1.2. Доменный подход

Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей (user accounts), так что при входе в домен пользователь получает доступ сразу ко всем разрешенным ресурсам всех серверов домена.

Доверительные отношения (trust relationships) обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети.

Рис. 1. Доверительные отношения между доменами

Пользователи могут входить в сеть не только из рабочих станций того домена, где хранится их учетная информация, но и из рабочих станций доменов, которые доверяют этому домену. Домен, хранящий учетную информацию, часто называют учетным, а доверяющий домен - ресурсным.

Доверительные отношения не являются транзитивными. Например, если домен А доверяет домену В, а В доверяет С, то это не значит, что А автоматически доверяет С.

3.1. Служба dhcp.

Разработанная Microsoft реализация протокола TCP/IP позволяет создавать сети и обеспечивает связь между компьютерами. Стек протоколов TCP/IP включает 4 уровня: сетевого интерфейса, Интернета, транспортный и прикладной. По умолчанию клиент с Windows 2000 автоматически получает сведения о конфигурации TCP/IP от службы DHCP; однако некоторые компьютеры требуют выделения статичного IP-адреса. Для каждого сетевого адаптера, использующего TCP/IP, надо определить IP-адрес, маску подсети и шлюз по умолчанию.

Служба DHCP собирает и выделяет конфигурационную информацию TCP/IP, автоматами присваивая DHCP-клиентам IP-адреса и иные данные TCP/IP. Внедрение службы DНСР может разрешить массу проблем, связанных с ручной настройкой TCP/IP.

DHCP представляет стандарт стека протоколов TCP/IP, упрощающий обслуживание IP-конфигурации. DHCP — это расширение протокола Bootstrap Protocol (BOOTP), основанного на протоколе UDP/IP. BOOTP позволяет загружающемуся узлу динамически конфигурировать себя.

При каждом запуске клиент DHCP запрашивает у сервера DHCP:

1. IP-адрес;

2. маску подсети;

3. дополнительные значения, например, адрес шлюза по умолчанию, адрес сервера DNS или WINS.

Получив запрос на IP-адрес, сервер DHCP выбирает информацию об IP-адресе из пула адресов, определенных в его БД, и предлагает эти данные клиенту DHCP. Если клиент принимает предложение, сервер DHCP выделяет ему на определенный срок IP-адрес.

3.1.1. Ручная и автоматическая настройка TCP/IP

Чтобы понять преимущества использования службы DHCP для настройки TCP/IP на клиентских компьютерах, сравним ручную настройку TCP/IP и автоматическую.

Ручная настройка TCP/IP

1. Пользователи могут выбрать IP-адрес произвольно, а не получать его у сетевого администратора. Применение некорректных адресов может вызвать сбои в работе сети, которые сложно отследить.

2. Поскольку IP-адрес, маски подсети и шлюз по умолчанию задаются вручную, то это может привести к разным проблемам – от проблем со связью, до идентичных IP-адресов

3. При частом перемещении компьютеров из одной подсети в другую усложняется администрирование. Например, чтобы клиент мог устанавливать связь из нового места, администратору придется изменить его IP-адрес и шлюз по умолчанию.

Настройка TCP/IP с использованием DHCP

1. Для настройки TCP/IP пользователям не надо обращаться к сетевому администратору за сведениями об IP-адресе. Служба DHCP предоставляет всем клиентам DHCP нужную, конфигурационную информацию.

2. Действительные сведения об IP-адресе гарантируют корректность конфигурации, избавляя пользователя от большинства проблем с сетью, источник которых трудно определить.

3. Наличие в каждой подсети серверов DHCP полностью избавляет от проблем с ручной перенастройкой IP-адресов, масок подсети и шлюзов по умолчанию, возникающих при перемещении компьютера из одной подсети в другую. Один сервер DHCP способен выделять IP-адреса нескольким сетям.

3.1.2. Аренда DHCP

Служба DHCP предоставляет клиентским компьютерам сведения об IP-адресе. Этот процесс называется арендой DHCP и имеет место в одном из следующих случаев:

1. на клиенте DHCP впервые инициализирован пакет протоколов TCP/IP;

2. клиент запросил определенный IP-адрес и получил отказ, возможно, в связи с тем что сервер DHCP отозвал предоставленный адрес;

3. клиент, ранее арендовавший IP-адрес и освободивший его, запросил новый адрес;

Примечание: выделенный DHCP-сервером IP-адрес можно освободить вручную, запустив в командной строке утилиту ipconfig с параметром /release.

Выделение IP-адреса клиенту DHCP производится сервером DHCP в четыре этапа:

1. DHCPDISCOVER,

2. DHCPOFFER,

3. DHCPREQUEST

4. DHCPACK .

DHCPDISCOVER

Это первый этап выделения IP-адреса с использованием DHCP. Сначала клиент инициализирует ограниченную версию TCP/IP и производит широковещательную рассылку сообщения DHCPDISCOVER, запрашивая местоположение DHCP-сервера и сведения об IP-адресе. Поскольку клиент не знает IP-адреса сервера DHCP, в качестве исходного адреса применяется 0.0.0.0, а конечного - 255.255.255.255. Сообщение DHCPDISCOVER содержит аппаратный адрес клиента и имя компьютера, по которому сервер DHCP может определить клиента, отославшего запрос.

DHCPOFFER

Это второй этап. Все серверы DHCP, получившие запрос на выделение IP-адреса и имеющие правильную клиентскую конфигурацию, производят широковещательную рассылку сообщения DHCPOFFER, включающего:

1. аппаратный адрес клиента;

2. предлагаемый IP-адрес;

3. маску подсети;

4. период аренды адреса;

5. идентификатор сервера (IP-адрес предлагающего сервера DHCP).

Широковещание используется, поскольку у клиента еще нет IP-адреса. Клиент DHCP выбирает IP-адрес из первого полученного предложения. Сервер DHCP, предлагающий IP-адрес, резервирует его, чтобы не предложить другому клиенту.

OHCPREQUEST

Третий этап наступает после того, как клиент примет сообщение DHCPOFFER от хотя бы одного сервера DHCP и выберет IP-адрес. Клиент производит широковещательную рассылку сообщения DHCPREQUEST всем серверам DHCP, сообщая им, что он уже принял предложение.

DHCPREQUEST включает идентификатор сервера (IP-адрес), предложение которого было принято клиентом. Затем остальные серверы DHCP отзывают свои предложения и сохраняют IP-адреса для следующих запросов.

DHCPACK

Последний этап процесса выделения IP-адреса с использованием DHCP наступает после того как сервер DHCP, чье предложение было принято, выполнит широковещательную рассылку положительного подтверждения клиенту. Подтверждение распространяется в форме сообщения DHCPACK, содержащего действительный IP-адрес и, возможно, другую конфигурационную информацию.

При получении клиентом подтверждения выполняется полная инициализация TCP/ IP, и клиент считается привязанным клиентом DHCP. После этого клиент может использовать для связи TCP/IP.

DHCPNACK

В случае неудачи на этапе DHCPREQUEST сервер DHCP производит широковещательную рассылку отрицательного подтверждения (DHCPNACK). Это происходит в одном из случаев:

1. клиент пытается получить свой предыдущий IP-адрес, который уже недоступен;

2. IP-адрес неверен, поскольку компьютер был перемещен в другую подсеть.

Получив отрицательное подтверждение, клиент возобновляет процесс получения IP-адреса с использованием DHCP.

Примечание: Если в компьютере несколько сетевых адаптеров, привязанных к TCP/IP, процесс DHCP осуществляется отдельно для каждого. Служба DHCP выделяет каждому адаптеру уникальный и действительный IP-адрес.

3.1.3. Продление аренды и освобождение IP-адреса

По прошествии половины периода, на который был выделен IP-адрес, клиенты DHCP пытаются продлить его аренду. Для этого клиент посылает сообщение DHCPREQUEST прямо выделившему адрес серверу DHCP.

Если он доступен, то продлевает аренду и отсылает клиенту сообщение DHCPACK с новым временем аренды и обновленными параметрами конфигурации. Получив подтверждение, клиент обновляет свою конфигурацию.

Примечание: При каждом перезапуске клиент DHCP пытается получить у исходного сера dhcp свой старый IP-адрес. Если эта попытка окажется неудачной и время аренды еще не кончилось, то клиент DHCP будет использовать старый IP-адрес до следующей попытки продления аренды.

Если по прошествии половины времени аренды клиент DHCP не сможет продлить ее на исходном сервере DHCP, по истечении 87,5% времени аренды клиент начнет широковещательную рассылку пакета DHCPREQUEST для связи с любым доступным сервером DHCP. Сервер DHCP может ответить либо сообщением DHCPACK (продление аренды), либо DHCPNACK (принудительная инициализация клиента и получение им другого IP-адреса).

По истечении срока аренды или получив сообщение DHCPNACK, клиент DHCP должен сразу прекратить использование занятого IP-адреса. Затем клиент возобновляет процесс аренды DHCP для получения нового IP-адреса.

Продление аренды IP-адреса с помощью ipconfig

Чтобы отослать серверу DHCP сообщение DCHPREQUEST и получить обновленные параметры и период аренды, запустите в командной строке ipconfig с ключом /renew. Если сервер DHCP недоступен, клиент продолжит использовать текущие параметры конфигурации, предоставленные DHCP.

Освобождение IP-адреса с помощью ipconfig

Чтобы отослать серверу DHCP сообщение DHCPRELEASE и освободить занимаемый клиентом DHCP IP-адрес, запустите в командной строке ipconfig с ключом /release.

Это полезно, если необходимо перемещение клиентского компьютера в другую сеть и ему не нужен старый IP-адрес. После выполнения этой команды связь с клиентом с применением TCP/IP прекращается.

Определение области DHCP

Прежде чем сервер DHCP сможет предоставить клиентам DHCP IP-адреса, надо определить область DHCP — пул действительных IP-адресов, которые могут быть выделены клиентам DHCP.

Создавая область DHCP следует помнить:

1. для каждого сервера DHCP надо определить не менее одной области;

2. из области следует исключить статичные IP-адреса;

3. для централизации администрирования и выделения IP-адресов, специфичных для конкретной сети, на сервере DCHP можно определить несколько областей; подсети можно присвоить лишь одну область;

4. серверы DHCP не обмениваются информацией об областях, поэтому, создавая области на нескольких серверах DHCP, убедитесь, что в этих областях нет пересекающихся IP-адресов — это поможет избежать проблем с идентичными IP-адресами.

3.2. Служба WINS.

В смешанной сетевой среде клиенты низкого уровня, например Windows 98/NT 4.0-компьютеры, устанавливают связь, используя имена NetBIOS. Поэтому сети Windows 2000, если в ней есть клиенты низкого уровня, нужны средства для преобразования имен NetBIOS в IP-адреса. WINS — это усовершенствованная версия сервера имен NetBIOS, регистрирующая NetBIOS-имена компьютеров и преобразующая их в IP-адреса.

WINS также поддерживает динамическую БД, обеспечивающую привязку имен компьютеров к IP-адресам.

Процесс преобразования имен службой WINS позволяет клиентам WINS регистрировать свои имена и IP-адреса на сервере WINS. Клиенты WINS выполняют запросы к серверам WINS для поиска и взаимодействия с ресурсами сети.

Процесс преобразования имен службой WINS включает следующие этапы.

При каждом запуске клиент WINS регистрирует привязку «NetBIOS-имя/IP-aдpec» на соответствующем сервере WINS.Примечание При изменении сведений об IP-адресе клиент WINS автоматически обновляет БД WINS. Такое обновление, например, производится, когда служба DHCP динамически присваивает новый адрес компьютеру, перемещенному из одной подсети в другую.

При формировании команды NetBIOS для установки связи с другим ресурсом клиент WINS отсылает запрос на определение имени прямо серверу WINS без широковещательной рассылки такого запроса в ЛВС.

Сервер WINS находит в БД привязку «NetBIOS-имя/IPадрес», соответствующую требуемому ресурсу, и возвращает клиенту WINS IP-адрес этого ресурса.