- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
262
•255.255.0.0 – маска для сети класса В;
•255.255.255.0 - маска для сети класса С.
Для администратора сети чрезвычайно важно знать четкие ответы на следующие вопросы:
•Сколько подсетей требуется организации сегодня?
•Сколько подсетей может потребоваться организации в будущем?
•Сколько устройств в наибольшей подсети организации сегодня?
•Сколько устройств будет в самой большой подсети организации в будущем?
Отказ от использования только стандартных классов
IP-сетей (A, B, и C) называется бесклассовой междоменной маршрутизацией (Classless Inter-Domain Routing, CIDR).
9.2. Сетевые протоколы
Кроме протокола TCP/IP, используемого при организации доступа в сеть, для поддержки файловых служб и служб печати, репликации данных между контроллерами доменов и др., Windows поддерживает также протоколы:
•Asynchronous Transfer Mode (ATM);
•Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX);
•NetBIOS Enhanced User Interface (NetBEUI);
•AppleTalk;
•Data Link Control (DLC);
•Infrared DATA ASSOCIATION (IRDA).
Протоколы можно добавлять, удалять и выборочно привязывать ко всем сетевым интерфейсам сервера. Порядок привязки протоколов определяется последовательностью, в которой они были установлены. Администратор, однако, в любое время может изменить порядок привязки протоколов для отдельных интерфейсов, что заметно расширяет возможности управления. Кроме того, для отдельных сетевых интерфейсов, протоколов и их комбинаций можно произвольно включать или отключать сетевые службы.
263
9.2.1. Протокол ATM
Протокол ATM — это усовершенствованная реализация коммутации пакетов, идеально подходящая для передачи голоса, видеоизображения и данных. ATM (Asynchronous Transfer Mode – асинхронный способ передачи данных) — это высокоскоростная сетевая технология, передающая информацию в ячейках (cell) фиксированного размера (53 байта), из которых 5 байтов используется под заголовок. ATM состоит из группы связанных технологий, включающих ПО и аппаратное обеспечение, а также среду передачи, требующую логического соединения.
ATM гарантирует высокое качество обслуживания в ЛВС, ГВС и других общедоступных сетях.
ATM поддерживается благодаря таким компонентам архи-
тектуры Windows, как LAN Emulation, IP поверх ATM, ATM по-
верх xDSL. Кроме того, используется естественный доступ к се-
тям ATM через Microsoft Windows Sockets (Winsock) 2.0.
9.2.1.1. LAN Emulation
Благодаря методу LAN Emulation (LANE, эмуляция ЛВС) через сеть ATM способны взаимодействовать протоколы, не требующие логического соединения. LANE позволяет ATM работать с устаревшими приложениями и сетями. Приложения и протоколы, способные работать с ЛВС, могут взаимодействовать через сеть ATM без дополнительных изменений. LANE включает два основных компонента: клиент LANE (Atmlane.sys) и службы LANE. Первый размещается в папке
%systemroot%\system32\drivers и позволяет протоколам ЛВС и приложениям, способным работать с ЛВС, функционировать так, будто они взаимодействуют в обычной ЛВС. Клиент LANE передает сетевым протоколам команды ЛВС, а уровню протокола ATM — «родные» команды ATM.
9.2.1.2. IP поверх ATM
Эта группа служб, обеспечивающая взаимодействие по сети ATM, — альтернатива LANE. Для переопределения структуры протокола IP, не требующей логического соединения. IP поверх ATM использует свойства ATM, которые требуют логиче-
264
ского соединения. IP поверх ATM работает аналогично LANL. В Windows есть все службы протокола IP поверх ATM.
Фактически IP поверх ATM — это небольшая прослойка между ATM и протоколами пакета TCP/IP. На верхнем уровне клиент эмулирует для стека TCP/IP стандартный протокол Интернета (IP), а на нижнем — передает уровням стека протоколов ATM естественные команды ATM.
Поддержка IP поверх ATM осуществляется двумя основными компонентами: сервером ARP (Atmarps.sys) и клиентом
ARP (Atmarpc.sys).
9.2.1.3. ATM поверх xDSL
Технология Digital Subscriber Line (xDSL, цифровая або-
нентская линия) позволяет передавать по обычной телефонной линии цифровые данные на центральную станцию телефонной компании. Для подключения пользователей DSL к магистральной сети ATM DSL-данные посылаются на мультиплексор доступа цифровых абонентских линий (Digital Subscriber Line Access Multiplexer. DSLAM). Дальняя часть DSLAM подключается
ксети ATM, скорость передачи данных в которой измеряется в гигабитах. На другом конце каждого канала DSLAM разуплотняет сигналы и пересылает их индивидуальным DSLсоединениям.
ATM поверх xDSL обеспечивает высокоскоростной доступ
ксети из дома или небольшого офиса. Для таких сред разработаны различные варианты DSL, включая ADSL (Asymmetric Digital Subscriber Line, асимметричная цифровая линия подпис-
чика) и VDSL (Very High Digital Subscriber Line, высокоскорост-
ная цифровая линия подписчика). В этих технологиях применяется локальная петля — медная пара (ADSL) или оптоволоконный кабель (VDSL), которая соединяет машину пользователя с ближайшей центральной станцией. Обычно локальная петля подключается прямо к основной сети ATM, обслуживаемой телефонной компанией.
Высокая скорость и надежность службы ATM поверх xDSL обеспечивается основной сетью ATM без смены протоко-
265
лов. Это позволяет создать сквозную сеть ATM для дома или небольшого офиса.
9.2.1.4.Доступ к сетям ATM с помощью Winsock 2.0
иестественный доступ к сетям ATM
Поддержку протокола ATM для Winsock 2.0 обеспечивает
Windows Sockets ATM Service Provider. Благодаря этому прило-
жения, использующие в качестве транспортного протокола TCP, могут получать доступ к сетям ATM через Winsock 2.0.
9.2.2.NWLink
Это реализация протокола IPX/SPX, разработанная Microsoft.
NWLink широко применяется в средах, где Windowsклиенты обращаются к ресурсам серверов NetWare или где NetWare-клиенты обращаются к ресурсам компьютеров Windows. NWLink не позволяет компьютеру с Windows напрямую обращаться к общим файлам и принтерам сервера NetWare или выступать для клиента NetWare в качестве сервера файлов или печати. Для доступа к файлам и принтерам сервера NetWare с клиентских машин с Windows надо задействовать службу CSNW (Client Service for NetWare), а в Windows Server — GSNW (Gateway Service for NetWare).
GSNW выступает для компьютера с Windows Server, на котором она установлена, как перенаправитель, а для клиентских компьютеров — как шлюз. Шлюз позволяет компьютеру с Windows Server обращаться к ресурсам (папкам и принтерам) NetWare так, как если бы они находились на сервере с Windows. Это позволяет клиентам, имеющим доступ к общим ресурсам компьютера Windows Server, обращаться к общим ресурсам, предоставляемым службой GSNW.
NWLink полезен при наличии клиент-серверных приложений NetWare, применяющих Winsock или протоколы NetBIOS
поверх IPX/SPX. Кроме того, NetWare NetBIOS Link (NWNBLink) содержит усовершенствования протокола NetBIOS от
Microsoft. NWNBLink форматирует запросы уровня NetBIOS и
пересылает их компоненту NWLink для передачи по сети.
266
9.2.3.NetBEUI
Протокол NetBEUI был разработан как протокол для ЛВС небольших отделов с 20—200 компьютерами.
NetBEUI не поддерживает маршрутизацию, так как в его архитектуре нет сетевого уровня. Из-за этого ограничения компьютеры с Windows и NetBEUI приходится соединять мостами, а не маршрутизаторами. Кроме того, NetBEUI основан на широковещании, т.е. большинство своих функций (вроде регистрации и разрешения имен) он выполняет посредством широковещания, и поэтому объем широковещательного трафика у NetBEUI гораздо больше, чем у других протоколов. NetBEUI обеспечивает:
•совместимость с существующими ЛВС, использующими данный протокол;
•связь между компьютерами с обязательным установлением логического соединения и без такового;
•самоконфигурирование и самонастройку;
•защиту от ошибок;
•незначительную загрузку памяти.
Примечание
В сети Windows с Active Directory нельзя использовать NWLink или NetBEUI в качестве основного протокола. Для доступа к службе Active Directory может применяться лишь пакет протоколов TCP/IP.
9.2.4.AppleTalk
Стек протоколов AppleTalk разработан компанией Apple Computer Corporation для организации связи между компьюте-
рами Macintosh. В Windows включена поддержка AppleTalk,
позволяющая компьютерам с Windows Server и клиентам Apple Macintosh совместно использовать файлы и принтеры. Кроме того, AppleTalk позволяет Windows выступать в качестве маршрутизатора и сервера удаленного доступа. Для корректной работы протокола AppleTalk на компьютере с Windows Server нужно установить службы Windows Services for Macintosh; компьютер также должен быть доступен в сети.