.1.72, находятся в различных подсетях, и для взаимодействия данных узлов необходимы маршрутизаторы, пересылающие пакеты между подсетями192.168.1.32/27 и 192.168.1.64/27.

Примечание. Согласно стандартам протокола TCP/IP для данного примера не должно существовать подсетей 192.168.1.0/27 и 192.168.1.224/27 (т.е. первая и последняя подсети). На практике большинство операционных систем (в т.ч. системы семейства Microsoft Windows) и маршрутизаторов поддерживают работу с такими сетями.

А налогично, можно с помощью маски подсети объединить мелкие сети в более крупные.

Например, IP-адреса сети 192.168.0.0/21 будут иметь следующую структуру:

Диапазон IP-адресов данной сети: 192.168.0.1–192.168.7.254 (всего — 2046 узлов), широковещательный адрес подсети — 192.168.7.255.

Преимущества подсетей внутри частной сети:

• разбиение больших IP-сетей на подсети (subnetting) позволяет снизить объем широковещательного трафика (маршрутизаторы не пропускают широковещательные пакеты);

• объединение небольших сетей в более крупные сети (supernetting) позволяет увеличить адресное пространство с помощью сетей более низкого класса;

• изменение топологии частной сети не влияет на таблицы маршрутизации в сети Интернет (хранят только маршрут с общим номером сети);

• размер глобальных таблиц маршрутизации в сети Интернет не растет;

• администратор может создавать новые подсети без необходимости получения новых номеров сетей.

Старшие биты IP-адреса используются рабочими станциями и маршрутизаторами для определения класса адреса. После того как класс определен, устройство может однозначно вычислить границу между битами, использующимися для идентификации номера сети, и битами номера устройства в этой сети. Однако при разбиении сетей на подсети или при объединении сетей для определения границ битов, идентифицирующих номер подсети, такая схема не подходит. Для этого как раз и используется 32-битная маска подсети, которая помогает однозначно определить требуемую границу. Напомним, что для стандартных классов сетей маски имеют следующие значения:

• 255.0.0.0 – маска для сети класса А;

• 255.255.0.0 - маска для сети класса В;

• 255.255.255.0 - маска для сети класса С.

Для администратора сети чрезвычайно важно знать четкие ответы на следующие вопросы:

• Сколько подсетей требуется организации сегодня?

• Сколько подсетей может потребоваться организации в будущем?

• Сколько устройств в наибольшей подсети организации сегодня?

• Сколько устройств будет в самой большой подсети организации в будущем?

Отказ от использования только стандартных классов IP-сетей (A, B, и C) называется бесклассовой междоменной маршрутизацией (Classless Inter-Domain Routing, CIDR).

Введение в ip-маршрутизацию

Для начала уточним некоторые понятия:

• сетевой узел (node) — любое сетевое устройство с протоколом TCP/IP;

• хост (host) — сетевой узел, не обладающий возможностями маршрутизации пакетов;

• маршрутизатор (router) — сетевой узел, обладающий возможностями маршрутизации пакетов

IP-маршрутизация — это процесс пересылки unicast-трафика от узла-отправителя к узлу–получателю в IP-сети с произвольной топологией.

Когда один узел IP-сети отправляет пакет другому узлу, в заголовке IP-пакета указываются IP-адрес узла отправителя и IP-адрес узла-получателя. Отправка пакета происходит следующим образом:

1. Узел-отправитель определяет, находится ли узел-получатель в той же самой IP-сети, что и отправитель (в локальной сети), или в другой IP-сети (в удаленной сети). Для этого узел-отправитель производит поразрядное логическое умножение своего IP-адреса на маску подсети, затем поразрядное логическое умножение IP-адреса узла получателя также на свою маску подсети. Если результаты совпадают, значит, оба узла находятся в одной подсети. Если результаты различны, то узлы находятся в разных подсетях.

2. Если оба сетевых узла расположены в одной IP-сети, то узел-отправитель сначала проверяет ARP-кэш на наличие в ARP-таблице MAC-адреса узла-получателя. Если нужная запись в таблице имеется, то дальше отправка пакетов производится напрямую узлу-получателю на канальном уровне. Если же в ARP-таблице нужной записи нет, то узел-отправитель посылает ARP-запрос для IP-адреса узла-получателя, ответ помещает в ARP-таблицу и после этого передача пакета также производится на канальном уровне (между сетевыми адаптерами компьютеров).

3. Если узел-отправитель и узел-получатель расположены в разных IP-сетях, то узел-отправитель посылает данный пакет сетевому узлу, который в конфигурации отправителя указан как "Основной шлюз" (default gateway). Основной шлюз всегда находится в той же IP-сети, что и узел-отправитель, поэтому взаимодействие происходит на канальном уровне (после выполнения ARP-запроса). Основной шлюз — это маршрутизатор, который отвечает за отправку пакетов в другие подсети (либо напрямую, либо через другие маршрутизаторы).

Р ассмотрим пример, изображенный на рис. 4.5.

Рис. 4.5

В данном примере 2 подсети: 192.168.0.0/24 и 192.168.1.0/24. Подсети объединены в одну сеть маршрутизатором. Интерфейс маршрутизатора в первой подсети имеет IP-адрес 192.168.0.1, во второй подсети - 192.168.1.1. В первой подсети имеются 2 узла: узел A (192.168.0.5) и узел B (192.168.0.7). Во второй подсети имеется узел C с IP-адресом 192.168.1.10.

Если узел A будет отправлять пакет узлу B, то сначала он вычислит, что узел B находится в той же подсети, что и узел A (т.е. в локальной подсети), затем узел A выполнит ARP-запрос для IP-адреса 192.168.0.7. После этого содержимое IP-пакета будет передано на канальный уровень, и информация будет передана сетевым адаптером узла A сетевому адаптеру узла B. Это пример прямой доставки данных (или прямой маршрутизации, direct delivery).

Если узел A будет отправлять пакет узлу C, то сначала он вычислит, что узел C находится в другой подсети (т.е. в удаленной подсети). После этого узел A отправит пакет узлу, который в его конфигурации указан в качестве основного шлюза (в данном случае это интерфейс маршрутизатора с IP-адресом 192.168.0.1). Затем маршрутизатор с интерфейса 192.168.1.1 выполнит прямую доставку узлу C. Это пример непрямой доставки (или косвенной маршрутизации, indirect delivery) пакета от узла A узлу C. В данном случае процесс косвенной маршрутизации состоит из двух операций прямой маршрутизации.

В целом процесс IP-маршрутизации представляет собой серии отдельных операций прямой или косвенной маршрутизации пакетов.

Каждый сетевой узел принимает решение о маршрутизации пакета на основе таблицы маршрутизации, которая хранится в оперативной памяти данного узла. Таблицы маршрутизации существуют не только у маршрутизаторов с несколькими интерфейсами, но и у рабочих станций, подключаемых к сети через сетевой адаптер. Таблицу маршрутизации в системе Windows можно посмотреть по команде route print. Каждая таблица маршрутизации содержит набор записей. Записи могут формироваться различными способами:

• записи, созданные автоматически системой на основе конфигурации протокола TCP/IP на каждом из сетевых адаптеров;

• статические записи, созданные командой route add или в консоли службы Routing and Remote Access Service;

• динамические записи, созданные различными протоколами маршрутизации (RIP или OSPF).

Рассмотрим два примера: таблицу маршрутизации типичной рабочей станции, расположенной в локальной сети компании, и таблицу маршрутизации сервера, имеющего несколько сетевых интерфейсов.

Рабочая станция.

В данном примере имеется рабочая станция с системой Windows XP, с одним сетевым адаптером и такими настройками протокола TCP/IP: IP-адрес — 192.168.1.10, маска подсети — 255.255.255.0, основной шлюз — 192.168.1.1.

Введем в командной строке системы Windows команду route print, результатом работы команды будет следующий экран (рис. 4.6; в скобках приведен текст для английской версии системы):

Р ис. 4.6

Список интерфейсов — список сетевых адаптеров, установленных в компьютере. Интерфейс MS TCP Loopback interface присутствует всегда и предназначен для обращения узла к самому себе. Интерфейс Realtek RTL8139 Family PCI Fast Ethernet NIC — сетевая карта.

Далее идет сама таблица маршрутов. Каждая строка таблицы — это маршрут для какой-либо IP-сети. Ее столбцы:

Сетевой адрес — диапазон IP-адресов, которые достижимы с помощью данного маршрута.

Маска сети — маска подсети, в которую отправляется пакет с помощью данного маршрута.

Адрес шлюза — IP-адрес узла, на который пересылаются пакеты, соответствующие данному маршруту.

Интерфейс — обозначение сетевого интерфейса данного компьютера, на который пересылаются пакеты, соответствующие маршруту.

Метрика — условная стоимость маршрута. Если для одной и той же сети есть несколько маршрутов, то выбирается маршрут с минимальной стоимостью. Как правило, метрика — это количество маршрутизаторов, которые должен пройти пакет, чтобы попасть в нужную сеть.

Проанализируем некоторые строки таблицы.

Первая строка таблицы соответствует значению основного шлюза в конфигурации TCP/IP данной станции. Сеть с адресом "0.0.0.0" обозначает "все остальные сети, не соответствующие другим строкам данной таблицы маршрутизации".

Вторая строка — маршрут для отправки пакетов от узла самому себе.

Третья строка (сеть 192.168.1.0 с маской 255.255.255.0) — маршрут для отправки пакетов в локальной IP-сети (т.е. той сети, в которой расположена данная рабочая станция).

Последняя строка — широковещательный адрес для всех узлов локальной IP-сети.

Последняя строка на рис. 4.6 — список постоянных маршрутов рабочей станции. Это статические маршруты, которые созданы командой route print. В данном примере нет ни одного такого статического маршрута.

Сервер.

Теперь рассмотрим сервер с системой Windows 2003 Server, с тремя сетевыми адаптерами:

• Адаптер 1 — расположен во внутренней сети компании (IP-адрес — 192.168.1.10, маска подсети — 255.255.255.0);

• Адаптер 2 — расположен во внешней сети Интернет-провайдера ISP-1 (IP-адрес — 213.10.11.2, маска подсети — 255.255.255.248, ближайший интерфейс в сети провайдера — 213.10.11.1);

• Адаптер 3 — расположен во внешней сети Интернет-провайдера ISP-2 (IP-адрес — 217.1.1.34, маска подсети — 255.255.255.248, ближайший интерфейс в сети провайдера — 217.1.1.33).

IP-сети провайдеров — условные, IP-адреса выбраны лишь для иллюстрации (хотя вполне возможно случайное совпадение с какой-либо существующей сетью).

Кроме того, на сервере установлена Служба маршрутизации и удаленного доступа для управления маршрутизацией пакетов между IP-сетями и доступа в сеть компании через модемный пул.

В данном случае команда route print выдаст таблицу маршрутизации, изображенную на рис. 4.7.

Р ис. 4.7

В таблице в списке интерфейсов отображены три сетевых адаптера разных моделей, адаптер обратной связи (MS TCP Loopback interface) и WAN (PPP/SLIP) Interface — интерфейс для доступа в сеть через модемный пул.

Отметим особенности таблицы маршрутов сервера с несколькими сетевыми интерфейсами.

Первая строка похожа на первую строку в таблице рабочей станции. Она также соответствует значению основного шлюза в конфигурации TCP/IP данной станции. Заметим, что только на одном интерфейсе можно задавать параметр "Основной шлюз". В данном случае этот параметр был задан на одном из внешних интерфейсов (это же значение отражено и в конце таблицы в строке "Основной шлюз").

Как и в рабочей станции, для каждого интерфейса есть маршруты как для unicast-пакетов, так и для широковещательных (broadcast) для каждой подсети.

Во второй строке содержится статический маршрут, сконфигурированный в консоли Службы маршрутизации и удаленного доступа, для пересылки пакетов в сеть 196.15.20.16/24.

Поддержка таблиц маршрутизации.

Есть два способа поддержки актуального состояния таблиц маршрутизации: ручной и автоматический.

Ручной способ подходит для небольших сетей. В этом случае в таблицы маршрутизации вручную заносятся статические записи для маршрутов. Записи создаются либо командой route add, либо в консоли Службы маршрутизации и удаленного доступа.

В больших сетях ручной способ становится слишком трудоемким и чреват ошибками. Автоматическое построение и модификация таблиц маршрутизации производится так называемыми "динамическими маршрутизаторами". Динамические маршрутизаторы отслеживают изменения в топологии сети, вносят необходимые изменения в таблицы маршрутов и обмениваются данной информацией с другими маршрутизаторами, работающими по тем же протоколам маршрутизации. В Windows Server реализована динамическая маршрутизация в Службе маршрутизации и удаленного доступа. В данной службе реализованы наиболее распространенные протоколы маршрутизации — протокол RIP версий 1 и 2 и протокол OSPF.

4.2 Служба dns (домены, зоны; зоны прямого и обратного просмотра; основные и дополнительные зоны; рекурсивный и итеративный запросы на разрешение имен).

Историческая справка: Систему доменных имен разработал в 1983 году Пол Мокапетрис. Тогда же было проведено первое успешное тестирование DNS, ставшей позже одним из базовых компонентов сети Internet. С помощью DNS стало возможным реализовать масштабируемый распределенный механизм, устанавливающий соответствие между иерархическими именами сайтов и числовыми IP-адресами.

В 1983 году Пол Мокапетрис работал научным сотрудником института информатики (Information Sciences Institute, ISI), входящего в состав инженерной школы университета Южной Калифорнии (USC). Его руководитель, Джон Постел, предложил Полу придумать новый механизм, устанавливающий связи между именами компьютеров и адресами Internet, - взамен использовавшемуся тогда централизованному каталогу имен и адресов хостов, который поддерживала калифорнийская компания SRI International.

"Все понимали, что старая схема не сможет работать вечно, - вспоминает Мокапетрис. - Рост Internet становился лавинообразным. К сети, возникшей на основе проекта ARPANET, инициированного Пентагоном, присоединялись все новые и новые компании и исследовательские институты".

Предложенное Мокапетрисом решение - DNS - представляло собой распределенную базу данных, которая позволяла организациям, присоединившимся к Internet, получить свой домен.

"Как только организация подключалась к сети, она могла использовать сколь угодно много компьютеров и сама назначать им имена", - подчеркнул Мокапетрис. Названия доменов компаний получили суффикс .com, университетов - .edu и так далее.

Первоначально DNS была рассчитана на поддержку 50 млн. записей и допускала безопасное расширение до нескольких сотен миллионов записей. По оценкам Мокапетриса, сейчас насчитывается около 1 млрд. имен DNS, в том числе почти 20 млн. общедоступных имен. Остальные принадлежат системам, расположенным за межсетевыми экранами. Их имена неизвестны обычным Internet-пользователям.

Новая система внедрялась постепенно, в течение нескольких лет. В это время ряд исследователей экспериментировали с ее возможностями, а Мокапетрис занимался в ISI обслуживанием и поддержанием стабильной работы "корневого сервера", построенного на мэйнфреймах компании Digital Equipment. Копии таблиц хостов хранились на каждом компьютере, подключенном к Internet, еще примерно до 1986 года. Затем начался массовый переход на использование DNS.

Необходимость отображения имен сетевых узлов в ip-адреса

Компьютеры и другие сетевые устройства, отправляя друг другу пакеты по сети, используют IP-адреса. Однако пользователю (человеку) гораздо проще и удобнее запомнить некоторое символические имена сетевых узлов, чем четыре бессодержательных для него числа. Однако, если люди в своих операциях с сетевыми ресурсами будут использовать имена узлов, а не IP-адреса, тогда должен существовать механизм, сопоставляющий именам узлов их IP-адреса.

Есть два таких механизма - локальный для каждого компьютера файл hosts и централизованная иерархическая служба имен DNS.

Использование локального файла hosts и системы доменных имен dns для разрешения имен сетевых узлов

На начальном этапе развития сетей, когда количество узлов в каждой сети было небольшое, достаточно было на каждом компьютере хранить и поддерживать актуальное состояние простого текстового файла, в котором содержался список сетевых узлов данной сети. Список устроен очень просто - в каждой строке текстового файла содержится пара "IP-адрес - имя сетевого узла". В системах семейства Windows данный файл расположен в папке %system root%\system32\drivers\etc (где %system root% обозначает папку, в которой установлена операционная система). Сразу после установки системы Windows создается файл hosts с одной записью 127.0.0.1 localhost.

С ростом сетей поддерживать актуальность и точность информации в файле hosts становится все труднее. Для этого надо постоянно обновлять содержимое этого файла на всех узлах сети. Кроме того, такая простая технология не позволяет организовать пространство имен в какую-либо структуру. Поэтому появилась необходимость в централизованной базе данных имен, позволяющей производить преобразование имен в IP-адреса без хранения списка соответствия на каждом компьютере. Такой базой стала DNS (Domain Name System) - система именования доменов, которая начала массовую работу в 1987 году.

Заметим, что с появлением службы DNS актуальность использования файла host совсем не исчезла, в ряде случаев использование этого файла оказывается очень эффективным.

Служба dns: пространство имен, домены

DNS - это иерархическая база данных, сопоставляющая имена сетевых узлов и их сетевых служб IP-адресам узлов. Содержимое этой базы, с одной стороны, распределено по большому количеству серверов службы DNS, а с другой стороны, является централизованно управляемым. В основе иерархической структуры базы данных DNS лежит доменное пространство имен (domain namespace), основной структурной единицей которого является домен, объединяющий сетевые узлы (хосты), а также поддомены. Процесс поиска в БД службы DNS имени некоего сетевого узла и сопоставления этому имени IP-адреса называется "разрешением имени узла в пространстве имен DNS".

Служба DNS состоит из трех основных компонент:

• Пространство имен DNS и соответствующие ресурсные записи (RR, resource record) - это сама распределенная база данных DNS;

• Серверы имен DNS - компьютеры, хранящие базу данных DNS и отвечающие на запросы DNS-клиентов;

• DNS-клиенты (DNS-clients, DNS-resolvers) -компьютеры, посылающие запросы серверам DNS для получения ресурсных записей.

Пространство имен.

П ространство имен DNS - иерархическая древовидная структура, начинающаяся с корня, не имеющего имени и обозначаемого точкой ".". Схему построения пространства имен DNS лучше всего проиллюстрировать на примере сети Интернет (рис. 4.8).

Рис. 4.8

Для доменов 1-го уровня различают 3 категории имен:

• ARPA - специальное имя, используемое для обратного разрешения DNS (из IP-адреса в полное имя узла);

• Общие (generic) имена 1-го уровня - 16 (на данный момент) имен, назначение которых приведено в табл. 4.4;

• Двухбуквенные имена для стран - имена для доменов, зарегистрированных в соответствующих странах (например, ru - для России, ua - для Украины, uk - для Великобритании и т.д.).

Для непосредственного отображения пространства имен в пространство IP-адресов служат т.н. ресурсные записи (RR, resource record). Каждый сервер DNS содержит ресурсные записи для той части пространства имен, за которую он несет ответственность (authoritative). табл. 4.5 содержит описание наиболее часто используемых типов ресурсных записей.

Полное имя узла (FQDN, fully qualified domain name) состоит из нескольких имен, называемых метками (label) и разделенных точкой. Самая левая метка относится непосредственно к узлу, остальные метки - список доменов от домена первого уровня до того домена, в котором находится узел (данный список просматривается справа налево).

Серверы имен DNS.

Серверы имен DNS (или DNS-серверы) - это компьютеры, на которых хранятся те части БД пространства имен DNS, за которые данные серверы отвечают, и функционирует программное обеспечение, которое обрабатывает запросы DNS-клиентов на разрешение имен и выдает ответы на полученные запросы.

DNS-клиенты.

DNS-клиент - это любой сетевой узел, который обратился к DNS-серверу для разрешения имени узла в IP-адрес или, обратно, IP-адреса в имя узла.

Служба dns: домены и зоны

Как уже говорилось выше, каждый DNS-сервер отвечает за обслуживание определенной части пространства имен DNS. Информация о доменах, хранящаяся в БД сервера DNS, организуется в особые единицы, называемые зонами (zones). Зона - основная единица репликации данных между серверами DNS. Каждая зона содержит определенное количество ресурсных записей для соответствующего домена и, быть может, его поддоменов.

Системы семейства Windows Server поддерживают следующие типы зон:

• Стандартная основная (standard primary) - главная копия стандартной зоны; только в данном экземпляре зоны допускается производить какие-либо изменения, которые затем реплицируются на серверы, хранящие дополнительные зоны;

• Стандартная дополнительная (standard secondary) - копия основной зоны, доступная в режиме "только-чтение", предназначена для повышения отказоустойчивости и распределения нагрузки между серверами, отвечающими за определенную зону; процесс репликации изменений в записях зон называется "передачей зоны" (zone transfer) (информация в стандартных зонах хранится в текстовых файлах, файлы создаются в папке "%system root%\system32\dns", имя файла, как правило, образуется из имени зоны с добавлением расширения файла ".dns"; термин "стандартная" используется только в системах семейства Windows);

• Интегрированная в Active Directory (Active Directory–integrated) - вся информация о зоне хранится в виде одной записи в базе данных Active Directory (такие типы зон могут существовать только на серверах Windows, являющихся контроллерами доменов Active Directory; в интегрированных зонах можно более жестко управлять правами доступа к записям зоны; изменения в записях зоны между разными экземплярами интегрированной зоны производятся не по технологии передачи зоны службой DNS, а механизмами репликации службы Active Directory);

• Зона-заглушка (stub; только в Windows 2003) - особый тип зоны, которая для данной части пространства имен DNS содержит самый минимальный набор ресурсных записей (начальная запись зоны SOA, список серверов имен, отвечающих за данную зону, и несколько записей типа A для ссылок на серверы имен для данной зоны).

Р ассмотрим на примере соотношение между понятиями домена и зоны. Проанализируем информацию, представленную на рис. 4.9.

Рис. 4.9

В данном примере пространство имен DNS начинается с домена microsoft.com, который содержит 3 поддомена: sales.microsoft.com, it.microsoft.com и edu.microsoft.com (домены на рисунке обозначены маленькими горизонтальными овалами). Домен - понятие чисто логическое, относящееся только к распределению имен. Понятие домена никак не связано с технологией хранения информации о домене. Зона - это способ представления информации о домене и его поддоменах в хранилище тех серверов DNS, которые отвечают за данный домен и поддомены. В данной ситуации, если для хранения выбрана технология стандартных зон, то размещение информации о доменах может быть реализовано следующим образом:

• записи, относящиеся к доменам microsoft.com и edu.microsoft.com, хранятся в одной зоне в файле "microsoft.com.dns" (на рисунке зона обозначена большим наклонным овалом);

• управление доменами sales.microsoft.com и it.microsoft.com делегировано другим серверам DNS, для этих доменов на других серверах созданы соответствующие файлы "sales.microsoft.com.dns" и "it.microsoft.com.dns" (данные зоны обозначены большими вертикальными овалами).

Делегирование управления - передача ответственности за часть пространства имен другим серверам DNS.

Зоны прямого и обратного просмотра

Зоны, рассмотренные в предыдущем примере, являются зонами прямого просмотра (forward lookup zones). Данные зоны служат для разрешения имен узлов в IP-адреса. Наиболее часто используемые для этого типы записей: A, CNAME, SRV.

Для определения имени узла по его IP-адресу служат зоны обратного просмотра (reverse lookup zones), основной тип записи в "обратных" зонах - PTR. Для решения данной задачи создан специальный домен с именем in-addr.arpa. Для каждой IP-сети в таком домене создаются соответствующие поддомены, образованные из идентификатора сети, записанного в обратном порядке. Записи в такой зоне будут сопоставлять идентификатору узла полное FQDN-имя данного узла. Например, для IP-сети 192.168.0.0/24 необходимо создать зону с именем "0.168.192.in-addr.arpa". Для узла с IP-адресом 192.168.0.10 и именем host.company.ru в данной зоне должна быть создана запись "10 PTR host.company.ru".

Алгоритмы работы итеративных и рекурсивных запросов dns

Все запросы, отправляемые DNS-клиентом DNS-серверу для разрешения имен, делятся на два типа:

• итеративные запросы (клиент посылает серверу DNS запрос, в котором требует дать наилучший ответ без обращений к другим DNS-серверам);

• рекурсивные запросы (клиент посылает серверу DNS запрос, в котором требует дать окончательный ответ даже если DNS-серверу придется отправить запросы другим DNS-серверам; посылаемые в этом случае другим DNS-серверам запросы будут итеративными).

Обычные DNS-клиенты (например, рабочие станции пользователей), как правило, посылают рекурсивные запросы.

Рассмотрим на примерах, как происходит взаимодействие DNS-клиента и DNS-сервера при обработке итеративных и рекурсивных запросов.

Допустим, что пользователь запустил программу Обозреватель Интернета и ввел в адресной строке адрес http://www.microsoft.com. Прежде чем Обозреватель установит сеанс связи с веб-сайтом по протоколу HTTP, клиентский компьютер должен определить IP-адрес веб-сервера. Для этого клиентская часть протокола TCP/IP рабочей станции пользователя (так называемый resolver) сначала просматривает свой локальный кэш разрешенных ранее имен в попытке найти там имя www.microsoft.com. Если имя не найдено, то клиент посылает запрос DNS-серверу, указанному в конфигурации TCP/IP данного компьютера (назовем данный DNS-сервер "локальным DNS-сервером"), на разрешение имени www.microsoft.com в IP-адрес данного узла. Далее DNS-сервер обрабатывает запрос в зависимости от типа запроса.

Вариант 1 (итеративный запрос).

Если клиент отправил серверу итеративный запрос (напомним, что обычно клиенты посылают рекурсивные запросы), то обработка запроса происходит по следующей схеме:

• сначала локальный DNS-сервер ищет среди зон, за которые он отвечает, зону microsoft.com;

если такая зона найдена, то в ней ищется запись для узла www; если запись найдена, то результат поиска сразу же возвращается клиенту;

в противном случае локальный DNS-сервер ищет запрошенное имя www.microsoft.com в своем кэше разрешенных ранее DNS-запросов;

если искомое имя есть в кэше, то результат поиска возвращается клиенту; если локальный DNS-сервер не нашел в своей базе данных искомую запись, то клиенту посылается IP-адрес одного из корневых серверов DNS;

• клиент получает IP-адрес корневого сервера и повторяет ему запрос на разрешение имени www.microsoft.com;

корневой сервер не содержит в своей БД зоны "microsoft.com", но ему известны DNS-серверы, отвечающие за зону "com", и корневой сервер посылает клиенту IP-адрес одного из серверов, отвечающих за эту зону;

• клиент получает IP-адрес сервера, отвечающего за зону "com", и посылает ему запрос на разрешение имени www.microsoft.com;

сервер, отвечающий за зону com, не содержит в своей БД зоны microsoft.com, но ему известны DNS-серверы, отвечающие за зону microsoft.com, и данный DNS-сервер посылает клиенту IP-адрес одного из серверов, отвечающих уже за зону microsoft.com;

• клиент получает IP-адрес сервера, отвечающего за зону microsoft.com, и посылает ему запрос на разрешение имени www.microsoft.com;

сервер, отвечающий за зону microsoft.com, получает данный запрос, находит в своей базе данных IP-адрес узла www, расположенного в зоне microsoft.com, и посылает результат клиенту;

клиент получает искомый IP-адрес, сохраняет разрешенный запрос в своем локальном кэше и передает IP-адрес веб-сайта программе Обозреватель Интернета (после чего Обзреватель устанавливает связь с веб-сайтом по протоколу HTTP).

Вариант 2 (рекурсивный запрос).

Если клиент отправил серверу рекурсивный запрос, то обработка запроса происходит по такой схеме:

• сначала локальный DNS-сервер ищет среди зон, за которые он отвечает, зону microsoft.com; если такая зона найдена, то в ней ищется запись для узла www; если запись найдена, то результат поиска сразу же возвращается клиенту;

в противном случае локальный DNS-сервер ищет запрошенное имя www.microsoft.com в своем кэше разрешенных ранее DNS-запросов; если искомое имя есть в кэше, то результат поиска возвращается клиенту;

• если локальный DNS-сервер не нашел в своей базе данных искомую запись, то сам локальный DNS-сервер выполняет серию итеративных запросов на разрешение имени www.microsoft.com, и клиенту посылается либо найденный IP-адрес, либо сообщение об ошибке.

Реализация службы dns в системах семейства Windows Server

Главная особенность службы DNS в системах семейства Windows Server заключается в том, что служба DNS разрабатывалась для поддержки службы каталогов Active Directory. Для выполнения этой функции требуются обеспечение двух условий:

• поддержка службой DNS динамической регистрации (dynamic updates);

• поддержка службой DNS записей типа SRV.

Служба DNS систем Windows Server удовлетворяет обоим условиям, и реализация служб каталогов Active Directory может быть обеспечена только серверами на базе систем Windows Server.

Рассмотрим несколько простых примеров управления службой DNS:

• установка службы DNS;

• создание основной и дополнительной зоны прямого просмотра;

• создание зоны обратного просмотра;

• выполнение динамической регистрации узлов в зоне.

Все рассматриваемые далее в пособии примеры были выполнены в следующей конфигурации:

• сеть состоит из двух серверов Windows 2003 Server;

• операционная система - ограниченная по времени 120-дневная русская версия Windows 2003 Server Enterprise Edition;

• первый сервер установлен на ПК с процессором Intel Pentium-4 3Ггц и оперативной памятью 512 МБ, имя сервера - DC1, IP-адрес - 192.168.0.1/24;

• второй сервер работает в качестве виртуальной системы с помощью Microsoft VirtualPC 2004, имя сервера -DC2, IP-адрес - 192.168.0.2/24;

• имя домена в пространстве DNS и соответствующее имя в службе каталогов Active Directory - world.ru (сеть полностью изолирована от других сетей, поэтому в данном примере авторы были свободны в выборе имени домена; в реальной обстановке конкретного учебного заведения преподавателю нужно скорректировать данную информацию).

Подробные рекомендации по организации сети для изучения данного курса (как под руководством преподавателя в организованной группе, так и при самостоятельном изучении) изложены в указаниях к выполнению упражнений лабораторных работ в конце пособия.

Установка службы DNS

Установка службы DNS (как и других компонент системы) производится достаточно просто с помощью мастера установки компонент Windows:

1. Откройте Панель управления.

2. Выберите пункт "Установка и удаление программ".

3. Нажмите кнопку "Установка компонентов Windows".

4. Выберите "Сетевые службы" - кнопка "Дополнительно" (ни в коем случае не снимайте галочку у названия "Сетевые службы").

5. О тметьте службу DNS.

Рис. 4.10

6. Кнопка "ОК", кнопка "Далее", кнопка "Готово".

Если система попросит указать путь к дистрибутиву системы, введите путь к папке с дистрибутивом.

Выполним данное действие на обоих серверах.

Создание основной зоны прямого просмотра.

На сервере DC1 создадим стандартную основную зону с именем world.ru.

1. Откроем консоль DNS.

2. Выберем раздел "Зоны прямого просмотра".

3. Запустим мастер создания зоны (тип зоны - "Основная", динамические обновления - разрешить, остальные параметры - по умолчанию).

4. Введем имя зоны - world.ru.

5. Разрешим передачу данной зоны на любой сервер DNS (Консоль DNS - зона world.ru - Свойства - Закладка "Передачи зон" - Отметьте "Разрешить передачи" и "На любой сервер").

Создание дополнительной зоны прямого просмотра.

На сервере DC2 создадим стандартную дополнительную зону с именем world.ru.

1. Откроем консоль DNS.

2. Выберем раздел "Зоны прямого просмотра"

3. Запустим мастер создания зоны (выбрать: тип зоны - "Дополнительная", IP-адрес master-сервера (с которого будет копироваться зона) - адрес сервера DC1, остальные параметры - по умолчанию)

4. Введем имя зоны - world.ru.

5. Проверим в консоли DNS появление зоны.

Настройка узлов для выполнения динамической регистрации на сервер DNS.

Для выполнения данной задачи нужно выполнить ряд действий как на сервере DNS, так и в настройках клиента DNS.

Сервер DNS.

1. Создать соответствующую зону.

2. Разрешить динамические обновления.

Это нами уже выполнено.

Клиент DNS.

1. Указать в настройках протокола TCP/IP адрес предпочитаемого DNS-сервера - тот сервер, на котором разрешены динамические обновления (в нашем примере - сервер DC1).

2. В полном имени компьютера указать соответствующий DNS-суффикс (в нашем примере - world.ru). Для этого - "Мой компьютер" - "Свойства" - Закладка "Имя компьютера" - Кнопка "Изменить" - Кнопка "Дополнительно" - в пустом текстовом поле впишем название домена world.ru - кнопка "ОК" (3 раза)).

Рис. 4.11

П осле этого система предложит перезагрузить компьютер. После выполнения перезагрузки на сервер DNS в зоне world.ru автоматически создадутся записи типа A для наших серверов (рис. 4.12).

Рис. 4.12

Создание зоны обратного просмотра.

1. Откроем консоль DNS.

2. Выберем раздел "Зоны обратного просмотра".

3. Запустим мастер создания зоны (выбрать: тип зоны - "Основная", динамические обновления - разрешить, остальные параметры - по умолчанию)

4. В поле "Код сети (ID)" введем параметры идентификатора сети - 192.168.0.

5. Выполним команду принудительной регистрации клиента на сервере DNS - ipconfig /registerdns.

Наши серверы зарегистрируются в обратной зоне DNS (рис. 4.13):

Р ис. 4.13

4.3 Диагностические утилиты tcp/ip и dns.

Любая операционная система имеет набор диагностических утилит для тестирования сетевых настроек и функционирования коммуникаций. Большой набор диагностических средств есть и в системах семейства Windows (как графических, так и режиме командной строки).

Перечислим утилиты командной строки, являющиеся инструментами первой необходимости для проверки настроек протокола TCP/IP и работы сетей и коммуникаций. Подробное описание данных утилит содержится в системе интерактивной помощи Windows. В Таблице 4.6 укажем основные и наиболее часто используемые параметры этих команд и дадим их краткое описание.

П римеры использования утилит командной строки.

Пример 1. Команда ipconfig (без параметров и с параметром /all).

Рис. 4.14

Пример 2. Команда arp.

П оскольку в нашей сети только два узла, то в кэше сервера DC1 будет только одна запись - отображение IP-адреса сервера DC2 на MAC-адрес сетевого адаптера.

Рис. 4.15

Пример 3. Команда ping.

Варианты использования:

• ping <IP-адрес>;

• ping <NetBIOS-имя узла>, когда в зоне сервера DNS нет записи для сервера DC2 (поиск IP-адреса производится широковещательным запросом );

• ping <NetBIOS-имя узла>, когда в зоне сервера DNS есть запись для сервера DC2 (надо обратить внимание на подстановку клиентом DNS суффикса домена в запросе на имя узла, т.е в команде используется краткое NetBIOS-имя сервера, а в статистике команды выводится полное имя);

• ping <FQDN-имя узла>, когда в зоне сервера DNS нет записи для сервера DC2 (узел DC2 не будет найдет в сети);

• p ing <FQDN-имя узла>, когда в зоне сервера DNS есть запись для сервера DC2 (узел успешно найден);

• ping –a <IP-адрес> (обратное разрешение IP-адреса в имя узла)

Рис. 4.16

Пример 4. Команда tracert.

Т рассировка маршрута до узла www.ru (если в вашем распоряжении только одна IP-сеть, то изучить работу данной команды будет невозможно).

Рис. 4.17

Пример 5. Команда pathping.

А налогичная задача (трассировка маршрута до узла www.ru), выполненная командой pathping.

Рис. 4.18

П ример 6. Команда netstat (с параметрами –an - отображение в числовой форме списка активных подключений и слушающих портов).

Рис. 4.19

П ример 7. Команда nbtstat (с параметром –n - отображение локальных имен NetBIOS).

Рис. 4.20

5. Лабораторная работа: Протокол tcp/ip, служба dns:

В лабораторной работе рассмотрены примеры работы с программой ping.exe, рассмотрены практические приемы применения стандартных утилит Windows Server 2003 для диагностики протокола TCP/IP. Приведен пошаговый процесс установки службы DNS, ее настройки

Упражнение 1. Базовые сведения о параметрах протокола tcp/ip. Проверка коммуникаций с помощью команды ping.

Упражнение 2. Установка службы dns. Создание зон прямого просмотра (forward lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.

Упражнение 3. Создание зон обратного просмотра (reverse lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.

Упражнение 4. Диагностические утилиты для протокола tcp/ip: ipconfig, arp, ping, netstat, nbtstat, tracert, pathping

Примечания.

• Команды netstat, nbtstat полезно повторить после изучения различных сетевых служб (служб каталогов, файлов и печати, DNS, DHCP, WINS). После прохождения соответствующих тем студенты/слушатели будут иметь более четкое представление об использовании таких понятий как IP-адрес и порт, а также понятий сеанс, соединение, слушающий порт, интерфейс NetBIOS и др.

• Команды tracert и pathping имеет смысл изучать в сетях с более сложной конфигурацией, чем простая подсеть компьютерного класса. Если сеть компьютерного класса не имеет выхода в другие подсети, то задания с данными командами можно пропустить.

Упражнение 5. Завершающие действия

6. Лекция: Служба каталогов Active Directory

Данная лекция описывает основные понятия служб каталогов Active Directory. Даются практические примеры управления системой безопасности сети. Описан механизм групповых политик. Дается представление о задачах сетевого администратора при управлении инфраструктурой службы каталогов

Современные сети часто состоят из множества различных программных платформ, большого разнообразия оборудования и программного обеспечения. Пользователи зачастую вынуждены запоминать большое количество паролей для доступа к различным сетевым ресурсам. Права доступа могут быть различными для одного и того же сотрудника в зависимости от того, с какими ресурсами он работает. Все это множество взаимосвязей требует от администратора и пользователя огромного количества времени на анализ, запоминание и обучение.

Решение проблемы управления такой разнородной сетью было найдено с разработкой службы каталога. Службы каталога предоставляют возможности управления любыми ресурсами и сервисами из любой точки независимо от размеров сети, используемых операционных систем и сложности оборудования. Информация о пользователе, заносится единожды в службу каталога, и после этого становится доступной в пределах всей сети. Адреса электронной почты, принадлежность к группам, необходимые права доступа и учетные записи для работы с различными операционными системами — все это создается и поддерживается в актуальном виде автоматически. Любые изменения, занесенные в службу каталога администратором, сразу обновляются по всей сети. Администраторам уже не нужно беспокоиться об уволенных сотрудниках — просто удалив учетную запись пользователя из службы каталога, он сможет гарантировать автоматическое удаление всех прав доступа на ресурсы сети, предоставленные ранее этому сотруднику.

В настоящее время большинство служб каталогов различных фирм базируются на стандарте X.500. Для доступа к информации, хранящейся в службах каталогов, обычно используется протокол Lightweight Directory Access Protocol (LDAP). В связи со стремительным развитием сетей TCP/IP, протокол LDAP становится стандартом для служб каталогов и приложений, ориентированных на использование службы каталога.

Служба каталогов Active Directory является основой логической структуры корпоративных сетей, базирующихся на системе Windows. Термин "Каталог" в самом широком смысле означает "Справочник", а служба каталогов корпоративной сети — это централизованный корпоративный справочник. Корпоративный каталог может содержать информацию об объектах различных типов. Служба каталогов Active Directory содержит в первую очередь объекты, на которых базируется система безопасности сетей Windows, — учетные записи пользователей, групп и компьютеров. Учетные записи организованы в логические структуры: домен, дерево, лес, организационные подразделения.

С точки зрения изучения материала курса "Сетевое администрирование" вполне возможен следующий вариант прохождения учебного материала: сначала изучить первую часть данного раздела (от основных понятий до установки контроллеров домена), затем перейти к Разделу 8 "Служба файлов и печати", а после изучения 8-го раздела вернуться к разделу 6 для изучения более сложных понятий служб каталогов.

6.1 Основные термины и понятия (лес, дерево, домен, организационное подразделение). Планирование пространства имен AD. Установка контроллеров доменов

Модели управления безопасностью: модель "Рабочая группа" и централизованная доменная модель

Как уже говорилось выше, основное назначение служб каталогов — управление сетевой безопасностью. Основа сетевой безопасности — база данных учетных записей (accounts) пользователей, групп пользователей и компьютеров, с помощью которой осуществляется управление доступом к сетевым ресурсам. Прежде чем говорить о службе каталогов Active Directory, сравним две модели построения базы данных служб каталогов и управления доступом к ресурсам.

Модель "Рабочая группа"

Данная модель управления безопасностью корпоративной сети — самая примитивная. Она предназначена для использования в небольших одноранговых сетях (3–10 компьютеров) и основана на том, что каждый компьютер в сети с операционными системами Windows NT/2000/XP/2003 имеет свою собственную локальную базу данных учетных записей и с помощью этой локальной БД осуществляется управление доступом к ресурсам данного компьютера. Локальная БД учетных записей называется база данных SAM (Security Account Manager) и хранится в реестре операционной системы. Базы данных отдельных компьютеров полностью изолированы друг от друга и никак не связаны между собой.

Пример управления доступом при использовании такой модели изображен на рис. 6.1.

Р ис. 6.1

В данном примере изображены два сервера (SRV-1 и SRV-2) и две рабочие станции (WS-1 и WS-2). Их базы данных SAM обозначены соответственно SAM-1, SAM-2, SAM-3 и SAM-4 (на рисунке базы SAM изображены в виде овала). В каждой БД есть учетные записи пользователей User1 и User2. Полное имя пользователя User1 на сервере SRV-1 будет выглядеть как "SRV-1\User1", а полное имя пользователя User1 на рабочей станции WS-1 будет выглядеть как "WS-1\User1". Представим, что на сервере SRV-1 создана папка Folder, к которой предоставлен доступ по сети пользователям User1 — на чтение (R), User2 — чтение и запись (RW). Главный момент в этой модели заключается в том, что компьютер SRV-1 ничего "не знает" об учетных записях компьютеров SRV-2, WS-1, WS-2, а также всех остальных компьютеров сети. Если пользователь с именем User1локально зарегистрируется в системе на компьютере, например, WS-2 (или, как еще говорят, "войдет в систему с локальным именем User1 на компьютере WS-2"), то при попытке получить доступ с этого компьютера по сети к папке Folder на сервере SRV-1 сервер запросит пользователя ввести имя и пароль (исключение составляет тот случай, если у пользователей с одинаковыми именами одинаковые пароли).

Модель "Рабочая группа" более проста для изучения, здесь нет необходимости изучать сложные понятия Active Directory. Но при использовании в сети с большим количеством компьютеров и сетевых ресурсов становится очень сложным управлять именами пользователей и их паролями — приходится на каждом компьютере (который предоставляет свои ресурсы для совместного использования в сети) вручную создавать одни и те же учетные записи с одинаковыми паролями, что очень трудоемко, либо делать одну учетную запись на всех пользователей с одним на всех паролем (или вообще без пароля), что сильно снижает уровень защиты информации. Поэтому модель "Рабочая группа" рекомендуется только для сетей с числом компьютеров от 3 до 10 (а еще лучше — не более 5), при условии что среди всех компьютеров нет ни одного с системой Windows Server.

Доменная модель

В доменной модели существует единая база данных служб каталогов, доступная всем компьютерам сети. Для этого в сети устанавливаются специализированные серверы, называемые контроллерами домена, которые хранят на своих жестких дисках эту базу. На рис. 6.2. изображена схема доменной модели. Серверы DC-1 и DC-2 — контроллеры домена, они хранят доменную базу данных учетных записей (каждый контроллер хранит у себя свою собственную копию БД, но все изменения, производимые в БД на одном из серверов, реплицируются на остальные контроллеры).

Рис. 6.2

В такой модели, если, например, на сервере SRV-1, являющемся членом домена, предоставлен общий доступ к папке Folder, то права доступа к данному ресурсу можно назначать не только для учетных записей локальной базы SAM данного сервера, но, самое главное, учетным записям, хранящимся в доменной БД. На рисунке для доступа к папке Folder даны права доступа одной локальной учетной записи компьютера SRV-1 и нескольким учетным записям домена (пользователя и группам пользователей). В доменной модели управления безопасностью пользователь регистрируется на компьютере ("входит в систему") со своей доменной учетной записью и, независимо от компьютера, на котором была выполнена регистрация, получает доступ к необходимым сетевым ресурсам. И нет необходимости на каждом компьютере создавать большое количество локальных учетных записей, все записи созданы однократно в доменной БД. И с помощью доменной базы данных осуществляется централизованное управление доступом к сетевым ресурсам независимо от количества компьютеров в сети.

Назначение службы каталогов Active Directory

Каталог (справочник) может хранить различную информацию, относящуюся к пользователям, группам, компьютерам, сетевым принтерам, общим файловым ресурсам и так далее — будем называть все это объектами. Каталог хранит также информацию о самом объекте, или его свойства, называемые атрибутами. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит, и многое другое. Для того чтобы сделать хранилище каталога полезным для пользователей, должны существовать службы, которые будут взаимодействовать с каталогом. Например, можно использовать каталог как хранилище информации, по которой можно аутентифицировать пользователя, или как место, куда можно послать запрос для того, чтобы найти информацию об объекте.

Active Directory отвечает не только за создание и организацию этих небольших объектов, но также и за большие объекты, такие как домены, OU (организационные подразделения) и сайты.

Об основных терминах, используемых в контексте службы каталогов Active Directory, читайте ниже.

Служба каталогов Active Directory (сокращенно — AD) обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

• Единая регистрация в сети; Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);

• Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети;

• Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами;

• Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;

• Интеграция с DNS. Функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных Active Directory;

• Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;

• Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;

• Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать БД Active Directory на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;

• Гибкость запросов к каталогу. БД Active Directory может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);

• Стандартные интерфейсы программирования. Для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).

В Active Directory может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри Каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в Active Directory и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют вам искать объекты внутри Каталога.

Терминология

Служба каталогов системы Windows Server построена на общепринятых технологических стандартах. Изначально для служб каталогов был разработан стандарт X.500, который предназначался для построения иерархических древовидных масштабируемых справочников с возможностью расширения как классов объектов, так и наборов атрибутов (свойств) каждого отдельного класса. Однако практическая реализация этого стандарта оказалась неэффективной с точки зрения производительности. Тогда на базе стандарта X.500 была разработана упрощенная (облегченная) версия стандарта построения каталогов, получившая название LDAP (Lightweight Directory Access Protocol). Протокол LDAP сохраняет все основные свойства X.500 (иерархическая система построения справочника, масштабируемость, расширяемость), но при этом позволяет достаточно эффективно реализовать данный стандарт на практике. Термин "lightweight" ("облегченный ") в названии LDAP отражает основную цель разработки протокола: создать инструментарий для построения службы каталогов, которая обладает достаточной функциональной мощью для решения базовых задач, но не перегружена сложными технологиями, делающими реализацию служб каталогов неэффективной. В настоящее время LDAP является стандартным методом доступа к информации сетевых каталогов и играет роль фундамента во множестве продуктов, таких как системы аутентификации, почтовые программы и приложения электронной коммерции. Сегодня на рынке присутствует более 60 коммерческих серверов LDAP, причем около 90% из них представляют собой самостоятельные серверы каталогов LDAP, а остальные предлагаются в качестве компонентов других приложений.

Протокол LDAP четко определяет круг операций над каталогами, которые может выполнять клиентское приложение. Эти операции распадаются на пять групп:

• установление связи с каталогом;

• поиск в нем информации;

• модификация его содержимого;

• добавление объекта;

• удаление объекта.

Кроме протокола LDAP служба каталогов Active Directory использует также протокол аутентификации Kerberos и службу DNS для поиска в сети компонент служб каталогов (контроллеры доменов, серверы глобального каталога, службу Kerberos и др.).

Домен

Основной единицей системы безопасности Active Directory является домен. Домен формирует область административной ответственности. База данных домена содержит учетные записи пользователей, групп и компьютеров. Большая часть функций по управлению службой каталогов работает на уровне домена (аутентификация пользователей, управление доступом к ресурсам, управление службами, управление репликацией, политики безопасности).

Имена доменов Active Directory формируются по той же схеме, что и имена в пространстве имен DNS. И это не случайно. Служба DNS является средством поиска компонент домена — в первую очередь контроллеров домена.

Контроллеры домена — специальные серверы, которые хранят соответствующую данному домену часть базы данных Active Directory. Основные функции контроллеров домена:

• хранение БД Active Directory (организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию);

• синхронизация изменений в AD (изменения в базу данных AD могут быть внесены на любом из контроллеров домена, любые изменения, осуществляемые на одном из контроллеров, будут синхронизированы c копиями, хранящимися на других контроллерах);

• аутентификация пользователей (любой из контроллеров домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах).

Настоятельно рекомендуется в каждом домене устанавливать не менее двух контроллеров домена — во-первых, для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера, во-вторых, для распределения нагрузки между контроллерами.

Дерево

Дерево является набором доменов, которые используют единое связанное пространство имен. В этом случае "дочерний" домен наследует свое имя от "родительского" домена. Дочерний домен автоматически устанавливает двухсторонние транзитивные доверительные отношения с родительским доменом. Доверительные отношения означают, что ресурсы одного из доменов могут быть доступны пользователям других доменов.

Пример дерева Active Directory изображен на рис. 6.3. В данном примере домен company.ru является доменом Active Directory верхнего уровня. От корневого домена отходят дочерние домены it.company.ru и fin.company.ru. Эти домены могут относиться соответственно к ИТ-службе компании и финансовой службе. У домена it.company.ru есть поддомен dev.it.company.ru, созданный для отдела разработчиков ПО ИТ-службы.

Корпорация Microsoft рекомендует строить Active Directory в виде одного домена. Построение дерева, состоящего из многих доменов необходимо в следующих случаях:

• для децентрализации администрирования служб каталогов (например, в случае, когда компания имеет филиалы, географически удаленные друг от друга, и централизованное управление затруднено по техническим причинам);

• для повышения производительности (для компаний с большим количеством пользователей и серверов актуален вопрос повышения производительности работы контроллеров домена);

• для более эффективного управления репликацией (если контроллеры доменов удалены друг от друга, то репликация в одном может потребовать больше времени и создавать проблемы с использованием несинхронизированных данных);

• для применения различных политик безопасности для различных подразделений компании;

• п ри большом количестве объектов в БД Active Directory.

Рис. 6.3

Лес

Наиболее крупная структура в Active Directory. Лес объединяет деревья, которые поддерживают единую схему (схема Active Directory — набор определений типов, или классов, объектов в БД Active Directory). В лесу между всеми доменами установлены двухсторонние транзитивными доверительными отношения, что позволяет пользователям любого домена получать доступ к ресурсам всех остальных доменов, если они имеют соответствующие разрешения на доступ. По умолчанию, первый домен, создаваемый в лесу, считается его корневым доменом, в корневом домене хранится схема AD.

Новые деревья в лесу создаются в том случае, когда необходимо построить иерархию доменов с пространством имен, отличным от других пространств леса. В примере на рис. 6.3 российская компания могла открыть офис за рубежом и для своего зарубежного отделения создать дерево с доменом верхнего уровня company.com. При этом оба дерева являются частями одного леса с общим "виртуальным" корнем.

При управлении деревьями и лесами нужно помнить два очень важных момента:

• первое созданное в лесу доменов дерево является корневым деревом, первый созданный в дереве домен называется корневым доменом дерева (tree root domain);

• первый домен, созданный в лесу доменов, называется корневым доменом леса (forest root domain), данный домен не может быть удален (он хранит информацию о конфигурации леса и деревьях доменов, его образующих).

Организационные подразделения (ОП).

Организационные подразделения (Organizational Units, OU) — контейнеры внутри AD, которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. ОП существуют только внутри доменов и могут объединять только объекты из своего домена. ОП могут быть вложенными друг в друга, что позволяет строить внутри домена сложную древовидную иерархию из контейнеров и осуществлять более гибкий административный контроль. Кроме того, ОП могут создаваться для отражения административной иерархии и организационной структуры компании.

Глобальный каталог

Глобальный каталог является перечнем всех объектов, которые существуют в лесу Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и не обо всех атрибутах этих объектов), находящемся в данном лесу.

Именование объектов

В службе каталогов должен быть механизм именования объектов, позволяющий однозначно идентифицировать любой объект каталога. В каталогах на базе протокола LDAP для идентификации объекта в масштабе всего леса используется механизм отличительных имен (Distinguished Name, DN). В Active Directory учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users, будет иметь следующее отличительное имя: "DC=ru, DC=company, CN=Users, CN=User".

Обозначения:

• DC (Domain Component) — указатель на составную часть доменного имени;

• OU (Organizational Unit) — указатель на организационное подразделение (ОП);

• CN (Common Name) — указатель на общее имя.

Если отличительное имя однозначно определяет объект в масштабе всего леса, то для идентификации объекта относительно контейнера, в котором данный объект хранится, существует относительное отличительное имя (Relative Distinguished Name, RDN). Для пользователя User из предыдущего примера RDN-имя будет иметь вид "CN=User".

Кроме имен DN и RDN, используется основное имя объекта (User Principal Name, UPN). Оно имеет формат <имя субъекта>@<суффикс домена>. Для того же пользователя из примера основное имя будет выглядеть как User@company.ru.

Имена DN, RDN могут меняться, если объект перемещается из одного контейнера AD в другой. Для того чтобы не терять ссылки на объекты при их перемещении в лесу, всем объектам назначается глобально уникальный идентификатор (Globally Unique Identifier, GUID), представляющий собой 128-битное число.

Планирование пространства имен ad

Планирование пространства имен и структуры AD — очень ответственный момент, от которого зависит эффективность функционирования будущей корпоративной системы безопасности. При этом надо иметь в виду, что созданную вначале структуру в процессе эксплуатации будет очень трудно изменить (например, в Windows 2000 изменить имя домена верхнего уровня вообще невозможно, а в Windows 2003 решение этой задачи требует выполнения жестких условий и тщательной подготовки данной операции). При планировании AD необходимо учитывать следующие моменты:

• тщательный выбор имен доменов верхнего уровня;

• качество коммуникаций в компании (связь между отдельными подразделениями и филиалами);

• организационная структура компании;

• количество пользователей и компьютеров в момент планирования;

• прогноз темпов роста количества пользователей и компьютеров.

Рассмотрим вопрос пространства имен AD.

При планировании имен доменов верхнего уровня можно использовать различные стратегии и правила. В первую очередь необходимо учитывать вопросы интеграции внутреннего пространства имен и пространства имен сети Интернет — т.к. пространство имен AD базируется на пространстве имен DNS, при неправильном планировании могут возникнуть проблемы с безопасностью, а также конфликты с внешними именами.

Рассмотрим основные варианты.

1. Один домен, одна зона DNS (рис. 6.4).

Н а рисунке в левой части — внутренняя сеть компании, справа — сеть Интернет, две сети разделены маршрутизатором "R" (кроме маршрутизатора, на границе могут быть также прокси-сервер или межсетевой экран).

Рис. 6.4

В данном примере используется одна и та же зона DNS (company.ru) как для поддержки внутреннего домена AD с тем же именем (записи DC, SRV-1, SRV-2, WS-1), так и хранения ссылок на внешние ресурсы компании — веб-сайт, почтовый сервер (записи www, mail).

Такой способ максимально упрощает работу системного администратора, но при этом DNS-сервер, доступный для всей сети Интернет, хранит зону company.ru и предоставляет доступ к записям этой зоны всем пользователям Интернета. Таким образом, внешние злоумышленники могут получить полный список внутренних узлов корпоративной сети. Даже если сеть надежно защищена межсетевым экраном и другими средствами защиты, предоставление потенциальным взломщикам информации о структуре внутренней сети — вещь очень рискованная, поэтому данный способ организации пространства имен AD не рекомендуется (хотя на практике встречается довольно часто).

2. "Расщепление" пространства имен DNS - одно имя домена, две различные зоны DNS(рис. 6.5).

Р ис. 6.5

В данном случае на различных серверах DNS создаются различные зоны с одним и тем же именем company.ru. На внутреннем DNS-сервере функционирует зона company.ru.для Active Directory, на внешнем DNS-сервере — зона с таким же именем, но для ссылок на внешние ресурсы. Важный момент — данные зоны никак между собой не связаны — ни механизмами репликации, ни ручной синхронизацией.

Здесь во внешней зоне хранятся ссылки на внешние ресурсы, а во внутренней на внутренние ресурсы, используемые для работы Active Directory. Данный вариант несложно реализовать, но для сетевого администратора возникает нагрузка управления двумя разными доменами с одним именем.

3. Поддомен в пространстве имен DNS для поддержки Active Directory (рис. 6.6).

Р ис. 6.6

В данном примере корневой домен компании company.ru служит для хранения ссылок на внешние ресурсы. В домене company.ru настраивается делегирование управление поддоменом corp.company.ru на внутренний DNS-сервер, и именно на базе домена corp.company.ru создается домен Active Directory. В этом случае во внешней зоне хранятся ссылки на внешние ресурсы, а также ссылка на делегирование управления поддоменом на внутренний DNS-сервер. Таким образом, пользователям Интернета доступен минимум информации о внутренней сети. Такой вариант организации пространства имен довольно часто используется компаниями.

4. Д ва различных домена DNS для внешних ресурсов и для Active Directory (рис. 6.7.).

Рис. 6.7

В этом сценарии компания регистрирует в Интернет-органах два доменных имени: одно для публикации внешних ресурсов, другое — для развертывания Active Directory.

Данный сценарий планирования пространства имен самый оптимальный. Во-первых, имя внешнего домена никак не связано с именем внутреннего домена, и не возникает никаких проблем с возможность показа в Интернет внутренней структуры. Во-вторых, регистрация (покупка) внутреннего имени гарантирует отсутствие потенциальных конфликтов, вызванных тем, что какая-то другая компания может зарегистрировать в Интернете имя, совпадающее с внутренним именем вашей компании.

5. Домен с именем типа company.local.

Во многих учебных пособиях и статьях используются примеры с доменными именами вида company.local. Такая схема вполне работоспособна и также часто применяется на практике. Однако в материалах разработчика системы Windows, корпорации Microsoft, нет прямых рекомендаций об использовании данного варианта.

Установка контроллеров доменов

Теперь перейдем к описанию процедур установки контроллеров доменов Active Directory.

Разберем установку самого первого контроллера самого первого домена самого первого леса в структуре AD.

Установка начинается с запуска из командной строки мастера установки Active Directory — dcpromo (рис. 6.8).

Р ис. 6.8

Н ажимаем кнопку "ОК" и видим стартовую страницу мастера (рис. 6.9):

Рис. 6.9

Д алее идет предупреждение, что операционные системы Windows 95, Windows NT 4.0 SP3 и более ранние не смогут функционировать в доменах Windows 2003 (рис. 6.10). Заметим, что в доменах на базе Windows 2000 такой проблемы нет (да и в доменах на базе windows 2003 эта проблема решаема).

Рис. 6.10

Затем выбираем варианты установки контроллера домена в новом домене (рис. 6.11) и создания нового домена в новом лесу (рис. 6.12):

Р ис. 6.11

Рис. 6.12

С ледующий шаг — выбор имени домена (для Active Directory это будет корневой домен). В нашем примере выберем имя world.ru (рис. 6.13):

Рис. 6.13

Зададим NetBIOS-имя домена (по умолчанию, будет предложена левая часть полного имени домена, выбранного на предыдущем шаге). В нашем примере — WORLD (рис. 6.14.):

Р ис. 6.14

Д алее мастер предложит выбрать место на жестких дисках для размещения базы данных Active Directory, журнала транзакций этой БД (рис. 6.15) и папки системного тома SYSVOL (рис. 6.16). Системный том обязательно должен быть размещен на разделе с файловой системой NTFS.

Р ис. 6.15

Рис. 6.16

После этого мастер установки на основе параметров сетевой конфигурации сервера ищет в сети DNS-сервер, на котором имеется зона с указанным нами именем домена, причем в данной зоне должны быть разрешены динамические обновления. Если такой сервер DNS в сети не найден, то мастер предложит установить службу DNS на данном сервере и создать соответствующую зону (рис. 6.17):

Р ис. 6.17

Д алее предлагается выбрать уровень разрешений создаваемого домена (рис. 6.18). Заметим, что если мы выберем наиболее высокий уровень, то в таком домене не смогут существовать компьютеры с операционными системами, более ранними, чем Windows 2000.

Рис. 6.18

З атем задаем пароль администратора при запуске системы в режиме восстановления служб каталогов (рис. 6.19). данный режим используется для восстановления БД Active Directory из резервной копии.

Рис. 6.19

Затем следует экран со сводкой информации о создаваемом домене и параметрах контроллера домена (рис. 6.20). На этом шаге в случае обнаруженной ошибки в конфигурации можно вернуться назад и исправить ошибку.

Р ис. 6.20

П осле этого начинается работа по созданию базы данных AD и наполнению ее нужными записями (рис. 6.21).

Рис. 6.21

Последний шаг — нажать кнопку "Готово" и перезагрузить сервер (рис. 6.22).

Рис. 6.22

Важное замечание. Если при создании первого контроллера в домене перед запуском мастера в локальной базе SAM данного сервера были какие-либо учетные записи пользователей и групп, то все они импортируются в созданную БД Active Directory с сохранением своих имен и паролей, в том числе и учетная запись администратора сервера, которая становится учетной записью администратора домена (а если самый первый домен в лесу, то и администратором предприятия и администратором схемы).

Кратко опишем процесс установки дополнительного контроллера в уже созданном домене.

Если у нас есть второй сервер, который мы хотим сделать дополнительным контроллером домена, то вначале желательно включить его в домен в качестве сервера–члена домена. Кнопка "Пуск" — Панель управления — Система — Закладка "Имя компьютера" — Кнопка "Изменить". Далее в поле "Является членом домена" ввести имя домена, нажать ОК, ввести имя и пароль администратора домена, снова нажать ОК и перезагрузить сервер ( рис. 6.23).

Рис. 6.23

П осле перезагрузки входим в систему с учетной записью администратора домена и запускаем мастер установки Active Directory — команда dcpromo. Выбираем вариант "Добавочный контроллер в существующем домене" (рис. 6.24).

Рис. 6.24

Указываем учетные данные администратора домена (рис. 6.25):

Рис. 6.25

С нова указываем имя домена — world.ru. Начинается процесс импорта БД Active Directory на создаваемый контроллер (рис. 6.26):

Рис. 6.26

По окончании процесса — снова нажать кнопку "Готово" и перезагрузить сервер.

Важное замечание. При добавлении дополнительного контроллера в домене существовавшая на сервере локальная база SAM с сервера удаляется.

Опишем процесс установки дополнительного контроллера домена из резервной копии AD существующего контроллера.

С начала создадим резервную копию AD. Запустим на существующем контроллере домена утилиту ntbackup, выберем архивацию состояния системы (System State), укажем путь для создания файла с резервной копией и нажмем кнопку "Архивировать" (рис. 6.27):

Рис. 6.27

На следующем шаге — нажать кнопку "Дополнительно" (рис. 6.28):

Рис. 6.28

В открывшейся панели — убрать галочку у поля "Автоматически архивировать защищенные системные файлы вместе с состоянием системы" (рис. 6.29):

Р ис. 6.29

П осле создания резервной копии AD файл с резервной копией желательно скопировать на жесткий диск того сервера, который будет преобразовываться в контроллер домена. Затем надо разархивировать резервную копию утилитой ntbackup. При этом обязательно надо указать, что восстанавливать данные надо в альтернативное размещение и указать папку для размещения восстановленных данных (рис. 6.30):

Рис. 6.30

Т еперь на сервере, который преобразуем из простого сервера в контроллер домена, запускаем утилиту dcpromo с параметром "/adv" (рис. 6.31):

Рис. 6.31

На этапе выбора источника БД Active Directory — выбрать вариант "используя файлы из архива" и указать путь к папке, в которую разархивировали резервную копию (рис. 6.32):

Р ис. 6.32

По окончании процесса — перезагрузить сервер.

6.2 Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций Логическая структура Active Directory

Служба каталогов Active Directory организована в виде иерархической структуры, построенной из различных компонентов, которые представляют элементы корпоративной сети. В этой структуре есть, например, пользовательские объекты, компьютерные объекты, и различные контейнеры. Способ организации этих элементов представляет собой логическую структуру Active Directory в корпоративной сети. Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные подразделения (ОП). Каждый из элементов логической структуры описан ниже.

Домен — логическая группа пользователей и компьютеров, которая поддерживает централизованное администрирование и управление безопасностью. Домен является единицей безопасности – это означает, что администратор для одного домена, по умолчанию, не может управлять другим доменом. Домен также является основной единицей для репликации — все контроллеры одного домена должны участвовать в репликации друг с другом. Домены в одном лесу имеют автоматически настроенные доверительные отношения, что позволяет пользователям из одного домена получать доступ к ресурсам в другом. Необходимо также знать, что можно создавать доверительные отношения с внешними доменами, не входящими в лес.

Д ерево является набором доменов, которые связаны отношениями "дочерний"/"родительский", а также используют связанные (смежные, или прилегающие) пространства имен. При этом дочерний домен получает имя от родительского. Например, можно создать дочерний домен, называемый it, в домене company.com, тогда его полное имя будет it.company.com (рис. 6.33). Между доменами автоматически устанавливаются двухсторонние транзитивные доверительные отношения (домен it.company.com доверяет своему "родительскому" домену, который в свою очередь "доверяет" домену sales.company.com – таким образом, домен it.company.com доверяет домену sales.company.com, и наоборот). Это означает, что доверительные отношения могут быть использованы всеми другими доменами данного леса для доступа к ресурсам данного домена. Заметим, что домен it.company.com продолжает оставаться самостоятельным доменом, в том смысле, что он остается единицей для управления системой безопасности и процессом репликации. Поэтому, например, администраторы из домена sales.company.com не могут администрировать домен it.company.com до тех пор, пока им явно не будет дано такое право.

Рис. 6.33

Лес — это одно или несколько деревьев, которые разделяют общую схему, серверы Глобального каталога и конфигурационную информацию. В лесу все домены объединены транзитивными двухсторонними доверительными отношениями.

Каждая конкретная инсталляция Active Directory является лесом, даже если состоит всего из одного домена.

Организационное подразделение (ОП) является контейнером, который помогает группировать объекты для целей администрирования или применения групповых политик. ОП могут быть созданы для организации объектов в соответствии с их функциями, местоположением, ресурсами и так далее. Примером объектов, которые могут быть объединены в ОП, могут служить учетные записи пользователей, компьютеров, групп и т.д. Напомним, что ОП может содержать только объекты из того домена, в котором они расположены.

Подводя итог, можно сказать, что логическая структура Active Directory позволяет организовать ресурсы корпоративной сети таким образом, чтобы они отражали структуру самой компании.

Физическая структура Active Directory

Физическая структура Active Directory служит для связи между логической структурой AD и топологией корпоративной сети.

Основные элементы физической структуры Active Directory — контроллеры домена и сайты.

Контроллеры домена были подробно описаны в предыдущем разделе.

Сайт — группа IP-сетей, соединенных быстрыми и надежными коммуникациями. Назначение сайтов — управление процессом репликации между контроллерами доменов и процессом аутентификации пользователей. Понятие "быстрые коммуникации" очень относительное, оно зависит не только от качества линий связи, но и от объема данных, передаваемых по этим линиям. Считается, что быстрый канал — это не менее 128 Кбит/с (хотя Microsoft рекомендует считать быстрыми каналы с пропускной способностью не менее 512 Кбит/с).

С труктура сайтов никак не зависит от структуры доменов. Один домен может быть размещен в нескольких сайтах, и в одном сайте могут находиться несколько доменов (рис. 6.34).

Рис. 6.34

Поскольку сайты соединяются друг с другом медленными линиями связи, механизмы репликации изменений в AD внутри сайта и между сайтами различные. Внутри сайта контроллеры домена соединены линиями с высокой пропускной способностью. Поэтому репликация между контроллерами производится каждые 5 минут, данные при передаче не сжимаются, для взаимодействия между серверами используется технология вызова удаленных процедур (RPC). Для репликации между сайтами кроме RPC может использоваться также протокол SMTP, данные при передаче сжимаются (в результате сетевой трафик составляет от 10 до 40% от первоначального значения), передача изменений происходит по определенному расписанию. Если имеется несколько маршрутов передачи данных, то система выбирает маршрут с наименьшей стоимостью.

Кроме управления репликацией, сайты используются при аутентификации пользователей в домене. Процесс аутентификации может вызвать заметный трафик, особенно если в сети имеется большое количество пользователей (особенно в начале рабочего дня, когда пользователи включают компьютеры и регистрируются в домене). При входе пользователя в сеть его аутентификация осуществляется ближайшим контроллером домена. В процессе поиска "ближайшего" контроллера в первую очередь используется информация о сайте, к которому принадлежит компьютер, на котором регистрируется пользователь. Ближайшим считается контроллер, расположенный в том же сайте, что и регистрирующийся пользователь. Поэтому рекомендуется в каждом сайте установить как минимум один контроллер домена.

В процессе аутентификации большую роль играет также сервер глобального каталога (при использовании универсальных групп). Поэтому в каждом сайте необходимо также размещать как минимум один сервер глобального каталога (или на одном из контроллеров домена в каждом сайте настроить кэширование членства в универсальных группах). Пользователи сети (в том числе компьютеры и сетевые службы) используют серверы глобального каталога для поиска объектов. В случае, если доступ к серверу глобального каталога осуществляется через линии связи с низкой пропускной способностью, многие операции службы каталога будут выполняться медленно. Это обстоятельство также стимулирует установку сервера глобального каталога в каждом сайте (более подробно о серверах глобального каталога будет рассказано ниже).

В самом начале создания леса автоматически создается сайт по умолчанию с именем Default-First-site-Name. В дальнейшем сетевой администратор должен сам планировать и создавать новые сайты и определять входящие в них подсети, а также перемещать в сайты соответствующие контроллеры доменов. При создания нового контроллера на основании выделенного ему IP-адреса служба каталога автоматически отнесет его к соответствующему сайту.

Репликация, управление топологией репликации

Рассмотрим сам процесс репликации изменений в AD как внутри сайта, так и между сайтами.

Репликация внутри сайта

Репликация изменений в AD между контроллерами домена происходит автоматически, каждые 5 минут. Топологию репликации, т.е. порядок, в котором серверы опрашивают друг друга для получения изменений в базе данных, серверы строят автоматически (эту задачу выполняет компонента служб каталогов, называемая Knowledge Consistency Checker, или KCC, вариант перевода данного термина — "наблюдатель показаний целостности"). При достаточно большом количестве контроллеров KCC строит кольцевую топологию репликации, причем для надежности образует несколько колец, по которым контроллеры передают данные репликации. Наглядно увидеть топологию репликации можно с помощью административной консоли "Active Directory - сайты и службы". Если в этой консоли раскрыть последовательно контейнеры Sites, Defauit-First-site-Name, Servers, далее — конкретный сервер (например, DC1) и установить на узле NTDS Settings, то в правой половине окна видно, что сервер DC1 запрашивает изменения с сервера DC2 (рис. 6.35):

Р ис. 6.35

В озможностей управления репликацией у администратора сети в данном случае немного. Можно лишь вызвать принудительную репликацию в той же консоли "Active Directory - сайты и службы". Если в правой части того же окна консоли, изображенного на рис. 6.35, щелкнуть правой кнопкой мыши на имени DC2 и выбрать вариант "Реплицировать сейчас", то контроллер DC1 получит изменения в базе данных AD с контроллера DC2 (рис. 6.36):

Рис. 6.36

Репликация между сайтами

Разбивать большую корпоративную сеть на отдельные сайты необходимо по следующим причинам: отдельные подсети корпоративной сети, расположенные в удаленных офисах, могут быть подключены друг к другу медленными каналами связи, которые сильно загружены в течение рабочего дня; поэтому возникает необходимость осуществления репликации в те часы, когда сетевой трафик минимален, и передавать данные репликации со сжатием.

Вернемся к сетевой структуре, изображенной на рис. 6.34, и обсудим понятия и термины, играющие важную роль в управлении репликацией между сайтами.

В этой конфигурации топология репликации также строится системной компонентой KCC. KCC выбирает контроллеры, которые осуществляют репликацию между сайтами, проверяет их работоспособность и, в случае недоступности какого-либо сервера, назначает для репликации другой доступный сервер.

Для репликации между сайтами используется тот или иной межсайтовый транспорт — это либо IP (RPC), либо SMTP. Для каждого вида межсайтового транспорта определяется "соединение сайтов" (site link), с помощью которого строится управление репликацией между двумя и более сайтами. Именно для соединения ("линка") задаются такие параметры как "Расписание репликации" и "Стоимость". На рис. 6.34. соединение Link-1 связывает в единую цепочку сайты Сайт-1, Сайт-3, Сайт-4 и Сайт-2, соединение Link-2 связывает два сайта — Сайт-1 и Сайт-2. В данном примере репликация между сайтами Сайт-1 и Сайт-2 будет проходить либо по соединению Link-1, либо по соединению Link-2 — в зависимости от расписания, стоимости соединения и его доступности (при доступности обоих соединений преимущество будет иметь соединение с более низкой стоимостью). На рис. 6.37 изображено созданное автоматически соединение для транспорта IP (RPC) — DEFAULTIPSITELINK. Если открыть Свойства этого соединения (рис. 6.38), то можно управлять списком сайтов, относящихся к этому соединению, назначать стоимость соединения (значение по умолчанию — 100), интервал репликации (по умолчанию — каждые 3 часа), а если нажать кнопку "Изменить расписание", то можно более тонко определить дни и часы, в которые будет производиться репликация.

К онтейнер Subnets консоли "Active Directory - сайты и службы" служит для описания подсетей, входящих в тот или иной сайт.

Рис. 6.37

Рис. 6.38

Функциональные уровни домена и леса

Набор возможностей, предоставляемых службой каталогов Active Directory, зависит от того, на каком уровне (или в каком режиме) функционируют отдельный домен или весь лес в целом.

Для Windows 2003 имеются 4 уровня функционирования (в Windows 2000 — 2 уровня):

Windows 2000 смешанный (Windows 2000 mixed)

В данном режиме в домене могут существовать резервные контроллеры домена под управлением системы Windows NT Server. Этот режим рассматривается как переходный в процессе модернизации служб каталогов с Windows NT на Windows 2000/2003. В этом режиме отсутствует ряд возможностей Active Directory — универсальные группы, вложенность групп. Кроме того, наличие контроллеров домена под управлением Windows NT накладывает ограничение на размер БД Active Directory (40 мегабайт).

После установки системы и создания первого контроллера домена домен всегда работает именно в смешанном режиме.

Windows 2000 основной (Windows 2000 native)

В данном режиме контроллерами домена могут быть серверы под управлением Windows 2000 и Windows 2003. В данном режиме появляется возможность использования универсальных групп, вложенность групп, и ликвидируется ограничение на размер БД Active Directory.

Windows 2003 промежуточный (Windows 2003 interim)

Данный уровень возможен только в том случае, когда контроллеры домена работают под управлением Windows NT и Windows 2003 (не может быть контроллеров с системой Windows 2000). Этот уровень доступен только тогда, когда производится установка Windows 2003 поверх контроллеров домена с Windows NT. Ограничения этого режима аналогичны смешанному режиму.

Windows 2003

Это наивысший уровень функционирования домена, в котором есть контроллеры с Windows 2003, причем все контроллеры обязаны быть с системой Windows 2003.

И зменять уровень функционирования домена можно только в сторону его повышения. Сделать это можно с помощью административных консолей "Active Directory – домены и доверие" или "Active Directory – пользователи и компьютеры". Если в какой-либо из этих консолей щелкнуть правой кнопкой мыши на имени домена и выбрать в контекстном меню пункт "Изменение режима работы домена", то появится панель, изображенная на рис. 6.39:

Рис. 6.39

Для повышения уровня надо выбрать необходимый уровень и нажать кнопку "Изменить". После репликации данного изменения на все контроллеры в данном домене станут доступны специфичные для данного уровня возможности. Заметим, что произведенные изменения необратимы.

Для всего леса в целом также можно определять функциональные уровни. Это делается с помощью консоли "Active Directory – домены и доверие". Только правой кнопкой мыши надо щелкнуть не на имени домена, а на надписи "Active Directory – домены и доверие".

Существуют 3 уровня функционирования леса:

• Windows 2000 (с контроллерами под управлением Windows NT, 2000 и 2003);

• Windows 2003 interim (с контроллерами под управлением только Windows NT и 2003);

• Windows 2003 (все домены всего леса — с контроллерами под управлением только Windows 2003).

Самый высокий уровень функционирования леса позволяет выполнять две очень важные задачи:

• переименование доменов;

• установление доверительных отношений между двумя не связанными друг с другом лесами с использованием Kerberos в качестве протокола аутентификации (без такого режима доверительные отношения могут устанавливаться только между отдельными доменами, а не целыми лесами, при этом будет использоваться менее защищенный протокол аутентификации NTLM).

Серверы Глобального каталога и Хозяева операций

Большинство операций с записями БД Active Directory администратор может выполнять, подключившись с помощью соответствующей консоли к любому из контроллеров домена. Однако, во избежание несогласованности, некоторые действия должны быть скоординированы и выполнены специально выделенными для данной цели серверами. Такие контроллеры домена называются Хозяевами операций (Operations Masters), или исполнителями специализированных ролей (Flexible Single-Master Operations, сокращенно — FSMO).

Всего имеется пять специализированных ролей:

1. Schema Master (хозяин схемы): контролирует возникающие изменения Схемы базы данных Active Directory (добавление и удаление классов объектов, модификация набора атрибутов). Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).

2. Domain Naming Master (хозяин именования доменов): контролирует процесс добавления или удаления доменов в лесу. Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).

3. PDC Emulator (эмулятор PDC): действует как PDC (главный контроллер домена) для BDC (резервный контроллер домена) под управлением Windows NT, когда домен находится в смешанном режиме; управляет изменениями паролей (изменение пароля учетной записи в первую очередь реплицируется на эмулятор PDC); является предпочтительным сервером (в Windows 2000 — единственный сервер) для редактирования групповых политик; является сервером времени для остальных контроллеров данного домена (контроллеры домена синхронизируют свои системные часы с эмулятором PDC). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

4. RID Master (хозяин RID, распределитель идентификаторов учетных записей): выделяет контроллерам домена пулы относительных идентификаторов (RID, которые являются уникальной частью идентификаторов безопасности SID). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

5. Infrastructure Master (хозяин инфраструктуры): отвечает за обновление связей "пользователи — группы" между доменами. Эта роль не должна храниться на контроллере домена, который также является сервером Глобального Каталога – хозяин инфраструктуры не будет работать в данном сценарии (за исключением случая, когда в домене всего один контроллер). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

Просмотреть текущих владельцев ролей и передать ту или иную роль на другой контролер можно с помощью административных консолей:

• роль Хозяина Схемы — с помощью консоли "Active Directory Schema" (чтобы запустить эту консоль, надо сначала зарегистрировать соответствующую программную компоненту в командной строке: regsvr32 schmmgmt.dll, а затем запустить саму консоль тоже в командной строке — schmmgmt.msc);

• роль Хозяина именования доменов — с помощью консоли "Active Directory – домены и доверие";

• р оли эмулятора PDC, хозяина RID и хозяина инфраструктуры — с помощью консоли "Active Directory – пользователи и компьютеры" (пример можно увидеть на рис. 6.40).

Рис. 6.40

Необходимо знать, кто из пользователей имеет право менять роли хозяев операций:

• эмулятор PDC — члены группы "Администраторы домена";

• хозяин RID — члены группы "Администраторы домена";

• хозяин инфраструктуры — члены группы "Администраторы домена";

• хозяин именования доменов — члены группы "Администраторы предприятия";

• хозяин схемы — члены группы "Администраторы Схемы" или группы "Администратор предприятия".

Если контроллер домена, которому принадлежит роль хозяина операции, выходит из строя (вследствие повреждения оборудования или программного обеспечения), причем нет возможности восстановить данную систему из резервной копии, то с помощью административных консолей передать роли работоспособным серверам нет возможности. Восстановить функционирование определенной роли хозяина операций можно только путем захвата данной роли с помощью утилиты командной строки ntdsutil.

Сервер глобального каталога

Напомним, что Глобальный каталог (global catalog) — это перечень всех объектов леса Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и не обо всех атрибутах этих объектов), находящемся в данном лесу.

Сервер глобального каталога выполняет две очень важные функции:

• поиск объектов в масштабах всего леса (клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов по определенным значениям атрибутов; использование сервера глобального каталога — единственный способ осуществлять поиск объектов по всему лесу);

• аутентификация пользователей (сервер глобального каталога предоставляет информацию о членстве пользователя в универсальных группах, universal groups; поскольку универсальные группы со списками входящих в них пользователей хранятся только на серверах глобального каталога, аутентификация пользователей, входящих в такие группы, возможна только при участии сервера глобального каталога).

П о умолчанию самый первый контроллер домена в лесу является сервером глобального каталога. Однако администратор сети может назначить любой контроллер домена сервером глобального каталога. Это делается с помощью административной консоли "Active Directory – сайты и службы", в свойствах узла "NTDS Settings" выбранного контроллера (рис. 6.41):

Рис. 6.41

Д ля эффективной работы службы каталогов Active Directory необходимо, чтобы в каждом сайте AD был либо сервер глобального каталога, либо контроллер домена, кэширующий у себя списки членов универсальных групп. Кэширование универсальных групп также настраивается в консоли "Active Directory – сайты и службы" в свойствах узла "NTDS Settings" для каждого сайта Active Directory. Для включения кэширования нужно поставить галочку у поля "Разрешить кэширование членства в универсальных группах" и указать, из какого сайта данный сайт будет получать списки универсальных групп в поле "Обновлять кэш из:" (рис. 6.42):

Рис. 6.42

6.3 Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики Управление пользователями и группами

Учетные записи (accounts) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.

В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:

• Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM (Security Accounts Manager) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups (Локальные пользователи и группы) консоли Computer Management (Управление компьютером). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.

• Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли "Active Directory Users and Computers" ("Active Directory – пользователи и компьютеры").

• Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator (Администратор) и Guest (Гость). По умолчанию учетная запись Гость отключена.

Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.

Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа — это с использованием суффикса User Principal Name (основного имени пользователя) и имя входа пользователя в системах пред-Windows 2000.

Основное имя пользователя (UPN, User Principle Name) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок "@" и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).

Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли "Active Directory – домены и доверие" ("Active Directory Domain and Trusts").

Существует только одно обязательное условие при этом — все UPN в лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.

Управление доменными учетными записями пользователей

Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers.

Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.

Создание доменной учетной записи

1. Откроем административную консоль "Active Directory – пользователи и компьютеры".

2. Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду "Создать" и далее — "Пользователь".

3. Заполним поля "Имя", "Фамилия", например, "Иван" и "Иванов" (в английской версии — First Name, Last Name), поле "Полное имя" (Full Name) заполнится само.

4. Введем "Имя входа пользователя" (User logon name), например, User1. К этому имени автоматически приписывается часть вида "@<имя домена>", в нашем примере — "@world.ru" (полученное имя должно быть уникальным в масштабах леса).

5. В процессе формирования имени входа автоматически заполняется "Имя входа пользователя (пред-Windows 2000)" (User logon name (pre- Windows 2000)), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя "WORLD\User1". Нажмем кнопку "Далее" (рис. 6.43):

Рис. 6.43

6. Вводим пароль пользователя (два раза, для подтверждения).

7. Укажем начальные требования к паролю:

   • Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

   • Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

   • Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

   • Отключить учетную запись.

Н ажмем кнопку "Далее" (рис. 6.44):

Рис. 6.44

8. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку "Готово".

Внимание! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:

• отключается требование сложности паролей,

• устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),

• устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),

• устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),

• группе "Пользователи" дается право локального входа на контроллеры домена.

Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).

Правила выбора символов для создания пароля:

• длина пароля — не менее 7 символов;

• пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;

• пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);

• пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;

• пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).

И еще одно правило безопасности — регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.

Обзор свойств учетных записей пользователей

Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли "Active Directory – пользователи и компьютеры", причем при установке различных программных продуктов набор свойств может расширяться.

Рассмотрим наиболее важные с точки зрения администрирования свойства.

Откроем консоль "Active Directory – пользователи и компьютеры" и посмотрим свойства только что созданного нами пользователя.

Закладка "Общие". На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:

• "Имя"

• "Фамилия"

• "Выводимое имя"

• "Описание"

• "Номер телефона"

• "Электронная почта"

Закладка "Адрес" — справочная информация для поиска в AD.

Закладка "Учетная запись" — очень важный набор параметров (параметры "Имя входа пользователя" и "Имя входа пользователя (пред-Windows 2000)" обсуждались выше при создании пользователя):

• кнопка "Время входа" — дни и часы, когда пользователь может войти в домен;

• кнопка "Вход на…" — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);

• Поле типа чек-бокс "Заблокировать учетную запись" — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;

• "Параметры учетной записи" (первые три параметра обсуждались выше):

  • "Требовать смену пароля при следующем входе в систему"

  • "Запретить смену пароля пользователем"

  • "Срок действия пароля не ограничен"

  • "Отключить учетную запись" — принудительное отключение учетной записи (пользователь не сможет войти в домен);

  • "Для интерактивного входа в сеть нужна смарт-карта" — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);

• "Срок действия учетной записи" — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)

Закладки "Телефоны", "Организация" — справочная информация о пользователе для поиска в AD.

Закладка "Профиль"

Профиль (profile) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:

• локальные — хранятся в папке "Documents and Settings" на том разделе диска, где установлена операционная система;

• перемещаемые (сетевые, или roaming) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);

• обязательные (mandatory) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.

Параметр "Сценарий входа" определяет исполняемый файл, который при входе пользователя в систему загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл (.bat, .cmd), исполняемая программа (.exe, .com), файл сценария (.vbs, js).

Закладка "Член групп" — позволяет управлять списком групп, в которые входит данный пользователь.

Закладка "Входящие звонки".

Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты "Разрешить доступ" и "Запретить доступ", а также параметры обратного дозвона ("Ответный вызов сервера"). В режимах "Windows 2000 основной" и "Windows 2003" доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.

Закладки "Профиль служб терминалов", "Среда", "Сеансы", "Удаленное управление" — данные закладки управляют параметрами работы пользователя на сервере терминалов:

• управление разрешением пользователя работать на сервере терминалов;

• размещение профиля при работе в терминальной сессии,

• настройка среды пользователя в терминальной сессии (запуск определенной программы или режим рабочего стола, подключение локальных дисков и принтеров пользователя в терминальную сессию);

• управление сеансом пользователя на сервере терминалов (длительность сессии, тайм-аут бездействия сессии, параметры повторного подключения к отключенной сессии);

• разрешение администратору подключаться к терминальной сессии пользователя.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

• Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

• Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп

• Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;

• Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;

• Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа (Access Token), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и использования групп.

При создании и использовании групп следует придерживаться следующих правил:

1. Включать глобальные учетные записи пользователей (Accounts) в глобальные группы (Global groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.

2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции (Local groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.

3. Давать разрешения (Permissions) на доступ к ресурсам локальным группам.

По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных (Universal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.

Встроенные и динамически формируемые группы.

Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.

Перечислим наиболее часто используемые на практике встроенные и динамические группы.

Управление Организационными подразделениями, делегирование полномочий

Назначение Организационных подразделений (ОП, Organizational Units, OU) — организация иерархической структуры объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную структуру компании.

На практике использование ОП (кроме иерархической организации объектов) сводится к двум задачам:

• делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе пользователей;

• применение групповых политик к объектам, входящим в ОП.

Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих административные права на уровне всего домена.

Рассмотрим на примере процедуру предоставления какому-либо пользователю административных прав на управление ОП.

1. Откроем консоль "Active Directory – пользователи и компьютеры".

2. Создадим в домене подразделение, скажем, с именем OU-1, переместим в это ОП несколько имеющихся в домене учетных записей (или создадим новые).

3. Щелкнем правой кнопкой мыши на подразделении OU-1 и выберем пункт меню "Делегирование управления…". Запустится "Мастер делегирования управления"

4. В ыберем пользователя (или группу), которому будем делегировать управление данным ОП. Пусть это будет пользователь User1 (рис. 6.45). Нажмем "Далее".

Рис. 6.45

5. Выберем набор административных задач, которые делегируются данному пользователю (рис. 6.46):

Рис. 6.46

6. По завершении мастера — нажмем кнопку "Готово".

Если теперь войти в систему на контроллере домена с учетной записью User1 (при условии, что у пользователя User1 есть права локального входа в систему на контроллере домена), запустить консоль "Active Directory – пользователи и компьютеры", то пользователь User1 сможет выполнять любые операции с объектами организационного подразделения OU-1.

Кроме удобных консолей с графическим интерфейсом система Windows 2003 оснащена мощным набором утилит командной строки для управления объектами Active Directory:

• dsadd — добавляет объекты в каталог;

• dsget — отображает свойства объектов в каталоге;

• dsmod — изменяет указанные атрибуты существующего объекта в каталоге;

• dsquery — находит объекты в каталоге, удовлетворяющие указанным критериям поиска;

• dsmove — перемещает объект из текущего местоположения в новое родительское место;

• dsrm — удаляет объект или все поддерево ниже объекта в каталоге.

Примеры.

1. Создание подразделения OU-New в домене world.ru:

dsadd ou "ou=OU-New,dc=world,dc=ru"

2. Создание пользователя User-New в подразделении OU-New в домене world.ru:

dsadd user "cn=User-New,ou=OU-New,dc=world,dc=ru"

3. Модификация параметра "Номер телефона" у пользователя User-New:

dsmod user "cn=User-New,ou=OU-New,dc=world,dc=ru" –tel 123-45-67

4. Получение списка пользователей домена, у которых имя начинается с символа "u":

dsquery user -name u*

Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).

Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, оп), применение политик и права доступа, наследование и блокировка применения

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик (Group Policy) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД Active Directory, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD ("Active Directory – сайты и службы", "Active Directory – пользователи и компьютеры", локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки). На рис. 6.47 показана закладка "Групповые политики" свойств домена world.ru. На данной закладке можно выполнить следующие действия:

• кнопка "Создать" — создать новый объект ГП;

• кнопка "Добавить" — привязать к данному объекту AD существующий объект ГП;

• кнопка "Изменить" — открыть редактор групповых политик для выбранного объекта ГП;

• кнопка "Параметры" — запретить перекрывание (поле "Не перекрывать") параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле "Отключить") данный объект ГП;

• кнопка "Удалить" — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;

• кнопка "Свойства" — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;

• поле "Блокировать наследование политики" — запретить применение политик, привязанных к более высоким уровням иерархии AD;

• к нопки "Вверх" и "Вниз" — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).

Рис. 6.47

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

• локальная политика;

• политики сайта Active Directory;

• политики домена;

• политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых политик (см. рис. 6.47):

• блокировка наследования политик на каком либо уровне иерархии AD;

• запрет блокировки конкретного объекта групповых политик;

• управление приоритетом применения политик на конкретном уровне AD (кнопками "Вверх" и "Вниз");

• разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП "Чтение" и "Применение групповой политики").

Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами "secedit /refreshpolicy machine_policy" и "secedit /refreshpolicy user_policy" (на компьютерах с системой Windows 2000).

Н а практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.

Управление приложениями

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.

Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.

Используются следующие способы управления установкой приложений:

• назначение приложений компьютерам (при данном способе приложение, назначенное компьютеру, автоматически устанавливается при загрузке компьютера);

• назначение приложений пользователям (приложение устанавливается при первом вызове данного приложения — при открытия ярлычка приложения или файла, соответствующего данному приложению);

• публикация приложений пользователям (название приложения добавляется к списку доступных для установки программ в окне "Установка и удаление программ" в Панели управления).

С помощью политик можно управлять установкой приложений, которые устанавливаются с помощью компоненты Windows Installer, т.е. для них установочный пакет должен быть создан в формате файла с расширением ".msi". Если приложение можно установить только с помощью установочной программы типа setup.exe или install.exe, то такие приложения могут быть опубликованы (но не назначены) после создания файла типа ".zap", в котором заданны соответствующие параметры, необходимые для публикации средствами ГП.

Рассмотрим на примерах процессы назначения и публикации приложений.

Пример 1. Назначение пакета Group Policy Management Console ("Консоль управления групповыми политиками") всем компьютерам домена world.ru.

1. О ткроем закладку "Групповые политики" свойств домена. Создадим новый объект ГП с именем "GPMC" (рис. 6.48).

Рис. 6.48

2. О ткроем редактор политик для политики GPMC, откроем "Конфигурация компьютера", "Конфигурация программ", на параметре "Установка программ" щелкнем правой кнопкой мыши и выберем "Создать — Пакет" (рис. 6.49):

Рис. 6.49

3. Укажем сетевой путь к пакету "\\DC1\Soft\GPMC\gpmc.msi". Выберем метод развертывания "Назначенный", нажмем "ОК". В окне редактора политик появится значение параметра (рис. 6.50):

Рис. 6.50

4. П ри загрузке компьютера в домене в процессе применения политик будет установлен данный программный пакет (рис. 6.51):

Рис. 6.51

Пример 2. Публикация пакета Microsoft Office 2003 всем пользователям домена world.ru.

1. Откроем закладку "Групповые политики" свойств домена. Создадим новый объект ГП с именем "MS Office 2003".

2. Откроем редактор политик для политики MS Office 2003, откроем "Конфигурация пользователя", "Конфигурация программ", на параметре "Установка программ" щелкнем правой кнопкой мыши и выберем "Создать — Пакет".

3. Укажем сетевой путь к пакету "\\DC1\Soft\Office 2003\PRO11.msi". Выберем метод развертывания "Публичный", нажмем "ОК".

4. П осле применения политик откроем Панель управления, выберем "Установка и удаление программ", нажмем кнопку "Установка программ", в окне доступных для установки программ появится название пакета "Microsoft Office 2003" (рис. 6.52).

Рис. 6.52

Group Policy Management Console

В качестве примера установки пакета с помощью назначения мы выбрали пакет MS Group Policy Management Console (Консоль управления групповыми политиками). Установочный комплект можно найти в Центре загрузка сайта корпорации Microsoft (пакет распространяется бесплатно).

Рассмотрим теперь подробнее, как работает этот пакет.

Во-первых, установить его можно на компьютер с системам Windows XP/2003. При этом управлять политиками пакет может и в доменах под управлением Windows 2000.

В о-вторых, при просмотре свойств какого либо домена или ОП закладка "Групповые политики" после установки GPMC выглядит по-другому (рис. 6.53):

Рис. 6.53

На этой закладке вместо списка политик и множества кнопок теперь всего одна кнопка "Open" ("Открыть").

Отметим основные преимущества этой консоли по сравнению с базовыми возможностями системы.

1. Наглядное отображение иерархии внутри домена со всеми объектами ГП, привязанными к разным уровням иерархии ОП (рис. 6.54):

Р ис. 6.54

На рисунке хорошо видна вся иерархия подразделений внутри домена world.ru. Причем на каждом уровне отображается список политик, привязанных к данному уровню. Например, на уровне домена привязаны политики: стандартная политика домена, политика GPMC (назначение пакета GPMC) и политика MS Office 2003 (публикация пакета MS Office). На уровне подразделения OU-1 включено блокирование наследования политик (синий значок с восклицательным знаком). Стандартная политика домена Default Domain Policy имеет свойство "Не перекрывать" (небольшой значок справа от стрелки на пиктограмме объекта ГП). Включение параметра "Не перекрывать" в этой консоли делается так: щелкнуть правой кнопкой мыши на объекте ГП и в контекстном меню выбрать пункт "Enforce".

В контейнере "Group Policy Objects" приведен полный список всех объектов ГП.

Для вызова редактора политик нужно щелкнуть правой кнопкой мыши на объекте ГП и в контекстном меню выбрать пункт "Edit".

В разделе "Group Policy Modeling" можно определить, какой набор политики будет применяться на том или ином уровне иерархии AD (на рис. 6.55 выведен список политик, примененных к подразделению OU-1):

Рис. 6.55

В разделе "Group Policy Results" можно определить набор параметров, примененных к определенному пользователю или компьютеру в результате наложения всех политик (рис. 6.56, список политик для пользователя Администратор):

Рис. 6.56

6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos

Протокол Kerberos был создан более десяти лет назад в Массачусетском технологическом институте в рамках проекта Athena. Однако общедоступным этот протокол стал, начиная с версии 4. После того, как специалисты изучили новый протокол, авторы разработали и предложили очередную версию — Kerberos 5, которая была принята в качестве стандарта IETF. Требования реализации протокола изложены в документе RFC 1510, кроме того, в спецификации RFC 1964 описывается механизм и формат передачи жетонов безопасности в сообщениях Kerberos.

Протокол Kerberos предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, причём в протоколе учтён тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут быть перехвачены и модифицированы. Другими словами, протокол идеально подходит для применения в Интернет и аналогичных сетях.

Основная концепция протокола Kerberos очень проста — если есть секрет, известный только двоим, то любой из его хранителей может с лёгкостью удостовериться, что имеет дело со своим напарником. Для этого ему достаточно проверить, знает ли его собеседник общий секрет.

Протокол Kerberos решает эту проблему средствами криптографии с секретным ключом. Вместо того, чтобы сообщать друг другу пароль, участники сеанса связи обмениваются криптографическим ключом, знание которого подтверждает личность собеседника. Но чтобы такая технология оказалась работоспособной, необходимо, чтобы общий ключ был симметричным, т.е., он должен обеспечивать как шифрование, так и дешифрование информации. Тогда один из участников использует его для шифрования данных, а другой с помощью этого ключа извлекает их.

Простой протокол аутентификации с секретным ключом вступает в действие, когда кто-то стучится в сетевую дверь и просит впустить его. Чтобы доказать своё право на вход, пользователь предъявляет аутентификатор (authenticator) в виде набора данных, зашифрованного секретным ключом. Получив аутенитификатор, "привратник" расшифровывает его и проверяет полученную информацию, чтобы убедиться в успешности дешифрования. Разумеется, содержание набора данных должно постоянно меняться, иначе злоумышленник может просто перехватить пакет и воспользоваться его содержимым для входа в систему. Если проверка прошла успешно, то это значит, что посетителю известен секретный код, а так как этот код знает только он и привратник, следовательно, пришелец на самом деле тот, за кого себя выдаёт.

При использовании простых протоколов, типа описанного выше, возникает одна важная проблема. Если каждому клиенту для поддержания связи с каждой службой требуется индивидуальный ключ, и такой же ключ нужен каждой службе для каждого клиента, то проблема обмена ключами быстро приобретает предельную остроту. Необходимость хранения и защиты такого множества ключей на огромном количестве компьютеров создаёт невероятный риск для всей системы безопасности.

Само название протокола Kerberos говорит о том, как здесь решена проблема управления ключами. Цербер (или Кербер) — персонаж греческой мифологии. Этот свирепый пёс о трёх головах, по поверьям греков, охраняет врата подземного царства мёртвых. Трём головам Цербера в протоколе Kerberos соответствуют три участника безопасной связи:

• Клиент — система (пользователь), делающий запрос;

• Сервер — система, которая обеспечивает сервис для систем, чью подлинность нужно подтвердить.

• Центр распределения ключей (Key Distribution Center, KDC) — сторонний посредник между клиентом и сервером, который ручается за подлинность клиента. В среде Windows , начиная с Windows 2000, в роли KDC выступает контроллер домена со службой каталогов Active Directory.

В среде Kerberos для входа в систему пользователь должен предоставить свое имя пользователя, пароль и имя домена (часто упоминаемое как Realm, или "Сфера", в словаре Kerberos), в который он хочет войти. Эта информация посылается KDC, который устанавливает подлинность пользователя. Если пользователь подлинный, ему предоставляется нечто, называемое "билет на получение билета" (ticket-granting ticket, TGT).

Однако, если вам необходим доступ к конкретному серверу, вам также необходим билет для этого сервера или вы не сможете создать сеанс связи с ним.

Когда вы хотите получить доступ к серверу, вы сначала должны обратиться к KDC, предъявить свой билет TGT, как подтверждение своей подлинности, а затем уже запросить "билет сеанса" для сервера, с которым вам необходим контакт. Если вы аутентифицированы, вы сможете получить доступ к серверу в соответствии с правами, которыми обладаете. Билет сеанса и TGT, которые вы получаете, имеют ограниченное время действия, которое может настраиваться в групповой политике. Значения по умолчанию составляют для TGT (также упоминаемого как билет пользователя) — 7 дней, а для билета сеанса (также упоминаемого как билет службы) — 10 часов.

В среде с одним доменом аутентификация Kerberos осуществляется очень просто. Однако в среде со многими доменами, этот процесс происходит в несколько этапов. Причина в том, что когда вы пытаетесь получить билет сессии для сервера, он должен быть получен от KDC того домена, в котором расположен сервер. Поэтому вы должны будете получить несколько билетов сессии, для прохождения цепочки доверительных отношений по пути к KDC, к которому вам нужно получить доступ.

Пример, приведенный ниже, демонстрирует шаги, необходимые для того, чтобы клиент, расположенный в домене it.company.ru, получил доступ к серверу в домене sales.company.ru:

• клиент входит в систему как пользователь в домене it.company.ru и получает соответствующий TGT;

• клиент хочет взаимодействовать с сервером в домене sales.company.ru, он контактирует с KDC в домене it.company.ru и запрашивает билет сеанса для KDC в домене company.ru;

• после получения этого билета он контактирует с KDC в домене company.ru и запрашивает билет сеанса для KDC в домене sales.company.ru;

• после получения этого билета он контактирует с KDC в домене sales.company.ru и запрашивает билет для сервера, к которому ему необходим доступ;

• получив билет сессии для доступа к серверу, клиент имеет доступ к нему в соответствии с имеющимися у него разрешениями.

Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

Управлению безопасностью в сетях Microsoft Windows посвящено немало учебных курсов и хороших книг. В предыдущих разделах мы уже касались политик безопасности, относящихся к учетным записям пользователей (параметры длины и сложности пароля, параметры блокировки учетных записей) и параметрам прав пользователей (в частности, локальный вход в систему на сервере для выполнения лабораторных работ в компьютерном классе).

Оставим подробное изучение безопасности сетей Microsoft за рамками данного курса, но при этом рассмотрим работу с очень полезными оснастками, которые могут помочь начинающему сетевому администратору ознакомиться с некоторыми стандартными шаблонами политик безопасности, которые имеются в самой системе Windows Server, и проводить анализ и текущих настроек сервера в сравнении со этими стандартными шаблонами.

1. Сначала откроем чистую консоль mmc.

Кнопка "Пуск" — "Выполнить" — mmc — кнопка "ОК".

2. Добавим в новую консоль оснастки "Шаблоны безопасности" и "Анализ и настройка безопасности".

М еню "Консоль" — "Добавить или удалить оснастку" — кнопка "Добавить" — выбрать оснастку "Анализ и настройка безопасности" — кнопка "Добавить" — выбрать оснастку "Шаблоны безопасности" — кнопка "Добавить" — кнопка "Закрыть" — кнопка "ОК" (рис. 6.57).

Рис. 6.57

В полученной консоли (ее можно будет сохранить и использовать в дальнейшем неоднократно) можно делать следующее:

• изучить параметры стандартных шаблонов безопасности (оснастка "Шаблоны безопасности") и даже попробовать сконструировать собственные шаблоны на основе стандартных (можно сохранить какой-либо шаблон с другим именем и изменить какие-либо параметры шаблона);

• провести анализ (сравнение) текущих параметров безопасности сервера (оснастка "Анализ и настройка безопасности").

Приведем краткие характеристики стандартных шаблонов безопасности:

• DC security — используемые по умолчанию параметры безопасности контроллера домена;

• securedc — защищенный контроллер домена (более высокие требования к безопасности по сравнению с шаблоном DC security, отключается использование метода аутентификации LanManager);

• hisecdc — контроллер домена с высоким уровнем защиты (более высокие требования к безопасности по сравнению с шаблоном securedc, отключается метод аутентификации NTLM, включается требование цифровой подписи пакетов SMB);

• compatws — совместимая рабочая станция или совместимый сервер (ослабляет используемые по умолчанию разрешения доступ группы "Пользователи" к реестру и к системным файлам для того, чтобы приложения, не сертифицированные для использования в данной системе, могли работать в ней);

• securews — защищенная рабочая станция или защищенный сервер (аналогичен шаблону securedc, но предназначен для применения к рабочим станциям и простым серверам);

• hisecws — рабочая станция или защищенный сервер с высоким уровнем защиты (аналогичен шаблону hisecdc, но предназначен для применения к рабочим станциям и простым серверам);

• setup security — первоначальные настройки по умолчанию (параметры, устанавливаемые во время инсталляции системы);

• rootsec — установка стандартных (назначаемых во время инсталляции системы) NTFS-разрешений для папки, в которую установлена операционная система;

Теперь на примере рассмотрим, как проводить анализ настроек безопасности.

1. Откроем базу данных, в которой будут сохраняться настройки проводимого нами анализа.

Щ елкнем правой кнопкой мыши на значке оснастки "Анализ и настройка безопасности", выберем "Открыть базу данных", укажем путь и название БД (по умолчанию БД создается в папках профиля того администратора, который проводит анализ), нажмем кнопку "Открыть", выберем нужный нам шаблон (например, hisecdc) и нажмем "ОК" (рис. 6.58):

Рис. 6.58

2. Выполним анализ настроек безопасности.

Щ елкнем правой кнопкой мыши на значке оснастки "Анализ и настройка безопасности", выберем "Анализ компьютера", укажем путь и название файла с журналом ошибок (т.е. протоколом проведения анализа), нажмем "ОК", будет выполнено сравнение текущих настроек с параметрами шаблона (рис. 6.59):

Рис. 6.59

3. Теперь можно провести уже настоящий анализ настроек безопасности.

Откроем любой раздел оснастки (например, "Политики паролей", рис. 6.60):

На рисунке сразу видны расхождения между настройками нашего сервера (столбец "Параметр компьютера") и настройками шаблона (столбец "Параметр базы данных") — видно, как мы понизили настройке безопасности для проведения практических занятий.

Аналогично проводится анализ всех остальных разделов политик безопасности.

Этой же оснасткой можно одним действием привести настройки нашего компьютера в соответствии с параметрами шаблона (щелкнуть правой кнопкой мыши на значке оснастки "Анализ и настройка безопасности", выбрать "Настроить компьютер"). Не рекомендуем это делать, не изучив в деталях, какие последствия это может повлечь для всей сети. Высокие требования к параметрам безопасности препятствуют работе в домене Active Directory компьютеров с системами Windows 95/98/ME/NT. Например, данные системы поддерживают уровень аутентификации NTLM версии 2 (который назначается шаблонами hisecdc и hisecws) только при проведении определенных настроек на компьютерах со старыми системами. Поэтому, прежде чем принимать решение об установке более высоких параметров безопасности в сети, необходимо тщательно изучить состав сети, какие требования к серверам и рабочим станциям предъявляют те или иные шаблоны безопасности, предварительно установить нужные обновления и настроить нужные параметры на "старых" системах и только после этого применять к серверам и рабочим станциям Windows 2000/XP/2003 шаблоны с высокими уровнями сетевой безопасности.

З аметим дополнительно, что данные оснастки имеются не только на серверах, но и на рабочих станциях под управлением Windows 2000/XP Professional, и они позволяют производить аналогичный анализ и настройки на рабочих местах пользователей.

Рис. 6.60

7. Лабораторная работа: Служба каталогов Active Directory

Достаточно подробно раскрыт процесс установки контроллера домена. Представлены приемы управления пользователями и группами в домене. В лабораторной работе рассматриваются способы управления групповыми политиками. Рассматриваются приемы управления приложениями с помощью групповых политик

Упражнение 1. Установка первого контроллера в домене (лесе).

Упражнение 2. Установка второго контроллера домена с помощью репликации бд Active Directory с первого контроллера домена.

Упражнение 3. Установка второго контроллера домена из резервной копии бд Active Directory первого контроллера домена.

Упражнение 4. Управление пользователями и группами; режимы функционирования домена

Упражнение 5. Структура службы каталогов Active Directory, управление репликацией, хозяева операций

Упражнение 6. Организационные подразделения (оп), делегирование административных полномочий

Упражнение 7. Организационные подразделения (оп), групповые политики (гп)

Упражнение 8. Управление приложениями с помощью групповых политик

Упражнение 9. Консоль управления групповыми политиками - Group Policy Management Console

Упражнение 10. Управление объектами Active Directory утилитами командной строки

Упражнение 11. Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

8. Лекция: Служба файлов и печати

Эта лекция подробно знакомит читателей со службами файлов и службами печати операционной системы Microsoft Windows Server 2003. Вы узнаете, как разрешать пользователям использовать общие ресурсы, как разрешать использовать общие принтеры. Рассмотрены возможности разграничения прав, и приоритетов. Даются краткие сведения о файловых системах используемых в Windows 2003 Server

Служба предоставления совместного доступа к файлам и печати — одна из наиболее интенсивно используемых служб в корпоративных сетях. Сотрудникам компаний и организаций необходим доступ к документам самых различным типов — текстовым документам, электронным таблицам, презентациям, файлам файл-серверных баз данных многое другое.

Хранение и обработка документов на файловом сервере имеет ряд преимуществ по сравнению с хранением и обработкой документов на каждом рабочем месте по отдельности: централизованное управление доступом к файловым ресурсам, централизованное управление созданием резервных копий, централизованная антивирусная защита.

Управление совместным использованием принтеров — также типичная задача сетевого администратора. Использование сетевых принтеров позволяет наиболее эффективно расходовать ресурсы на печать документов. И здесь также возникает потребность в управлении доступом, настройкой службы печати для наиболее высокой производительности.

8.1 Базовые и динамические диски, тома. Файловые системы fat16, fat32, ntfs

Сначала рассмотрим, как система Windows Server управляет дисковыми подсистемами и как создаются на дисках разделы, логические диски и тома. Затем разберем особенности использования на разделах и томах различных файловых систем — FAT16, FAT32 и NTFS.

Базовые и динамические диски, тома Базовые (основные) диски

Базовые, или основные, диски — это термин, обозначающий дисковые конфигурации, использовавшиеся в системах корпорации Microsoft до появления Windows 2000. После выхода Windows данные технологии приобрели название "базовый (основной)" диск (basic disk) для того, чтобы отличить их от новых технологий управления дисками, которые стали называть "динамическими" (dynamic disks).

В системах с DOS-ядром (MS DOS, Windows 3/95/98/ME) базовый диск мог состоять из одного или двух разделов. Если разделов два, то первый называется "основным" разделом (primary partition), а второй — "дополнительным" (secondary partition). Дополнительный раздел в свою очередь может быть разбит на несколько логических дисков (logical disks). В системах с ядром Windows NT (Windows NT/2000/XP/2003) на жестком диске может быть до четырех разделов. При этом все разделы могут быть основными либо один из них — дополнительный (который можно опять же разбить на логические диски).

Каждому основному разделу или логическому диску в системе может быть назначена буква диска (C:, D: и т.д.). В системе Windows 2003, если нет флоппи-дисков, то буквы для разделов и логических дисков можно назначать, начиная с A:.

Нулевой сектор базового жесткого диска состоит из двух частей. Начало сектора — ссылка на загрузчик операционной системы, конец сектора — т.н. таблица разделов (partition table), содержащая адреса начальных секторов разделов диска (основных и дополнительного).

Разбиение жесткого диска на разделы и логические диски производится оснасткой "Управление дисками" (обычно эта оснастка запускается из консоли "Управление компьютером").

Типичная картина разбиения жесткого диска на разделы представлена на рис. 8.1.

Рис. 8.1

Основные разделы (в данном примере — разделы с буквами C: и D:) обозначены на рисунке синим цветом, логические диски на дополнительном разделе (E: и F:) — голубым цветом, сам дополнительный раздел — в виде фона зеленого цвета, нераспределенное пространство на жестком диске — черным цветом.

Рассмотрим на примере процесс создания раздела на жестком диске.

1. В оснастке "Управление дисками" щелкнем правой кнопкой мыши на нераспределенном пространстве жесткого диска, выберем пункт меню "Создать раздел" (рис. 8.2):

Рис. 8.2

2. В открывшемся Мастере создания разделов нажмем кнопку "Далее". Выберем тип раздела — основной или дополнительный, нажмем "Далее" (рис. 8.3):

Рис. 8.3

2. Укажем размер раздела.

3. Назначим букву диска (здесь можно выбрать вариант подключения нового раздела или логического диска в виде ссылки из пустой папки, расположенной на другом разделе с файловой системой NTFS, или вообще не назначать букву).

4. Отформатируем раздел под какую-либо файловую систему (FAT или NTFS), зададим метку тома (рис. 8.4):

Рис. 8.4

2. Нажмем кнопку "Готово". Система создаст раздел (рис. 8.5):

Рис. 8.5

Теперь разберем процесс создания логического диска на дополнительном разделе.

1. В оснастке "Управление дисками" щелкнем правой кнопкой мыши на нераспределенном пространстве дополнительного раздела, выберем пункт меню "Создать логический диск" (рис. 8.6):

Рис. 8.6

2. Укажем размер логического диска, назначим букву диска и отформатируем.

3. Нажмем кнопку "Готово". Система создаст логический диск (рис. 8.7):

Рис. 8.7

Аналогично в этой же оснастке можно удалять имеющиеся разделы и логические диски, форматировать под различные файловые системы, менять назначенные им буквы или монтировать разделы и логические диски в пустые папки на других разделах или логических дисках.

Одно из достоинств базовых дисков заключается в том, что на любом основном разделе или логическом диске одного и того же физического диска можно установить отдельный экземпляр операционной системы из семейства Windows NT/2000/XP/2003.

Динамические диски

Динамические диски — это технология управления жесткими дисками, позволяющая создавать на базе обычных жестких дисков компьютера более производительные или отказоустойчивые конфигурации.

Технологии создания производительных или отказоустойчивых конфигураций дисков имеют общее название RAID.

Технология RAID(дисковый массив RAID — Redundant Array of Inexpensive Disks, избыточный массив недорогих дисков) была впервые разработана в 1987 году сотрудниками Калифорнийского университета в Беркли.

Технология RAID предполагает использование наборов (два и более) жестких дисков, доступных операционной системе как один том. Данные распределяются по набору дисков определенным способом, соответствующим одному из уровней RAID. В случае отказов отдельных дисков массив содержит дополнительную (избыточную) емкость, обеспечивающую возможность восстановления данных. Технология имеет набор спецификаций устройств хранения данных, связанных с "Уровнями RAID", определяющими способы распределения на дисковом массиве, их резервирования и восстановления.

Несмотря на общее название, архитектура RAID имеет существенные различия, определяющие различные способы объединения нескольких жестких дисков в единую систему так, чтобы она функционировала как один диск. В системах семейства Windows Server реализованы следующие виды RAID: RAID-0(тома с чередованием информации), RAID-1(зеркальные тома) и RAID-5.

RAID-0— дисковый массив без дополнительной отказоустойчивости: поток данных разбивается на блоки, которые последовательно записываются на диски. Основные достоинства: простота конструкции и изготовления, высокая производительность. За счет того, что файлы записываются блоками на два и более дисков, скорость передачи данных дисковой подсистемы резко возрастает. Количество дисков — от 2 до 32. Коэффициент использования дискового пространства (отношение объема полезных данных к суммарному объему дискового массива) равен 1. Недостатком является низкая отказоустойчивость. Выход из строя одного из дисков приводит к потере всех данных, хранящихся на всем дисковом массиве. Схема записи данных на том с конфигурацией RAID-0 для пяти физических дисков приведена на рис. 8.8.

Рис. 8.8

RAID-1— дисковый массив с зеркалированием данных: блок данных записывается в двух экземплярах на отдельные диски. Достоинства: скорость записи та же, что и для одного диска, высокая скорость восстановления данных, простота конструкции, единственный вид RAID-массивов, позволяющий получить отказоустойчивую дисковую подсистему на двух дисках. Недостаток: низкий коэффициент использования дискового пространства, равный 0,5. Схема записи данных на том с конфигурацией RAID-1 приведена на рис. 8.9.

Рис. 8.9

RAID-5 — дисковый массив с чередованием данных и вычислением контрольных сумм для записываемых данных: блоки данных последовательно записываются на диски, контрольная сумма для блоков одного ряда вычисляется во время записи, контрольные суммы размещаются последовательно по всем дискам. Количество дисков — от 3 до 32. При выходе из строя одного из физических дисков информация остается доступной для обработки.

Достоинства: высокая скорость чтения и записи данных, высокий коэффициент использования дискового пространства. Недостатки: выход из строя одного из дисков оказывает заметное влияние на производительность. Схема записи данных на том с конфигурацией RAID-5 для пяти физических дисков приведена на рис. 8.10.

Рис. 8.10

Базовый диск легко преобразуется в динамический с сохранением всей информации. Для этого в оснастке "Управление дисками" надо щелкнуть правой кнопкой мыши на значке самого диска, выбрать в меню пункт "Преобразовать в динамический диск" (рис. 8.11), выбрать, какой именно диск надо преобразовать (можно выбрать несколько дисков одновременно), нажать кнопку "ОК" и кнопку "Преобразовать" для подтверждения действий (рис. 8.12), снова нажать "Да".для подтверждения, после чего система преобразует диск (при необходимости сервер будет перезагружен).

Рис. 8.11

Рис. 8.12

Обратное преобразование из динамического диска в базовый производится также достаточно просто, но предварительно все тома на динамическом диске должны быть удалены.

Заметим также, что если мы преобразовали базовый диск в динамический, то этот диск будет доступен только в операционных системах Windows 2000/XP/2003, но не в более ранних.

И еще одно замечание. На каждом динамическом диске может быть установлена только одна операционная система.

На динамических дисках основной единицей, на которые разбиваются диски, является том (volume). В системе Windows Server имеются следующие виды томов:

• простой том (simple volume);

• составной том (spanned volume);

• зеркальный том (mirrored volume);

• чередующийся том (striped volume);

• том RAID-5 (RAID-5 volume).

Простой том — это аналог основного раздела или логического диска на базовых дисках. Например, после преобразования в динамический диск диска, изображенного на рис. 8.1, получится следующая дисковая конфигурация (рис. 8.13):

Рис. 8.13

На рисунке видно, что основные разделы и логические диски преобразовались в простые тома (обозначены оливковым цветом).

Одно из преимуществ динамических дисков заключается в том, что, если после последнего простого тома на диске есть нераспределенное пространство, то этот последний том можно расширить без потери информации. В данном примере можно щелкнуть правой кнопкой мыши на томе F: и выбрать в меню пункт "Расширить том", затем указать размер добавляемого пространства, и том будет увеличен на заданную величину.

Еще одно преимущество динамических дисков — диски, установленные и сконфигурированные на одной системе, могут быть перенесены на другой сервер, и данная конфигурация, состоящая из нескольких дисков, будет по-прежнему работоспособна. При установке в сервер дискового массива с другого сервера нужно в оснастке "Управление дисками" выбрать в меню "Действие" пункты "Обновить" (Refresh) или "Повторить сканирование дисков" (Rescan disks), после чего установленный дисковый массив станет работоспособным.

Составной том — конфигурация, позволяющая увеличить размер тома за счет несмежных участков нераспределенного пространства, причем свободные участки для расширения тома можно выбирать на других динамических дисках сервера. В нашем примере мы можем расширить том с буквой E: следующим образом:

1. Щелкнем правой кнопкой мыши на томе, выберем пункт меню "Расширить том" (рис. 8.14):

Рис. 8.14

2. В запустившемся Мастере расширения тома указать физические диски, на которые будет расширяться данный том, и размер добавляемого пространства. Выберем в примере диски 0 и 2 и укажем для каждого диска размер пространства, которое на данном диске будет добавлено к тому E: (рис. 8.15):

Рис. 8.15

3. После нажатия кнопок "Далее" и "Готово" получим конфигурацию, изображенную на рис. 8.16 (составной том обозначен сиреневым цветом):

Рис. 8.16

Основной недостаток составных томов — при выходе из строя любого из жестких дисков, на которых размещен составной том, будет потеряна вся информация, хранящаяся на данном томе. Поэтому мы рекомендуем использовать данный вариант расширения пространства тома только как экстренный, причем в течение ограниченного времени, либо регулярно делать резервные копии информации на данном томе.

Зеркальный том (известный также как массив RAID-1) — состоит из двух частей одинакового размера, расположенных на различных физических дисках. Каждая такая часть содержит точную копию другой части зеркала. При выходе из строя любого из жестких дисков, на которых расположен зеркальный том, информация, хранящаяся на томе, остается доступной для использования.

Зеркальный том можно создать как новый, на нераспределенном пространстве жестких дисков, так и путем добавления зеркала к уже имеющемуся простому тому.

Рассмотрим пример добавления зеркала к тому, на котором установлена операционная система:

1. В оснастке "Управление дисками" щелкнем правой кнопкой мыши на томе с операционной системой и выберем в меню пункт "Добавить зеркало" (рис. 8.17):

Рис. 8.17

2. Выберем диск, на котором будем создавать зеркало (в примере — Диск 1, рис. 8.18):

Рис. 8.18

3. Начнется процесс ресинхронизации зеркального тома (рис. 8.19):

Рис. 8.19

4. По окончании процесса ресинхронизации зеркальный том будет полностью готов к использованию.

Использование зеркального тома — самый простой и самый надежный способ обеспечения сохранности данных средствами системы Windows Server. И это единственный способ защиты от сбоев, применимый к тому с операционной системой. В рассматриваемом примере, если из строя выйдет Диск 0, с которого загружается операционная система, то с помощью заранее заготовленной дискеты мы сможем загрузить сервер с зеркальной копии, хранящейся на Диске 1. Дискету нужно подготовить следующим образом:

1. Отформатировать в системе Windows Server (желательно в той же версии, на которой создан зеркальный том).

2. Скопировать с загрузочного тома сервера (обычно это диск C:) файлы boot.ini, ntldr, ntdetect.com и ntbotdd.sys (если таковой файл имеется).

3. Отредактировать файл boot.ini (в котором хранится меню начальной загрузки системы с указанием дисков и томов, в которых установлены экземпляры имеющихся на компьютере операционных систем), чтобы загрузка выполнялась с Диска 1 зеркального тома. В нашем примере содержимое отредактированного файла boot.ini может выглядеть так:

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(1)partition(1)\WINDOWS=

"Windows Server 2003 "/fastdetect/noexecute=optout

В случае выхода из строя одного из дисков необходимо сначала удалить зеркальный том (в оснастке "Управление дисками" щелкнуть правой кнопкой мыши на доступной части зеркального тома и выбрать пункт меню "Удалить зеркало"), удалить с сервера неисправный диск, заменить его новым, а затем в оснастке "Управление дисками" снова создать зеркальный том.

Чередующийся том

Чередующийся том (известный также как массив RAID-0). Технология работы с массивом RAID-0 описана выше. Главное назначение чередующихся томов — повышение скорости доступа к данным с помощью распределения потока данных на несколько жестких дисков. Наибольший выигрыш достигается при подключении дисков к различным дисковым контроллерам. Но даже при подключении нескольких дисков к одному контроллеру производительность может повыситься за счет более быстрого позиционирования магнитных головок жестких дисков.

Подчеркнем еще раз, что чередующийся том не обеспечивает отказоустойчивости хранения данных. Выход из строя одного из дисков, входящих в том, приводит к потере всех данных этого тома, и при использовании данной технологии необходимо регулярно делать резервные копии данных.

Рассмотрим на примере процесс создания чередующегося тома.

1. Откроем оснастку "Управление дисками", щелкнем правой кнопкой мыши на нераспределенном пространстве, выберем пункт меню "Создать том" (рис. 8.20).

Рис. 8.20

2. Выбираем тип тома — чередующийся том (рис. 8.21):

Рис. 8.21

3. Добавляем диски в список дисков, на которых будет размещен создаваемый том, и указываем размер пространства, выделяемого для тома на каждом диске (рис. 8.22):

Рис. 8.22

4. Назначаем букву диска, выбираем файловую систему и нажимаем кнопку "Готово". По завершении работы мастера получаем такую картину (рис. 8.23):

Рис. 8.23

Созданный том будет обозначен серо-зеленым цветом.

Том RAID-5

Технология функционирования тома RAID-5 описана выше. Данная технология обеспечивает работу тома при выходе из строя одного из жестких дисков. Напомним еще раз, что для создания такого тома нужно от 3 до 32 жестких дисков. Рассмотрим на примере, как создается том RAID-5.

1. Откроем оснастку "Управление дисками", щелкнем правой кнопкой мыши на нераспределенном пространстве, выберем пункт меню "Создать том".

2. Выбираем тип тома — том RAID-5:

3. Добавляем диски в список дисков, на которых будет размещен создаваемый том, и указываем размер пространства, выделяемого для тома на каждом диске (рис. 8.24):

Рис. 8.24

Обратите внимание, что "Общий размер тома", доступный для хранения данных, в данном примере будет 10000 МБ, хотя на каждом из трех дисков было выделено по 5000 МБ и суммарное дисковое пространство, занятое томом, будет 15000 МБ.

4. Назначаем букву диска, выбираем файловую систему и нажимаем кнопку "Готово". По завершении работы мастера получим, обозначенный голубым цветом (рис. 8.25):

Рис. 8.25

В случае выхода из строя одного из дисков необходимо удалить с сервера неисправный диск, заменить его новым, в оснастке "Управление дисками" на томе RAID-5 щелкнуть правой кнопкой мыши и выбрать пункт меню "Восстановить том".

И последнее замечание относительно использования различных томов. На системах Windows 2000 Professional и XP Professional доступны только простые и составные тома. Зеркальный, чередующийся тома и том RAID-5 функционируют только на серверных редакциях операционных систем.

Файловые системы fat16, fat32, ntfs

Файловая система (ФС) — это система организации и хранения информации на жестком диске или других носителях, программные алгоритмы операционной системы для управления данной системой организации информации, и, наконец, на бытовом уровне — это совокупность всех файлов и папок на диске.

Задачи файловой системы

Основные функции любой файловой системы нацелены на решение следующих задач:

• именование файлов;

• программный интерфейс работы с файлами для приложений;

• отображения логической модели файловой системы на физическую организацию хранилища данных;

• устойчивость файловой системы к сбоям питания, ошибкам аппаратных и программных средств;

• защита файлов от несанкционированного доступа.

ФС позволяет оперировать не нулями и единицами, а более удобными и понятными объектами — файлами. Ради удобства в работе с файлами используются их символьные идентификаторы — имена. Само содержимое файлов записано в кластеры (clusters) — мельчайшие единицы данных, которыми оперирует файловая система, размер их кратен 512 байтам (512 байт — размер сектора жесткого диска, минимальной единицы данных, которая считывается с диска или записывается на диск). Для организации информации кроме имени файла используются также каталоги (или папки), как некая абстракция, позволяющая группировать файлы по определенному критерию. По свой сути каталог — это файл, содержащий информацию о как бы вложенных в него каталогах и файлах.

Вся информация о файлах хранится в особых областях раздела (тома) — файловых справочниках. Структура этих справочников зависит от типа файловой системы. Справочник файлов позволяет ассоциировать числовые идентификаторы файлов и дополнительную информацию о них (дата изменения, права доступа, имя и т.д.) с непосредственным содержимым файла, хранящимся в другой области раздела (тома).

На жестких дисках компьютеров под управлением систем семейства Windows используются два типа файловых систем: FAT (FAT16 и FAT32) и NTFS.

Файловая система fat

Том с файловой системой FAT имеет следующую структуру (рис. 8.26):

Рис. 8.26

Запись каталога для каждого файла содержит набор свойств, или атрибутов, описывающих файл на томе. Перечислим наиболее важные атрибуты:

• полное имя файла;

• имя файла в формате "8.3" (8 символов для имени и 3 — для расширения, или типа, файла) для совместимости с системой MS-DOS;

• атрибуты "скрытый" (hidden), "системный" (system), "только для чтения" (read-only), "готовый к архивированию" (archive);

• номер начального кластера в цепочке кластеров, образующих файл.

Полный список кластеров, занимаемых файлом на диске, содержится в таблице размещения файлов (File Allocation Table, сокращенно FAT). От названия этой таблицы произошло и название самой файловой системы. На диске хранятся две идентичные копии FAT (на случай защиты от сбоя).

Каждый элемент таблицы FAT может иметь следующие значения:

• номер следующего кластера, занимаемого файлом;

• указание, что данный кластер — последний кластер файла (комбинация шестнадцатиричных цифр 0xFFFF);

• указание, что кластер свободен, т.е. не использован ни одним файлом (0x0000);

• указание, что кластер содержит один или несколько секторов с физическими дефектами и не должен использоваться.

На рис. 8.27 приведен пример фрагмента каталога для нескольких файлов с указанием первого кластера данного файла:

Рис. 8.27

На рис. 8.28 приведен фрагмент таблицы FAT для перечисленных в данном каталоге файлов:

Рис. 8.28

В данном примере видно, что файл "Document-1.doc" занимает последовательные кластеры с адресами с 0005 по 0007, файл "Document-2.doc" — кластеры 0008, 0009 и 0011, файл "Table-1.xls" — кластеры 0012–0013, а файл "New.ppt" — кластеры 0010, 0014–0015. разрывы в цепочках кластеров обусловлены тем, что при удалении файлов образуются свободные места, и вновь создаваемые файлы будут заполнять эти освободившиеся кластеры. Данное явление называется фрагментацией файлов и снижает производительность операций чтения/записи файлов.

Наиболее существенное отличие версий FAT16 и FAT32 состоит в том, что в FAT16 указатель на номер кластера занимает 16 бит, а в FAT32 — 32 бита. Максимальный размер кластера файловых систем FAT в системах Windows 2000/XP/2003 — 64 килобайта. Отсюда можно вычислить, что максимальный размер тома с файловой системой FAT16 — 4 гигабайта. Максимальный размер тома с FAT32 теоретически — 8 терабайт, но на практике он ограничен размером 32 гигабайта (хотя Windows 2000/XP/2003 поддерживают тома большего размера, созданные в других ОС, например, в Windows 95 SR2 или Windows 98).

В табл. 8.1 приведены сведения о соответствии размера тома и размера кластера на данном томе для FAT16 и FAT32:

Заметим, что каждый файл занимает целое число кластеров. Это означает, что последний кластер заполнен не целиком (в среднем — наполовину). Это второй вид фрагментации — потеря дискового пространства по причине неполного заполнения последнего кластера файла, причем, чем больше размер раздела и, соответственно, размер кластера, тем больше потери дискового пространства из-за данного вида фрагментации. Файловая система FAT32 с более медленным ростом размера кластера в зависимости от размера тома более эффективно расходует пространство на диске.

Когда какое-либо приложение отправляет запрос к операционной системе с запросом на открытие файла, ОС сначала последовательно просматривает записи каталога, пока не найдет запись для нужного файла, затем в найденной записи извлекает адрес первого кластера этого файла. После этого ОС обращается к элементу FAT для данного кластера, чтобы найти следующий кластер в цепочке. Повторяя этот процесс, пока не обнаружит последний кластер файла, ОС точно определяет, какие кластеры принадлежат данному файлу и в какой последовательности. Таким путем система может предоставить программе любую часть запрашиваемого ею файла.

Файловая система ntfs

NTFS была разработана специально для систем, базирующихся на технологиях Windows NT. Она имеет рад серьезных преимуществ по сравнению с файловыми системами типа FAT:

• отказоустойчивость (способность к восстановлению; все операции с файлами обрабатываются как транзакции — любое действие с файлом либо завершается до конца, либо, в случае сбоя, файл возвращается в исходное состояние);

• управление доступом к папкам (каталогам) и файлам;

• аудит доступа к файловым ресурсам;

• сжатие и разреженные файлы;

• квоты на дисковое пространство;

• шифрование.

В отличие от FAT, в NTFS нет специальных разделов на томе, в которых отражается файловая структура данного тома. В NTFS все данные хранятся в файлах, в том числе и информация о файлах и папках.

На томе NTFS есть несколько файлов, они скрыты от администратора, в которых описана файловая структура тома. Основной файл, в котором отражена файловая структура, — Главная файловая таблица (master file table, MFT). Имена файлов, описывающих том NTFS, начинаются с символа $ . Перечислим некоторые из них:

• $Mft — таблица MFT;

• $MftMirr — зеркальная копия MFT;

• $LogFile — журнал транзакций;

• $Bitmap —карта распределения кластеров тома;

• $Quota — файл пользовательских квот тома.

В NTFS нет разделения на атрибуты (свойства) файла и данные. Вся информация, связанная с файлом, хранится в тех или иных атрибутах. Содержимое файла является одним из атрибутов этого файла. Например, имя файла хранится в атрибуте $FILE_NAME, данные — в атрибуте $DATA.

Таблица MFT состоит из записей о файлах, размер записи — 1 КБ, каждый файл в MFT — набор атрибутов. Маленькие файлы (до 1 КБ) целиком помещаются в одной записи MFT. Для больших файлов в записи MFT содержатся ссылки на кластеры, находящиеся за пределами MFT. Первые 16 записей являются служебными, а с семнадцатой записи и далее идет описание прочих файлов тома. Для большей отказоустойчивости спецификацией предусмотрены копии MFT и сектора начальной загрузки.

Структура MFT показана в табл. 8.2:

Первые две записи MFT содержат ссылки на саму MFT и ее зеркальную копию. Начиная с 17-й записи, идет информация о файлах. Атрибуты файла, хранящиеся в MFT, называются резидентными. Если файл имеет размер более 1КБ, то в соответствующей данному файлу записи в таблице MFT содержатся ссылки на кластеры тома, в которых размещены остальные атрибуты файла.

Каталог (папка с файлами) содержит не просто линейный список файлов, а индекс, в котором имена файлов упорядочены и организованы в виде B-дерева. Таким образом, поиск файла на больших томах (разделах) в NTFS осуществляется намного быстрее, чем на томах с FAT.

Размер кластера в NTFS вместе с размером тома растет гораздо медленнее, чем в системах FAT, что приводит к меньшим потерям дискового пространства. В табл. 8.3 приводятся данные о размере кластера на томе NTFS в зависимости от размера тома (для сравнения приведены аналогичные данные для системы FAT32):

Из таблицы видно, что, начиная с томов размером более 2 ГБ, размер кластера равен 4 КБ. Отметим особо, что на томах с размером кластера более 4 КБ не поддерживается технология сжатия данных и дефрагментация тома (дефрагментация не поддерживается в Windows 2000). Поэтому при форматировании больших разделов размер кластера всегда по умолчанию равен 4 КБ. Если для более эффективной работы с файлами для каких-то задач необходимо, чтобы размер кластера был более 4 КБ, то при форматировании раздела надо специально указать требуемый размер кластера.

8.2 Права доступа, наследование прав доступа, взятие во владение, аудит доступа к ресурсам Права доступа, наследование прав доступа, взятие во владение

Определение прав доступа к файловым ресурсам осуществляется на основе разрешений (permissions). При определении разрешений к ресурсам, предоставленным в совместный доступ в сети, используются два типа разрешений: сетевые разрешения (shared folder permissions) и разрешения, заданные в файловой системе NTFS (NTFS-permissions).

Рассмотрим сначала сетевые разрешения. Данный вид разрешений не зависит от типа файловой системы. Сетевые разрешения применяются только при доступе к ресурсам через сеть. Если пользователь локально вошел в систему (локально зарегистрировался в системе), то, какие бы ни были назначены сетевые разрешения для определенной папки, эти разрешения не будут применяться ни к самой папке, ни к размещенным в ней файлам. В случае локальной регистрации пользователя, если данные размещены на томе с системой FAT, пользователь имеет полный доступ к этим данным, если данные размещены на томе NTFS, права доступа будут определяться разрешениями NTFS.

Предоставление общего доступа к папке

Предоставить папку на жестком диске в общее пользование можно двумя основными способами.

1. Открыть Свойства папки, закладку "Доступ", выбрать пункт "Открыть общий доступ к этой папке" (рис. 8.29):

Рис. 8.29

2. Открыть оснастку "Общие папки" в консоли "Управление компьютером", выбрать раздел "Общие ресурсы", щелкнуть правой кнопкой мыши и выбрать пункт "Новый общий ресурс" (рис. 8.30):

Рис. 8.30

Будет запущен "Мастер создания общих ресурсов" (рис. 8.31):

Рис. 8.31

Нужно указать путь к папке (ввести с клавиатуры или найти с помощью кнопки "Обзор"), дать название общему ресурсу (по умолчанию это название совпадает с именем папки, хотя надо иметь в виду, что не все приложения могут воспринимать длинные сетевые имена с символами не из английской раскладки; рис. 8.32):

Рис. 8.32

Далее нужно задать сетевые разрешения на доступ к информации, хранящейся в данной папке. По умолчанию назначаются разрешения "Чтение" группе "Все".

Могут быть назначены сетевые разрешения трех видов:

• Чтение (Read) — чтение списка файлов и папок, чтение данных и запуск программ;

• Изменение (Change) — кроме чтения данных позволяет также создавать новые файлы и папки, удалять файлы и папки, изменять данные;

• Полный доступ (Full control) — в добавление к перечисленным выше разрешениям можно также изменять NTFS-разрешения (если общая папка хранится на томе NTFS) и получать статус владельца папки или файла (тоже для томов NTFS).

Определение суммарных сетевых разрешений

Напомним, что при регистрации пользователя домена на каком-либо компьютере контроллер домена выдает пользователю т.н. маркер доступа (см. Раздел 4), который состоит из набора идентификаторов безопасности (SID) пользователя и групп, членом которых он является. Именно этот маркер доступа и определяет, какой именно доступ получит пользователь к сетевому ресурсу. В том случае, если некий пользователь имеет разрешение на доступ к папке по сети, а также доступ определен для каких-либо групп, членом которых он является, то определение суммарных разрешений производится по следующей схеме:

• сначала проверяется, нет ли запретов на тот или иной вид доступа для пользователя и групп, в которые он входит, если в сетевых разрешениях имеются запреты для пользователя или хотя бы одной из групп, в которые он входит, то данные виды доступа пользователю не будут предоставлены;

• если на какие-либо виды доступа запретов нет, то действующим разрешением будет наибольшее разрешение, выданное пользователю или какой-либо группе, членом которой он является.

Например, в ситуации, изображенной на рис. 8.33 имеются следующие разрешения:

• группа "Все" — "Чтение";

• пользователь User1 — "Чтение";

• группа Group-1 (в которую входит пользователь User1) — "Изменение".

В данной ситуации пользователь User1 получит разрешение на "Изменение" данных в папке и файлах.

Рис. 8.33

Оснастка "Общие папки" позволяет также просматривать, кто из пользователей и какие именно файлы и папки использует в настоящий момент. На рис. 8.34 показан пример использования оснастки "Общие папки" для просмотра открытых сетевых ресурсов:

Рис. 8.34

Подключение к сетевым ресурсам

Есть несколько способов подключения пользователей к сетевым файловым ресурсам:

• самый любимый пользователями, но не самый эффективный с точки зрения системы, — найти сначала сервер, а затем ресурс с помощью просмотра "Сетевого окружения";

• то же самое можно сделать, если в командной строке ввести т.н. UNC-имя сетевого ресурса (UNC — Universal Naming Convention, способ именования сетевых ресурсов), для этого нужно нажать кнопку "Пуск" — выбрать пункт меню "Выполнить" — ввести UNC-имя в виде \\<имя сервера>\<имя сетевого ресурса> (например, \\DC1\Folder1);

• назначить букву диска к сетевому ресурсу; это можно сделать в командной строке командой вида "net use <буква диска> <UNC-имя >" (например, "net use X: \\DC1\Folder1") либо же, открыв окно "Мой компьютер" можно назначить букву диска для сетевого ресурса с помощью мастера подключения сетевого диска (меню "Сервис" — выбрать пункт меню "Подключение сетевого диска").

Специальные сетевые ресурсы

В любой системе на базе технологий Windows NT существуют специальные сетевые ресурсы. Имена некоторых ресурсов заканчиваются символом $, такие сетевые ресурсы через "Сетевое окружение" или при открытии ресурсов сервера с помощью команды "\\<имя сервера>" не будут видны. Однако, если указать полное UNC-имя сетевого ресурса, то можно увидеть данные, размещенные в нем.

Перечислим эти ресурсы:

• ресурс вида "\\<имя сервера>\admin$" (например, \\DC1\admin$) — предназначен для удаленного администрирования компьютера; путь всегда соответствует местоположению папки, в которой установлена система Windows; к этому ресурсу могут подключаться только члены групп Администраторы, Операторы архива и Операторы сервера;

• ресурс вида "\\<имя сервера>\< буква диска>$" (например, \\DC1\C$) — корневая папка указанного диска;. к сетевым ресурсам такого типа на сервере Windows могут подключаться только члены групп Администраторы, Операторы архива и Операторы сервера; на компьютерах с Windows XP Professional и Windows 2000 Professional к таким ресурсам могут подключаться члены групп Администраторы и Операторы архива;

• ресурс "\\<имя сервера>\IРС$" (например, \\DC1\IP$) — используется для удаленного администрирования;

• ресурс "\\<имя сервера>\NETLOGON" (например, \\DC1\NETLOGON) — используется только на контроллерах домена, в данной сетевой папке хранятся скрипты (сценарии) для входа пользователей в систему, совместимые с предыдущими версиями операционных систем Microsoft;

• ресурс "\\<имя сервера>\SYSVOL" — используется только на контроллерах домена, в данной сетевой папке хранится файловая часть групповых политик;

• ресурс "\\<имя сервера>\PRINT$" — ресурс, который поддерживает совместно используемые принтеры, в частности, в данной папке хранятся драйверы для совместно используемых принтеров.

Просмотреть полный список ресурсов, предоставляемых данным сервером для совместного использования, можно в оснастке "Общие папки", в разделе "Общие ресурсы" (рис. 8.35):

Рис. 8.35

В этом же разделе данной оснастки можно отключать ресурсы от совместного использования в сети, менять сетевые разрешения, создавать новые сетевые ресурсы.

Кроме специальных сетевых ресурсов с символом $ в конце названия ресурса, предоставленных группам с высокими полномочиями, с этим символом можно предоставить доступ к любому другому ресурсу, которые предоставляется в сетевой доступ самим администратором. В этом случае сетевой ресурс также будет скрыт при обычном просмотре сети, но будет доступен при указании полного UNC-имени, причем доступ можно разрешить тем группам пользователей, которым нужен данный ресурс.

Разрешения ntfs

Еще раз подчеркнем, что сетевые разрешения действуют только при доступе к ресурсам через сеть. Если пользователь вошел в систему локально, то теперь управлять доступом можно только с помощью разрешений NTFS. На томе (разделе) с системой FAT пользователь будет иметь полный доступ к информации данного тома.

Разрешения NTFS можно установить, открыв Свойства папки или файла и перейдя на закладку "Безопасность" (Security). Как видно на рис. 8.36, набор видов NTFS-разрешений намного богаче, чем набор сетевых разрешений.

Рис. 8.36

На томе NTFS можно назначать следующие виды разрешений для папок:

• Полный доступ;

• Изменить;

• Чтение и выполнение;

• Список содержимого папки;

• Чтение;

• Запись;

• Особые разрешения.

Для файлов отсутствует вид "Чтение содержимого папки".

Если на закладке разрешений нажать кнопку "Дополнительно", то можно осуществлять более тонкую настройку разрешений.

Разрешения NTFS могут быть явными или унаследованными. По умолчанию все папки или файлы наследуют разрешения того объекта-контейнера (родительского объекта), в котором они создаются. Использование унаследованных разрешений облегчает работу по управлению доступом. Если администратору нужно изменить права доступа для какой-то папки и всего ее содержимого, то достаточно сделать это для самой папки и изменения будут автоматически действовать на всю иерархию вложенных папок и документов. На рис. 8.36. видно, что группа "Администраторы" имеет унаследованные разрешения типа "Полный доступ" для папки Folder1. А на рис. 8.37. показано, что группа "Пользователи" имеет набор явно назначенных разрешений:

Рис. 8.37

Изменить унаследованные разрешения нельзя. Если нажать на кнопку "Дополнительно", то можно отменить наследование разрешений от родительского объекта. при этом система предложит два варианта отмены наследования: либо скопировать прежние унаследованные разрешения в виде явных разрешений, либо удалить их совсем.

Механизм применения разрешений

В пункте 8.1 было сказано, что каждый файл представляет собой набор атрибутов. Атрибут, который содержит информацию об NTFS-разрешения, называется списком управления доступом (ACL, Access Control List). Структура ACL приведена в табл. 8.4. Каждая запись в ACL называется элементом управления доступом (ACE, Access Control Entry).

В таблице перечислены идентификаторы безопасности учетных записей пользователей, групп или компьютеров (SID) и соответствующие разрешения для них. На рисунках 8.36 или 8.37 вместо SID-ов показаны имена занесенных в ACL пользователей и групп. В разделе 4 говорилось, что при входе пользователя в сеть (при его регистрации в домене) в текущую сессию пользователя на компьютере контроллер домена пересылает маркер доступа, содержащий SID-ы самого пользователя и групп, членом которых он является. Когда пользователь пытается выполнить какое-либо действие с папкой или файлом (и при этом запрашивает определенный вид доступа к объекту), система сопоставляет идентификаторы безопасности в маркере доступа пользователя и идентификаторы безопасности, содержащиеся в ACL объекта. При совпадении тех или иных SID-ов пользователю предоставляются соответствующие разрешения на доступ к папке или файлу.

Заметим, что когда администратор изменяет членство пользователя в группах (включает пользователя в новую группу или удаляет из какой-либо группы), то маркер доступа пользователя при этом автоматически НЕ изменяется. Для получения нового маркера доступа пользователь должен выйти из системы и снова войти в нее. Тогда он получит от контроллера домена новый маркер доступа, отражающий смену членства пользователя в группах

Порядок применения разрешений

Принцип применения NTFS-разрешений на доступ к файлу или папке тот же, что и для сетевых разрешений:

• сначала проверяются запреты на какие-либо виды доступа (если есть запреты, то данный вид доступа не разрешается);

• затем проверяется набор разрешений (если есть разные виды разрешений для какого-либо пользователя и групп, в которые входит данный пользователь, то применяется суммарный набор разрешений).

Но для разрешений NTFS схема немного усложняется. Разрешения применяются в следующем порядке:

• явные запреты;

• явные разрешения;

• унаследованные запреты;

• унаследованные разрешения.

Если SID пользователя или SID-ы групп, членом которых является данный пользователь, не указаны ни в явных, ни в унаследованных разрешениях, то доступ пользователю будет запрещен.

Владение папкой или файлом

Пользователь, создавший папку или файл, является Владельцем данного объекта. Владелец объекта обладает правами изменения NTFS-разрешений для этого объекта, даже если ему запрещены другие виды доступа. Текущего владельца объекта можно увидеть, открыв Свойства объекта, затем закладку "Безопасность", затем нажав кнопку "Дополнительно" и перейдя на закладку "Владелец" (рис. 8.38):

Рис. 8.38

Внимание! Администратор системы может сменить владельца объекта, выбрав нового владельца из предлагаемого в данном окне списка или из полного списка пользователей (нажав кнопку "Иные пользователи или группы"). Эта возможность предоставлена администраторам для того, чтобы восстановить доступ к объекту в случае утери доступа по причине неправильно назначенных разрешений или удаления учетной записи, имевшей исключительный доступ к данному объекту (например, уволился единственный сотрудник, имевший доступ к файлу, администратор удалил его учетную запись, вследствие этого был полностью потерян доступ к файлу, восстановить доступ можно единственным способом — передача владения файла администратору или новому сотруднику, исполняющему обязанности уволившего сотрудника).

Совместное использование сетевых разрешений и разрешений ntfs

При доступе по сети к файловым ресурсам, размещенным на томе NTFS, к пользователю применяется комбинация сетевых разрешений и разрешений NTFS.

При доступе через сеть сначала вычисляются сетевые разрешения (путем суммирования разрешений для пользователя и групп, в которые входит пользователь). Затем также путем суммирования вычисляются разрешения NTFS. Итоговые действующие разрешения, предоставляемые к данному конкретному объекту, будут представлять собой минимум из вычисленных сетевых и NTFS-разрешений.

Управление доступом с помощью групп

Группы пользователей созданы специально для того, чтобы более эффективно управлять доступом к ресурсам. Если назначать права доступа к каждому ресурсу для каждого отдельного пользователя, то, во-первых, это очень трудоемкая работа, и во-вторых, затрудняется отслеживание изменений в правах доступа при смене каким-либо пользователем своей должности в подразделении или переходе в другое подразделение.

Повторим материал из раздела 4. Для более эффективного управления доступом рекомендуется следующая схема организации предоставления доступа:

1. учетные записи пользователей (accounts) включаются в глобальные доменные группы (global groups) в соответствии со штатной структурой компании/организации и выполняемыми обязанностями;

2. глобальные группы включаются в доменные локальные группы или локальные группы на каком-либо сервере (domain local groups, local groups) в соответствии с требуемыми правами доступа для того или иного ресурса;

3. соответствующим локальным группам назначаются необходимые разрешения (permissions) к конкретным ресурсам.

Данная схема по первым буквам используемых объектов получила сокращенное название AGLP (Accounts Global groups Local groups Permissions). При такой схеме, если пользователь повышается или понижается в должности или переходит в другое подразделение, то нет необходимости просматривать все сетевые ресурсы, доступ к которым необходимо изменить для данного пользователя. Достаточно изменить соответствующим образом членство пользователя в глобальных группах, и права доступа к сетевым ресурсам для данного пользователя изменятся автоматически.

Добавим, что в основном режиме функционирования домена Active Directory (режимы "Windows 2000 основной" или "Windows 2003") с появлением вложенности групп и универсальных групп схема AGLP модифицируется в схему AGG…GULL…LP.

Аудит доступа к ресурсам

Файловая система NTFS позволяет осуществлять аудит доступа к файловым ресурсам, т.е. отслеживать и регистрировать события, связанные с получением или неполучением доступа к тому или иному объекту.

Для того, чтобы включить аудит, необходимо выполнить два действия:

• включить политику аудита доступа к объектам в домене или том ОП, в котором размещен файловый сервер;

• после применения политики включить аудит доступа на самом объекте — папке или файле.

Первое действие выполняется с помощью редактора групповых политик:

• откроем раздел "Параметры безопасности" в политике для соответствующего ОП, далее — "Локальные политики" и "Политика аудита";

• откроем параметр "Аудит доступа к объектам";

• включим механизм аудита для успешного доступа и отказа предоставления доступа (рис. 8.39).

Рис. 8.39

Второе действие выполняется на закладке "Аудит" после нажатия кнопки "Дополнительно" в параметрах безопасности объекта. Нужно добавить списки пользователей и групп, попытки доступа которых будут отслеживаться для данной папки или файла, указав при этом, какие именно виды доступа надо регистрировать. На рис. 8.40 показано, что будет регистрироваться доступ к папке Folder1группы "Пользователи домена", на рис. 8.41 показаны виды доступа, которые будут регистрироваться для данной папки. Для того, чтобы можно было регистрировать попытки несанкционированного доступа к файловым ресурсам, необходимо включить в процесс регистрации и удачные, и неудачные попытки доступа.

Рис. 8.40

Рис. 8.41

После включения механизма аудита все события доступа, перечисленные в настройках аудита, будут регистрироваться в журнале безопасности данного сервера (оснастка "Просмотр событий", журнал "Безопасность", категория "Доступ к объектам"). На рис. 8.42 показан пример одной из записей журнала, регистрирующей доступ к файлу в папке Folder1. В данном примере показано событие успешного доступа к файлу Text.txt пользователя Администратор:

Рис. 8.42

В заключении данного пункта отметим, что включать аудит большого количества файловых ресурсов следует с большой осторожностью. При большом количестве пользователей и обрабатываемых ими файлов, если включить аудит доступа к файлам, в журнале безопасности будет создаваться очень много событий. В случае какого-либо инцидента, например, при несанкционированном доступе к закрытой информации, найти нужную запись будет очень трудно. Поэтому, прежде чем включить аудит доступа, его необходимо очень тщательно спланировать. Необходимо определить:

• доступ к какой информации необходимо отслеживать;

• какие виды доступа (Чтение, Модификация, Удаление, Изменение разрешений и т.д.);

• типы событий (успешный и неуспешный доступ);

• для каких пользователей необходимо отслеживать доступ;

• как часто будет просматриваться журнал безопасности;

• по какой схеме будут удаляться "старые" события из журнала.

8.3 Сжатие и шифрование информации. Квоты. Дефрагментация Сжатие и шифрование информации Сжатие информации

Для экономии дискового пространства можно какие-либо папки или файлы сделать сжатыми. Процесс сжатия выполняется драйвером файловой системы NTFS. При открытии файла в программе файловая система распаковывает файл, после внесения изменений в файл при сохранении на диск файл снова сжимается. Делается это совершенно прозрачно для пользователя и не доставляет пользователю никаких хлопот.

Для того, чтобы сделать папку или файл сжатым, необходимо открыть страницу Свойств соответствующей папки или файла, нажать кнопку "Другие" и поставить галочку у параметра "Сжимать содержимое для экономии места на диске" (рис. 8.43):

Рис. 8.43

Сжимать целесообразно файлы, которые при сжатии сильно уменьшаются в размере (например, документы, созданные программами из пакета MS Office). Не следует сжимать данные, которые по своей природе являются сжатыми — например, файлы графических изображений в формате JPEG, видеофайлы в формате MPEG-4, файлы, упакованные программами-архиваторами (ZIP, RAR, ARJ и другие).

Ни в коем случае не рекомендуется сжимать папки с файл-серверными базами данных, т.к. такие БД содержат большое количество файлов и при их совместном использовании многими пользователями могут возникать ощутимые задержки, неизбежные при распаковке открываемых и сжатии сохраняемых файлов.

Шифрование информации

Системы семейства Windows 2000/XP/2003 и более поздние позволяют шифровать данные, хранящиеся на томе с системой NTFS. Шифрование данные осуществляется так же легко, как и их сжатие. В примере на рис. 8.43 можно вместо поля "Сжимать содержимое…" отметить галочкой поле "Шифровать содержимое для защиты данных" (заметим, что эти два параметра являются взаимоисключающими — можно в данный момент времени либо сжать данные, либо их зашифровать). Шифрование является надежным средством предотвращения несанкционированного доступа к информации, даже если будет похищен компьютер с этой информацией или жесткий диск из компьютера. Если данные зашифрованы, то доступ к ним имеет (с небольшим исключением) только тот пользователь, который выполнил шифрование, независимо от установленных разрешений NTFS. Шифрование производится компонентой "Шифрованная файловая система" (EFS, Encrypted File System), являющейся составной частью файловой системой NTFS.

Процесс шифрования производится по следующей схеме:

• при назначении файлу атрибута "Зашифрованный" драйвер системы EFS генерирует "Ключ шифрования файла" (FEK, File Encryption Key);

• блоки данных файла последовательно шифруются по симметричной схеме (одним из алгоритмов симметричного шифрования, встроенных в систему);

• ключ шифрования файла (FEK) шифруется по асимметричной схеме открытым ключом агента восстановления (RA, Recovery Agent);

• зашифрованный ключ шифрования файла сохраняется в атрибуте файла, называемом "Поле восстановления данных" (DRF, Data Recovery Field).

Поле восстановления данных необходимо для защиты от потери доступа к зашифрованной информации в том случае, если будет удалена (вместе с ключом шифрования данных) учетная запись пользователя, зашифровавшего эти данные. Агент восстановления — это специальная учетная запись, для которой EFS создает т.н. "сертификат агента восстановления", в состав которого входят открытый и закрытый ключи этого агента. особенность асимметричного шифрования заключается в том, что для шифрования и дешифрования данных используются два ключа — одним ключом данные шифруются, другим дешифруются. Открытый ключ агента восстановления доступен любому пользователю, поэтому, если пользователь шифрует данные, то в зашифрованных файлах всегда присутствует поле восстановления данных. Закрытый ключ агента восстановления доступен только учетной записи этого агента. Если войти в систему с учетной записью агента восстановления зашифрованных данных, то при открытии зашифрованного файла сначала расшифровывается закрытым ключом агента восстановления хранящийся в DRF ключ шифрования данных, а затем уже извлеченным ключом шифрования дешифруются сами данные.

По умолчанию агентом восстановления на каждом отдельно взятом компьютере является локальная учетная запись Администратор данного компьютера. В масштабах домена можно установить службу сертификатов, сгенерировать для определенных доменных учетных записей соответствующие сертификаты, назначить эти учетные записи агентами восстановления (с помощью групповых политик) и установить эти сертификаты на тех файловых серверах, на которых необходимо шифровать данные. При использовании в масштабах корпоративной сети технологии шифрования данных следует предварительно спланировать все эти действия (развертывание служб сертификатов, выдача и хранение сертификатов, назначение агентов восстановления, процедуры восстановления данных в случае удаления учетной записи, с помощью которой данные были зашифрованы).

Кроме того, во многих ситуациях необходимо также учитывать требования законодательства РФ об использовании только разрешенных на территории России алгоритмов шифрования данных. В таких случаях может потребоваться приобрести соответствующие разрешенные модули шифрования и встроить их в систему.

Следует также помнить, что данные хранятся в зашифрованном виде только на жестком диске. При передаче по сети данные передаются с сервера на ПК пользователя в открытом виде (если не включены политики IPSec).

Квоты

Квоты — это механизм ограничения доступного пользователям пространства на файловом сервере. Если в файловых хранилищах отсутствует механизм квот, то пользователи очень быстро засоряют доступное дисковое пространство файлами, не имеющими отношения к работе, или различными версиями и копиями одних и тех же документов.

В системах Windows Server используется механизм квотирования "На том/На пользователя" (Per volume/Per user). Т.е нельзя установить квоты на отдельные папки тома или для групп пользователей. Размер использованного пользователем места на диске вычисляется по атрибуту "Владелец файла".

Механизм квот включается на закладке "Квота" Свойств тома. Если отметить галочкой поле ""Включить управление квотами", то включается самый "мягкий" режим управления квотами. В этом режиме не включается запрет на использование дискового пространства сверх установленной квоты, не устанавливаются сами размеры квот, не регистрируются события, связанные с превышением пользователями квот (рис. 8.44).

Рис. 8.44

Если на этой закладке нажать кнопку "Записи квот", то можно получить информацию о том, какой объем дискового пространства использовал в данный момент каждый пользователь (рис. 8.45).

Рис. 8.45

Если включить самый жесткий механизм квот (рис. 8.46), то будет установлен запрет на превышение установленной квоты, в системных журналах будут регистрироваться предупреждения о превышении определенного порога, а также события, отражающие достижение пользователем допустимого предела.

Рис. 8.46

В этом режиме страница записей квот будет выглядеть следующим образом (рис. 8.47):

Рис. 8.47

Если на этой странице щелкнуть двойным щелчком мыши на какой-либо записи квот, то для соответствующего пользователя можно установить индивидуальную квоту, отличную от общих установок (рис. 8.48):

Рис. 8.48

Если пользователь в процессе сохранения информации на том, управляемый квотами, превысит допустимый размер, то ему будет выдано сообщение (рис. 8.49):

Рис. 8.49

При этом в системном журнале данного сервера для источника данных "ntfs" и категории "Диск" появится соответствующая запись (рис. 8.50):

Рис. 8.50

А страница записей квот будет иметь теперь такой вид (рис. 8.51):

Рис. 8.51

Дефрагментация

В процессе использования файловых ресурсов возникает фрагментация дискового пространства. Возникает она из-за того, что при удалении файлов в образовавшееся свободное место записываются новые файлы. Если в освободившемся месте новый файл целиком не помещается, то файловая система выделяет файлу кластеры в другом свободном участке. Считывание такого фрагментированного файла с диска требует большего времени. При длительном использовании тома/раздела степень фрагментации увеличивается, производительность службы доступа к файлам снижается, поэтому время от времени требуется производить дефрагментацию тома/раздела, которая заключается в том, что кластеры, выделенные файлам, перераспределяются на томе так, чтобы каждый файл занимал смежные кластеры.

Файловые системы семейства FAT сильнее подвержены фрагментации, т.к. вновь создаваемому файлу всегда выделяется первые найденные свободные кластеры (а в процессе удаления файлов, на томе создается много свободных фрагментов небольшого размера). В файловой системе NTFS новым файлам выделяются в первую очередь участки со смежными кластерами, и только в том случае, когда на томе нет непрерывного участка дискового пространства необходимого размера, тогда файлу выделяются не смежные кластеры.

Для осуществления дефрагментации дискового пространства используется оснастка "Дефрагментация диска" (которая запускается нажатием кнопки "Выполнить дефрагментацию" на закладке "Сервис", доступной в окне Свойств тома/раздела, рис. 8.52) или утилита командной строки defrag.exe.

Рис. 8.52

Оснастка "Дефрагментация диска" выполняет две операции: анализ степени фрагментации тома и сам процесс дефрагментации.

Для проведения анализа необходимо нажать кнопку "Анализ" в оснастке. В результате анализа будет выведен краткий отчет (рис. 8.53) о степени фрагментации. При нажатии кнопки "Вывести отчет" будет выведен подробный отчет со списком фрагментированных файлов (рис. 8.54).

Рис. 8.53

Рис. 8.54

Результат анализа очень наглядно показан также в графическом виде (рис. 8.55):

Рис. 8.55

На картинке используются следующие цветовые обозначения:

• красный цвет — участки с фрагментированными файлами;

• синий цвет — нефрагментированные файлы;

• зеленый цвет — неперемещаемые файлы (это участки с системными файлами, которые нельзя перемещать в процессе дефрагментации, например, файл подкачки);

• белый цвет — свободное пространство на томе.

При нажатии на кнопку "Дефрагментация" начнется процесс дефрагментации, его длительность зависит от размера тома, степени его фрагментированности, степени загруженности сервера. Очень рекомендуется производить дефрагментацию в нерабочее время, т.к. фрагментация требует значительных ресурсов сервера и замедляет работу службы предоставления файлов в общее пользование. По окончании процесса фрагментации картинка в оснастке "Дефрагментация диска" будет выглядеть следующим образом (рис. 8.56):

Рис. 8.56

На рисунке очень хорошо показана стратегия файловой системы NTFS — размещать файлы в непрерывных свободных участках тома. Здесь видно, что большие фрагментированные файлы, находившиеся примерно в середине тома, были перемещены в свободный участок в конце тома.

Выше уже говорилось, что в системе Windows 2000 не осуществляется дефрагментация томов с размером кластера более 4 Кбайт (эту задачу могут выполнять программы дефрагментации сторонних разработчиков). В Windows 2000 также отсутствует утилита дефрагментации defrag.exe, которая запускается в командной строке и не требует интерактивного взаимодействия в графическом режиме (что позволяет запускать эту утилиту по расписанию в Назначенных заданиях и проводить дефрагментацию в ночное время и выходные дни).

8.4 Термины и понятия сетевой печати. Установка драйверов, настройка принтеров. Протокол ipp (Internet Printing Protocol)

Системы семейства Windows Server предоставляют богатые возможности совместного использования принтеров, а также средства управления данным процессом.

В системе Windows Server имеются следующие основные возможности управления печатью:

• предоставление совместного доступа к принтерам;

• публикация принтеров в Active Directory для быстрого поиска имеющихся в сети принтеров;

• автоматическая загрузка клиентом с сервера печати драйвера принтера со всеми настройками данного принтера;

• перенаправление порта принтера на другое устройство печати (позволяет быстро восстановить возможности печати при выходе одного из устройств печати из строя);

• создание пула принтеров (привязка одного принтера к нескольким устройствам печати для повышения быстродействия печати);

• привязка нескольких принтеров к одному устройству печати (для более гибкого управления доступом к принтерам);

• печать через Интернет (Internet Printing Protocol).

Термины и понятия сетевой печати

Определим сначала основные термины, используемые в данном пункте.

• Устройство печати (Print device) — физическое устройство, на котором осуществляется вывод информации на бумагу или иные виды носителей;

• Принтер (Printer) — объект операционной системы (программный интерфейс между системой и портом);

• Порт (Port) — объект системы, связывающий принтер и устройство печати;

• Драйвер принтера (Printer driver) — программная компонента, преобразующая информацию из компьютера в набор команд, соответствующий данной модели устройства печати;

• Сервер печати (Print server) — компьютер, получающий от приложений, работающих на компьютерах в сети, задания на печать документов;

• Очередь печати (Print queue) — очередь документов, ожидающих вывода на устройство печати;

• Спулер (Spooler) — компонента системы, которая временно сохраняет на жестком диске сервера документы, содержащиеся в очереди печати.