Коммуникации и связь

Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server


Министерство общего и профессионального образования
                 Калининградский Государственный Университет
             Центр дополнительного профессионального образования



                       Аттестационная работа по теме:
               "Администрирование корпоративной сети на основе

                   Microsoft Windows 2000 Advanced Server "



Выполнила _____________________________________/Корнышева И.В./
Проверил ______________________________________/Молчанов С.В./



                             Калининград 2003 г.
                                 Содержание
ВВЕДЕНИЕ    5
1. проектирования корпоративной сети    6
  1.1. Особенности проектирования корпоративных сетей    6
  1.2. Этапы проектирования корпоративных сетей    7
    1.2.1. Анализ требований      8
    1.2.2. Построение функциональной модели производства      9
    1.2.3. Построение технической модели     9
2.1. Информационные потоки в ЛВС  предприятия      11
3. Выбор операционной системы.    12
  3.1 Обзор операционных систем   12
    3.1.1 ОС Nowell NetWare 12
    3.1.2. Семейство ОС Windows 2000.  15
       3.1.2.1 Windows 2000 Server 15
       3.1.2.2 Windows 2000 Advanced Server   16
       3.1.2.3 Windows 2000 Datacenter Server 16
    3.1.3. ОС Windows Server 2003.     16
    3.1.4. ОС Unix, Linux   17
  3.2. Обоснование выбора Операционной системы Windows 2000 Advanced Server
  .   19
4. Планирование структуры сети    24
  4.1. Способ управления сетью    24
  4.2. Размещение сервера   26
  4.3. Сетевая архитектура  27
  4.4. Сетевые ресурсы 30
5. Организация сети на основе Windows 2000.  33
  5.1. Служба каталогов Windows 2000    33
    5.1.1. Наименование объектов  33
    5.1.2. Логическая структура Active Directory   35
       5.1.2.1. Домены 35
       5.1.2.2 Дерево  36
       5.1.2.3 Лес     37
       5.1.2.4 Организационные единицы  38
    5.1.3. Физическая структура   39
       5.1.3.1 Сайты   39
       5.1.3.2 Контроллеры доменов 40
  5.2. Служба DHCP.    44
    5.2.1. Настройка службы DHCP. 47
    5.2.2. Кластеризация    52
5.3. Служба DNS  53
    5.3.1. Планирование внедрения DNS для Active Directory    57
    5.3.2. Новые свойства DNS в Windows 2000 60
    5.3.3 Настройка сервера DNS.  62
  5.4. Служба WINS     63
    5.4.1. Новые возможности WINS в Windows 2000   64
    5.4.2. Компоненты службы WINS 65
    5.4.3. Планирование сети с использованием WINS 66
    5.4.4. Управление базой данных WINS      67
  5.5. Конфигурирование сервера   69
    5.5.1. Выбор сервера    69
    5.5.2. Установка Windows 2000 Advanced Server  73
       5.5.2.1.  Запуск  процедуры  предварительного  копирования  файлов  и
       текстового режима Windows 2000 Advanced Server    73
       5.5.2.2.  Графический режим установки и сбор информации 75
       5.5.2.3. Завершение установки оборудования   77
    5.5.3. Управление в среде Windows 2000 Advanced Server    78
    5.5.4. Требования к домену    79
    5.5.5. Выбор модели организации сети     80
  5.6. Служба Routing and Remote Access 81
  5.7. Измерение сетевого трафика 82
6. Защита информации в сети  84
  6.1.  Анализ возможностей системы  разграничения  доступа   Windows  2000
  Advanced Server      85
       6.1.1. Слежение за деятельностью сети  85
       6.1.2.  Начало сеанса на рабочей станции     86
       6.1.3.  Учетные карточки пользователей 86
       Logon hours     87
       6.1.4.  Журнал событий безопасности    88
       6.1.5. Права пользователя   91
       6.1.6.  Установка пароля и политика учетных карточек    92
       6.1.7.  Шифрованная файловая система EFS     93
Заключение  95
Список использованной литературы  98
                                  ВВЕДЕНИЕ
      В данной аттестационной  работе  рассматривается  проблема  построения
локальной  вычислительной  сети  организации  под  управлением  операционной
системы Windows 2000 Advanced Server.
      Реализация   предложенного   проекта   позволит   сократить   бумажный
документооборот внутри  подразделения,  повысить  производительность  труда,
сократить  время  на  обработку  информации.   Как   следствие,   образуются
дополнительные  временные  ресурсы  для  разработки   и   реализации   новых
экономических и инвестиционных проектов.  Таким  образом,  решится  проблема
окупаемости и рентабельности внедрения корпоративной сети.
      Локальная  вычислительная  сеть  должна  быть   спроектирована   таким
образом, чтобы обеспечить надлежащую степень защищенности данных.
      Целью  аттестационной  работы   является   организация   корпоративной
компьютерной сети.
      Для решения поставленной цели в работе решаются следующие задачи:
        . выбор операционной системы;
        . выбор способа управления сетью;
        . управление сетевыми ресурсами и пользователями сети;
        . рассмотрение вопросов безопасности сети;
      Необходимо разработать рациональную,  гибкую  структурную  схему  сети
предприятия, выбрать аппаратную и программную конфигурацию  сервера,  а  так
же проработать вопросы обеспечения необходимого уровня защиты данных.


                    1. проектирования корпоративной сети

         Корпоративная  сеть  обслуживает   одно   крупное   предприятие   и
называется также сетью масштаба предприятия.  Структура  корпоративной  сети
выглядит следующим образом: имеется ряд подсетей, представляющих  собой  ЛВС
типа  Ethernet   или   Token   Ring   и   обслуживающих   каждая   отдельное
подразделение, расположенное  в  одной  или  нескольких  близкорасположенных
комнатах; подсети связаны между собой с  помощью  серверов  доступа;  обычно
имеется выход во внешнюю территориальную сеть. В качестве  серверов  доступа
могут использоваться мосты, коммутаторы, маршрутизаторы, шлюзы. [5]

         1.1. Особенности проектирования корпоративных сетей

      При проектировании корпоративной сети полезно ее представление в  виде
многослойной  пирамиды.  Хотя  слои  этой  пирамиды  связаны   и   оказывают
непосредственное влияние друг на друга,  обычно  каждый  слой  проектируется
достаточно автономно, специалистами и фирмами соответствующего профиля.
      В зависимости от направления движения по этой пирамиде: сверху вниз  -
от  бизнес-приложений  к  аппаратной  платформе,  или  снизу  вверх   -   от
аппаратуры к приложениям, или от  середины  -  от  конкретной  СУБД,  -  все
фирмы, работающие в области сетевой интеграции, можно условно  разделить  на
три группы:
      Фирмы-производители или дистрибьюторы аппаратуры, выступающие  в  роли
интеграторов.  У  этих  интеграторов  пирамида  опирается  на  очень   узкое
основание  из  одной  платформы  от  одного-двух  производителей.  Минусы  и
некоторые плюсы в работе такого интегратора достаточно очевидны.
      Фирмы, ориентирующиеся на одну из СУБД, например, только на Oracle или
Informix. В  этом  случае  узким  местом  пирамиды  является  середина:  при
попытке  использовать  несколько  аппаратных  платформ  и   широкий   спектр
прикладного программного  обеспечения,  ограничения  диктуются  используемой
СУБД.
      Наконец,  третья  группа  -  независимые  интеграторы,  которые  могут
предлагать любые решения на каждом из  уровней  пирамиды  и  которых  нельзя
уличить  в  особой   привязанности   к   определенной   платформе,   сетевым
конфигурациям или приложениям. У таких интеграторов  единственным  критерием
выбора каждого конкретного решения в идеале является  требование  достижения
максимального эффекта в  рамках  заданных  ресурсов.  В  таком  случае  есть
возможность гибко  строить  любые  конфигурации,  что  позволяет  достаточно
просто решать проблемы,  связанные  с  тем,  что  заказчик  уже  использует,
например, какую-либо СУБД и не хочет переучивать свой персонал для работы  с
другой базой данных.
      При этом, при проектировании какого-либо  слоя  характеристики  других
слоев, оказывающих влияние на принятие проектных  решений,  берутся  в  виде
исходных  данных,  чаще  всего  в  весьма  обобщенном  виде.  Например,  при
проектировании приложений учитываются  скорости,  которые  может  обеспечить
сегодняшнее коммуникационное  оборудование  вполне  определенного  диапазона
стоимости - того диапазона, который имеется в  распоряжении  предприятия.  И
наоборот, разработчики транспортной  системы  ориентируются  на  усредненные
данные о трафике, который могут создать имеющиеся на предприятии  приложения
и те приложения, которые намечено ввести в  действие  в  ближайшие  год-два.
[9]

         1.2. Этапы проектирования корпоративных сетей

      При проектировании  любой  ЛВС  существуют  типовые  этапы  выполнения
сетевых проектов.


         1.2.1. Анализ требований

      Анализ  требований  к  сети   поможет   оценить   деловую   значимость
информационно-технологических решений, определить  главные  цели  и  выбрать
приоритеты для отдельных частей  компьютерной  системы,  которую  вы  хотите
улучшить или  расширить.  Четкое  определение  требований  к  функциям  сети
поможет избежать реализации не нужных свойств сети, что  сэкономит  средства
вашего предприятия. Тщательный анализ требований  к  сети  является  основой
для написания хорошего технического  задания,  на  базе  которого  системные
интеграторы смогут разработать проект сети. Наконец, ясное  понимание  целей
поможет  сформулировать  критерии  качества  для   оценки   и   тестирования
реализованной сети.
      На этом этапе формулируются основные  деловые  цели  предприятия,  для
которого  разрабатывается  проект,  например,  сокращение  производственного
цикла, более оперативный  прием  заказов  или  повышение  производительности
труда за счет более эффективного  взаимодействия  сотрудников,  то  есть  те
цели предприятия, которые в настоящий момент, при существующих  средствах  и
технологиях не вполне достигаются. Осуществляется поиск аналогичных  систем,
анализируются  их  сильные  и  слабые  стороны,   определяется   возможность
использования удачного опыта для проектируемой системы.
      Для выполнения анализа требований к корпоративной сети необходимо:
      оценить текущее состояние  локальных  сетей  и  парка  компьютеров  на
предприятии, что поможет выявить, какие проблемы требуют решения;
    V определить цели и  выгоды  от  корпоративной  сети,  что  поможет  вам
      правильно спроектировать сеть;
    V обосновать перед руководством предприятия необходимость покупок;
    V написать эффективное техническое задание;
    V определить критерии для оценки качества сети. [9]

         1.2.2. Построение функциональной модели производства

      Сеть   предприятия   предназначена   для   того,    чтобы    выполнять
производственные   функции,   поэтому   следует   оценить    ее    роль    в
производственной   структуре   предприятия.   Для    успешного    построения
корпоративной сети нужно построить функциональную модель  (или,  по-другому,
бизнес-модель), из которой потом получить техническую  и  физическую  модели
сети.
      Бизнес-модель  описывает  деловые  процедуры,   последовательность   и
взаимозависимость всех выполняемых на предприятии работ. При  этом  внимание
концентрируется не на компьютерной системе,  а  концентрируется  на  деловой
практике и последовательности работ.
      Архитектура приложений и вычислительной системы играет ключевую роль в
деловой  архитектуре   предприятия.   Бизнес   предприятия   базируется   на
архитектуре управления данными, на приложениях и архитектуре сети.  Успешный
анализ требований  и  успешное  построение  корпоративной  сети  требуют  от
технического специалиста умения думать как бизнесмен.

         1.2.3. Построение технической модели

      После разработки бизнес-модели предприятия и определения  того,  какие
процедуры требуют изменения или улучшения, необходимо построить  техническую
модель сети. Техническая  модель  описывает  в  достаточно  общих  терминах,
какое компьютерное оборудование нужно  использовать,  чтобы  достичь  целей,
определенных в бизнес-модели.  Чтобы  построить  техническую  модель,  нужно
проанализировать    существующее    оборудование,    определить    системные
требования, оценить сегодняшнее и завтрашнее состояния техники.
      Проектировщик также должен обеспечить нужный набор функций и требуемое
время доступности сети. Например, если сеть должна быть доступна по ночам  и
в  выходные  дни,  в   ответственных   файл-серверах   нужно   предусмотреть
избыточные диски и  источники  бесперебойного  питания.  Необходимо  решить,
достаточно  ли  применение  способа  зеркального  отображения   дисков   или
требуется использовать дисковый массив. [10]
      Далее нужно выяснить, какие технологии и технические  средства  станут
доступными в ближайшее время, а также каковы долгосрочные  перспективы  этих
новшеств.  Необходимо  оценить,  сможет  ли   проектируемая   сеть   принять
завтрашние технологические новинки.
      Искусство проектировщика заключается в  оценке  имеющихся  на  сегодня
решений, предвидении того, что станет доступным завтра, и  объединении  этих
решений в элегантную и эффективную сеть.
      После того, как выбрана техническая модель, описывающая сеть  в  общих
терминах, создается  так  называемая  физическая  модель,  которая  является
подробным  описанием  конкретных  продуктов,  их   количества,   технических
параметров и способов взаимодействия.
      Установка и наладка системы. Данный этап подразумевает координирование
поставок от  субподрядчиков,  управление  конфигурированием,  инсталляцию  и
наладку оборудования, обучение персонала.
      Тестирование системы. На  этом  этапе  должны  проводиться  приемочные
испытания.
      Сопровождение  и  эксплуатация  системы.  Этот  этап  не  имеет  четко
определенных временных границ, а  представляет  собой  непрерывный  процесс.
[5]

                2.1. Информационные потоки в ЛВС  предприятия


       Рассмотрим организационно-штатную структуру подразделения. Во  главе
подразделения   стоит   генеральный   директор   предприятия.    В    состав
подразделения входят 4 отдела, один из которых  -  специализированный  отдел
прямого подчинения  начальнику.  Каждый  отдел  имеет  в  подчинении  разное
количество отделений. В каждом отделении, в свою очередь, служат  сотрудники
согласно штатно-списочного расписания.
       Все вышесказанное иллюстрирует рис. 2.1.
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|                                                                 |
|- распоряжения                                                   |
|- оперативная информация                                         |
|- доклады                                                        |

              Рис. 1.1. Организационная структура подразделения
       Всего в подразделении задействовано 30 человек, каждому  из  которых
предполагается выделить в пользование персональный компьютер.

                       3. Выбор операционной системы.


                        3.1 Обзор операционных систем

      Практически все современные ОС поддерживают работу в  сети.  Однако  в
качестве ОС для сервера чаще всего используются Nowell NetWare, Unix,  Linux
и Windows 2000 Server.

         3.1.1 ОС Nowell NetWare

      Одна из первых  коммерческих  сетевых  ОС,  позволивших  строить  сети
произвольной топологии, состоящих из разнородных  компьютеров.  Если  раньше
сетевые ОС сильно зависели от конкретной конфигурации  сети,  то  ОС  Nowell
NetWare стала первой универсальной сетевой ОС. Любая сетевая карта,  имеющая
драйвер ODI (Open Datalink Interface) может использоваться в  сетях  Nowell.
Благодаря такой универсальности ОС быстро завоевала рынок,  и  долгое  время
оставалась основной ОС для локальных сетей.  С  1990  года  даже  фирма  IBM
стала перепродавать NetWare, и  по  сегодняшний  день  эта  ОС  используется
достаточно широко.
      Текущей версией ОС является NetWare 6.x. Помимо удобного  графического
интерфейса, эта версия NetWare имеет ряд других характерных особенностей:
      1) NetWare 6.0 использует  в  качестве  основного  сетевого  протокола
TCP/IP (протокол, используемый в  сети  Internet).  Если  предыдущие  версии
NetWare работали на собственном протоколе фирмы Novell - протоколе  IPX/SPX,
а  протокол  ТСР/IР  мог  использоваться  только   поверх   IPX/SPX   (также
эмулировался NetBIOS), то теперь NetWare 5.0 предлагает следующие варианты:
      - только протокол TCP/IP
      - протокол  TCP/IP  в  режиме  "совместимости"  (может  использоваться
IPX/SPX поверх ТСР/IР)
      - совместное использование протоколов TCP/IP и IPX/SPX (оба  протокола
работают параллельно и
      независимо)
      - только протокол IPX/SPX.
      2) В  NetWare  используется  служба  каталога  NDS  (Nowell  Directory
Service), которая представляет собой единую  распределенную  базу  данных  в
виде  дерева   каталогов,   в   которой   описываются   все   объекты   сети
(пользователи, группы пользователей, принтеры и  т.д.),  с  указаниями  прав
доступа. База данных NDS является общей для всей  сети.  Если  в  предыдущих
версиях  NetWare  3.x  и  2.x  необходимо  было  создавать  учетную   запись
пользователя (имя и пароль)  на  каждом  сервере  сети,  то  в  NetWare  6.0
достаточно один раз зарегистрировать пользователя в NDS и он получит  доступ
ко всем серверам сети.
      3)  В  NetWare  используется  мощная  и  гибкая  модель  разграничения
доступа.  Система  безопасности  подключения  к  сети   включает   в   себя:
ограничения на срок действия и частоту смены  пароля,  запрет  на  повторное
использование  старых  паролей,  ограничение   времени   суток   и   адресов
компьютеров, с  которых  пользователь  может  подключаться  к  сети,  запрет
одному и тому же пользователю на  подключение  к  сети  с  нескольких  машин
одновременно. Система безопасности файловой системы  позволяет  для  каждого
файла  и  каталога  назначить  различным  пользователям   любую   комбинацию
следующих прав доступа:  чтение,  запись,  создание,  удаление,  модификация
(имени файла и его атрибутов), просмотр  (содержимого  каталога),  изменение
прав доступа, супервизор (полный набор всех прав).  Аналогично  регулируется
доступ  и  к  любым  другим  объектам  NDS  (права  на  просмотр,  создание,
удаление, переименование объектов, чтение, запись,  сравнение  и  добавление
их свойств, права супервизора). NetWare имеет  также  двухстороннюю  систему
аудита: внешние независимые аудиторы могут анализировать события в сети,  не
имея доступа к секретным данным, в  то  же  время,  администраторы  сети  не
имеют доступа к данным аудита.
      4)  В  NetWare  6.0  поддерживаются  как  традиционные  тома   (аналог
логических дисков), так и тома NSS (Novell Storage  Services).  Традиционные
тома  обеспечивают  надежную  файловую  систему,  основанную  на   обработке
транзакций (при  сбое,  файлы  восстанавливаются  в  состояние  "до  сбоя"),
сжатие файлов и систему зеркального  отражения  дисков  (данные  параллельно
пишутся на два различных  винчестера:  при  повреждении  одного,  информация
будет считана с другого). Тома NSS  могут  иметь  размер  до  8  терабайт  и
хранить до 8 триллионов  файлов.  Доступ  к  томам  NSS  происходит  гораздо
быстрее, чем к традиционным томам. В качестве тома NSS  может  монтироваться
CD-ROM и разделы DOS.
      5) В  NetWare  6.0  реализована  распределенная  система  печати  NDPS
(Novell Distributed Print Services), которая была  разработана  совместно  с
компаниями Hewlett-Packard и Xerox и позволяет реализовать:
      - двухсторонний обмен данными (компьютер имеет возможность  передавать
данные  на  принтер,  и  принтер  имеет  возможность  передавать  данные   в
компьютер).
      - оповещение о событиях (принтер по сети имеет возможность  оповестить
технический персонал, например о том, что кончился тонер).
      - автоматическая загрузка драйверов принтера, шрифтов и  др.  ресурсов
на компьютеры, которым требуется производить распечатку документов.
      6)  В  комплект  поставки  NetWare  6.0  входит  мощный  и  простой  в
использовании   Web-сервер   FastTrack    Server    for    NetWare,    тесно
интегрированный  с  NDS  и  поддерживающий  большинство  языков   разработки
приложений для Web. FastTrack  Server  призван  заменить  собой  Novell  Web
Server, использовавшийся в предыдущих версиях NetWare.
      7) В состав сервера NetWare 6.0 входит виртуальная  машина  Java,  что
позволяет  запускать  приложения  и  апплеты  Java  на  сервере.   Например,
графическая утилита управления сервером ConsoleOne написана на языке Java.

         3.1.2. Семейство ОС Windows 2000.


         3.1.2.1 Windows 2000 Server

      Включает основанные на  открытых  стандартах  службы  каталогов,  Web,
приложений, коммуникаций, файлов и печати, отличается высокой надежностью  и
простотой  управления,  поддерживает  новейшее  сетевое   оборудование   для
интеграции с Интернетом. В Windows 2000 Server реализованы:
службы Internet Information Services 5.0 (IIS);
среда программирования Active Server Pages (ASP);
XML-интерпретатор;
архитектура DNA;
модель СОМ + ;
мультимедийные возможности;
поддержка приложений, взаимодействующих со службой каталогов;
Web-папки;
печать через Интернет.
      Минимальные аппаратные требования Windows 2000 Server:
    . Pentium-совместимый процессор с тактовой частотой не ниже  133  МГц  —
      Windows 2000 Server поддерживает до 4 процессоров:
    .  128  Мб  ОЗУ  (рекомендуется  256  Мб).  Большее  количество   памяти
      значительно увеличивает быстродействие системы.  Windows  2000  Server
      поддерживает ОЗУ объемом до 4 Гб;
    . 2 Гб свободного дискового пространства — для  установки  Windows  2000
      Server требуется около 1 Гб. Дополнительное место на диске  необходимо
      для установки сетевых компонентов.

         3.1.2.2 Windows 2000 Advanced Server

      Эта ОС, по сути, представляет собой новую версию Windows NT Server 4.0
Enterprise Edition. Windows 2000 Advanced Server  —  идеальная  система  для
работы с требовательными к ресурсам  научными  приложениями  и  приложениями
электронной  коммерции,  где  очень   важны   масштабируемость   и   высокая
производительность[1].  Аппаратные  требования  для  Windows  2000  Advanced
Server не отличаются от требований  для  Windows  2000  Server,  однако  эта
более мощная ОС включает дополнительные возможности:
      . балансировку сетевой нагрузки;
      . поддерживает ОЗУ объемом до 8 Гб на системах с Intel  Page  Address
        Extension (РАЕ);
      . поддерживает до 8 процессоров.

         3.1.2.3 Windows 2000 Datacenter Server

      Это серверная ОС, еще  больше  расширяющая  возможности  Windows  2000
Advanced Server. Поддерживает до 32 процессоров и  больший  объем  ОЗУ,  чем
любая другая ОС Windows 2000:
4. до 32 Гб для компьютеров с процессорами Alpha;
5. до 64 Гб для компьютеров с процессорами Intel.
      Вопрос  об  установке   Windows   2000   Datacenter   Server   следует
рассматривать только в том случае, если вам требуется  поддерживать  системы
оперативной обработки  транзакций  (online  transaction  processing,  OLTP),
крупные хранилища данных или предоставлять услуги Интернета[1].

         3.1.3. ОС Windows Server 2003.

      Семейство продуктов Windows Server 2003  берет  все  самое  лучшее  от
технологии  ОС  Windows  2000  Server,  упрощая  при   этом   развертывание,
управление   и   использование.   В   результате    пользователь    получает
инфраструктуру высокой  производительности,  помогающую  превратить  сеть  в
стратегические активы организации.
      Технология  Windows  Server  2003  содержит  все  функции,   ожидаемые
пользователями  от  серверной  ОС  Windows,  используемой   для   выполнения
ответственных задач,  такие  как  безопасность,  надежность,  доступность  и
масштабируемость.  Кроме  того,  корпорация  Microsoft  усовершенствовала  и
расширила серверную ОС Windows для того,  чтобы  организация  могла  оценить
преимущества технологии  Microsoft  .NET,  разработанной  для  связи  людей,
систем, устройств и обмена данными.
      Windows Server  2003  является  многозадачной  операционной  системой,
способной централизовано  или  распределено  управлять  различными  наборами
ролей, в зависимости  от  потребностей  пользователей.  Некоторые  из  ролей
сервера:
         . файловый сервер и сервер печати;
         . веб-сервер и веб-сервер приложений;
         . почтовый сервер;
         . сервер терминалов;
         . сервер удаленного доступа/сервер виртуальной частной сети (VPN);

         . служба каталогов, система доменных имен (DNS), сервер  протокола
           динамической настройки узлов (DHCP) и  служба  Windows  Internet
           Naming Service (WINS);
         . сервер потокового мультимедиа-вещания.

         3.1.4. ОС Unix, Linux

      ОС Unix является старейшей сетевой операционной  системой  (создана  в
1969г.)  и  по  сегодняшний  день  использующейся  в  Internet.   Существует
множество клонов Unix — практически ничем  не  отличающихся  друг  от  друга
операционных систем разных производителей: FreeBSD,  BSD  Unix  (университет
Berkley), SunOS, Solaris (фирма Sun Microsystems), AIX  (фирма  IBM),  HP-UX
(фирмы Hewlet Packard), SCO (фирмы SCO) и др. Самым популярным  клоном  Unix
пожалуй является FreeBSD, в основном из-за  того,  что  ее  исходные  тексты
распространяются свободно, что позволяет произвольно  переделывать  ОС  "под
себя", а также тестировать систему на отсутствие ошибок и "черного хода".  В
связи с этим, FreeBSD  содержит  гораздо  меньше  ошибок,  чем  коммерческие
варианты Unix,  т.к.  отладкой  и  устранением  ошибок  занималась  не  одна
компания, а все программистское сообщество.
      К клонам Unix можно отнести и  Linux,  однако  в  последнее  время  он
выделился  в  самостоятельную  операционную  систему  и   продолжает   бурно
развиваться. Существует множество дистрибутивов  (пакетов  установки)  Linux
различных фирм. Самые популярные  из  них  —  это  Red  Hat  Linux  (США)  и
Mandrake (Европа). Существуют также Slackware Linux,  Corel  Linux,  Caldera
OpenLinux, Debian Linux, SuSE Linux, Black Cat  Linux,  Connectiva  Linux  и
др. Структура файловой системы, система  разграничения  доступа  и  основные
команды в Linux  и  Unix  сходны.  С  точки  зрения  пользователя,  основным
отличаем  Linux  от  ранних  версий  Unix   является   удобный   графический
интерфейс, во многом сходный с интерфейсом Windows (особенно  у  графической
рабочей среды Gnome), а основным  преимуществом,  по  сравнению  с  Windows,
-большая  надежность  и  скорость  работы,  большая  защищенность   файловой
системы (в том числе и от вирусов) и более профессиональные средства  работы
с локальной  сетью  и  Internet.  Для  Linux  существует  и  разрабатывается
большое количество программного обеспечения: от офисного пакета Star  Office
и графического редактора Corel Draw,  до  мощных  СУБД  (DB2  фирмы  IBM)  и
систем разработки программ на C++, Perl, Java и др. И  хотя  пока  еще  рано
рекомендовать неопытному пользователю переходить на Linux (в основном  из-за
проблем с использованием русских шрифтов в приложениях — отсутствует  единая
прозрачная схема настройки), тем не менее, в будущем, Linux возможно  займет
значительное место в нише ОС для домашних компьютеров.

     3.2. Обоснование выбора Операционной системы Windows 2000 Advanced
                                  Server .

       В качестве операционной системы  было  решено  использовать  Windows
2000 Advanced Server. Эта версия Windows 2000 поддерживает работу с  большим
объемом оперативной памяти и большим количеством процессоров.  Она  включает
в себя средства организации кластеров и  механизмы  распределения  нагрузки.
[13]
                                                               Таблица 3.2.1
                Характеристики различных версий Windows 2000.
|Характеристика   |Windows    |Windows    |Windows 2000  |Windows 2000 |
|                 |2000       |2000 Server|Advanced      |Datacenter   |
|                 |Professiona|           |Server        |Server       |
|                 |l          |           |              |             |
|Максимальный     |4          |4          |8             |64           |
|поддерживаемый   |           |           |              |             |
|объем памяти,    |           |           |              |             |
|Гбайт            |           |           |              |             |
|Количество       |2          |4          |8             |32           |
|процессоров,     |           |           |              |             |
|поддерживаемое   |           |           |              |             |
|сразу же после   |           |           |              |             |
|установки        |           |           |              |             |
|Максимальное     |10         |Ограничено |Ограничено    |Ограничено   |
|допустимое       |           |возможностя|возможностями |возможностями|
|количество       |           |ми         |аппаратной    |аппаратной   |
|процессоров      |           |аппаратной |платформы     |платформы    |
|                 |           |платформы  |              |             |
|Служба каталога  |Клиент     |Контроллер |Контроллер    |Контроллер   |
|Active Directory |           |домена или |домена или    |домена или   |
|                 |           |член домена|член домена   |член домена  |
|Сервер Web       |Одноранговы|Internet   |Internet      |Internet     |
|                 |е службы   |Information|Information   |Information  |
|                 |Web        |Server v.  |Server v. 5.0 |Server v. 5.0|
|                 |           |5.0        |              |             |
|Сетевые службы   |Нет        |Да         |Да            |Да           |
|DHCP, DNS, WINS, |Нет        |Да         |Да            |Да           |
|маршрутизация и  |           |           |              |             |
|служба удаленного|           |           |              |             |
|доступа RAS      |           |           |              |             |
|Терминальные     |Нет        |Да         |Да            |Да           |
|службы           |           |           |              |             |
|Службы слежения  |Нет        |Да         |Да            |Да           |
|за транзакциями  |           |           |              |             |
|Отказоустойчивые |Нет        |Да         |Да            |Да           |
|дисковые тома    |           |           |              |             |
|(отражение дисков|           |           |              |             |
|и RAID-5)        |           |           |              |             |
|Распределение    |Нет        |Нет        |Да            |Да           |
|сетевой нагрузки |           |           |              |             |
|Работа в кластере|Нет        |Нет        |Да            |Да           |

      По сравнению с Windows NT 4.0  версия  Windows  2000  Server  обладает
следующими новыми возможностями:
    V Active Directory. Новая служба каталога, основанная  на  спецификациях
      Х.500  и  заменяющая  собой  домены  Windows  NT  4.0.  Служба  Active
      Directory интегрирована с  DNS,  использует  аутентификацию  Kerberos,
      поддерживает  наследуемые  доверительные  отношения  и  репликацию   с
      несколькими главными контроллерами домена.
    V Улучшенная управляемость. Новая система включает в себя продуманный  и
      последовательный интерфейс управления системой  (Microsoft  Management
      Console, MMC), поддержку групповой политики (Group  Policy),  средство
      автоматической установки Microsoft Installer,  средства  синхронизации
      папок в отключенном  от  сети  состоянии,  а  также  службы  Telnet  и
      Terminal  Services  (службы  терминалов)  для  обеспечения  удаленного
      администрирования.
    V Улучшенная поддержка сети. Среди нововведений, связанных с  работой  в
      сети, следует упомянуть улучшенные службы DNS, WINS и DHCP,  поддержку
      технологии Quality of Service (QoS), сжатие  HTTP,  защиту  данных  IP
      Security  (IPSec),  поддержку  Asynchronous   Transfer   Mode   (ATM),
      совместное  использование  канала   связи   с   Интернетом   (Internet
      Connection Sharing), под-дежку Virtual Private Network (VPN), а  также
      службу маршрутизации и удаленного доступа Routing  and  Remote  Access
      Service (RRAS).
    V Улучшенная поддержка аппаратных устройств. Новая  система  включает  в
      себя улучшенные  драйверы  существующего  аппаратного  обеспечения,  а
      также цифровых видеодисков DVD (Digital Video  Disks),  устройств  USB
      (Universal Serial Bus), новых сетевых адаптеров, сканеров,  принтеров,
      модемов и  других  аппаратных  устройств.  В  подавляющем  большинстве
      случаев установка новых драйверов  не  требует  перезагрузки  системы.
      Если  ранее  перезагрузка   системы   требовалась   приблизительно   в
      пятидесяти случаях из ста, то теперь этот  параметр  снижен  всего  до
      семи случаев из ста.
    V Управление системой долговременного  хранения  данных.  Новая  система
      включает  в  себя  улучшенные  механизмы  хранения  файлов,  а   также
      управления  данными,  хранящимися  на  дисках  и  других   устройствах
      долговременного  хранения  информации.  Среди   новых   механизмов   —
      квотирование дискового  пространства,  шифрование  данных,  управление
      сменными   носителями   информации,   контекстное   индексирование   и
      распределенная файловая система DPS (Distributed File System).
    V Улучшенная производительность.  Добавлена  поддержка  большего  объема
      оперативной памяти, большего  количества  процессоров.  Новая  система
      более эффективно использует аппаратные  ресурсы  компьютера,  а  также
      позволяет следить за расходованием процессорного времени  и  управлять
      этим расходованием.
      Основные отличия Windows 2000 Advanced Server от Windows 2000 Server:
       Организация работы в кластере. Кластеры  используются  для  повышения
степени надежности сетевой системы  как  единого  целого.  Если  данные  или
сетевые  приложения  располагаются  в  кластере,  состоящем  из   нескольких
серверов, они будут доступны для пользователей даже при большой нагрузке  на
сеть или в случае, если один из  серверов  выйдет  из  строя.  Windows  2000
поддерживает   две    основные    разновидности    кластерных    технологий:
распределение  сетевой  нагрузки  (Network  Load  Balancing)   и   серверные
кластеры. Эти кластерные технологии  могут  использоваться  либо  совместно,
либо по отдельности.
       Поддержка многопроцессорных систем. Каждая  из  версий  Windows  2000
может поддерживать ограниченное  количество  процессоров,  установленных  на
многопроцессорной системе.  Windows  2000  Server  поддерживает  до  четырех
процессоров,  Windows  2000   Advanced   Server   поддерживает   до   восьми
процессоров, a Windows 2000  Datacenter  Server  будет  поддерживать  до  32
процессоров.
        Поддержка  больших  объемов   оперативной   памяти.   Windows   2000
Professional  и  Windows  2000  Server  поддерживают  работу  с  оперативной
памятью объемом до  4  Гбайт.  Windows  2000  Advanced  Server  поддерживает
работу  с  оперативной  памятью  объемом  до  8  Гбайт   (с   использованием
технологии Intel РАЕ — Physical Address Extention). Windows 2000  Datacenter
Server может  работать  на  компьютерах,  оснащенных  64  Гбайт  оперативной
памяти (с использованием технологии Intel РАЕ).
      Технология РАЕ позволяет установить на одном компьютере  до  64  Гбайт
оперативной памяти, использование которой  осуществляется  страницами  по  4
Кбайт. Это значительно больше,  чем  позволял  более  ранний  драйвер  Intel
PSE36.
         В качестве операционной системы рабочих  станции  была  выбрана   -
Windows 2000 Professional, она разработана для оснащения настольных  рабочих
станций  корпоративных  пользователей.  Она  оптимизирована  для  выполнения
функций сетевого клиента и управления работой персональной рабочей станции.
         Это настольная ОС, расширяющая возможности  Windows  NT  в  области
безопасности и отказоустойчивости, она унаследовала от Windows  98  легкость
в  управлении,  поддержку  множества   устройств   и   РnР.   Windows   2000
Professional можно установить путем обновления любой ОС, начиная  с  Windows
NT Workstation 3.51  и  до  Windows  98.  Минимальные  системные  требования
Windows 2000 Professional:
    V Pentium-совместимый процессор с тактовой частотой не ниже  133  МГц  –
      Windows 2000 Professional поддерживает до двух процессоров;
    V 64 Мб ОЗУ — большее количество памяти повышает быстродействие системы;
    V жесткий диск объемом не менее 2 Гб — для установки  самой  ОС  Windows
      2000 Professional на вашем жестком диске должно быть свободно  минимум
      650 Мб. [2]


                       4. Планирование структуры сети

       Компьютерная  сеть  -   это   несколько   компьютеров   в   пределах
ограниченной  территории  (находящихся  в  одном  помещении,  в  одном   или
нескольких близко расположенных зданиях)  и  подключенных  к  единых  линиям
связи. Сегодня большинство компьютерных сетей – это  локальные  компьютерные
сети (Local-Area Network), которые  размещаются  внутри  одного  конторского
здания  и  основанные  на   компьютерной   модели   клиент/сервер.   Сетевое
соединение состоит из двух участвующих в  связи  компьютеров  и  пути  между
ними. Можно создать сеть, используя беспроводные технологии, но пока это  не
распространено. [7]

       В модели клиент/сервер связь по сети делится на две области: сторону
клиента и сторону сервера. По  определению,  клиент  запрашивает  информацию
или услуги из сервера. Сервер в свою очередь, обслуживает  запросы  клиента.
Часто каждая сторона в модели клиент/сервер  может  выполнять  функции,  как
сервера, так и клиента. При создании компьютерной  сети  необходимо  выбрать
различные  компоненты,  определяющие,  какое   программное   обеспечение   и
оборудование вы сможете  использовать,  формируя  свою  корпоративную  сеть.
Компьютерная   сеть   –   это   неотъемлемая   часть   современной   деловой
инфраструктуры, а корпоративная сеть –  лишь  одно  из  используемых  в  ней
приложений  и,  соответственно,  не  должна  быть   единственным   фактором,
определяющим выбор компонентов сети.  Необходимые  для  Intranet  компоненты
должны  стать дополнением к  имеющейся  сети,  не  приводя  к  существенному
изменению ее архитектур. [6]


         4.1. Способ управления сетью

         Каждая   организация   формулирует   собственные   требования    к
  конфигурации сети,  определяемые  характером  решаемых  задач.  В  первую
  очередь необходимо определить, сколько человек  будут  работать  в  сети.
  От этого решения, по  существу,  будут  зависеть  все  последующие  этапы
  создания сети.

       Количество рабочих станций напрямую зависит от предполагаемого числа
сотрудников.  Другим  фактором  является  иерархия  компании.  Для  фирмы  с
горизонтальной структурой, где все сотрудники должны иметь доступ  к  данным
друг друга, оптимальным  решением является  простая одноранговая сеть. [2]

       Фирме, построенной по принципу  вертикальной  структуры,  в  которой
точно известно, какой сотрудник и к какой информации  должен  иметь  доступ,
следует ориентироваться  на  более  дорогой  вариант  сети  –  с  выделенным
сервером. Только в такой сети существует возможность администрирования  прав
доступа (рис. 4.1).



                        Рис. 4.1    Выбор типа сети.

         В данном случае на предприятии имеется 30 рабочих станции, которые
  и требуется объединить в корпоративную сеть.  Причем   они  объединены  в
  следующие группы:

            . директор предприятия – 1 рабочая станция;
            . отдел прямого подчинения - 2 рабочих станции;
  . секретарь – 1 рабочая станция;
  . отделения  1,  2  и  3  2-го  отдела  по  3,  3  и  4  рабочих  станции
    соответственно;
  . отделения 4 и 5 3-го отдела по 4 и 4 рабочих станции;
            . отделение 6 4-го отдела – 4 рабочих станции.
         Следуя из схемы выбора типа  сети,  можно  решить,  что  в  данном
  случае  требуется установка сервера,  так  как   мы  имеем   вертикальную
  структуру предприятия, то есть  разграниченный доступ к информации.

       Одним   из   главных   этапов   планирования    является    создание
предварительной схемы. При этом в зависимости от типа сети возникает  вопрос
об ограничении длины  кабельного сегмента. Это может быть несущественно  для
небольшого офиса, однако  если  сеть  охватывает  несколько  этажей  здания,
проблема предстает в  совершенно  ином  свете.  В  таком  случае  необходима
установка дополнительных репитеров (repeater).
       В ситуации с предприятием вся  сеть  будет  располагаться  на  одном
этаже,  и  расстояние  между  сегментами  сети  не   столь   велико,   чтобы
требовалось использование репитеров.

         4.2. Размещение сервера

      В отличие от  установки  одноранговой  сети,  при  построении  ЛВС   с
сервером возникает еще один вопрос -  где лучше всего установить сервер.
      На выбор места влияет несколько факторов:
        . из-за высокого уровня шума сервер желательно  установить  отдельно
          от остальных рабочих станций;
        . необходимо обеспечить постоянный доступ к серверу для технического
          обслуживания;
        . по соображениям защиты информации требуется  ограничить  доступ  к
          серверу;

|[pic]                                                                    |


                          Рис. 4.2. План помещения.
       Сервер расположен в комнате сетевого администратора, так как  только
это помещение удовлетворяет требованиям, то есть уровень шума   в  помещении
минимален,  помещение  изолированно  от  других,  следовательно,  доступ   к
серверу будет ограничен.
       Сетевой администратор сможет постоянно следить за работой сервера  и
осуществлять обслуживание сервера, так как при установке сервера.

         4.3. Сетевая архитектура

       Сетевая архитектура  -  это  сочетание  топологии,  метода  доступа,
стандартов, необходимых для создания работоспособной сети.
       Выбор топологии определяется, в частности, планировкой помещения,  в
котором разворачивается ЛВС. Кроме того, большое значение имеют  затраты  на
приобретение  и  установку  сетевого  оборудования,  что   является   важным
вопросом для фирмы, разброс цен здесь также достаточно велик.
       Топология типа «звезда» представляет  собой  более  производительную
структуру, каждый компьютер, в том числе  и  сервер,  соединяется  отдельным
сегментом кабеля с центральным концентратором (HAB).
       Основным преимуществом такой сети является её устойчивость к  сбоям,
возникающим вследствие неполадок  на  отдельных  ПК  или  из-за  повреждения
сетевого кабеля. [12]
|[pic]                                                                    |


                    Рис. 4.3  Топология сети предприятия.
      Важнейшей  характеристикой  обмена  информацией  в   локальных   сетях
являются так называемые методы доступа  (access  methods),  регламентирующие
порядок, в котором рабочая станция получает  доступ  к  сетевым  ресурсам  и
может обмениваться данными.
      За аббревиатурой CSMA/CD   скрывается  английское  выражение  «Carrier
Sense Multiple Access with Collision  Detection  »  (коллективный  доступ  с
контролем несущей и обнаружением коллизий). С  помощью  данного  метода  все
компьютеры получают равноправный  доступ  в  сеть.  Каждая  рабочая  станция
перед началом передачи данных проверяет, свободен  ли  канал.  По  окончании
передачи каждая рабочая станция проверяет, достиг ли  адресата  отправленный
пакет данных.  Если ответ  отрицательный,  узел  производит  повторный  цикл
передачи/контроля приема данных и так до тех пор, пока не получит  сообщение
об успешном приеме информации адресатом. [6]
      Так как этот метод хорошо зарекомендовал себя именно в малых и средних
сетях,   для  предприятия  данный  метод  подойдет.  К   тому   же   сетевая
архитектура  Ethernet,  которую  и  будет  использовать  сеть   предприятия,
использует именно этот метод доступа.
      Спецификацию Ethernet в конце семидесятых  годов  предложила  компания
Xerox Corporation. Позднее к этому проекту присоединились  компании  Digital
Equipment  Corporation  (DEC)  и  Intel  Corporation.  В  1982   году   была
опубликована  спецификация  на  Ethernet  версии  2.0.  На   базе   Ethernet
институтом IEEE был разработан стандарт IEEE 802.3. [12]
      В настоящее время технология, применяющая кабель на основе витой  пары
(10Base –  T),  является  наиболее  популярной.  Такой  кабель  не  вызывает
трудностей при прокладке.
      Сеть на основе витой пары, в отличие от тонкого и толстого  коаксиала,
строится  по  топологии  звезда.  Чтобы  построить  сеть  по  звездообразной
топологии, требуется большее  количество  кабеля  (но  цена  витой  пары  не
велика).  Подобная  схема  имеет  и  неоценимое   преимущество   –   высокую
отказоустойчивость. Выход из строя одной или нескольких рабочих  станций  не
приводит к отказу всей системы.  Правда если из строя выйдет хаб, его  отказ
затронет все подключенные через него устройства.
      Еще одним преимуществом данного варианта является простота  расширения
сети,  поскольку  при  использовании  дополнительных   хабов   (до   четырех
последовательно)  появляется  возможность  подключения  большого  количества
рабочих станций (до 1024). При применении неэкранированной витой пары  (UTP)
длина сегмента между концентратором и рабочей  станцией не должна  превышать
100 метров, чего не наблюдается в предприятии.

         4.4. Сетевые ресурсы

      Следующим  важным  аспектом  планирования  сети  является   совместное
использование сетевых ресурсов (принтеров, факсов, модемов).
      Перечисленные ресурсы могут использоваться как в  одноранговых  сетях,
так и в сетях с выделенным  сервером.  Однако  в  случае  одноранговой  сети
сразу  выявляются   её   недостатки.   Чтобы   работать   с   перечисленными
компонентами, их нужно установить на  рабочую станцию или подключить  к  ней
периферийные устройства.  При  отключении  этой  станции  все  компоненты  и
соответствующие   службы   становятся   недоступными    для    коллективного
пользования. [2]
      В сетях с сервером такой компьютер существует по определению.  Сетевой
сервер никогда не  выключается,  если  не  считать  коротких  остановок  для
технического  обслуживания.  Таким  образом,  обеспечивается  круглосуточный
доступ рабочих станций к сетевой периферии.
      На  предприятии  имеется  десять  принтеров:  в  каждом   обособленном
помещении.  Администрация  пошла  на  расходы   для   создания   максимально
комфортных условий работы коллектива.
      Теперь вопрос  подключения  принтера  к  ЛВС.   Для  этого  существует
несколько способов.
      1.Подключение к рабочей станции.
      Принтер подключается к той рабочей станции, которая находиться к  нему
ближе всего, в результате чего данная рабочая  станция  становится  сервером
печати.  Недостаток такого подключения в том, что при выполнении заданий  на
печать  производительность рабочей станции  на  некоторое  время  снижается,
что отрицательно скажется на  работе  прикладных  программ  при  интенсивном
использовании принтера. Кроме того,  если  машина  будет  выключена,  сервер
печати станет недоступным для других узлов.
      2.Прямое подключение к серверу.
      Принтер  подключается  к  параллельному  порту   сервера   с   помощью
специального кабеля. В этом случае он постоянно доступен  для  всех  рабочих
станций.  Недостаток  подобного  решения  обусловлен  ограничением  в  длине
принтерного  кабеля,  обеспечивающего  корректную  передачу   данных.   Хотя
кабель можно протянуть на 10 и более  метров,  его  следует  прокладывать  в
коробах или в перекрытиях, что повысит расходы на организацию сети.
      3. Подключение к сети через специальный сетевой интерфейс.
      Принтер оборудуется сетевым интерфейсом  и  подключается  к  сети  как
рабочая станция. Интерфейсная карта работает как сетевой адаптер, а  принтер
регистрируется на сервере как  узел  ЛВС.  Программное  обеспечение  сервера
осуществляет  передачу  заданий  на  печать  по  сети   непосредственно   на
подключенный сетевой принтер.
      В сетях с шинной топологией сетевой принтер,  как  и  рабочие  станции
соединяется с сетевым кабелем при помощи Т-коннектора, а  при  использовании
«звезды» - через концентратор.
      Интерфейсную карту можно установить в  большинство  принтеров,  но  её
стоимость довольно высока.
      4. Подключение к выделенному серверу печати.
      Альтернативой     третьему     варианту     является     использование
специализированных серверов печати. Такой сервер представляет собой  сетевой
интерфейс, скомпонованный в  отдельном  корпусе,  с  одним  или  несколькими
разъемами (портами) для  подключения  принтеров.   Однако  в  данном  случае
использование сервера печати является непрактичным.
      В нашем случае в  связи  с  нерентабельностью  установки  специального
сетевого принтера, покупкой отдельной интерфейсной карты для принтера  самым
подходящим способом подключения сетевого принтера  является  подключение   к
рабочей станции. На это  решение  повлиял  ещё  и  тот  факт,  что  принтеры
расположены около  тех  рабочих  станций,  потребность  которых  в  принтере
наибольшая. [10]

                 5. Организация сети на основе Windows 2000.


                     5.1. Служба каталогов Windows 2000

       Безусловно, наиболее значимое изменение, по сравнению с  Windows  NT
4, это включение в Windows 2000 важной  новой  службы  –  Active  Directory.
Active Directory – это «родная» служба каталогов для Windows 2000.  В  NT  4
домен был очень похож на удаленный остров, с которым  мы  могли  соединиться
только  используя  механизм  доверительных  отношений.  Active  Directory  –
полнофункциональная служба каталогов.
       Каталог  может   хранить   различную   информацию,   относящуюся   к
пользователям, группам, компьютерам, принтерам, общим ресурсам и  так  далее
– все это называется объектами.
       Каталог хранит также информацию о самом объекте, или его свойства  –
атрибутамы. Например,  атрибутами,  хранимыми  в  каталоге  о  пользователе,
может быть имя его руководителя, номер телефона,  адрес,  имя  для  входа  в
систему, пароль, группы, в которые он входит и многое другое. [4]

         5.1.1. Наименование объектов

      Active Directory  использует  Lightweight  Directory  Access  Protocol
(LDAP)  –  простой  протокол  доступа  к  каталогам,  как  главный  протокол
доступа. LDAP действует поверх  TCP/IP  и  определяет  способы  обращения  и
доступа к объектам между  клиентом  и  сервером  Active  Directory.  В  LDAP
каждый объект имеет свое особенное Distinguished Name  (отличительное  имя),
и это имя  отличает  его  от  других  объектов  Active  Directory,  а  также
подсказывает нам, где данный объект расположен. Два главных составных  части
отличительного имени – это CN  (common  name)  –  общее  имя  и  DC  (domain
component)  –  доменная  составляющая.  Общее  имя  определяет  объект   или
контейнер, в  котором  этот  объект  находится,  в  то  время  как  доменный
компонент  определяет  домен,  в   котором   объект   находится.   Например,
отличительное имя может быть следующим:
      CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru
      В  этом  примере  у  нас  есть  пользователь  Peter  Ivanoff,  который
находится внутри контейнера, называемого  Users,  в  домене  firma,  который
является поддоменом .ru. Отличительное имя объекта  должно  быть  уникальным
внутри леса Active Directory.
      В то  время  как  отличительное  имя  дает  нам  полную  информацию  о
расположении   объекта,   relative   distinguished    name    (относительное
отличительное имя) определяет объект внутри  его  родительского  контейнера.
Например, если я осуществляю поиск внутри  контейнера  Users,  относительное
отличительное имя объекта, который я ищу, может быть Peter Ivanoff.
      Когда пользователь входит в домен, расположенный в Active Directory, у
него может быть два типа имени. Первое из них – традиционное  NetBIOS  -имя.
В  Windows  2000  на  него  ссылаются  как  на  downlevel  logon  name  (имя
регистрации в  ранних  версиях  Windows).  Этот  тип  имени  существует  для
совместимости с ранними  версиями  Windows,  процесс  входа  в  которые  был
основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x  и  так
далее). Когда вы используете downlevel logon name (на вкладке свойств  –«имя
входа  пользователя  пред-Windows  2000»)  для  входа,  пользователь  должен
ввести имя пользователя, пароль и выбрать соответствующий домен,  в  который
он собирается входить. Второе имя – и это  новинка  в  Windows  2000  –  это
возможность входа в систему  с  использованием  того,  что  называется  User
Principal  Name  (основное  имя  пользователя)   или   UPN.   Основное   имя
пользователя имеет следующий формат – user@domain.com  (на  вкладке  свойств
пользователя это называется – User logon  name  (имя  входа  пользователя)).
Если это соглашение действует, то пользователю не нужно определять домен,  в
который  он  хочет  войти.   Фактически,   когда   для   входа   в   Windows
2000используется  UPN,  доменная  часть  окна  имени  для  входа  в  систему
закрашена серым. Пример этих двух типов  имен  показан  на  вкладке  свойств
учетной записи пользователя Active Directory:
|[pic]                                                                    |


                         Рис. 5.1. Active Directory

         5.1.2. Логическая структура Active Directory

      Логическая  структура  Active  Directory   зависит   от   нужд   вашей
организации. Логические элементы Active Directory это леса, деревья,  домены
и OU.

         5.1.2.1. Домены

      Домен в  Windows  2000  очень  напоминает  домен  в  Windows  NT.  Для
различных   намерений   и   целей,   домен   является   логической   группой
пользователей и компьютеров (объектов),  которые  связаны  как  единица  для
администрирования и репликации. Прежде всего домен  –  это  административная
единица.   Следовательно,   администратор    этого    домена    может    его
администрировать и  для  этого  не  нужен  никто  другой.  Кроме  того,  все
контроллеры одного домена должны осуществлять репликацию друг с другом.
      В Windows 2000  домены  именуются  в  соответствии  с  соглашением  об
именовании DNS, а не именовании NetBIOS.  Примером  имени  домена  в  Active
Directory может быть 2000trainers.com. В Windows  NT  имели  ограничения  по
величине, до которой они могли увеличиваться  и  этот  размер  ограничивался
допустимым размером  базы  данных  SAM  (40  Мб  или  около  того).  Поэтому
приходилось создавать множества доменов в компании,  в  которой  действовали
тысячи пользователей и компьютеров. Теперь же множество доменов не  являются
необходимостью  в  подобном  сценарии  под  Windows  2000,  так  как  Active
Directory может вместить в себя многие  миллионы  объектов.  Учетные  записи
пользователей в Windows 2000 существуют так же как и в  Windows  NT.  Active
Directory также  позволяет  иметь  множество  доменов,  формируя  структуры,
которые называются деревьями и лесами. [4]

         5.1.2.2 Дерево

      В Windows 2000, несколько доменов может все же потребоваться, особенно
в больших организациях, которые продолжают требовать надежного контроля  над
их средой, их индивидуальностью  (как  в  случае  различных  организационных
единиц для ведения бизнеса) и особого административного контроля.  В  Active
Directory набор доменов может создаваться в порядке, напоминающем  структуру
дерева.  В  этом   случае   «дочерний»   домен   наследует   свое   имя   от
«родительского» домена:
|[pic]                                                                    |


                              Рис. 5.2. Домены
      Каждый  домен  в  дереве  является   отдельной   и   явно   выраженной
административной единицей, так же как и границей для  целей  репликации.  То
есть,   если   вы   создали   учетную   запись   пользователя    в    домене
filial1.firma.ru,  то  эта  учетная  запись,  существующая  на   контроллере
домена, будет реплицирована на все контроллеры домена filial2.firma.ru.
      Каждый  новый  «дочерний»  домен   имеет   transitive   (транзитивные)
двунаправленные  доверительные  отношения  с  «родительским»  доменом.   Это
достигается автоматически в Active Directory и  позволяет  пользователям  из
одного домена дерева иметь доступ к ресурсам в другом. Даже не  имея  прямых
доверительных отношений, пользователи в  filial1  могут  получать  доступ  к
ресурсам (для чего у них должны быть соответствующие разрешения)  в  filial2
и наоборот, к тому же доверительные отношения транзитивны (filial1  доверяет
своему «родительскому» домену firma ,  который  в  свою  очередь  «доверяет»
filial2 – таким образом filial1 доверяет filial2 и наоборот).
      Дерево, в общих чертах, можно определить как  набор  доменов,  которые
связаны  отношениями  «дочерний»/«родительский»  и  поддерживают   связанное
пространство имен. [4]

         5.1.2.3 Лес

      Лес  –  это  термин,  применяемый  для  описания  совокупности  Active
Directory  деревьев.  Каждое  дерево  в  лесе  имеет  собственное  отдельное
пространство имен. Например, давайте предположим,  что  наша  фирма  владеет
еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров  имело  свое
собственное отдельное пространство имен,  я  могу  достичь  этого  объединив
деревья и сформировать лес, как показано ниже:
|[pic]                                                                    |


                                Рис. 5.3. Лес
      Домен Sidoroff.ru является частью леса, так же как и firma.ru, но  по-
прежнему остается доменом и может иметь собственное  дерево.  Заметьте,  что
здесь существуют  транзитивные  доверительные  отношения  между  «корневыми»
доменами  каждого  дерева  в  лесу  –  это  позволит  пользователям   домена
acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот,  в
то же время поддерживает проверку подлинности в собственном домене.
      Первый домен, созданный в лесу,  рассматривается  как  «корень»  леса.
Одна из самых важных особенностей леса – это то, что каждый отдельный  домен
поддерживает общую схему – определения для различных объектов и связанных  с
ними атрибутов, которые созданы в лесу. Важно осознать, что лес  может  быть
создан из одного дерева,  которое  содержит  всего  один  домен.  Это  будет
маленький лес, но формально это будет лес. [4]

         5.1.2.4 Организационные единицы

      Организационные единицы (обычно называемые OU) – это контейнеры внутри
Active  Directory  которые  создаются  для  объединения  объектов  в   целях
делегирования  административных  прав  и  применения  групповых  политик   в
домене. OU могут быть созданы для организации объектов  несколькими  путями,
в соответствии с их  функциями,  местоположением,  ресурсами  и  так  далее.
Примером объектов, которые могут быть объединены в OU могут служить  учетные
записи пользователей, компьютеров, групп и т.д.  Рисунок   5.1.3  показывает
пример OU, основанной на местоположении пользователей и ресурсов:
|                                                                         |
|[pic]                                                                    |


                     Рис. 5.4. Организационные единицы.
      OU может содержать только  объекты  из  того  домена,  в  котором  они
расположены. Также заметьте, что структура OU может широко варьироваться  от
компании   к   компании.   Она    разрабатывается    с    целью    облегчить
администрирование ресурсов и применения групповых политик. В  то  время  как
полный административный контроль может быть дан  (делегирован)  пользователю
через OU, для больших организаций становиться возможным  иметь  только  один
домен, в котором каждая структура будет имеет  собственный  контроль  только
над своей OU. [1]

         5.1.3. Физическая структура

      Физическая структура Active Directory связана с двумя главными  типами
объектов – сайтами и контроллерами доменов.

         5.1.3.1 Сайты

      В отличии от NT 4, в Windows  2000  Active  Directory  предусматривает
концепцию физического местоположения внутри структуры.  В  Active  Directory
сайт  –  это  совокупность  подсетей  TCP/IP,  между   которыми   существует
высокоскоростное соединение. Хотя  «высокоскоростное»  -  это  относительное
понятие,  обычно  под  этим   подразумевается   соединение   на   скоростях,
соответствующих LAN – соединениям. Вы определяете сайт  в  Active  Directory
для контроля репликации, аутентификации и местоположения служб.  Как  только
сайт будет создан, компьютеры клиентов  будут  пытаться  аутентифицироваться
на контроллере домена, который  находится  на  данном  сайте,  вместо  того,
чтобы посылать запросы по WAN (глобальной сети).
      Сайты также  позволяют  вам  контролировать,  когда  репликация  может
происходить между контроллерами доменов. Например, в NT 4, все BDC  получают
данные  от  PDC  в  процессе  репликации,  используя   5-минутный   интервал
уведомления об изменениях. Так как в NT не было предусмотрено простого  пути
для  контроля  репликации  между  физическими  местоположениями  (это  можно
сделать, используя специальные  скрипты  для  регистра),  трафик  репликации
может перегрузить линии  и  снизить  производительность  сети.  Если  же  вы
определите сайт в Active Directory, вы можете также определить время и  дни,
в которые репликация между сайтами должна происходить, как часто она  должна
происходить,  и  преимущественные  пути  для  ее  прохождения.   Вы   должны
заметить, однако, что по умолчанию существует только один сайт,  и  пока  вы
не создадите другие, репликация будет происходить, как и раньше,  каждый  5-
минутный интервал уведомления  об  изменениях.  Также  важно  отметить,  что
сайты – это  другой  элемент,  который  позволяет  большим  компаниям  иметь
только один домен. Так как не  существует  соотношения  между  логической  и
физической структурой Active Directory, вы можете иметь один домен  и  сотню
сайтов. Возможность контролировать трафик репликации –  одно  из  наибольших
преимуществ управляемости Active Directory.

         5.1.3.2 Контроллеры доменов

      Домена не может существовать без по крайней  мере  одного  контроллера
домена, где храниться база данных Active Directory.  В  отличие  от  Windows
NT, где была только одна копия базы, позволяющая делать  запись  (хранящаяся
на PDC; копии, хранящиеся на BDC  имели  атрибут  «только  для  чтения»),  в
Windows 2000  каждый  контроллер  домена  имеет  копию  базы  данных  Active
Directory, в которую  можно  производить  запись.  Поэтому  все  контроллеры
домена  в  среде  Active  Directory  достаточно  равноправны.  Однако,   это
усложняет картину, так как теперь  каждый  контроллер  домена  может  делать
записи в базу данных. Как и в NT 4, должно быть как минимум два  контроллера
в домене для целей  избыточности,  а,  как  правило,  и  гораздо  больше,  в
зависимости от размера организации. [4]
      Создаете контроллер домена в Windows  2000,  при  помощи  Installation
Wizard (мастер установки Active Directory) –  dcpromo.exe.  Этот  инструмент
не только позволяет создавать новые  контроллеры  домена,  и  новые  домены,
деревья и леса. Он позволяет также понижать контроллер  домена  до  рядового
сервера, если возникнет такая необходимость.
|[pic]                                                                    |


                        Рис. 5.5. Installation Wizard
      После того, как контроллер домена создан, он хранит копию базы  данных
Active Directory (ntds.dit) и может проводить  аутентификацию  пользователей
домена. База данных Active Directory состоит из того, что  принято  называть
тремя разделами, как показано на рисунке 5.1.5.
|[pic]                                                                    |


                   Рис. 5.6. База данных Active Directory.
      Раздел «домен» реплицируется между контроллерами только внутри  одного
домена, в то время как разделы  «конфигурация»  и  «схема»  реплицируются  в
каждый из доменов, расположенных в лесу. Некоторые  из  контроллеров  домена
отличаются от других специальными ролями, которые они выполняют:
      Global  Catalog  Server  (сервер  Глобального   Каталога)   –   сервер
Глобального Каталога  –  это  контроллер  домена,  который  знает  о  каждом
единичном объекте, который  существует  в  Active  Directory,  в  каждом  из
доменов. Однако,  он  сохраняет  только  часть  атрибутов  каждого  объекта,
которые считаются наиболее важными.  По  умолчанию  только  один  контроллер
домена  во  всем  лесу  выполняет  эту  роль  –  первый  контроллер  домена,
созданный в лесу. Большее  число  серверов  Глобального  Каталога  может  (и
должно) быть создано в лесу. Когда контроллер домена  действует  как  сервер
Глобального Каталога он хранит  четвертый  раздел,  как  часть  базы  данных
Active Directory – раздел Глобального Каталога.
      Помимо роли сервера Глобального  Каталога,  контроллеры  домена  могут
выполнять  еще  пять  специальных  ролей,  называемых   Operations   Masters
(основные контроллеры операций). Они перечислены ниже:
      Schema Master (хозяин схемы) – в лесу только  один  контроллер  домена
может выполнять эту роль. Schema Master поддерживает схему Active  Directory
и поддерживает копию  схемы,  доступную  для  записи.  По  умолчанию  первый
контроллер домена, созданный в корневом домене леса, выполняет эту роль.
      Domain Naming Master (Хозяин именования  доменов)  –  этот  контроллер
домена  отслеживает  домены,  которые  создаются  и   удаляются   из   леса,
поддерживая целостность структуры  леса,  если  какие-либо  изменения  имеют
место. В лесу существует только один Domain Naming Master и,  по  умолчанию,
эту роль выполняет первый контроллер, созданный в корневом домене леса.
      PDC Emulator (хозяин PDC) – эта роль существует по паре  причин,  одна
из которых – обратная  совместимость  с  NT  4  контроллерами.  Когда  домен
повышается  до  Windows   2000,   первая   система,   которая   подвергается
модернизации – это PDC (главный контроллер домена), и этот новый  контроллер
домена Windows 2000 эмулирует (имитирует)  старый  PDC  для  оставшихся  BDC
(резервных контроллеров домена), работающих под  Windows  NT.  PDC  Emulator
отслеживает изменения паролей и выступает «арбитром» перед тем,  как  пароль
может быть отвергнут системой. По умолчанию клиенты предыдущих  Windows  OS,
таких как Windows 9x и NT продолжают изменять свои пароли  на  PDC  Emulator
(до тех пор, пока на систему не будет установлен клиент  Active  Directory).
Один контроллер в каждом домене выполняет роль PDC Emulator,  по  умолчанию,
это первый контроллер созданный в домене.
      Relative Identifier (RID) Master (Хозяин RID (relative identificator))
– в NT 4, PDC отвечает за создание всех  SID  (security  identificator),  то
есть  отвечает  за  создание  всех  объектов  безопасности  («пользователь»,
«группа», «компьютер»).  В  Windows  2000  каждый  контроллер  домена  может
создавать объекты безопасности. На самом деле SID состоит из двух  частей  -
SID (который определяет домен) и RID (который определяет  уникальный  объект
внутри домена).Для того,  чтобы  быть  уверенным,  что  SID  уникален,  один
контроллер в  каждом  домене  выполняет  роль  RID  Master,  отвечающего  за
создание доменного пула RID, и размещения этих RID на других контроллерах  в
домене.  Это  позволяет  быть  уверенным,  что  не  произойдет  дублирования
объектов SID. В каждом домене Active Directory действует  один  RID  Master,
по умолчанию, это первый контроллер, созданный в домене.
      Infrastructure Master (Хозяин инфраструктуры) - Infrastructure  Master
отслеживает  информацию  о  том,  какие  пользователи  (из  других  доменов)
являются членами той  или  иной  группы  данного  домена  и  все  изменения,
которые имеют место.  Это  позволяет  быть  уверенным  в  непротиворечивости
участия пользователей в группах в Active Directory. Каждый  домен  в  Active
Directory имеет одного  Infrastructure  Master,  по  умолчанию,  это  первый
контроллер, созданный в домене. [1]

         5.2. Служба DHCP.

      Dynamic   Host   Configuration   Protocol    (протокол    динамической
конфигурации хоста) является базовой сетевой службой,  предлагаемой  Windows
2000  для  динамического  распределения  IP-адресов  и  связанной   с   ними
информации клиентам, использующим TCP/IP. Хотя функции, выполняемые  DHCP  в
Windows 2000 во многом похожи на  те,  что  были  в  Windows  NT,  некоторое
количество несущественных отличий.
      DHCP —  развитие  протокола  ВООТР  (RFC  951  и  1084),  позволявшего
динамически  назначать  IP-адреса  (в  дополнение   к   удаленной   загрузке
бездисковых станций). При этом DHCP предоставляет все данные  для  настройки
стека  протоколов  TCP/IP  и  дополнительные  данные  для   функционирования
определенных серверов (Приложение 2).
      Область  DHCP.  Область  (scope)  DHCP  —   административная   группа,
идентифицирующая полные последовательные диапазоны возможных IP-адресов  для
всех клиентов DHCP  в  физической  подсети.  Области  определяют  логическую
подсеть,  для  которой  должны  предоставляться  услуги  DHCP,  и  позволяют
серверу задавать параметры конфигурации, выдаваемые  всем  клиентам  DHCP  в
подсети. Область должна быть определена  прежде,  чем  клиенты  DHCP  смогут
использовать сервер DHCP для динамической конфигурации TCP/IP.
      Пул  адресов.  Если  определена  область  DHCP  и   заданы   диапазоны
исключения, то оставшаяся часть адресов называется пулом  доступных  адресов
(address pool) (в пределах  области).  Эти  адреса  могут  быть  динамически
назначены клиентам DHCP в сети.
      Диапазоны  исключения.  Диапазон  исключения   (exclusion   range)   —
ограниченная  последовательность  IP-адресов  в  пределах  области,  которые
должны быть исключены из предоставления службой DHCP.
      Резервирование.  Резервирование  (reservation)   позволяет   назначить
клиенту  постоянный  адрес  и  гарантировать,  что  указанное  устройство  в
подсети может всегда использовать один и тот же IP-адрес.
      Суперобласти. Это понятие, используемое  в  Диспетчере  DHCP,  которое
задает множество  областей,  сгруппированных  в  отдельный  административный
объект  —  суперобласть  (superscope).  Суперобласти  полезны  для   решения
различных задач службы DHCP.
      Арендные  договоры.  Арендный  договор  (lease)  —  отрезок   времени,
определяющий  период,  во  время   которого   клиентский   компьютер   может
использовать  назначенный  IP-адрес.  При  выдаче  арендного   договора   он
становится активным. В момент половины  срока  действия  арендного  договора
клиент  должен  возобновить  назначение  адреса,   обратившись   к   серверу
повторно. Продолжительность арендного договора влияет на частоту  обновления
арендных договоров (интенсивность обращений к серверу).
      Опции DHCP —  дополнительные  параметры  настройки  клиентов,  которые
сервер DHCP может назначать при  обслуживании  арендных  договоров  клиентов
DHCP. Например, IP-адреса маршрутизатора или шлюза  по  умолчанию,  серверов
WINS  или  серверов  DNS  обычно  предоставляются  для  каждой  области  или
глобально для всех областей, управляемых сервером  DHCP.  Кроме  стандартных
опций,   сервер   DHCP   Microsoft   позволяет   определять   и    добавлять
пользовательские опции. [4]
       Служба DHCP в Windows 2000 состоит из трех основных компонентов.
       Серверы DHCP. В состав сервера DHCP входит оснастка DHCP — удобный  в
работе графический инструмент, который позволяет администратору  настраивать
конфигурации для клиентов DHCP. Сервер DHCP также содержит базу  данных  для
назначения  IP-адресов  и   других   параметров   настройки.   Сервер   DHCP
поддерживает более 30 опций DHCP согласно RFC 2132.  Параметры  конфигурации
TCP/IP, которые могут быть назначены сервером DHCP, включают:  IP-адрес  для
каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы  по
умолчанию,  дополнительные  параметры   конфигурации,   например,   IP-адрес
сервера DNS или WINS. Один или более компьютеров в сети должны работать  под
управлением  Windows  2000  Server  с  протоколом  TCP/IP  и   установленным
сервером DHCP. Если служба сервера DHCP установлена на компьютере, то  сразу
после задания и активизации областей  автоматически  создается  база  данных
DHCP.
       Клиенты DHCP. Клиентами сервера DHCP из состава  Windows  2000  могут
быть компьютеры, работающие на любой платформе. Компьютеры  под  управлением
ОС производства Microsoft могут действовать как  клиенты  DHCP:  Windows  NT
Server/Workstation (все версии), Windows 98/95, Windows for Workgroups  3.11
(с установленным 32-разрядным протоколом TCP/IP), Microsoft  Network  Client
3.0 for MS-DOS (с установленным драйвером  реального  режима),  LAN  Manager
версии 2.2с.
       Работа протоколов ВООТР и DHCP основана на механизмах  широковещания.
Маршрутизаторы  обычно  по  умолчанию  не  ретранслируют   широковещательные
посылки, поэтому передача таких посылок  выполняется  агентом  ретрансляции.
Агент ретрансляции DHCP — это  маршрутизатор,  либо  хост,  который  слушает
широковещательные сообщения DHCP/BOOTP и  переадресовывает  их  на  заданный
сервер (серверы)  DHCP.  Использование  агентов  ретрансляции  избавляет  от
необходимости устанавливать сервер DHCP в каждом физическом  сегменте  сети.
Агент  не  только  обслуживает  прямые  локальные  запросы  клиента  DHCP  и
перенаправляет их на удаленные серверы  DHCP,  но  также  возвращает  ответы
удаленных серверов DHCP клиентам DHCP.
       Администратор  может  отменить  параметры   динамической   настройки,
настроив  их  вручную.  Любая  информация,  вручную  введенная  на  клиенте,
отменяет параметры динамической настройки.

         5.2.1. Настройка службы DHCP.

      Служба сервера DHCP устанавливается автоматически  на  сервер  Windows
2000, но не является сконфигурированной (и даже может  быть  отключена)  без
дополнительной настройки. Она  может  быть  удалена  и  добавлена  в  случае
необходимости,  посредством   использования   вкладки   Add/Remove   Windows
Components  программы  Add/Remove  Programs  в  Control  Panel  (в   разделе
Networking Services). После установки, сервер DHCP настраивается при  помощи
оснастки DHCP ММС, которая находится в  Administrative  Tools.  Если  сервер
Windows 2000 является частью  рабочей  группы  или  домена,  основанного  на
Windows 2000, то сервер DHCP  будет  запущен  по  умолчанию,  но  необходимо
будет вручную настроить области используемых  IP-адресов  для  распределения
их службой DHCP. Если DHCP установлена на систему, являющуюся частью  домена
Windows 2000, то служба DHCP не  сможет  быть  запущена  до  тех  пор,  пока
сервер DHCP не будет авторизован в  Active  Directory.  Авторизация  сервера
DHCP в  Active  Directory  может  быть  осуществлена  только  членом  группы
Enterprise Admins. Эта особенность используется  как  контрольный  механизм,
позволяющий избежать  такой  проблемы,  как  установка  незарегистрированных
серверов DHCP (пользователями  с  административными  привилегиями),  могущих
создать проблемы с настройкой TCP/IP сетей  (так  как  клиент  получает  IP-
адрес от первого же сервера DHCP, который отвечает на его запрос).
      В  Active  Directory  домене  (Windows  2000),  только  авторизованные
Windows 2000  сервера  DHCP  могут  выполнять  распределение  IP-адресов.  В
Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не  попадет
под  действие  авторизации.  Однако  если  другой  администратор  попытается
установить Windows 2000 сервер DHCP и запустить службу  без  предварительной
авторизации, то сервер осуществит запрос AD и не запустит  службу,  если  не
найдет подтверждения ее авторизации в  сети.  Неавторизованный  сервер  DHCP
появляется в консоли DHCP  с  указывающей  вниз  красной  стрелкой  (которая
может обозначать также, что  служба  не  запущена  или  область  адресов  не
настроена), как показано на рисунке 5.7.
|[pic]                                                                    |


                           Рис. 5.7. Консоль DHCP.

      Для авторизации DHCP сервер, нужно щелкнуть  правой  кнопкой  мыши  на
значке сервера и выбрать  опцию  Authorize  (авторизовать)  из  появившегося
меню. Для управления авторизованным DHCP сервером  (включая  добавление  или
удаление авторизованных серверов), щелкните правой кнопкой  мыши  на  иконке
DHCP  и  выберите  Manage  Authorized  Servers  (управление  авторизованными
серверами), как показано на рисунке 5.8:

|[pic]                                                                    |


             Рис. 5.8 Рис. Управление авторизованными серверами
      Заметьте, что сервер DHCP не будет выполнять никаких функций,  до  тех
пор, пока вы не сконфигурируете область адресов –  набор  настроек,  которые
будут распределяться группе клиентов.  Как  и  большинство  других  вещей  в
Windows  2000,  процесс  создания  области  осуществляется   с   применением
соответствующего мастера. Для  создания  области  адресов,  щелкните  правой
кнопкой мыши на значке сервера  DHCP  и  выберите  опцию  New  Score  (новая
область). Мастер проведет вас  через  длинный  процесс,  включающий  в  себя
настройку допустимого диапазона IP-адресов, маски  подсети  и  таких  опций,
как адрес шлюза по умолчанию (маршрутизатора), используемых серверов  DNS  и
так далее. После того, как область будет  настроена,  она  будет  продолжать
нуждаться   в   активизации   (правый   щелчок   мыши   и   выбор   Activate
(активизировать)). Каждая область включает в себя: набор  адресов,  активные
выделенные адреса,  резервирование  и  свойства  области,  как  показано  на
рисунке 5.9 (свойства области выделены):
|[pic]                                                                    |


      Рис. 5.9. Консоль DHCP.
      После того, как сервер авторизован и  область  настроена,  стрелка  на
иконке сервера меняется на зеленую и теперь указывает вверх.
      Области в Windows 2000 Advanced Server:
      -  Области  могут   быть   собраны   или   объединены   для   создания
суперобластей. Они позволяют распределять диапазоны IP-адресов,  которые  не
примыкают друг к другу, но расположены на одной подсети.
      - Для изменения маски подсети, связанной с областью, необходимо  будет
удалить область и создать ее заново.
      - Время  аренды  адреса  по  умолчанию  для  области  –  8  дней,  что
отличается от значения в  Windows  NT,  где  оно  составляло  72  часа.  Это
значение может быть изменено в зависимости от потребностей сети.
      - Каждый диапазон IP-адресов может быть представлен только в одной  из
областей. Если серверы DHCP не будут скоординированы  и  два  сервера  будут
иметь одинаковые диапазоны адресов в своих областях, тогда  один  и  тот  же
адрес может быть назначен разным клиентам в  одной  сети.  Также  надо  быть
уверенным, что исключены все статически назначенные IP-адреса из областей.
      - Для создания отказоустойчивых областей необходимо настроить  2  (или
более) сервера DHCP и разделить диапазоны адресов из  каждой  области  между
ними. При такой конфигурации, если один из серверов выйдет из строя,  другой
будет продолжать распределять допустимые адреса между клиентами.
      - Настройки DHCP могут быть осуществлены на 4  различных  уровнях:  на
уровне Server (сервера) (установки влияют на все области),  Score  (область)
(установки  влияют  только  на  область),  Client  (клиент)  (установки  для
зарезервированного клиента) Class (класс) (для компьютеров,  которые  входят
в различные, заранее определенные, классы).
       Протокол упрощает  работу  сетевого  администратора,  который  должен
вручную конфигурировать только  один  сервер  DHCP.  Когда  новый  компьютер
подключается к сети, обслуживаемой сервером DHCP, on запрашивает  уникальный
IP-адрес, а сервер DHCP  назначает  его  из  пула  доступных  адресов,  Этот
процесс состоит из четырех шагов:
       1. Клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение),
       2. DHCP-сервер предлагает адрес (DHCP Offer, предложение),
       3. Клиент принимает предложение и запрашивает  адрес  (DHCP  Request,
запрос) и  адрес  официально  назначается  сервером  (DHCP  Acknowledgement,
подтверждение).
       Чтобы  адрес  не  "простаивал",  сервер  DHCP  предоставляет  его  на
определенный  администратором  срок,  это  называется   арендным   договором
(lease).  По  истечении  половины  срока  арендного  договора  клиент   DHCP
запрашивает его возобновление, и сервер DHCP  продлевает  арендный  договор.
Это означает, что когда машина прекращает использовать назначенный  IP-адрес
(например, в результате перемещения  в  другой  сетевой  сегмент),  арендный
договор истекает, и адрес возвращается в пул для повторного использования.
       Протокол DHCP в Microsoft Windows 2000  Server  был  дополнен  новыми
функциями, что упростило развертывание, интеграцию и настройку сети.
       Интеграция с  DNS.  Серверы  DNS  обеспечивают  разрешение  имен  для
сетевых ресурсов и тесно связаны со службой DHCP.  В  Windows  2000  серверы
DHCP и клиенты DHCP могут регистрироваться в DNS.
       Улучшенное управление и мониторинг.  Новая  возможность  обеспечивает
уведомление   об   уровне   использования   пула   IP-адресов.    Оповещение
производится при помощи соответствующего значка  либо  при  помощи  передачи
сообщения.
       Распределение групповых  адресов.  Добавлена  возможность  назначения
групповых адресов. Типичные приложения для групповой  работы  —  конференции
или радиотрансляция требуют специальной настройки групповых адресов.
       Защита от появления неправомочных серверов DHCP.  Наличие  нескольких
серверов DHCP в одном  сегменте  сети  может  привести  к  конфликту.  Новые
механизмы позволяют  обнаружить  конфликт  такого  рода  и  деактивизировать
работу сервера, обеспечив правильную работу DHCP.
       Защита    от    подмены    серверов.    Регистрация    уполномоченных
(авторизированных) серверов DHCP выполняется при  помощи  Active  Directory.
Если сервер не обнаружен в  каталоге,  то  он  не  будет  функционировать  и
отвечать на запросы пользователей.

         5.2.2. Кластеризация

       Кластерные службы, работающие  на  Windows  2000  Advanced  Server  и
Datacenter  поддерживают  DHCP-сервер  в  качестве  ресурса  кластера,   что
позволяет повысить доступность DHCP-сервера.
       Автоматическая  настройка  клиентов.  Клиенты  с   поддержкой   DHCP.
начинающие  работу  в  сети,  могут   конфигурироваться   самостоятельно   с
использованием временной конфигурации  IP  (если  сервер  DHCP  недоступен).
Клиенты  продолжают  попытки  связаться  с  сервером  DHCP   для   получения
арендного договора в фоновом режиме каждые 5 мин. Автоматическое  назначение
всегда  прозрачно  для  пользователей.  Адреса  для  такого  рода   клиентов
выбираются из диапазона частных сетевых адресов TCP/IP и не  используются  в
Интернете.
       Новые специализированные опции и поддержка пользовательских  классов.
Сервер  DHCP  в  Windows  2000  может  назначать  специализированные  опции,
сокращая время на  получение  одобрения  новой  стандартной  опции  в  IETF.
Механизм  пользовательских  классов  позволяет  применять  DHCP  в  заказных
приложениях  для  сетей  масштаба  предприятия.   Оборудование   большинства
поставщиков  сетевого  аппаратного  обеспечения  также  может   использовать
различные номера опций для различных функций. [3]

                               5.3. Служба DNS

      Domain Name System (система доменных имен) – это стандарт службы  имен
для Интернета, который используется  Windows  2000  для  помощи  клиентам  в
разрешении имен узлов в их IP-адреса и для поиска служб в сети.
      DNS – это распределенная система серверов имен. В этой системе  группы
серверов  имен  отвечают  за  записи,  относящиеся  к  узлам,  в  доменах  и
поддоменах. Эти группы называются  зонами.  Зона  является  полномочной  или
ответственной для записей, относящихся к данному домену или группе  доменов.
Например, Microsoft может иметь несколько серверов, полномочных  для  домена
microsoft.com и все связанные поддомены должны  быть  частью  этого  домена.
Как следствие, если эти сервера не могут предоставить вам  ответ  на  запрос
IP-адреса для  имени  bluscreen.microsoft.com,  то  это  означает,  что  его
просто не существует.
      Серверы имен хранят то, что принято называть записями ресурсов. Записи
ресурсов сопоставляют имя узла его IP-адресу или отдельной  службы  и  имени
узла. Например, сервер DNS может содержать  запись  (называемую  А  записью)
для  сервера,   называемого   Cerver2,   которому   соответствует   IP-адрес
147.2.3.45. Если клиент другого сервера DNS запросит связанный IP-адрес,  он
может быть найден и возвращен (послан) клиенту. Подобным образом,  некоторый
почтовый  сервер  может  запросить  сервер  DNS   найти   почтовый   сервер,
действующий в домене mailfirma.ru. В данном случае DNS сервер  запрашивается
на  наличие  записи  о  системе   обмена   почтой   (запись   МХ),   которая
предоставляет FGDN (полностью определенное имя  домена)  почтового  сервера,
которое, в свою очередь, может быть разрешено в IP-адрес.
      Cуществует  еще  один  тип  серверов   имен,   которые   не   являются
полномочными  для  какой-либо  зоны.  Эти  сервера  называются  caching-only
(только кэширующими) – они просто  перенаправляют  запросы  клиентов  другим
серверам имен и кэшируют их ответы.
      DNS реализована как служба на сервере Windows 2000, а раз так, то  она
может быть запущена и остановлена, как любая другая служба. Она также  может
быть добавлена или удалена при помощи программы Add/Remove, вкладка  Windows
Components. DNS  не  устанавливается  автоматически  при  установке  Windows
2000, поэтому необходимо  устанавливать  ее  вручную.  Число  серверов  DNS,
присутствующих в сети зависит от ряда факторов,  таких,  как  потребность  в
отказоустойчивости,  быстродействие  и  т.д.  DNS  требуется  для  установки
Active Directory, поскольку домены Active Directory  следуют  соглашению  об
именовании  DNS.  Заметьте,  что  предыдущий  пример   рассказывал   о   DNS
разрешении через Internet. Подобным образом DNS может быть использована  для
разрешения внутренних узлов или для  комбинированных  ситуаций,  имейте  это
ввиду.
      В традиционных конфигурациях DNS имеется как минимум  2  DNS  сервера,
которые являются полномочными в зоне. Зона –  это  административная  единица
DNS, представленная набором серверов DNS, которые ответственны за  поддержку
информации, относящейся к  одному  или  более  домену  или  поддомену.  Один
сервер выступает  как  основной  сервер  имен  и  это  единственный  сервер,
который  поддерживает  перезаписываемую  копию  файла  зоны.   Периодически,
основной сервер имен реплицирует файл зоны на другой сервер  (или  сервера),
назначенные  вторичными  серверами  имен.   Этот   сервер   (сервера)   тоже
поддерживает  файл  зоны,  но  копию,  предназначенную  только  для  чтения.
Процесс репликации часто называют передачей зон. Главная причина  для  того,
чтобы иметь 2 или более сервера DNS – это уверенность, что если один из  них
выйдет  из  строя,  другой  может  быть  доступен  для  обработки  запросов,
относящихся к домену, содержащемуся в файле зоны.
      Такой тип конфигурации продолжает поддерживаться и в Windows 2000 и на
него ссылаются как на «стандартную» конфигурацию DNS.  Однако  Windows  2000
также поддерживает и другой вид конфигурации, являющийся новинкой в  Windows
2000.  Эта  конфигурация   называется   «DNS,   интегрированная   в   Active
Directory». В данной конфигурации информация о зоне DNS храниться  в  Active
Directory, а не в отдельном наборе  файлов.  Как  следствие,  DNS-информация
реплицируется автоматически, как часть общей репликации Active Directory,  и
не требует создания дополнительной топологии репликации.  Это  не  означает,
однако, что каждый  контроллер  домена  автоматически  становиться  сервером
DNS. Это означает только, что каждый контроллер домена может стать  сервером
DNS, если служба DNS будет установлена на компьютер. DNS, интегрированная  в
Active Directory, также располагает рядом достоинств,  таких  как,  например
то, что каждый из серверов DNS может вносить изменения в зону  и,  в  случае
отказа  одного  из  серверов,  обновления  зоны  DNS  не   прекращаются.   В
стандартной конфигурации DNS обновления невозможны, если  прекращает  работу
основной сервер имен.
      Другое большое преимущество  Windows  2000  DNS  –  это  то,  что  она
динамическая.  Это  означает,  что  узел  может  регистрировать  и  отменять
регистрацию записей в DNS самостоятельно, включая запись соответствия  имени
и  IP-адреса  (А),  а  также  записи  служб  (это   мы   обсудим   позднее).
Преимущество динамической DNS очевидны, так  как  в  предыдущих  реализациях
DNS все записи требовалось создавать вручную, что отнимало много  времени  и
порождало множество ошибок. Многие сравнивают динамическое обновление DNS  с
функционированием WINS. Так как эти идеи действительно схожи,  помните,  что
цель WINS –  разрешение  имен  NetBIOS  в  IP-адрес,  в  то  время  как  DNS
сопоставляет имена узлов их IP-адресам.
      DNS используется Windows 2000 не только для разрешения имен узлов в их
IP-адреса. Эта служба также помогает системе находить службы в  сети,  такие
как службу аутентификации контроллера домена.  Когда  пользователь  пытается
войти в домен, его Windows 2000-система запрашивает  DNS  о  наличии  одного
или более  контроллеров  домена  на  данном  физическом  сайте.  Контроллеры
домена автоматически регистрируются  в  DNS  и  также  регистрируют  записи,
относящиеся к некоторым, работающим на них, службам.  Точно  также,  клиенты
Windows 2000 могут регистрировать себя  в  DNS  самостоятельно,  а  могут  и
через сервер DHCP, который дает клиенту  его  IP-адрес.  Оба  эти  механизма
требуют пристального рассмотрения и мы вернемся к ним в нашей серии.
      Хотя этот раздел  только  введение  в  DNS,  хочу  привести  несколько
дополнительных важных заметок о DNS:
      - Windows 2000 DNS поддерживает IXFR или инкрементальный  (добавочный)
трансфер зоны. При этой настройке, если происходят изменения в  файле  зоны,
только эти изменения реплицируются на другие сервера DNS. Если  вы  помните,
в Windows NT DNS поддерживало  только  АXFR  –  полный  трансфер  зоны,  при
котором изменения в зоне вызывали необходимость репликации всего файла  зоны
на все дополнительные сервера имен.
      - Если используется DNS, интегрированный в Active Directory, то  можно
активизировать  функцию,  называемую  Secure  Dynamic  Updates   (безопасные
динамические обновления). При этом сервер  DNS  будет  позволять  обновления
или регистрацию записей только с систем, которые имеют  правомочные  учетные
записи в Active Directory. Если эта настройка не  активизирована,  то  любая
система может делать изменения в DNS, что представляет, конечно  же,  угрозу
безопасности сети.

         5.3.1. Планирование внедрения DNS для Active Directory

      Прежде чем устанавливать Active Directory в среду Windows 2000,  важно
разработать реализацию DNS, которая бы  соответствовала  как  вашей  системе
разрешения имен, так и требованиям Active Directory.  DNS  необходим  Active
Directory как для разрешения имен, так и для определения пространства  имен,
так  как  доменные  имена  в  Windows  2000  базируются  на  соглашении   об
именовании DNS. Как следствие,  любой  сервер,  на  который  устанавливается
Active Directory, должен иметь в своих настройках протокола TCP/IP  указание
на сервер DNS, который необходимо  установить  и  настроить  предварительно.
Если не сделаеть это заранее, то инсталляция Active Directory  автоматически
создаст структуру DNS, которая, возможно,  не  будет  соответствовать  вашим
пожеланиям.
      Первая концепция - это использование DNS  для  разрешения  имен  узлов
(нахождение соответствующего узлу  IP-адреса)  или  разрешения  FQDN  (Fully
Qualified Domain Name – полностью определенное имя домена) в  его  IP-адрес.
Чтобы напомнить вам, FQDN представляет  имя  узла  в  виде  доменного  имени
системы. Например:
      www.firma.ru
      В этом примере имя узла – левая часть полного  имени,  а  именно  www.
Имена узла также могут разрешаться при помощи файла HOSTS, который  является
статическим     текстовым     файлом      и      находится      в      папке
%systemroot%\system32\drivers\etc на локальном компьютере. Не  стоит  путать
DNS c WINS, которая ставит в соответствие Netbios имени соответствующий  IP-
адрес (также имеется текстовый эквивалент данной службы, файл LMHOSTS).
      Служба DNS хранит большое  число  записей  ресурсов  различного  типа,
кроме простой записи хоста, т.н.  «А»  записи.  Наиболее  используемые  типы
записей, которые можно встретить в файле зоны, рассмотрены ниже:
      SOA – представляет из себя запись ресурса  начальной  записи  зоны,  и
предоставляет информацию о  зоне,  включая  сведения  о  том,  какой  сервер
является основным, кто отвечает за административный контакт, как часто  файл
базы данных проверяется на наличие изменений, серийный  номер  базы  данных,
значение времени жизни, и т.д.
      A – представляет уникальный адрес узла в сети, сопоставляя его имя IP-
адресу.
      NS – обозначает доменное имя и связанное  с  ним  FQDN  сервера  имен,
который является полномочным для домена.
      MX – обозначает, что данный узел является почтовой  службой  (сервером
почты или сервером пересылки) для определенного домена.
      PTR – предоставляет возможность для обратного просмотра  (сопоставляет
IP-адресу узла его FQDN). Это позволяет находить имя узла, связанное  с  IP-
адресом. Записи PTR находятся в файле reverse lookup  zone  (зоны  обратного
просмотра).
      SRV – сопоставляет отдельные службы  одному  или  нескольким  узлам  и
наоборот. Например, записи могут обозначать сервер  как  сервер  Глобального
Каталога, контроллер домена и т.д.
      Вторая главная концепция – эта концепция  Зоны.  Зона  –  это  область
пространства имен DNS, которая функционирует как  административная  единица.
То  есть  группа  серверов  ответственна  (имеет  полномочие)   за   записи,
относящиеся к некоторому домену или поддомену. Главной  причиной  для  того,
чтобы   иметь   несколько   зон,   является   разделение    административной
ответственности, так же как и задача пересылки зон.
      Существует 5 основных типов серверов  DNS.  Это  основные,  вторичные,
интегрированные в Active Directory, серверы пересылки и кэширующие  сервера.

      Основной сервер DNS – основным сервером DNS является  сервер,  который
полномочен для зоны. По существу это означает, что в зоне есть  только  один
сервер, на котором можно производить изменения в базе данных зоны.
      Вторичный сервер DNS – вторичный сервер DNS содержит копии «только для
чтения»  информации,  хранящейся  на  основном  сервере  DNS,   и   получают
обновления в ходе передачи зоны. Один вторичный сервер  является  минимально
необходимым, но и другие могут создаваться с целью выравнивания  нагрузки  и
обеспечению отказоустойчивости.
      Интегрированный в Active Directory сервер DNS –  возможен  только  для
серверов DNS на базе OS Windows 2000, в  данной  реализации  DNS  файл  зоны
хранится как объект в  Active  Directory,  а  не  как  несколько  файлов  на
жестком диске. В  данном  сценарии  каждый  контроллер  домена,  на  котором
установлена DNS по существу действует как  основной  сервер  DNS,  допускает
изменения в зоне и осуществляет синхронизацию файла  зоны  через  репликацию
Каталога. Как следствие, если какой-либо сервер DNS выйдет из  строя,  любой
другой  сервер,  интегрированный  в  Active   Directory   может   продолжать
осуществлять изменения.
      Кэширующий только – кэширующий сервер DNS не является полномочным  для
зоны. Как следствие, он только  получает  клиентские  запросы,  осуществляет
запросы  других  серверов  DNS,  кэширует  результаты  и   посылает   ответы
клиентам. По умолчанию кэширующий сервер DNS пересылает все запросы,  ответы
на которые не найдены в его кэше, корневому серверу DNS.
      Сервер пересылки DNS – серверы DNS могут быть настроены так, что будут
пересылать запросы, которые не могут разрешить к  какому-либо  определенному
серверу. Такие серверы  называются  forwarder  (сервер  пересылки).  Серверы
пересылки могут впоследствии обрабатывать запросы,  вместо  других  серверов
DNS. Это позволяет уменьшить время обработки некоторых  запросов  по  поиску
узлов (в Интернете, например), т.к. сервер пересылки обрабатывает запросы  и
кэширует результат, который  потом  возвращается  к  компьютеру,  сделавшему
запрос. Это может улучшить и скорость и производительность.

         5.3.2. Новые свойства DNS в Windows 2000

      В реализации DNS в Windows 2000 есть ряд изменений по сравнению  с  NT
4. Наиболее важные из них это – поддержка записей служб,  динамическая  DNS,
безопасное   динамическое   обновление,   добавочная   передача    зоны    и
интегрирование с Active Directory.
      Записи для служб – в реализации  DNS  в  Windows  2000  поддерживаются
записи  для  такого  важного  типа  ресурсов,  как   записи   служб   (часто
упоминаемые как SRV записи). Записи  служб  позволяют  клиентам  запрашивать
DNS-поиск для систем, на которых запущены  определенные  службы,  такие  как
Глобальный Каталог (который обозначается как GC-запись).
      Динамическая DNS – в традиционных  реализациях  DNS  все  записи  было
необходимо создавать и изменять вручную на DNS сервере, что  могло  отнимать
огромное количество времени. Реализация DNS в Windows 2000 поддерживает  RFC
2136 и обычно называется Dynamic DNS или DDNS. В данной  реализации  клиенты
имеют возможность  автоматически  обновлять  свои  записи,  которые  главным
образом используются в среде, где клиенты подключаются к  серверу  DHCP  для
получения IP-адресов. Windows 2000 является единственной OS фирмы  Microsoft
(теперь еще и Windows XP),  которая  поддерживает  динамическое  обновление.
Однако можно настроить сервер  DHCP  в  Windows  2000  так,  что  он  сможет
обновлять DNS на стороне клиентов, что позволяет  клиентам,  работающим  под
другими  (не-Windows  2000)  OS,  обновлять  информацию  о   себе   в   DNS.
Динамическая DNS также очень удобна для контроллеров домена,  которые  также
могут  автоматически  регистрировать  записи  своих  сервисов,  в  противном
случае, все это было бы необходимо делать вручную.
      Безопасное  динамическое  обновление  –   если   DNS   зона   является
интегрированной  в  Active  Directory,  то  Windows   2000   позволяет   вам
использовать нечто,  что  называется  безопасным  динамическим  обновлением.
Заметьте,  что  простые  динамические  обновления  могут  быть  потенциально
опасными, потому что любой клиент может быть зарегистрирован в DNS, так  как
динамическая DNS только отвечает на запросы, но не аутентифицирует их.  Если
установлено безопасное  динамическое  обновление,  только  пользователь  или
система, которые имеют соответствующие разрешения на связанных  ACL  (access
control list – списках контроля доступа) для зоны, могут добавлять записи  в
DNS.   По   умолчанию   Группа   Аутентифицированных   Пользователей   имеет
необходимые разрешения. Клиентские  системы  сначала  предпринимают  попытку
использовать обычный  запрос  по  умолчанию  и,  если  он  будет  отвергнут,
безопасное обновление.
      Добавочная передача зоны – реализация NT  4  DNS  поддерживает  только
AXFR, или полную передачу зоны. При  этой  конфигурации  каждый  раз,  когда
основной сервер имен осуществлял  передачу  зоны  вторичному  серверу,  файл
базы данных зоны передавался целиком, даже если в  нем  произошло  единичное
изменение. Windows 2000 поддерживает IXFR или добавочную  передачу  зоны.  В
данной реализации, только изменения передаются в ходе передачи зоны,  вместо
передачи всего файла базы данных зоны.
      Интеграция с Active Directory – Windows 2000  продолжает  поддерживать
традиционную реализацию по схеме основной/вторичный сервера  DNS.  В  данном
сценарии, изменения в файле зоны  могут  быть  сделаны  только  на  основном
сервере, так как только  он  содержит  редактируемую  копию  файла  зоны.  В
Windows 2000 вводится  новая  концепция  –  DNS,  интегрированная  в  Active
Directory. В этой реализации файл зоны DNS  и  связанная  с  ним  информация
хранится как объект в Active  Directory  вместо  того,  чтобы  находиться  в
папке DNS на жестком диске.  Эта  интеграция  позволяет  любому  контроллеру
домена, на котором запущена служба DNS, делать изменения в базе данных  DNS,
при этом изменения  в  зоне  реплицируются  как  часть  процесса  репликации
Active  Directory.  Это   также   позволяет   сделать   службу   DNS   более
отказоустойчивой. В  традиционной  среде  DNS,  если  основной  сервер  имен
выходит из строя, все динамические изменения в DNS становятся  невозможными,
так как редактируемая  копия  зоны  недоступна.  В  DNS,  интегрированной  в
Active  Directory,  все   DNS   сервера   могут   осуществлять   обновления.
Традиционные сервера DNS могут продолжать существовать в такой среде  –  они
могут быть вторичными и использовать сервер DNS,  интегрированный  в  Active
Directory, как основной сервер для получения файла зоны.

         5.3.3 Настройка сервера DNS.

       Настройка и изменение конфигурации сервера DNS могут понадобиться  по
разным причинам, например:
       1.  При изменении имени компьютера-сервера
       2.  При изменении имени домена для компьютера-сервера
       3.  При изменении IP-адреса компьютера-сервера
       4.  При удалении сервера DNS из сети
       5.  При изменении основного сервера (primary server) зоны
      Управление клиентами
       Для клиентов Windows конфигурация DNS при  настройке  свойств  TCP/IP
для каждого компьютера включает следующие задачи:
       1. Установка имени хоста DNS  для  каждого  компьютера  или  сетевого
подключения.
       2. Установка имени родительского  домена,  которое  помещается  после
имени хоста, чтобы формировать  полное  (fully  qualified)  имя  домена  для
каждого клиента.
       3. Установка основного DNS-сервера и списка  дополнительных  DNS-cep-
веров, которые будут использоваться, если основной сервер недоступен.
       4. Установка  очередности  списка  поиска  доменов,  используемого  в
запросах для дополнения не полностью заданного имени компьютера.
      Управление зонами
       После  добавления  зоны  при  помощи  оснастки  DNS  можно  управлять
следующими общими свойствами зоны:
       1. Запрещать или разрешать использование зоны
       2. Изменять или преобразовывать тип зоны
       3. Разрешать или запрещать динамическое обновление зоны
       Также можно настраивать начальные записи зоны  (Start  Of  Authority,
SOA), ресурсные записи, делегирование зон, списки оповещения,  использование
просмотра WINS,  а  также  управлять  зонами  обратного  просмотра  (reverse
zone), необходимыми для обратного разрешения имен — из адреса в имя.
        Мониторинг и оптимизация
       В Windows 2000 Advanced Server можно производить мониторинг и по  его
результатам оптимизировать настройки службы DNS при помощи:
       1. Системного монитора (Performance Monitor)
       2. Опций протоколирования
       3. Статистики по DNS-серверу
       4. Настройки дополнительных параметров

         5.4. Служба WINS

      Служба WINS (Windows  Internet  Name  Service,  служба  имен  Windows)
обеспечивает  поддержку  распределенной   базы   данных   для   динамической
регистрации и разрешения имен NetBIOS для компьютеров и групп,  используемых
в  сети.  Служба  WINS  отображает  пространство  имен  NetBIOS  и  адресное
пространство IP друг на друга и предназначена для разрешения имен NetBIOS  в
маршрутизируемых сетях, использующих NetBIOS поверх  TCP/IP.  Имена  NetBIOS
используются  более  ранними  версиями  операционных  систем  Microsoft  для
идентификации компьютеров и других общедоступных ресурсов. [12]
      Хотя  протокол  NetBIOS   может   применяться   с   другими   сетевыми
протоколами, помимо TCP/IP (например,  NetBEUI  или  IPX/SPX),  служба  WINS
была разработана для поддержки NetBIOS поверх TCP/IP (NetBT). WINS  упрощает
управление  пространством  имен  NetBIOS  в  сетях  на  базе  TCP/IP.   WINS
применяется для распознавания имен  NetBIOS,  но  для  ускорения  разрешения
имен клиенты должны динамически добавлять, удалять или  модифицировать  свои
имена в WINS.

         5.4.1. Новые возможности WINS в Windows 2000

      В Windows 2000 WINS обеспечивает следующие расширенные возможности:
      1. Постоянные соединения. Теперь можно настроить каждый WINS-сервер на
обслуживание  постоянного  соединения  с  одним  или   большим   количеством
партнеров репликации. Это увеличивает скорость репликации и снижает  затраты
на открытие и завершение соединений.
      2.  Управление  "захоронением".  Можно  вручную  отмечать  записи  для
захоронения  (отметка  для  дальнейшего  удаления,  tombstoning).  Состояние
"захоронения" записи копируется для всех серверов  WINS,  что  предотвращает
восстановление копии из баз данных других серверов.
      3. Улучшенная утилита управления. Утилита управления WINS  реализована
в виде оснастки ММС, что упрощает использование WINS для администратора.
      4.  Расширенная фильтрация и поиск записей.  Улучшенная  фильтрация  и
новые поисковые функции помогают находить записи, показывая  только  записи,
соответствующие  заданным  критериям.  Эти  функции  особенно  полезны   для
анализа очень больших баз данных WINS.
      5.  Динамическое  стирание  записей   и   множественный   выбор.   Эти
особенности упрощают управление базой данных WINS. При помощи оснастки  WINS
можно легко манипулировать с одной (или более)  записью  WINS  динамического
или статического типа.
      6.  Проверка  записей  и  проверка  правильности  номера  версии.  Эти
возможности проверяют последовательность имен, сохраненных  и  скопированных
на серверах WINS. Проверка записей  сравнивает  IP-адреса,  возвращаемые  по
запросу по имени NetBIOS с различных серверов  WINS.  Проверка  правильности
номера версии проверяет номер владельца таблицы отображения "адрес-версия".
      7. Функция экспорта. При экспорте данные WINS сохраняются в  текстовом
файле с запятыми в качестве разделителей. Можно импортировать  этот  файл  в
Microsoft Excel и другие программы для анализа и составления отчетов.
      8. Увеличенная отказоустойчивость клиентов.  Клиенты  под  управлением
Windows 2000 или Windows 98 могут  использовать  более  двух  серверов  WINS
(максимально — 12 адресов)  на  интерфейс.  Дополнительные  адреса  серверов
WINS будут использоваться,  если  первичные  и  вторичные  серверы  WINS  не
отвечают на запросы.
      9. Консольный доступ только для чтения к WINS Manager. Эта возможность
предоставляется   группе   Пользователи   WINS   (WINS    Users),    которая
автоматически создается при установке сервера WINS. Добавляя членов  к  этой
группе, можно предоставить доступ только для чтения  к  информации  о  WINS.
Это  позволяет  пользователю-члену  группы  просматривать,  но  не  изменять
информацию и свойства, хранящиеся на определенном сервере WINS.[1]

         5.4.2. Компоненты службы WINS

      Основные компоненты WINS  —  сервер  WINS  и  клиенты  WINS,  а  также
посредники WINS (WINS proxy).
      Серверы WINS. Сервер WINS обрабатывает запросы на регистрацию имен  от
клиентов WINS, регистрирует их имена  и  IP-адреса  и  отвечает  на  запросы
разрешения имен NetBIOS от клиентов, возвращая IP-адрес по имени,  если  это
имя находится в базе данных сервера (рис. 17.8).  Сервер  WINS  поддерживает
базу данных WINS.
      Клиенты WINS. Клиенты WINS регистрируют свои имена  на  сервере  WINS,
когда они запускаются или подключаются к сети.
      Microsoft  поддерживает  клиентов  WINS  на  платформах  Windows  2000
Server/Professional, Windows NT Server/Workstation, Windows 9x, Windows  for
Workgroups,   Microsoft   LAN   Manager,   MS-DOS,   OS/2,   Linux/Unix   (с
установленной службой Samba) [7].
      Клиенты WINS обращаются к  серверу  WINS,  чтобы  зарегистрировать/об-
новить/удалить имя клиента в базе данных WINS, а также для  разрешения  имен
пользователей, имен NetBIOS, имен DNS и адресов IP.
      Посредники  WINS.  Посредник  WINS  —   клиентский   компьютер   WINS,
настроенный так, чтобы действовать от имени других хостов, которые не  могут
непосредственно использовать WINS .

         5.4.3. Планирование сети с использованием WINS

      Перед установкой серверов WINS  в  сети  необходимо  решить  следующие
задачи:
      Определить число необходимых серверов WINS
      Спланировать партнеров репликации
      Оценить влияние трафика WINS на самых медленных соединениях
      Оценить уровень отказоустойчивости в пределах сети для WINS
      Составить и оценить план инсталляции WINS
      До  настройки  репликации  нужно  тщательно  спроектировать  топологию
репликации  WINS.  В  глобальных  сетях  это  очень  важно   для   успешного
развертывания и использования WINS.
      Настройка статического отображения:
      Запись, отображающая имя в  IP-адрес,  может  быть  добавлена  в  базу
данных WINS двумя способами:
      1. Динамически (клиентами WINS, непосредственно при связи  с  сервером
WINS).
      2. Статически (вручную, администратором, при помощи оснастки WINS  или
утилит командной строки).
      Статические  (добавляемые  администратором  вручную)  записи  полезны,
когда нужно добавить отображение  "имя-адрес"  к  базе  данных  сервера  для
компьютера,  который  непосредственно  не  использует  WINS.   Например,   в
некоторых сетях серверы под управлением других операционных систем не  могут
регистрировать имя NetBIOS непосредственно на сервере WINS. Хотя  эти  имена
можно было бы добавить с помощью файла Lmhosts или через запрос

         5.4.4. Управление базой данных WINS

      Оснастка  WINS  обеспечивает  поддержку,   просмотр,   копирование   и
восстановление базы данных WINS. Основные задачи по работе с базой:
      Сжатие базы
      Резервное копирование базы
      Проверка целостности базы
      Переход от WINS к DNS
      В сетях, использующих только Windows 2000, можно  уменьшить  или  даже
устранить применение WINS. Удаление  установленных  серверов  WINS  из  сети
называется отзывом (decommissioning).
      После развертывания сервера DNS в сети отзыв сервера WINS  выполняется
в такой последовательности:
      1. Клиентские компьютеры перенастраиваются, чтобы они не  использовали
WINS, а только DNS.
      2. На каждом сервере WINS по отдельности запускается процесс отзыва:
      • В дереве WINS выбрать сервер WINS,  который  нужно  отозвать,  затем
выбрать опцию Активные регистрации (Active Registrations).
      • В меню Действие (Action) выберать пункт «Найти по  владельцу»  (Show
records for the sleeted owner).
      • В появившемся окне в списке только для  выбранного  владельца  (only
for selected owner) выбрать сервер  WINS,  который  необходимо  отозвать,  и
нажать кнопку ОК.
      • В подокне подробного просмотра выделить все элементы.
      • В меню Действие (Action) выберать команду Удалить (Delete).
      • В диалоговом  окне  Подтверждение  удаления  записей  (Confirm  WINS
Record Delete) установить переключатель  Реплицировать  удаление  записи  на
другие серверы (Tombstone WINS records on all WINS servers) переключателя  и
нажмать кнопку ОК.
      • Подтвердить удаление, нажав кнопку Да (Yes) в окне запроса.
      •В дереве выберать элемент Партнеры репликации (Replication Partners).
      • В меню Действие (Action)  выбрать команду Запустить репликацию
      (Replicate Now).
      • После  проверки  репликации  выбранных  записей  на  другие  серверы
остановить и удалить службу WINS на отозванном сервере.
      3. Делается необязательная настройка для  уменьшения  и  переадресации
трафика WINS. Может потребоваться настроить дополнительное  разрешение  имен
DNS через WINS.
      После  заключительного  шага  процесса  отзыва  WINS  можно  настроить
клиентские  компьютеры  под  управлением  Windows   2000,   чтобы   они   не
использовали поддержку NetBIOS поверх TCP/IP  (NetBIOS  over  TCP/IP).  Этот
шаг нужен, только если  надо  уменьшить  трафик  запросов  имени  NetBIOS  и
трафик регистрации WINS. Однако в большинстве сетей ограниченное  применение
WINS какое-то время еще будет необходимо.

         5.5. Конфигурирование сервера

      Сетевая операционная система выполняется на сетевом сервере. С  другой
стороны,  компьютеры-клиенты  могут  работать  под   управлением   различных
операционных систем. Чтобы операционная система клиента  могла  использовать
сеть,  нужно  установить  специальные  драйверы,  которые   позволят   плате
сетевого интерфейса  компьютера-клиента  связаться  с  сетью.  Эти  драйверы
работают  подобно  драйверам  принтера,  позволяющим  прикладным  программам
посылать информацию на принтер. Программное  обеспечение  сетевого  драйвера
дает возможность программам посылать и принимать информацию по сети.  Каждый
компьютер в сети содержит одну или более  плат сетевого интерфейса,  которые
соединяют компьютер с сетью.

         5.5.1. Выбор сервера

      Очевидно, что производительность ЛВС не в последнюю очередь зависит от
компьютера, используемого в  качестве  сервера.  При  использовании  Windows
2000  Server  необходимо  ориентироваться   на   наиболее   высокоскоростной
компьютер.  В этом случае, как всегда, существует возможность  выбора  между
готовыми   серверами,   предлагаемыми   производителями    и    поставщиками
компьютерной техники,  и  серверами  самостоятельной  сборки.   При  наличии
определенного  опыта,  самостоятельно  собранный  под  заказ  сервер   может
составить альтернативу готовому продукту.  Большое разнообразие  компонентов
не дает  возможности  назвать  конкретные  виды  «железа»   для  закупки   и
сборки.  Поэтому следует обратить внимание на следующие моменты. [13]
           1. На вопрос об используемой шине ответ однозначен – PCI. Помимо
              высокой производительности  (за  счет  64-битной  разрядности
              шины),    PCI    –    компоненты    допускают     программное
              конфигурирование.   Благодаря   последнему    обстоятельству,
              возможные   конфликты    между   подключаемыми    аппаратными
              ресурсами почти всегда предотвращаются автоматически.
           2.  Windows  2000   Server    изначально   предъявляет   высокие
              требования к объему оперативной  памяти.   И  они  еще  более
              возрастают в случае применения сетевого сервера (здесь  объем
              ОЗУ должен быть не менее 64 Мб).
           3. В сервере должны использоваться, как  минимум,  винчестеры  и
              соответствующие  адаптеры  SCSI.   Новейшие   диски   данного
              стандарта  при  частоте  вращения   шпинделя   15000   об/мин
              обеспечивают максимально  высокую  скорость  передачи  данных
              практически независящую от загрузки дисковой подсистемы.
           4. Идеальным корпусом  будет  специальный  корпус  для  сервера,
              снабженные   мощными   блоками    питания,    дополнительными
              вентиляторами,  съемными  заглушками  и   защитной   передней
              панелью. В  качестве  более  экономичного  решения  допустимо
              использование корпусов типа Big Tower, прошедших сертификацию
              фирмы-производителя  материнской платы.
           5. Скоростной  привод  CD-ROM  не  только  сэкономит  время  при
              установке ОС и прикладного  ПО,  но  и  окажется  чрезвычайно
              полезным при работе с централизованной справочной системой.
           6. Так  как  все  подключенные  к  сети  рабочие  станции  будут
              постоянно  обращаться  к  серверу,  одним  из  его  важнейших
              компонентов является производительная 32-ух или  64-х  битная
              сетевая карта. Она должна эффективно управлять информационным
              обменом, то  есть  иметь  сопроцессор,  принимающий  на  себя
              основные  функции  центрального   процессора   по   обработке
              поступающих на сервер данных. Для обеспечения  дополнительной
              надежности  можно  использовать  2  и  более  сетевых   карты
              одновременно.
      Исходя   из    вышеизложенного,    предлагается    следующая    модель
корпоративного сервера Klondike President 2000A.
      Klondike President 2000A - универсальный сервер среднего уровня. Может
использоваться в качестве сервера  служб  обмена  электронными  сообщениями,
сервера службы  доменных  имен,  сервера  службы  доступа  к  информационным
ресурсам. Построен на базе производительной материнской платы Intel SDS2.
                                                                Таблица 5.1.
                            Конфигурация сервера.

|Состав системного блока                                                  |
|Процессор            |2 Intel Xeon DP 1,8 - 2,8 ГГц                      |
|Кэш-память           |512 Кбайт (L2)                                     |
|Чипсет               |ServerWorks Server Set GC-LE                       |
|Оперативная память   |до 12 Гбайт ECC DDR200/266                         |
|Слоты расширения     |3 x PCI 32-бит/33 МГц                              |
|                     |2 x PCI 64-бит/100 МГц                             |
|                     |1 x PCI 64-бит/133 МГц                             |
|Контроллеры жестких  |- Adaptec AIC-7899W Ultra3Wide SCSI (2 канала,     |
|дисков               |встроенный)                                        |
|Жесткие диски        |18 – 146 Гбайт (Ultra160 SCSI, 10000-15000 об/мин) |
|Места для жестких    |10 x 3,5" (горячая замена)                         |
|дисков               |                                                   |
|Устройства           |FDD 3,5" 1,44 Мбайт                                |
|ввода/вывода         |CD-ROM 50x                                         |
|Места для            |1 x 3.5" (занято FDD)                              |
|дополнительных       |3 x 5,25 (одно занято CD-ROM)                      |
|устройств            |                                                   |
|Устройство резервного|- 4 мм SCSI ленточные накопители DAT стандарта     |
|копирования          |DDS-3 и DDS-4 емкостью до 40 Гбайт                 |
|Видеоконтроллер      |PCI, ATI Rage XL 8 Мбайт (встроенный)              |
|Сетевой адаптер      |Intel PRO/100+                                     |
|                     |Intel PRO/1000 XT                                  |
|Порты ввода/вывода   |COM1, COM2, LPT, 4 USB                             |
|Корпус               |Hudson3 - Tower (HxWxD - 45x22x69 cм)              |
|Блоки питания        |- 2*350 Вт                                         |
|Диагностика          |отказ вентиляторов охлаждения (предсказание        |
|неисправностей       |отказа), отказ жестких дисков (предсказание отказа,|
|                     |SMART), отказ питающих напряжений, отказ блоков    |
|                     |питания, ошибки в памяти (с указанием сбойного     |
|                     |модуля памяти физического адреса), ошибки PCI, сбой|
|                     |или превышение рабочей температуры процессоров,    |
|                     |превышение рабочей температуры электронных         |
|                     |компонентов, превышение рабочей температуры в      |
|                     |отсеках для жестких дисков, зависание операционной |
|                     |системы                                            |
|Устранение           |автоматическая коррекция ошибок в памяти,          |
|неисправностей       |автоматическое отключение неисправного процессора  |
|                     |(FRB level 1,2,3), автоматическая перезагрузка или |
|                     |выключение системы в критических ситуациях,        |
|                     |автоматическая аппаратная перезагрузка при         |
|                     |зависании операционной системы.                    |
|Безопасность         |контроль трех датчиков открытия корпуса и отсека с |
|                     |жесткими дисками, блокирование клавиатуры и мыши,  |
|                     |блокирование кнопок выключения питания и           |
|                     |перезагрузки, выключение видео и дисковода, доступ |
|                     |по паролю.                                         |
|ПО управления        |Intel Server Management                            |
|Предустанавливаемая  |Microsoft,                                         |
|ОС                   |                                                   |


         5.5.2. Установка Windows 2000 Advanced Server

      Компьютер, на который Вы хотите установить  операционную  систему,  не
должен содержать форматированных  разделов.  Раздел  на  жестком  диске  для
установки Windows 2000 Advanced Server  в  качестве  изолированного  сервера
рабочей группы можно создать непосредственно в процессе установки.
      На Вашем компьютере должна работать MS-DOS или любая  версия  Windows.
Кроме того, он должен уметь обращаться  к  каталогу  Bootdisk  установочного
компакт-диска с Windows 2000 Advanced Server. Если  Ваш  компьютер  настроен
для загрузки с CD-ROM, Вы  можете  установить  Windows  2000,  не  используя
установочные дискеты.

         5.5.2.1. Запуск процедуры  предварительного  копирования  файлов  и
текстового режима Windows 2000 Advanced Server

      Вставьте загрузочный диск Windows 2000 Advanced Server и перезагрузите
компьютер
      1.    После перезапуска компьютера появится сообщение, что выполняется
проверка вашей системной конфигурации, и вскоре откроется окно Windows  2000
Setup.
      Обратите внимание на серую строку внизу экрана. В ней сообщается,  что
выполняется  проверка  компьютера  и  загрузка  Windows  2000  Executive   —
минимальной версии ядра Windows 2000.
      2.    Установщик произведет загрузку HAL, шрифтов,  драйверов  шины  и
других программ, обеспечивающих работу  материнской  платы,  шины  и  других
аппаратных  средств  вашего  компьютера.   Кроме   того,   будут   загружены
исполнимые файлы Windows 2000 Setup.
      3.    Установщик произведет загрузку драйверов контроллера дисковода и
инициализацию драйверов, обеспечивающих поддержку доступа  к  дисководу.  Во
время этого процесса Setup может несколько раз останавливаться.
      4.    Установщик загрузит драйверы  периферийных  устройств,  например
драйвер  дисковода  и  файловых   систем,   после   чего   будет   выполнена
инициализация  исполняемой  части  Windows  2000   и   загрузка   оставшихся
установочных файлов.
      Если  Вы  устанавливаете  пробную  версию  Windows   2000,   программа
установки предупредит Вас об этом.
Прочитав сообщение установщика Windows 2000, нажмите  Enter.  Заметьте,  что
программа  установки  позволяет  Вам  произвести  не  только  первоначальную
установку, но и восстановить поврежденную версию Windows 2000.
Прочитайте сообщение, содержащееся в окне Welcome To Setup, и нажмите  Enter
для продолжения установки. Откроется окно License Agreement.
Прочитайте  лицензионное  соглашение.  Для  прокрутки   текста   пользуйтесь
клавишей Page Down.
Выберите I Accept The Agreement, нажав клавишу F8.
      Откроется  окно  Windows  2000  Advanced   Server   Setup,   где   Вам
предлагается  выбрать  область  диска  (или  уже  существующий  раздел)  для
установки Windows 2000. На этом этапе Вы можете создавать и удалять  разделы
на жестком диске.
      Если жесткий диск ранее не содержал разделов, то Вы увидите  на  диске
неразмеченное пространство.
      9.     Убедившись,  что  выбрано  Unpartitioned  space  (неразмеченное
пространство), нажмите клавишу  C.  Появится  сообщение  о  создании  нового
раздела с  указанием  минимально  и  максимально  возможных  размеров  этого
раздела.
      10.   Выбрав размер раздела  (минимум  2  Гб),  нажмите  Enter.  Новый
раздел будет назван С: New (Unformatted).
Убедившись, что выбран новый раздел,  нажмите  Enter.  Установщик  предложит
выбрать файловую систему для нового раздела.
Воспользовавшись  клавишами  управления  курсором,   выберите   Format   The
Partition  Using  The  NTFS  File  System  и   нажмите   Enter.   Установщик
отформатирует раздел под NTFS, проверит  жесткий  диск  на  наличие  ошибок,
способных повлечь сбои в установке, после чего скопирует файлы на диск.  Это
займет несколько минут.
      По завершении копирования компьютер будет перезагружен.
      13.   Выньте установочный диск.
      14.    Программа  установки  скопирует  дополнительные  файлы,   затем
перезагрузит ваш компьютер и запустит мастер установки Windows 2000.

         5.5.2.2.  Графический режим установки и сбор информации

      С этого момента установщик начинает работать в графическом режиме.
      1.    В окне мастера установки Windows 2000 щелкните кнопку  Next  для
сбора информации о компьютере.
      Установщик  сконфигурирует  папки  и  разрешения   NTFS   для   файлов
операционной системы. После этого выполняется поиск устройств,  подключенных
к  компьютеру,  а  также  установка  и   конфигурирование   драйверов   этих
устройств. Это займет несколько минут.
      2.    Убедившись, что в системных  и  пользовательских  параметрах,  а
также для раскладки клавиатуры указаны нужные Вам язык  и  регион,  щелкните
Next.
      3.    На странице Personalize Your Software введите Ваше  имя  в  поле
Name (Имя) и имя Вашей организации в поле Organization (Организация),  затем
щелкните Next.
      Эти данные используются в дальнейшем для генерации имени компьютера по
умолчанию, а  также  приложениями  —  для  регистрации  ПО  и  идентификации
документов.
      Откроется  окно  Licensing  Modes   с   предложением   выбрать   режим
лицензирования.  По  умолчанию  устанавливается  режим  лицензирования   Per
Server (на сервер). Установщик попросит Вас ввести количество  приобретенных
для этого сервера лицензий.
      4.     Щелкните  переключатель  Per  Server   Number   Of   Concurrent
Connections   и   установите   число   одновременных    соединений    равным
приобретённому количеству лицензий (для этого введите количество лицензий  в
соответствующее поле). Далее щелкните Next.
      В поля Administrator Password и  Confirm  Password  введите  строчными
буквами пароль администратора и щелкните кнопку Next. Пароль чувствителен  к
регистру.
      В реальных ситуациях для пароля администратора рекомендуется  выбирать
более сложное  сочетание  символов  (которое  было  бы  трудно  угадать).  В
частности,  Microsoft  рекомендует,  чтобы  пароль  содержал   прописные   и
строчные буквы, а также числа и другие символы (например, Lp6*g9).
      Откроется  окно  Windows  2000  Components,  в   котором   перечислены
доступные компоненты Windows 2000. Щелкните Next.
      После установки Windows 2000 дополнительные компоненты устанавливаются
средствами  Add/Remove  Programs  панели  управления.  Пока  же  Вам   нужно
установить  только  компоненты,  выбранные  по   умолчанию.   Дополнительные
компоненты Вы установите позже.
      Если во время установки  на  Вашем  компьютере  был  обнаружен  модем,
откроется окно Modem Dialing Information. В открывшееся окно  Modem  Dialing
Information  введите  в  него  код  региона  или  города  и  щелкните  Next.
Откроется окно Date And Time Settings.
      После перезагрузки будет  запущена  только  что  установленная  версия
Windows 2000 Advanced Server.

         5.5.2.3. Завершение установки оборудования

      На  этом  этапе  выполняется  поиск  устройств  Plug  and   Play,   не
обнаруженных ранее.
Войдите в систему, нажав Ctrl+Alt+Delete.
В диалоговом окне Enter Password введите administrator в поле  User  Name  и
пароль  — в поле Password.
Щелкните кнопку ОК.
Если  Windows  2000  найдет  устройства,  которые  не  были  обнаружены  при
установке, откроется окно мастера  Found  New  Hardware  с  сообщением,  что
Windows 2000 устанавливает соответствующие драйверы.
      Если откроется окно мастера Found New Hardware, убедитесь, что  флажок
Restart The Computer When I Click Finish не установлен,  и  щелкните  кнопку
Finish для завершения работы мастера Found New Hardware.
      Откроется окно Configure Your Server, позволяющее Вам сконфигурировать
множество различных параметров и служб.
Установите флажок I Will Configure  This  Server  Later  и  щелкните  кнопку
Next.
В следующем окне сбросьте флажок Show This Screen At Startup.
Закройте окно Configure Your Server.
      Установка Windows 2000 Advanced Server завершена, и Вы вошли в систему
под учетной записью Administrator. [11]

         5.5.3. Управление в среде Windows 2000 Advanced Server

       После успешной установки Windows 2000 Server  выполняется  настройка
пользователей.

       Основным элементом  централизованного  администрирования  в  Windows
2000 Server является домен. Домен -  это  группа  серверов,  работающих  под
управлением Windows 2000 Server, которая функционирует,  как  одна  система.
Все серверы Windows 2000 в домене используют один и  тот  же  набор  учетных
карточек  пользователя,  поэтому  достаточно  заполнить   учетную   карточку
пользователя только на одном сервере домена, чтобы она распознавалась  всеми
серверами этого домена.
       Связи доверия - это связи между доменами, которые допускают сквозную
идентификацию,  при  которой  пользователь,  имеющий  единственную   учетную
карточку в домене, получает  доступ  к  целой  сети.  Если  домены  и  связи
доверия хорошо спланированы,  то  все  компьютеры  Windows  2000  распознают
каждую учетную  карточку  пользователя  и  пользователю  надо  будет  ввести
пароль для входа в систему только один  раз,  чтобы  потом  иметь  доступ  к
любому серверу сети. [3]
       Группирование  компьютеров  в домены дает  два  важных  преимущества
сетевым администраторам и пользователям. Наиболее важное -  серверы  домена
составляют (формируют) единый административный блок, совместно использующий
службу безопасности и  информацию  учетных  карточек  пользователя.  Каждый
домен имеет одну базу данных, содержащую учетные карточки   пользователя  и
групп, а также установочные параметры политики  безопасности.  Все  серверы
домена  функционируют  либо  как  первичный  контроллер  домена,  либо  как
резервный  контроллер  домена,  содержащий  копию  этой  базы  данных.  Это
означает,  что  администраторам  нужно  управлять  только   одной   учетной
карточкой  для  каждого  пользователя,   и   каждый   пользователь   должен
использовать (и помнить) пароль только  одной  учетной  карточки.  Расширяя
административный блок с единственного компьютера на  целый  домен,  Windows
2000 Server сохраняет усилия администраторов и время пользователей.
         Второе преимущество доменов сделано  для  удобства  пользователей:
  когда пользователи просматривают сеть в поисках доступных  ресурсов,  они
  видят сеть, сгруппированную в домены, а  не  разбросанные  по  всей  сети
  серверы и принтеры.


         5.5.4. Требования к домену

      Минимальное требование  для  домена  -  один  сервер,  работающий  под
управлением Windows  2000  Server,  который  служит  в  качестве  первичного
контроллера  домена  и  хранит  оригинал  базы   данных   учетных   карточек
пользователя и групп домена. В дополнение к сказанному,  домен  может  также
иметь другие серверы, работающие  под  управлением  Windows  2000  Server  и
служащие в качестве  резервных  контроллеров  домена,  а  также  компьютеры,
служащие  в  качестве  стандартных  серверов,  серверов  LAN  Manager   2.x,
клиентов  Windows  2000  Workstation  и  других  клиентов,  как    например,
работающих с MS-DOS.
       Первичный контроллер домена  должен  быть  сервером,  работающим  под
управлением  Windows  2000  Server.  Все  изменения  базы  данных,   учетных
карточек пользователя и  групп  домена  должны  выполняться  в  базе  данных
первичного контроллера домена.
      Резервные контроллеры домена, работающие под управлением Windows  2000
Server, хранят копию  базы  данных  учетных  карточек  домена.  База  данных
учетных карточек копируется во все резервные контроллеры домена.
      Все резервные контроллеры  домена  дополняют  первичный  контроллер  и
могут  обрабатывать  запросы  на  начала  сеанса  от  пользователей  учетных
карточек домена. Если домен получает  запрос  на  начало  сеанса,  первичный
контроллер  домена  или  любой  из  резервных  контроллеров   домена   может
идентифицировать попытку начала сеанса.
      Дополнительно к первичным и резервным контроллерам домена,  работающим
под управлением Windows 2000 Server, есть  другой  тип  серверов.  Во  время
установки Windows 2000 они определяются, как  “серверы”,  а  не  контроллеры
домена. Сервер, который входит  в  домен,  не  получает  копию  базы  данных
пользователей домена. [12]

         5.5.5. Выбор модели организации сети

         Проанализировав  организационно-штатную   структуру   предприятия,
  можно  заключить,  что  оптимальным  выбором  является  модель  основного
  домена. Ее достоинства и недостатки сведены в табл. 5.1.

                                                                 Таблица 5.2
      Преимущества и недостатки модели основного домена.
|Преимущества                               |Недостатки                |
|Учетные карточки пользователей могут       |Ухудшение                 |
|управляться централизовано.                |производительности в      |
|                                           |случае, если домен будет  |
|                                           |дополнен большим числом   |
|                                           |пользователей и групп.    |
|Ресурсы сгруппированы логически. Что       |Локальные группы должны   |
|актуально в связи с территориальной        |быть определены в каждом  |
|разбросанностью рабочих станций            |домене, где они будут     |
|предприятия.                               |использоваться.           |
|Домены отделений могут иметь своих         |                          |
|собственных администраторов, которые       |                          |
|управляют ресурсами в отделе. Что является |                          |
|актуальным для предприятия так как в       |                          |
|компьютерных классах обязательно должно    |                          |
|быть администрирование сети.               |                          |
|Глобальные группы должны быть определены   |                          |
|только один раз (в основном домене).       |                          |


         5.6. Служба Routing and Remote Access

      Служба Routing and Remote Access (Маршрутизация и удаленный доступ)  —
это    фактически     полноценный     многофункциональный     маршрутизатор,
поддерживающий множество протоколов. Используйтся Routing and Remote  Access
для поддержки маршрутизации в  частных  сетях  и  между  разными  сегментами
сети.
      Функции, обеспечиваемые службой Routing and Remote Access:
      поддержка множества протоколов, в том числе IP, IPX и AppleTalk;
  V одноадресная (unicast) IP-маршрутизация средствами протоколов:
              1. Open Shortest Path First (OSPF);
              2. Routing Information Protocol (RIP) версий 1 и  2,  протокол
                 маршрутизации IP;
    V многоадресная (multicast) IP-маршрутизация  средствами  маршрутизатора
      IGMP (Internet Group Membership Protocol), в том числе  при  работе  в
      режиме прокси-сервера;
    V маршрутизация вызова по требованию по коммутируемым WAN-подключениям;
    V поддержка VPN-сетей по туннельному протоколу Point-to-Point  Tunneling
      Protocol (PPTP);
    V поддержка VPN-сетей  по  туннельному  протоколу  Layer  Two  Tunneling
      Protocol (L2TP);
    V фильтрация IP- и IPX-пакетов;
    V агент ретрансляции DHCP (DHCP Relay Agent) для IP;
    V  поддержка  носителей,  в  том  числе  Ethernet,  Token  Ring,   Fiber
      Distributed Data Interface (FDDI), ATM (Asynchronous  Transfer  Mode),
      Integrated Services Digital Network (ISDN),  T-Carrier,  Frame  Relay,
      xDSL, кабельных модемов, Х.25 и аналоговых модемов.

         5.7. Измерение сетевого трафика

      Наблюдение за сетевой активностью включает:
    V наблюдение за производительностью сервера;
    V измерение общего сетевого трафика.
      С  сетевой  активностью  связано  большое  количество  счетчиков.  Все
сетевые компоненты - Server, Redirector, протоколы NetBIOS,  NWLink,  TCP/IP
-  генерируют  набор  статистических   параметров.   Ненормальное   значение
сетевого счетчика часто говорит  о  проблемах  с  памятью,  процессором  или
диском сервера.  Следовательно,  наилучший  способ  наблюдения  за  сервером
состоит в наблюдении за сетевыми счетчиками в  сочетании  с  наблюдением  за
такими счетчиками, как %Processor Time, %Disk Time и Pages/sec.
      Например, если сервер показывает резкое увеличение счетчика  Pages/sec
одновременно с падением счетчика Total bytes/sec, то это  может  говорить  о
том, что компьютеру не хватает физической памяти для сетевых операций.
      Расчет сетевой нагрузки
      [pic]
      где :  n – количество запросов;
            [pic] - продолжительность передачи ед.объема информации
            Т – время работы сети
      А=0.25
      Во  время  работы  пользователя  в  среднем  за  один  диалоговый  шаг
передается 1,5 - 2,0 Кб данных, а одна операция требует  в  среднем  прохода
по 3 - 4 экранам, поэтому средний объем операции  принимается  равным  16000
байт. Для того, чтобы обеспечить  требуемое  время  ответа  (response  time)
утилизация сети не должна превышать 50%. Оптимальной считает нагрузка 30%  ,
в нашей сети получена  нагрузка  25%,  что  свидетельствует  об  оптимальной
работе сети.


                         6. Защита информации в сети


       Исследование  и  анализ  многочисленных   случаев   воздействий   на
информацию и несанкционированного доступа к ней  показывают,  что  их  можно
разделить на случайные и преднамеренные.
       Для создания средств защиты информации необходимо определить природу
угроз,  формы  и  пути  их   возможного   проявления   и   осуществления   в
автоматизированной   системе.   Для   решения   поставленной   задачи    все
многообразие угроз и путей их воздействия приводится к  простейшим  видам  и
формам,  которые  были  бы  адекватны  их  множеству  в   автоматизированной
системе.
       Исследование  опыта  проектирования,   изготовления,   испытаний   и
эксплуатации автоматизированных систем  говорят  о  том,  что  информация  в
процессе ввода,  хранения,  обработки   и  передачи  подвергается  различным
случайным воздействиям.
       Причинами таких воздействий могут быть:
       - отказы и сбои аппаратуры;
       - помехи на линии связи от воздействий внешней среды;
       - ошибки человека как звена системы;
       - системные и системотехнические ошибки разработчиков;
       - структурные, алгоритмические и программные ошибки;
       - аварийные ситуации;
       - другие воздействия.
       Преднамеренные  угрозы  связаны  с  действиями  человека,  причинами
которых могут быть  определенное  недовольство  своей  жизненной  ситуацией,
сугубо материальный  интерес  или  простое  развлечение  с  самоутверждением
своих способностей, как у хакеров,  и т.д.[12]
       Нет никаких сомнений, что на предприятии  произойдут  случайные  или
преднамеренные  попытки взлома  сети извне.  В связи с этим  обстоятельством
требуется тщательно предусмотреть защитные мероприятия.
       Для  вычислительных  систем  характерны  следующие  штатные   каналы
доступа к информации:
    - терминалы пользователей,  самые  доступные  из  которых  это  рабочие
      станции в компьютерных классах;
    -  терминал администратора системы;
    -  терминал оператора функционального контроля;
    -  средства отображения информации;
    -  средства загрузки программного обеспечения;
    -  средства документирования информации;
    -  носители информации;
    -  внешние каналы связи.
       Принято различать пять основных средств защиты информации:
    - технические;
       -     программные;
       -     криптографические;
    - организационные;
       -     законодательные.


         6.1.  Анализ возможностей системы  разграничения  доступа   Windows
2000 Advanced Server

      Windows 2000 Advanced Server имеет средства обеспечения  безопасности,
встроенные в операционную систему. Ниже  рассмотрены  наиболее  значимые  из
них.

         6.1.1. Слежение за деятельностью сети

       Windows 2000 Server дает много инструментальных средств для слежения
за сетевой деятельностью и использованием  сети.  ОС  позволяет  просмотреть
сервер и увидеть,  какие  ресурсы  он   использует;  увидеть  пользователей,
подключенных к настоящему времени к   серверу и увидеть, какие файлы  у  них
открыты; проверить данные в журнале безопасности; записи в журнале  событий;
и указать, о каких ошибках администратор должен быть предупрежден, если  они
произойдут. [3]

         6.1.2.  Начало сеанса на рабочей станции

         Всякий раз, когда пользователь начинает сеанс  на  рабочей  станции
Windows 98, экран начала  сеанса  запрашивает  имя  пользователя,  пароль  и
домен. Затем рабочая станция посылает имя пользователя  и  пароль  в   домен
для идентификации. Сервер в  домене проверяет имя пользователя  и  пароль  в
базе данных учетных карточек пользователей домена. Если имя  пользователя  и
пароль идентичны  данным  в  учетной  карточке,  сервер  уведомляет  рабочую
станцию о начале  сеанса.  Сервер  также  загружает  другую  информацию  при
начале  сеанса  пользователя,  как  например  установки  пользователя,  свой
каталог и переменные среды.
       По умолчанию не все учетные карточки в домене  позволяют  входить  в
систему.  Только  карточкам  групп  администраторов,   операторов   сервера,
операторов управления печатью, операторов управления учетными  карточками  и
операторов управления резервным копированием разрешено это делать.
       Для всех пользователей сети предприятия  предусмотрено  свое  имя  и
пароль.

         6.1.3.  Учетные карточки пользователей

       Каждый  клиент,  который  использует  сеть,  должен  иметь   учетную
карточку  пользователя  в   домене  сети.  Учетная   карточка   пользователя
содержит информацию о пользователе, включающую имя, пароль и ограничения  по
использованию  сети,  налагаемые  на   него.   Имеется   возможность   также
сгруппировать пользователей, которые имеют аналогичные  ресурсы,  в  группы;
группы облегчают предоставление прав и  разрешений  на  ресурсы,  достаточно
сделать только одно действие, дающее права или разрешения всей группе.
         Таблица 6.1 показывает содержимое учетной карточки пользователя.
                                                                 Таблица 6.1
                        Содержимое учетной карточки.
|Учетная карточка  |Элемент учетной  |Комментарии.                      |
|пользователя.     |карточки.        |                                  |
|Username          |Имя пользователя |Уникальное имя пользователя,      |
|                  |                 |выбирается при регистрации.       |
|                  |                 |                                  |
|Password          |Пароль           |Пароль пользователя.              |
|                  |                 |                                  |
|Full name         |Полное имя       |Полное имя пользователя.          |
|                  |                 |                                  |
|Logon hours       |Часы начала      |Часы, в течение которых           |
|                  |сеанса           |пользователю позволяется входить в|
|                  |                 |систему. Они влияют на вход в     |
|                  |                 |систему сети и доступ к серверу.  |
|                  |                 |Так или иначе, пользователь       |
|                  |                 |вынужден будет выйти из системы,  |
|                  |                 |когда                             |
|                  |                 |его часы сеанса, определенные     |
|                  |                 |политикой безопасности, истекут   |
|Logon workstations|Рабочие станции  |Имена рабочих станций, на которых |
|                  |                 |пользователю позволяется работать.|
|                  |                 |По умолчанию пользователь может   |
|                  |                 |использовать любую рабочую        |
|                  |                 |станцию, но возможно введение     |
|                  |                 |ограничений.                      |
|                  |Дата истечения   |                                  |
|Expiration date   |срока            |Дата в будущем, когда учетную     |
|                  |                 |карточку автоматически исключают  |
|                  |                 |из базы, полезна при принятии на  |
|                  |                 |работу временных служащих         |
|Учетная карточка  |Элемент учетной  |Комментарии.                      |
|пользователя.     |карточки.        |                                  |
|Home directory    |Собственный      |Каталог на сервере, который       |
|                  |каталог          |принадлежит пользователю;         |
|                  |                 |пользователь управляет доступом к |
|                  |                 |этому каталогу.                   |
|                  |                 |                                  |
|Logon script      |Сценарий начала  |Пакетный или исполняемый файл,    |
|                  |сеанса           |который запускается автоматически,|
|                  |                 |когда пользователя начинает сеанс.|
|                  |                 |                                  |
|Profile           |Установки        |                                  |
|                  |(параметры)      |Файл, содержащий запись о         |
|                  |                 |параметрах среды рабочего стола   |
|                  |                 |(Desktop) пользователя, о таких,  |
|                  |                 |например, как сетевые соединения, |
|                  |                 |цвета экрана и установочные       |
|                  |                 |параметры, определяющие, какие    |
|                  |                 |аспекты среды, пользователь может |
|Account type      |Тип учетной      |изменить.                         |
|                  |карточки         |                                  |
|                  |                 |Тип учетной карточки - глобальный |
|                  |                 |или локальный.                    |


         6.1.4.  Журнал событий безопасности

      Windows 2000 Server позволяет определить, что войдет в ревизию и будет
записано  в  журнал  событий  безопасности  всякий  раз,  когда  выполняются
определенные действия или осуществляется доступ к  файлам.  Элемент  ревизии
показывает выполненное  действие,  пользователя,  который  выполнил  его,  а
также дату и время действия. Это позволяет контролировать как успешные,  так
и неудачные попытки каких-либо действий.
      Журнал  событий  безопасности   для   условий   предприятиа   является
обязательным, так как в случае попытки взлома  сети  можно  будет  отследить
источник.
         Таблица 6.2 включает категории событий, которые могут быть  выбраны
для ревизии, а также события покрываемые каждой категорией.

                                                                 Таблица 6.2
                       Категории событий для ревизии.

|Категория                   |События                                  |
|Начало и конец сеанса       |Попытки начала сеанса, попытки конца     |
|                            |сеанса; создание и завершение сетевых    |
|                            |соединений к серверу                     |
|                            |                                         |
|Доступ к файлам и объектам  |Доступы к каталогу или файлу, которые    |
|                            |устанавливаются для ревизии в диспетчере |
|                            |файлов; использование принтера,          |
|                            |управление компьютером                   |
|Использование прав          |Успешное использование прав пользователя |
|пользователя                |и неудачные попытки использовать права,  |
|                            |не назначенные пользователям             |
|                            |                                         |
|                            |                                         |
|Управление пользователями и |Создание, удаление и модификация учетных |
|группами                    |карточек пользователя и групп            |
|                            |                                         |
|                            |                                         |
|Изменения полиса            |Предоставление или отменена прав         |
|безопасности                |пользователя пользователям и группам,    |
|                            |установка и разрыв связи доверия с       |
|                            |другими доменами                         |
|                            |                                         |
|Перезапуск, выключение и    |Остановка и перезапуск компьютера,       |
|система                     |заполнение контрольного журнала и        |
|                            |отвержение данных проверки если          |
|                            |контрольный журнал уже полон             |
|Трассировка процесса        |Начало и остановка процессов в компьютере|

         Таблица 6.3 показывает типы доступа к каталогам и  файлам,  которые
можно проверить.
                                                                 Таблица 6.3
                     Типы доступа к каталогам и файлам.

|Доступ к каталогу              |Доступ к файлу                      |
|Отображение имен файлов в      |Отображение данных, хранимых в файле|
|каталоге                       |                                    |
|                               |                                    |
|Отображение атрибутов каталога |Отображение атрибутов файла         |
|                               |                                    |
|Изменение атрибутов каталога   |Отображение владельца файла и       |
|                               |разрешений                          |
|Создание подкаталогов и файлов |Изменение файла                     |
|                               |                                    |
|Переход в подкаталогах каталога|                                    |
|                               |Изменение атрибутов файла           |
|                               |                                    |
|Отображение владельца каталога |                                    |
|и разрешений                   |Запуск файла                        |
|                               |                                    |
|Удаление каталога              |                                    |
|                               |Удаление файла                      |
|Изменение разрешений каталога  |                                    |
|Изменение владельца каталога   |Изменение файловых разрешений       |
|                               |Изменение владельца файла           |


         6.1.5. Права пользователя


    Права пользователя  определяют  разрешенные  типы  действий  для  этого
пользователя. Действия, регулируемые правами, включают  вход  в  систему  на
локальный  компьютер,   выключение,   установку   времени,   копирование   и
восстановление файлов сервера и выполнение других задач.
    В домене Windows 2000 Server права предоставляются и ограничиваются  на
уровне домена; если группа находится  непосредственно  в  домене,  участники
имеют права во всех первичных и  резервных  контроллерах  домена.  В  каждой
рабочей станции Windows 98  и  в  каждом  компьютере  Windows  2000  Server,
который не является контроллером домена, предоставленные  права  применяются
только к этому единственному компьютеру.
    Для каждого пользователя предприятия обязательно  устанавливаются  свои
права доступа к  информации,  разрешение  на  копирование  и  восстановление
файлов. [2]

         6.1.6.  Установка пароля и политика учетных карточек

    Для  домена можно определить все аспекты политики  пароля:  минимальную
длину пароля (по умолчанию 6 символов), минимальный и  максимальный  возраст
пароля (по умолчанию  устанавливается  14  и  30  дней)  и  исключительность
пароля, который предохраняет пользователя от изменения  его  пароля  на  тот
пароль,  который  пользователь  использовал  недавно  (по  умолчанию  должен
предохранить пользователей от повторного  использования  их  последних  трех
паролей).
    Дается возможность также определить и другие аспекты  политики  учетных
карточек:
    -         должна ли происходить блокировка учетной карточки;
    -     должны  ли  пользователи  насильно  отключаться  от  сервера   по
истечении часов начала сеанса;
    -      должны ли пользователи иметь возможность входа в систему,  чтобы
изменить свой пароль.
         Когда разрешена блокировка учетной карточки, тогда учетная карточка
блокируется  в  случае  нескольких   безуспешных   попыток   начала   сеанса
пользователя, и не  более,  чем  через  определенный  период  времени  между
любыми  двумя  безуспешными  попытками  начала  сеанса.  Учетные   карточки,
которые заблокированы, не могут  быть  использованы  для  входа  в  систему.
Блокировка  учетной  карточки  обязательно   должна   быть   установлена   в
предприятие, что бы предотвратить попытки входа в систему.
    Если пользователи принудительно отключаются от  серверов,  когда  время
его сеанса истекло, то они получают  предупреждение  как  раз  перед  концом
установленного периода сеанса. Если пользователи не отключаются от сети,  то
сервер произведет отключение принудительно. Однако  отключения  пользователя
от рабочей станции не произойдет. Часы сеанса  в  фирме  устанавливаться  не
будут, так как в  успешной  деятельности  заинтересованы  все  сотрудники  и
зачастую некоторые остаются работать сверхурочно или в выходные дни.
       Если от пользователя требуется изменить пароль, то, когда  он  этого
не сделал при просроченном пароле, он не сможет изменить  свой  пароль.  При
просрочке пароля пользователь должен обратиться к администратору системы  за
помощью в изменении пароля, чтобы иметь возможность снова  входить  в  сеть.
Если пользователь не входил в систему, а время изменения пароля подошло,  то
он будет  предупрежден  о  необходимости  изменения,  как  только  он  будет
входить. Изменение своего пароля будет разрешено не для всех  пользователей,
в компьютерных классах будет запрещено менять пароль, эта возможность  будет
только у администрации сети.

         6.1.7.  Шифрованная файловая система EFS

         Windows  2000  предоставляет  возможность   еще   больше   защитить
зашифрованные  файлы  и  папки  на  томах   NTFS   благодаря   использованию
шифрованной файловой системы EFS (Encrypting  File  System).  При  работе  в
среде Windows 2000 можно работать только с  теми  томами,  на  которые  есть
права доступа. В файловых системах, в которых  не  используется  шифрование,
если запускается компьютер по сети или воспользоваться загрузочной  дискетой
MS DOS или Windows 98, можно получить доступ ко всем файлам,  хранящимся  на
диске,  так  как  на  пользователя  в  этом   случае   не   распространяются
ограничения доступа, сведения о которых  содержатся  в  специальных  списках
контроля доступа.
         При использовании шифрованной файловой системы EFS  можно  файлы  и
папки, данные  которых  будут  зашифрованы  с  помощью  пары  ключей.  Любой
пользователь, который захочет получить доступ к определенному файлу,  должен
обладать  личным   ключом,   с   помощью   которого   данные   файла   будут
расшифровываться. Система EFS так же  обеспечивает  схему  защиты  файлов  в
среде Windows 2000. Однако не следует
забывать о том, что при использовании шифрования  производительность  работы
системы снижается.[2]


                                 Заключение


      В  аттестационной работе рассмотрены вопросы организации корпоративной
сети.
      Данная тема  имеет  немаловажное  значение  для  дальнейшего  развития
предприятия.  На  сегодняшний  день   разработка   и   внедрение   локальных
информационных систем является одной из самых интересных и  важных  задач  в
области информационных технологий. Появляется  потребность  в  использовании
новейших  технологий   передачи   информации.    Интенсивное   использование
информационных  технологий  уже  сейчас  является  сильнейшим  аргументом  в
конкурентной борьбе, развернувшейся на мировом рынке.
      Особое внимание  уделено  вопросам  безопасности  и  администрирования
сети.
      В качестве ОС выбрано сервера Windows 2000 Advanced Server, ОС рабочих
станций Windows 2000 Рrofessional, т.к. эти ОС наиболее  надежны  и  большее
количество современного ПО рассчитано на  эти  ОС.  Кроме  ОС  Windows  2000
обладает  гибкостью,  позволяющей   расширять,   сужать   или   распределять
серверные  системы  без  ущерба  для  многофункциональности  и   соотношения
цена/быстродействие для платформы операционной системы.
      Так же операционная система Windows 2000  предоставляет  средства  для
обеспечения конфиденциальности и целостности данных на следующих уровнях:
 . при входе в сеть;
 . в локальных сетях и при переходе между сетями;
 . при локальном хранении данных.
      Сделан также подробный обзор служб Windows 2000 Advanced Server:
      Главным  отличием  Windows  2000  является  Active  Directory  (служба
каталогов)  —   один   из   наиболее   важных   компонентов   распределенной
компьютерной системы. Она решает следующие задачи:
 . Обеспечивает заданную администраторами безопасность для защиты данных  от
   потенциальных нарушителей.
 . Распределяет содержимое каталога по многим компьютерам сети.
 . Реплицирует каталог, чтобы  сделать  его  доступным  для  большего  числа
   пользователей, а также повысить его отказоустойчивость.
 .  Разбивает  каталог  на  разделы  по  нескольким   хранилищам,   создавая
   возможность хранения очень большого числа объектов.
      DHCP (Dynamic Host Configuration Protocol) — это стандарт, описанный в
документах  RFC  (Request  for   Comments)   и   позволяющий   DHCP-серверам
динамически  распределять  IP-адреса,  а  также  управлять  соответствующими
параметрами конфигурации протокола IP для сетевых  клиентов,  поддерживающих
стандарт  DHCP.  DHCP  упрощает  и  сокращает   усилия,   затрачиваемые   на
конфигурирование  узлов  TCP/IP.  Каждый  компьютер  в  сети  должен   иметь
уникальное имя и IP-адрес. При его перемещении в другую  подсеть  необходимо
изменить IP-адрес  и  другие  параметры  конфигурации.  Включение  в  проект
сервера DHCP позволит Вам динамически обновлять конфигурацию клиентов.
      DNS сетевая служба разрешения имен, которая позволяет компьютерам сети
регистрировать и выполнять прямое и обратное разрешение доменных имен в  IP-
адреса. Пользователи и приложения используют доменные DNS-имена  для  поиска
и   обращения   к   ресурсам,   предоставляемым   другими   компьютерами   в
корпоративной сети и/или других сетях, например в Интернете.
      DNS  поддерживает  распределенную  базу  данных  для   регистрации   и
обработки запросов полных доменных имен.
      •    DNS-сервер имен, соответствующий требованиям документов RFC;
      •    поддержка взаимодействия с другими реализациями серверов DNS;
      •    интеграция со службами Active Directory, WINS и DHCP;
      •    динамическое обновление зон в соответствии с рекомендациями RFC;
      •    добавочные зонные передачи между серверами DNS.
      WINS  поддерживает  распределенную  базу  данных  для   автоматической
регистрации и обработки запросов на разрешение NetBIOS-имен  от  компьютеров
в сети. Включите в проект WINS, если  требуется  разрешение  NetBIOS-имен  в
маршрутизируемой IP-среде.
      Служба Routing and Remote Access (Маршрутизация  и  удаленный  доступ)
поддерживает доступ удаленных  пользователей  к  ресурсам,  расположенным  в
частной сети организации.  Используйте  Routing  and  Remote  Access,  когда
требуется обеспечить доступ удаленным пользователям —  по  телефонной  линии
или по VPN-каналу через Интернет.
Так же в аттестационной работе выбрана оптимальная  аппаратная  конфигурация
сервера и произведен расчет нагрузки спроектированной ЛВС.

                      Список использованной литературы



        1. Windows 2000 Server. Учебный курс MCSE.  –  М.:  изд-во  Русская
           редакция, 2000. – 612с.
        2. Администрирование сети на основе Microsoft Windows 2000. Учебный
           курс MCSE. – М.: изд-во Русская редакция, 2000. – 512с.
        3. Андреев А.Г. Новые технологии  Windows  2000  /  под  ред.  А.Н.
           Чекмарева – СПб.: БХВ – Санкт-Петербург, 1999. – 592с.
        4. Вишневский А. Служба каталога  Windows  2000.  Учебный  курс.  -
           СПб.: Питер, 2001. – 464с.
        5. Кульгин М. Технология корпоративных сетей. Энциклопедия. – СПб.:
           Питер, 2001. - 704с.
        6. Милославская Н. Г/ Интрасети: доступ в Internet, защита. Учебное
           пособие для ВУЗов. – М.: ЮНИТИ, 1999 – 468 с.
        7.   Новиков   Ю.   Локальные   сети:    архитектура,    алгоритмы,
           проектирование. – М.: изд-во ЭКОМ, 2000. – 568 с.
        8. Норенков И.П., Трудоношин В.А. Телекоммуникационные технологии и
           сети. -  М.: изд-во МГТУ им. Н.Э.Баумана, 1999 – 392с.
        9.  Олифер  В.Г.,  Олифер   Н.А.   Компьютерные   сети.   Принципы,
           технологии, протоколы. Учебник для вузов. 2-е изд - СПб.: Питер-
           пресс, 2002 – 864с.
       10. Олифер В.Г., Олифер Н.А. Новые  технологии  и  оборудование  IP-
           сетей – СПб.: БХВ – Санкт-Петербург, 2000. – 512с.
       11. Разработка инфраструктуры сетевых служб Microsoft Windows  2000.
           Учебный курс MCSE М.: изд-во Русская редакция, 2001. – 992с.
       12. Сосински Б., Дж. Московиц Дж. Windows 2000 Server за 24 часа.  –
           М.: Издательский дом Вильямс, 2000. – 592с.
       13.  Тейт   С.   Windows   2000   для   системного   администратора.
           Энциклопедия. – СПб.: Питер, 2001. - 768с.[pic]
-----------------------
                                  firma.ru

                         Требуется установка сервера

                        Желательна установка сервера

                  Возможно использование одноранговой сети

                         Требуется установка сервера

                    Горизонтальная структура предприятия

                     Вертикальная структура предприятия

                    Горизонтальная структура предприятия

                     Вертикальная структура предприятия

                          От 3 до 5 рабочих станций

                          5 и более рабочих станций

                      Количество рабочих станций в сети


                                     1-й
                                    отдел

                                  Директор

                          Отдел прямого подчинения

                                  2-й отдел

                                  3-й отдел

                                  4-й отдел

                                6-е отделение

                                5-е отделение

                                4-е отделение

                                2-е отделение

                                1-е отделение

                                3-е отделение

                              filial1.firma.ru


                              filial1.firma.ru


                              filial2.firma.ru


                                  firma.ru

                              filial2.firma.ru



                                 Sidoroff.ru





смотреть на рефераты похожие на "Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server"