- •1.1. Справочная служба сети
- •1.2.1. Основной и резервные контроллеры домена
- •1.4. Служба каталогов
- •1.4.1. Объектно-ориентированный подход
- •1.4.2. Дерево каталогов
- •1.5. Служба nds и файловая система
- •1.5.1. Имена и контексты
- •1.2. Доменный подход
- •3.1. Служба dhcp.
- •3.2.1. Регистрация имени.
- •3.2.2. Продление аренды имени.
- •3.2.3. Освобождение и запрос на определение имени.
- •3.3.2. Серверы имен dns
- •3.3.5. Динамическое обновление службы dns
- •Iis 5.0 позволяет разместить несколько Web-узлов на сервере одним из трех способов: присвоив узлам разные номера портов, разные ip-адреса или Разные имена заголовков хостов.
- •4.1.2. Управление iis
- •Iis 5.0 использует распределенную файловую систему (distributed file system, dfs) Windows 2000, которая позволяет объединить файлы, хранящиеся на различных компьютерах, в единое пространство имен.
- •4.1.3. Безопасность
- •4.2.1. Настройка среды Web
- •4.2.2. Службы удаленного доступа Telnet Services
- •4.2.3. Службы Terminal Services
- •5.3. Конфигурации печати
- •5.4. Управление доступом к принтерам
- •5.5. Печать и Active Directory
1.2. Доменный подход
Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей (user accounts), так что при входе в домен пользователь получает доступ сразу ко всем разрешенным ресурсам всех серверов домена.
Доверительные отношения (trust relationships) обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети.
Рис. 1. Доверительные отношения между доменами
Пользователи могут входить в сеть не только из рабочих станций того домена, где хранится их учетная информация, но и из рабочих станций доменов, которые доверяют этому домену. Домен, хранящий учетную информацию, часто называют учетным, а доверяющий домен - ресурсным.
Доверительные отношения не являются транзитивными. Например, если домен А доверяет домену В, а В доверяет С, то это не значит, что А автоматически доверяет С.
3.1. Служба dhcp.
Разработанная Microsoft реализация протокола TCP/IP позволяет создавать сети и обеспечивает связь между компьютерами. Стек протоколов TCP/IP включает 4 уровня: сетевого интерфейса, Интернета, транспортный и прикладной. По умолчанию клиент с Windows 2000 автоматически получает сведения о конфигурации TCP/IP от службы DHCP; однако некоторые компьютеры требуют выделения статичного IP-адреса. Для каждого сетевого адаптера, использующего TCP/IP, надо определить IP-адрес, маску подсети и шлюз по умолчанию.
Служба DHCP собирает и выделяет конфигурационную информацию TCP/IP, автоматами присваивая DHCP-клиентам IP-адреса и иные данные TCP/IP. Внедрение службы DНСР может разрешить массу проблем, связанных с ручной настройкой TCP/IP.
DHCP представляет стандарт стека протоколов TCP/IP, упрощающий обслуживание IP-конфигурации. DHCP — это расширение протокола Bootstrap Protocol (BOOTP), основанного на протоколе UDP/IP. BOOTP позволяет загружающемуся узлу динамически конфигурировать себя.
При каждом запуске клиент DHCP запрашивает у сервера DHCP:
1. IP-адрес;
2. маску подсети;
3. дополнительные значения, например, адрес шлюза по умолчанию, адрес сервера DNS или WINS.
Получив запрос на IP-адрес, сервер DHCP выбирает информацию об IP-адресе из пула адресов, определенных в его БД, и предлагает эти данные клиенту DHCP. Если клиент принимает предложение, сервер DHCP выделяет ему на определенный срок IP-адрес.
3.1.1. Ручная и автоматическая настройка TCP/IP
Чтобы понять преимущества использования службы DHCP для настройки TCP/IP на клиентских компьютерах, сравним ручную настройку TCP/IP и автоматическую.
Ручная настройка TCP/IP
1. Пользователи могут выбрать IP-адрес произвольно, а не получать его у сетевого администратора. Применение некорректных адресов может вызвать сбои в работе сети, которые сложно отследить.
2. Поскольку IP-адрес, маски подсети и шлюз по умолчанию задаются вручную, то это может привести к разным проблемам – от проблем со связью, до идентичных IP-адресов
3. При частом перемещении компьютеров из одной подсети в другую усложняется администрирование. Например, чтобы клиент мог устанавливать связь из нового места, администратору придется изменить его IP-адрес и шлюз по умолчанию.
Настройка TCP/IP с использованием DHCP
1. Для настройки TCP/IP пользователям не надо обращаться к сетевому администратору за сведениями об IP-адресе. Служба DHCP предоставляет всем клиентам DHCP нужную, конфигурационную информацию.
2. Действительные сведения об IP-адресе гарантируют корректность конфигурации, избавляя пользователя от большинства проблем с сетью, источник которых трудно определить.
3. Наличие в каждой подсети серверов DHCP полностью избавляет от проблем с ручной перенастройкой IP-адресов, масок подсети и шлюзов по умолчанию, возникающих при перемещении компьютера из одной подсети в другую. Один сервер DHCP способен выделять IP-адреса нескольким сетям.
3.1.2. Аренда DHCP
Служба DHCP предоставляет клиентским компьютерам сведения об IP-адресе. Этот процесс называется арендой DHCP и имеет место в одном из следующих случаев:
1. на клиенте DHCP впервые инициализирован пакет протоколов TCP/IP;
2. клиент запросил определенный IP-адрес и получил отказ, возможно, в связи с тем что сервер DHCP отозвал предоставленный адрес;
3. клиент, ранее арендовавший IP-адрес и освободивший его, запросил новый адрес;
Примечание: выделенный DHCP-сервером IP-адрес можно освободить вручную, запустив в командной строке утилиту ipconfig с параметром /release.
Выделение IP-адреса клиенту DHCP производится сервером DHCP в четыре этапа:
1. DHCPDISCOVER,
2. DHCPOFFER,
3. DHCPREQUEST
4. DHCPACK .
DHCPDISCOVER
Это первый этап выделения IP-адреса с использованием DHCP. Сначала клиент инициализирует ограниченную версию TCP/IP и производит широковещательную рассылку сообщения DHCPDISCOVER, запрашивая местоположение DHCP-сервера и сведения об IP-адресе. Поскольку клиент не знает IP-адреса сервера DHCP, в качестве исходного адреса применяется 0.0.0.0, а конечного - 255.255.255.255. Сообщение DHCPDISCOVER содержит аппаратный адрес клиента и имя компьютера, по которому сервер DHCP может определить клиента, отославшего запрос.
DHCPOFFER
Это второй этап. Все серверы DHCP, получившие запрос на выделение IP-адреса и имеющие правильную клиентскую конфигурацию, производят широковещательную рассылку сообщения DHCPOFFER, включающего:
1. аппаратный адрес клиента;
2. предлагаемый IP-адрес;
3. маску подсети;
4. период аренды адреса;
5. идентификатор сервера (IP-адрес предлагающего сервера DHCP).
Широковещание используется, поскольку у клиента еще нет IP-адреса. Клиент DHCP выбирает IP-адрес из первого полученного предложения. Сервер DHCP, предлагающий IP-адрес, резервирует его, чтобы не предложить другому клиенту.
OHCPREQUEST
Третий этап наступает после того, как клиент примет сообщение DHCPOFFER от хотя бы одного сервера DHCP и выберет IP-адрес. Клиент производит широковещательную рассылку сообщения DHCPREQUEST всем серверам DHCP, сообщая им, что он уже принял предложение.
DHCPREQUEST включает идентификатор сервера (IP-адрес), предложение которого было принято клиентом. Затем остальные серверы DHCP отзывают свои предложения и сохраняют IP-адреса для следующих запросов.
DHCPACK
Последний этап процесса выделения IP-адреса с использованием DHCP наступает после того как сервер DHCP, чье предложение было принято, выполнит широковещательную рассылку положительного подтверждения клиенту. Подтверждение распространяется в форме сообщения DHCPACK, содержащего действительный IP-адрес и, возможно, другую конфигурационную информацию.
При получении клиентом подтверждения выполняется полная инициализация TCP/ IP, и клиент считается привязанным клиентом DHCP. После этого клиент может использовать для связи TCP/IP.
DHCPNACK
В случае неудачи на этапе DHCPREQUEST сервер DHCP производит широковещательную рассылку отрицательного подтверждения (DHCPNACK). Это происходит в одном из случаев:
1. клиент пытается получить свой предыдущий IP-адрес, который уже недоступен;
2. IP-адрес неверен, поскольку компьютер был перемещен в другую подсеть.
Получив отрицательное подтверждение, клиент возобновляет процесс получения IP-адреса с использованием DHCP.
Примечание: Если в компьютере несколько сетевых адаптеров, привязанных к TCP/IP, процесс DHCP осуществляется отдельно для каждого. Служба DHCP выделяет каждому адаптеру уникальный и действительный IP-адрес.
3.1.3. Продление аренды и освобождение IP-адреса
По прошествии половины периода, на который был выделен IP-адрес, клиенты DHCP пытаются продлить его аренду. Для этого клиент посылает сообщение DHCPREQUEST прямо выделившему адрес серверу DHCP.
Если он доступен, то продлевает аренду и отсылает клиенту сообщение DHCPACK с новым временем аренды и обновленными параметрами конфигурации. Получив подтверждение, клиент обновляет свою конфигурацию.
Примечание: При каждом перезапуске клиент DHCP пытается получить у исходного сера dhcp свой старый IP-адрес. Если эта попытка окажется неудачной и время аренды еще не кончилось, то клиент DHCP будет использовать старый IP-адрес до следующей попытки продления аренды.
Если по прошествии половины времени аренды клиент DHCP не сможет продлить ее на исходном сервере DHCP, по истечении 87,5% времени аренды клиент начнет широковещательную рассылку пакета DHCPREQUEST для связи с любым доступным сервером DHCP. Сервер DHCP может ответить либо сообщением DHCPACK (продление аренды), либо DHCPNACK (принудительная инициализация клиента и получение им другого IP-адреса).
По истечении срока аренды или получив сообщение DHCPNACK, клиент DHCP должен сразу прекратить использование занятого IP-адреса. Затем клиент возобновляет процесс аренды DHCP для получения нового IP-адреса.
Продление аренды IP-адреса с помощью ipconfig
Чтобы отослать серверу DHCP сообщение DCHPREQUEST и получить обновленные параметры и период аренды, запустите в командной строке ipconfig с ключом /renew. Если сервер DHCP недоступен, клиент продолжит использовать текущие параметры конфигурации, предоставленные DHCP.
Освобождение IP-адреса с помощью ipconfig
Чтобы отослать серверу DHCP сообщение DHCPRELEASE и освободить занимаемый клиентом DHCP IP-адрес, запустите в командной строке ipconfig с ключом /release.
Это полезно, если необходимо перемещение клиентского компьютера в другую сеть и ему не нужен старый IP-адрес. После выполнения этой команды связь с клиентом с применением TCP/IP прекращается.
Определение области DHCP
Прежде чем сервер DHCP сможет предоставить клиентам DHCP IP-адреса, надо определить область DHCP — пул действительных IP-адресов, которые могут быть выделены клиентам DHCP.
Создавая область DHCP следует помнить:
1. для каждого сервера DHCP надо определить не менее одной области;
2. из области следует исключить статичные IP-адреса;
3. для централизации администрирования и выделения IP-адресов, специфичных для конкретной сети, на сервере DCHP можно определить несколько областей; подсети можно присвоить лишь одну область;
4. серверы DHCP не обмениваются информацией об областях, поэтому, создавая области на нескольких серверах DHCP, убедитесь, что в этих областях нет пересекающихся IP-адресов — это поможет избежать проблем с идентичными IP-адресами.
3.2. Служба WINS.
В смешанной сетевой среде клиенты низкого уровня, например Windows 98/NT 4.0-компьютеры, устанавливают связь, используя имена NetBIOS. Поэтому сети Windows 2000, если в ней есть клиенты низкого уровня, нужны средства для преобразования имен NetBIOS в IP-адреса. WINS — это усовершенствованная версия сервера имен NetBIOS, регистрирующая NetBIOS-имена компьютеров и преобразующая их в IP-адреса.
WINS также поддерживает динамическую БД, обеспечивающую привязку имен компьютеров к IP-адресам.
Процесс преобразования имен службой WINS позволяет клиентам WINS регистрировать свои имена и IP-адреса на сервере WINS. Клиенты WINS выполняют запросы к серверам WINS для поиска и взаимодействия с ресурсами сети.
Процесс преобразования имен службой WINS включает следующие этапы.
При каждом запуске клиент WINS регистрирует привязку «NetBIOS-имя/IP-aдpec» на соответствующем сервере WINS.Примечание При изменении сведений об IP-адресе клиент WINS автоматически обновляет БД WINS. Такое обновление, например, производится, когда служба DHCP динамически присваивает новый адрес компьютеру, перемещенному из одной подсети в другую.
При формировании команды NetBIOS для установки связи с другим ресурсом клиент WINS отсылает запрос на определение имени прямо серверу WINS без широковещательной рассылки такого запроса в ЛВС.
Сервер WINS находит в БД привязку «NetBIOS-имя/IPадрес», соответствующую требуемому ресурсу, и возвращает клиенту WINS IP-адрес этого ресурса.