- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
252
Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
9.1.Основы функционирования протокола TCP/IP
9.1.1.Адресация узлов в IP-сетях
Всетях TCP/IP принято различать адреса сетевых узлов трех уровней:
•физический (или локальный) адрес узла (МАС-адрес сетевого адаптера или порта маршрутизатора); эти адреса назначаются производителями сетевого оборудования;
•IP-адрес узла (например, 192.168.0.1), данные адреса назначаются сетевыми администраторами или Интернетпровайдерами;
•символьное имя (например, www.microsoft.com); эти имена также назначаются сетевыми администраторами компаний или Интернет-провайдерами.
Рассмотрим далее более подробно IP-адресацию. Компьютеры или другие сложные сетевые устройства,
подсоединенные к нескольким физическим сетям, имеют несколько IP-адресов — по одному на каждый сетевой интерфейс. Схема адресации позволяет проводить единичную, широковещательную и групповую адресацию. Таким образом, выделяют три типа IP-адресов:
1.Unicast-адрес (единичная адресация конкретному узлу) – используется в коммуникациях «один-к-одному».
2.Broadcast-адрес (широковещательный адрес, относящийся ко всем адресам подсети) — используется в коммуникациях «один-ко-всем». В этих адресах поле идентификатора устройства заполнено единицами. IP-адресация допускает широковещательную передачу, но не гарантирует ее — эта возможность зависит от конкретной физической сети. Например, в сетях Ethernet широковещательная передача выполняется с той же эффективностью, что и обычная передача данных, но есть сети, которые вообще не поддерживают такой тип передачи или поддерживают весьма ограничено.
3.Multicast-адрес (групповой адрес для многоадресной отправки пакетов) — используется в коммуникациях «один-ко-
253
многим». Поддержка групповой адресации используется во многих приложениях, например, приложениях интерактивных конференций. Для групповой передачи рабочие станции и маршрутизаторы используют протокол IGMP (Internet Group Management Protocol — протокол управления группами Интернета), который предоставляет информацию о принадлежности устройств определенным группам.
Unicast-адреса
Каждый сетевой интерфейс на каждом узле сети должен иметь уникальный unicast-адрес. IP-адрес имеет длину 4 байта (или 32 бита). Для удобства чтения адресов 32-битные числа разбивают на блоки по 8 бит, каждый блок переводят в десятичную систему исчисления и при записи разделяют точками.
Например, IP-адрес 11000000101010000000000000000001 записывается как 192.168.0.1.
IP-адрес состоит из двух частей — идентификатор сети (префикс сети, Network ID) и идентификатор узла (номер устройства, Host ID). Такая схема приводит к двухуровневой адресной иерархии. Структура IP-адреса изображена на рисун-
ке 9.1.
Биты |
|
31 |
0 |
Network ID |
Host ID |
Рис. 9.1. Структура IP-адреса
Идентификатор сети идентифицирует все узлы, расположенные на одном физическом или логическом сегменте сети, ограниченном IP-маршрутизаторами. Все узлы, находящиеся в одном сегменте, должны иметь одинаковый идентификатор сети.
Идентификатор узла идентифицирует конкретный сетевой узел (сетевой адаптер рабочей станции или сервера, порт маршрутизатора). Идентификатор узла должен быть уникален для каждого узла внутри IP-сети, имеющей один идентификатор сети.
254
Таким образом, в целом IP-адрес будет уникален для каждого сетевого интерфейса всей сети TCP/IP.
Network mask, которая имеет длину также 4 байта и также записывается в десятичной форме по 4 блока, разделенных точками. Старшие биты маски подсети, состоящие из 1, определяют, какие разряды IP-адреса относятся к идентификатору сети. Младшие биты маски, состоящие из 0, определяют, какие разряды IP-адреса относятся к идентификатору узла.
IP-адрес и маска подсети — минимальный набор параметров для конфигурирования протокола TCP/IP на сетевом узле.
Для обеспечения гибкости в присваивании адресов компьютерным сетям разработчики протокола определили, что адресное пространство IP должно быть разделено на три различных класса — А, В и С.
В дополнение к этим трем классам выделяют еще два класса. D — этот класс используется для групповой передачи данных. Е — класс, зарезервированный для проведения экспериментов.
IP-адреса класса А.
Старший бит любого IP-адреса в сети класса А всегда равен 0. Идентификатор сети состоит из 8 бит, идентификатор узла — 24 бита. Маска подсети для узлов сетей класса A — 255.0.0.0. Структура IP-адресов класса А приведена на рисун-
ке 9.2.
Рис. 9.2. Структура IP-адресов класса А
IP-адреса класса B.
Два старших бита любого IP-адреса в сети класса B всегда равны 10. Идентификатор сети состоит из 16 бит, идентификатор узла — 16 бит. Маска подсети для узлов сетей класса B —
255
255.255.0.0. Структура IP-адресов класса B приведена на рисун-
ке 9.3.
Рис. 9.3. Структура IP-адресов класса В
IP-адреса класса C.
Три старших разряда любого IP-адреса в сети класса C всегда равны 110. Идентификатор сети состоит из 24 разрядов, идентификатор узла — из 8 разрядов. Маска подсети для узлов сетей класса C — 255.255.255.0. Структура IP-адресов класса C приведена на рисунке 9.4.
Рис. 9.4. Структура IP-адресов класса С
Класс D.
IP-адреса класса D используются для групповых адресов (multicast-адреса). Четыре старших разряда любого IP-адреса в сети класса D всегда равны 1110. Оставшиеся 28 бит используются для назначения группового адреса.
Класс E.
Пять старших разрядов любого IP-адреса в сети класса E равны 11110. Адреса данного класса зарезервированы для будущего использования (и не поддерживаются системой Windows Server).
Правила назначения идентификаторов сети (Network
ID):
• первый блок идентификатора сети не может быть равен 127 (адреса вида 127.x.y.z предназначены для отправки узлом
256
пакетов самому себе и используются, как правило, для отладки сетевых приложений, такие адреса называются loopbackадресами, или адресами обратной связи);
•все разряды идентификатора сети не могут состоять из одних 1 (IP-адреса, все биты которых установлены в 1, используются при широковещательной передаче информации);
•все разряды идентификатора сети не могут состоять из одних 0 (в IP-адресах все биты, установленные в ноль, соответствуют либо данному устройству, либо данной сети);
•идентификатор каждой конкретной сети должен быть уникальным среди подсетей, объединенных в одну сеть с помощью маршрутизаторов.
Диапазоны возможных идентификаторов сети приведены в таблице 9.1.
Таблица 9.1
Диапазоны возможных идентификаторов сети
|
Наименьший |
Наибольший |
Количество |
|
Класс сети |
идентификатор |
идентификатор |
||
сетей |
||||
|
сети |
сети |
||
|
|
|||
Класс A |
1.0.0.0 |
126.0.0.0 |
126 |
|
Класс B |
128.0.0.0 |
191.255.0.0 |
16384 |
|
Класс C |
192.0.0.0 |
223.255.255.0 |
2097152 |
Правила назначения идентификаторов узла (Host ID):
•все разряды идентификатора узла не могут состоять из одних 1 (идентификатор узла, состоящий из одних 1, используется для широковещательных адресов, или broadcast-адресов);
•все разряды идентификатора сети не могут состоять из одних 0 (если разряды идентификатора узла равны 0, то такой адрес обозначает всю подсеть, например, адрес 192.168.1.0 с маской подсети 255.255.255.0 обозначает всю подсеть с идентификатором сети 192.168.1);
•идентификатор узла должен быть уникальным среди узлов одной подсети.
Диапазоны возможных идентификаторов узла приведены в таблице 9.2.
|
|
257 |
|
|
|
|
|
|
Таблица 9.2 |
Диапазоны возможных идентификаторов узла |
||||
|
|
|
|
|
|
Наименьший |
|
Наибольший |
Количество |
Класс сети |
идентификатор |
|
идентификатор |
|
|
узлов |
|||
|
узла |
|
узла |
|
|
|
|
||
Класс A |
w.0.0.1 |
|
w.255.255.254 |
16777214 |
Класс B |
w.x.0.1 |
|
w.x.255.254 |
65534 |
Класс C |
w.x.y.1 |
|
w.x.y.254 |
254 |
Другим способом обозначения сети, более удобным и более кратким, является обозначение сети с сетевым префиксом. Такое обозначение имеет вид «/число бит маски подсети». Например, подсеть 192.168.1.0 с маской подсети 255.255.255.0 можно более кратко записать в виде 192.168.1.0/24, где число 24 длина маски подсети в битах.
9.1.2.Публичные и приватные (частные) IP-адреса
Все пространство IP-адресов разделено на две части: публичные адреса, которые распределяются между Интернетпровайдерами и компаниями международной организацией Internet Assigned Numbers Authority (IANA), и приватные адреса,
которые не контролируются IANA и могут назначаться внутрикорпоративным узлам по усмотрению сетевых администраторов. Если какая-либо компания приобрела IP-адреса в публичной сети, то ее сетевые узлы могут напрямую маршрутизировать сетевой трафик в сеть Интернет и могут быть прозрачно доступны из Интернета. Если внутрикорпоративные узлы имеют адреса из приватной сети, то они могут получать доступ в Интернет с п о- мощью протокола трансляции сетевых адресов (NAT, Network Address Translation) или с помощью прокси-сервера. В простейшем случае с помощью NAT возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.
Механизм трансляции адресов NAT преобразует IP-адреса из частного адресного пространства IP (эти адреса еще называют «внутренние», или «серые IP») в зарегистрированное откры-
258
тое адресное пространство IP. Обычно эти функции (NAT) выполняет либо маршрутизатор, либо межсетевой экран (firewall) – эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов.
На практике обычно компании получают через Интернетпровайдеров небольшие сети в пространстве публичных адресов для размещения своих внешних ресурсов — web-сайтов или почтовых серверов. А для внутрикорпоративных узлов используют приватные IP-сети.
Пространство приватных IP-адресов состоит из трех блоков:
•10.0.0.0/8 (одна сеть класса A);
•172.16.0.0/12 (диапазон адресов, состоящий из 16 сетей класса B — от 172.16.0.0/16 до 172.31.0.0/16);
•192.168.0.0/16(диапазон адресов, состоящий из 256 се-
тей класса C — от 192.168.0.0/24 до 192.168.255.0/16).
Кроме данных трех блоков имеется еще блок адресов, ис-
пользуемых для автоматической IP-адресации (APIPA, Automatic Private IP Addressing). Автоматическая IP-адресация применяется в том случае, когда сетевой интерфейс настраивается для автоматической настройки IP-конфигурации, но при этом в сети отсутствует сервер DHCP. Диапазон адресов для APIPA — сеть класса B 169.254.0.0/16.
9.1.3.Отображение IP-адресов на физические адреса
Каждый сетевой адаптер имеет свой уникальный физический адрес (или MAC-адрес). За отображение IP-адресов адаптеров на их физические адреса отвечает протокол ARP (Address Resolution Protocol). Необходимость протокола ARP продиктована тем обстоятельством, что IP-адреса устройств в сети назначаются независимо от их физических адресов. Поэтому для доставки сообщений по сети необходимо определить соответствие между физическим адресом устройства и его IP-адресом — это называется разрешением адресов. В большинстве случаев прикладные программы используют именно IP-адреса. А так как схемы физической адресации устройств весьма разнообразны, то необходим специальный, универсальный протокол. Протокол разрешения адресов ARP был разработан таким образом, чтобы