Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

порождало множество ошибок. Многие сравнивают динамическое обновление DNS с

функционированием WINS. Так как эти идеи действительно схожи, помните, что

цель WINS – разрешение имен NetBIOS в IP-адрес, в то время как DNS

сопоставляет имена узлов их IP-адресам.

DNS используется Windows 2000 не только для разрешения имен узлов в их

IP-адреса. Эта служба также помогает системе находить службы в сети, такие

как службу аутентификации контроллера домена. Когда пользователь пытается

войти в домен, его Windows 2000-система запрашивает DNS о наличии одного

или более контроллеров домена на данном физическом сайте. Контроллеры

домена автоматически регистрируются в DNS и также регистрируют записи,

относящиеся к некоторым, работающим на них, службам. Точно также, клиенты

Windows 2000 могут регистрировать себя в DNS самостоятельно, а могут и

через сервер DHCP, который дает клиенту его IP-адрес. Оба эти механизма

требуют пристального рассмотрения и мы вернемся к ним в нашей серии.

Хотя этот раздел только введение в DNS, хочу привести несколько

дополнительных важных заметок о DNS:

- Windows 2000 DNS поддерживает IXFR или инкрементальный (добавочный)

трансфер зоны. При этой настройке, если происходят изменения в файле зоны,

только эти изменения реплицируются на другие сервера DNS. Если вы помните,

в Windows NT DNS поддерживало только АXFR – полный трансфер зоны, при

котором изменения в зоне вызывали необходимость репликации всего файла зоны

на все дополнительные сервера имен.

- Если используется DNS, интегрированный в Active Directory, то можно

активизировать функцию, называемую Secure Dynamic Updates (безопасные

динамические обновления). При этом сервер DNS будет позволять обновления

или регистрацию записей только с систем, которые имеют правомочные учетные

записи в Active Directory. Если эта настройка не активизирована, то любая

система может делать изменения в DNS, что представляет, конечно же, угрозу

безопасности сети.

5.3.1. Планирование внедрения DNS для Active Directory

Прежде чем устанавливать Active Directory в среду Windows 2000, важно

разработать реализацию DNS, которая бы соответствовала как вашей системе

разрешения имен, так и требованиям Active Directory. DNS необходим Active

Directory как для разрешения имен, так и для определения пространства имен,

так как доменные имена в Windows 2000 базируются на соглашении об

именовании DNS. Как следствие, любой сервер, на который устанавливается

Active Directory, должен иметь в своих настройках протокола TCP/IP указание

на сервер DNS, который необходимо установить и настроить предварительно.

Если не сделаеть это заранее, то инсталляция Active Directory автоматически

создаст структуру DNS, которая, возможно, не будет соответствовать вашим

пожеланиям.

Первая концепция - это использование DNS для разрешения имен узлов

(нахождение соответствующего узлу IP-адреса) или разрешения FQDN (Fully

Qualified Domain Name – полностью определенное имя домена) в его IP-адрес.

Чтобы напомнить вам, FQDN представляет имя узла в виде доменного имени

системы. Например:

www.firma.ru

В этом примере имя узла – левая часть полного имени, а именно www.

Имена узла также могут разрешаться при помощи файла HOSTS, который является

статическим текстовым файлом и находится в папке

%systemroot%\system32\drivers\etc на локальном компьютере. Не стоит путать

DNS c WINS, которая ставит в соответствие Netbios имени соответствующий IP-

адрес (также имеется текстовый эквивалент данной службы, файл LMHOSTS).

Служба DNS хранит большое число записей ресурсов различного типа,

кроме простой записи хоста, т.н. «А» записи. Наиболее используемые типы

записей, которые можно встретить в файле зоны, рассмотрены ниже:

SOA – представляет из себя запись ресурса начальной записи зоны, и

предоставляет информацию о зоне, включая сведения о том, какой сервер

является основным, кто отвечает за административный контакт, как часто файл

базы данных проверяется на наличие изменений, серийный номер базы данных,

значение времени жизни, и т.д.

A – представляет уникальный адрес узла в сети, сопоставляя его имя IP-

адресу.

NS – обозначает доменное имя и связанное с ним FQDN сервера имен,

который является полномочным для домена.

MX – обозначает, что данный узел является почтовой службой (сервером

почты или сервером пересылки) для определенного домена.

PTR – предоставляет возможность для обратного просмотра (сопоставляет

IP-адресу узла его FQDN). Это позволяет находить имя узла, связанное с IP-

адресом. Записи PTR находятся в файле reverse lookup zone (зоны обратного

просмотра).

SRV – сопоставляет отдельные службы одному или нескольким узлам и

наоборот. Например, записи могут обозначать сервер как сервер Глобального

Каталога, контроллер домена и т.д.

Вторая главная концепция – эта концепция Зоны. Зона – это область

пространства имен DNS, которая функционирует как административная единица.

То есть группа серверов ответственна (имеет полномочие) за записи,

относящиеся к некоторому домену или поддомену. Главной причиной для того,

чтобы иметь несколько зон, является разделение административной

ответственности, так же как и задача пересылки зон.

Существует 5 основных типов серверов DNS. Это основные, вторичные,

интегрированные в Active Directory, серверы пересылки и кэширующие сервера.

Основной сервер DNS – основным сервером DNS является сервер, который

полномочен для зоны. По существу это означает, что в зоне есть только один

сервер, на котором можно производить изменения в базе данных зоны.

Вторичный сервер DNS – вторичный сервер DNS содержит копии «только для

чтения» информации, хранящейся на основном сервере DNS, и получают

обновления в ходе передачи зоны. Один вторичный сервер является минимально

необходимым, но и другие могут создаваться с целью выравнивания нагрузки и

обеспечению отказоустойчивости.

Интегрированный в Active Directory сервер DNS – возможен только для

серверов DNS на базе OS Windows 2000, в данной реализации DNS файл зоны

хранится как объект в Active Directory, а не как несколько файлов на

жестком диске. В данном сценарии каждый контроллер домена, на котором

установлена DNS по существу действует как основной сервер DNS, допускает

изменения в зоне и осуществляет синхронизацию файла зоны через репликацию

Каталога. Как следствие, если какой-либо сервер DNS выйдет из строя, любой

другой сервер, интегрированный в Active Directory может продолжать

осуществлять изменения.

Кэширующий только – кэширующий сервер DNS не является полномочным для

зоны. Как следствие, он только получает клиентские запросы, осуществляет

запросы других серверов DNS, кэширует результаты и посылает ответы

клиентам. По умолчанию кэширующий сервер DNS пересылает все запросы, ответы

на которые не найдены в его кэше, корневому серверу DNS.

Сервер пересылки DNS – серверы DNS могут быть настроены так, что будут

пересылать запросы, которые не могут разрешить к какому-либо определенному

серверу. Такие серверы называются forwarder (сервер пересылки). Серверы

пересылки могут впоследствии обрабатывать запросы, вместо других серверов

DNS. Это позволяет уменьшить время обработки некоторых запросов по поиску

узлов (в Интернете, например), т.к. сервер пересылки обрабатывает запросы и

кэширует результат, который потом возвращается к компьютеру, сделавшему

запрос. Это может улучшить и скорость и производительность.

5.3.2. Новые свойства DNS в Windows 2000

В реализации DNS в Windows 2000 есть ряд изменений по сравнению с NT

4. Наиболее важные из них это – поддержка записей служб, динамическая DNS,

безопасное динамическое обновление, добавочная передача зоны и

интегрирование с Active Directory.

Записи для служб – в реализации DNS в Windows 2000 поддерживаются

записи для такого важного типа ресурсов, как записи служб (часто

упоминаемые как SRV записи). Записи служб позволяют клиентам запрашивать

DNS-поиск для систем, на которых запущены определенные службы, такие как

Глобальный Каталог (который обозначается как GC-запись).

Динамическая DNS – в традиционных реализациях DNS все записи было

необходимо создавать и изменять вручную на DNS сервере, что могло отнимать

огромное количество времени. Реализация DNS в Windows 2000 поддерживает RFC

2136 и обычно называется Dynamic DNS или DDNS. В данной реализации клиенты

имеют возможность автоматически обновлять свои записи, которые главным

образом используются в среде, где клиенты подключаются к серверу DHCP для

получения IP-адресов. Windows 2000 является единственной OS фирмы Microsoft

(теперь еще и Windows XP), которая поддерживает динамическое обновление.

Однако можно настроить сервер DHCP в Windows 2000 так, что он сможет

обновлять DNS на стороне клиентов, что позволяет клиентам, работающим под

другими (не-Windows 2000) OS, обновлять информацию о себе в DNS.

Динамическая DNS также очень удобна для контроллеров домена, которые также

могут автоматически регистрировать записи своих сервисов, в противном

случае, все это было бы необходимо делать вручную.

Безопасное динамическое обновление – если DNS зона является

интегрированной в Active Directory, то Windows 2000 позволяет вам

использовать нечто, что называется безопасным динамическим обновлением.

Заметьте, что простые динамические обновления могут быть потенциально

опасными, потому что любой клиент может быть зарегистрирован в DNS, так как

динамическая DNS только отвечает на запросы, но не аутентифицирует их. Если

установлено безопасное динамическое обновление, только пользователь или

система, которые имеют соответствующие разрешения на связанных ACL (access

control list – списках контроля доступа) для зоны, могут добавлять записи в

DNS. По умолчанию Группа Аутентифицированных Пользователей имеет

необходимые разрешения. Клиентские системы сначала предпринимают попытку

использовать обычный запрос по умолчанию и, если он будет отвергнут,

безопасное обновление.

Добавочная передача зоны – реализация NT 4 DNS поддерживает только

AXFR, или полную передачу зоны. При этой конфигурации каждый раз, когда

основной сервер имен осуществлял передачу зоны вторичному серверу, файл

базы данных зоны передавался целиком, даже если в нем произошло единичное

изменение. Windows 2000 поддерживает IXFR или добавочную передачу зоны. В

данной реализации, только изменения передаются в ходе передачи зоны, вместо

передачи всего файла базы данных зоны.

Интеграция с Active Directory – Windows 2000 продолжает поддерживать

традиционную реализацию по схеме основной/вторичный сервера DNS. В данном

сценарии, изменения в файле зоны могут быть сделаны только на основном

сервере, так как только он содержит редактируемую копию файла зоны. В

Windows 2000 вводится новая концепция – DNS, интегрированная в Active

Directory. В этой реализации файл зоны DNS и связанная с ним информация

хранится как объект в Active Directory вместо того, чтобы находиться в

папке DNS на жестком диске. Эта интеграция позволяет любому контроллеру

домена, на котором запущена служба DNS, делать изменения в базе данных DNS,

при этом изменения в зоне реплицируются как часть процесса репликации

Active Directory. Это также позволяет сделать службу DNS более

отказоустойчивой. В традиционной среде DNS, если основной сервер имен

выходит из строя, все динамические изменения в DNS становятся невозможными,

так как редактируемая копия зоны недоступна. В DNS, интегрированной в

Active Directory, все DNS сервера могут осуществлять обновления.

Традиционные сервера DNS могут продолжать существовать в такой среде – они

могут быть вторичными и использовать сервер DNS, интегрированный в Active

Directory, как основной сервер для получения файла зоны.

5.3.3 Настройка сервера DNS.

Настройка и изменение конфигурации сервера DNS могут понадобиться по

разным причинам, например:

1. При изменении имени компьютера-сервера

2. При изменении имени домена для компьютера-сервера

3. При изменении IP-адреса компьютера-сервера

4. При удалении сервера DNS из сети

5. При изменении основного сервера (primary server) зоны

Управление клиентами

Для клиентов Windows конфигурация DNS при настройке свойств TCP/IP

для каждого компьютера включает следующие задачи:

1. Установка имени хоста DNS для каждого компьютера или сетевого

подключения.

2. Установка имени родительского домена, которое помещается после

имени хоста, чтобы формировать полное (fully qualified) имя домена для

каждого клиента.

3. Установка основного DNS-сервера и списка дополнительных DNS-cep-

веров, которые будут использоваться, если основной сервер недоступен.

4. Установка очередности списка поиска доменов, используемого в

запросах для дополнения не полностью заданного имени компьютера.

Управление зонами

После добавления зоны при помощи оснастки DNS можно управлять

следующими общими свойствами зоны:

1. Запрещать или разрешать использование зоны

2. Изменять или преобразовывать тип зоны

3. Разрешать или запрещать динамическое обновление зоны

Также можно настраивать начальные записи зоны (Start Of Authority,

SOA), ресурсные записи, делегирование зон, списки оповещения, использование

просмотра WINS, а также управлять зонами обратного просмотра (reverse

zone), необходимыми для обратного разрешения имен — из адреса в имя.

Мониторинг и оптимизация

В Windows 2000 Advanced Server можно производить мониторинг и по его

результатам оптимизировать настройки службы DNS при помощи:

1. Системного монитора (Performance Monitor)

2. Опций протоколирования

3. Статистики по DNS-серверу

4. Настройки дополнительных параметров

5.4. Служба WINS

Служба WINS (Windows Internet Name Service, служба имен Windows)

обеспечивает поддержку распределенной базы данных для динамической

регистрации и разрешения имен NetBIOS для компьютеров и групп, используемых

в сети. Служба WINS отображает пространство имен NetBIOS и адресное

пространство IP друг на друга и предназначена для разрешения имен NetBIOS в

маршрутизируемых сетях, использующих NetBIOS поверх TCP/IP. Имена NetBIOS

используются более ранними версиями операционных систем Microsoft для

идентификации компьютеров и других общедоступных ресурсов. [12]

Хотя протокол NetBIOS может применяться с другими сетевыми

протоколами, помимо TCP/IP (например, NetBEUI или IPX/SPX), служба WINS

была разработана для поддержки NetBIOS поверх TCP/IP (NetBT). WINS упрощает

управление пространством имен NetBIOS в сетях на базе TCP/IP. WINS

применяется для распознавания имен NetBIOS, но для ускорения разрешения

имен клиенты должны динамически добавлять, удалять или модифицировать свои

имена в WINS.

5.4.1. Новые возможности WINS в Windows 2000

В Windows 2000 WINS обеспечивает следующие расширенные возможности:

1. Постоянные соединения. Теперь можно настроить каждый WINS-сервер на

обслуживание постоянного соединения с одним или большим количеством

партнеров репликации. Это увеличивает скорость репликации и снижает затраты

на открытие и завершение соединений.

2. Управление "захоронением". Можно вручную отмечать записи для

захоронения (отметка для дальнейшего удаления, tombstoning). Состояние

"захоронения" записи копируется для всех серверов WINS, что предотвращает

восстановление копии из баз данных других серверов.

3. Улучшенная утилита управления. Утилита управления WINS реализована

в виде оснастки ММС, что упрощает использование WINS для администратора.

4. Расширенная фильтрация и поиск записей. Улучшенная фильтрация и

новые поисковые функции помогают находить записи, показывая только записи,

соответствующие заданным критериям. Эти функции особенно полезны для

анализа очень больших баз данных WINS.

5. Динамическое стирание записей и множественный выбор. Эти

особенности упрощают управление базой данных WINS. При помощи оснастки WINS

можно легко манипулировать с одной (или более) записью WINS динамического

или статического типа.

6. Проверка записей и проверка правильности номера версии. Эти

возможности проверяют последовательность имен, сохраненных и скопированных

на серверах WINS. Проверка записей сравнивает IP-адреса, возвращаемые по

запросу по имени NetBIOS с различных серверов WINS. Проверка правильности

номера версии проверяет номер владельца таблицы отображения "адрес-версия".

7. Функция экспорта. При экспорте данные WINS сохраняются в текстовом

файле с запятыми в качестве разделителей. Можно импортировать этот файл в

Microsoft Excel и другие программы для анализа и составления отчетов.

8. Увеличенная отказоустойчивость клиентов. Клиенты под управлением

Windows 2000 или Windows 98 могут использовать более двух серверов WINS

(максимально — 12 адресов) на интерфейс. Дополнительные адреса серверов

WINS будут использоваться, если первичные и вторичные серверы WINS не

отвечают на запросы.

9. Консольный доступ только для чтения к WINS Manager. Эта возможность

предоставляется группе Пользователи WINS (WINS Users), которая

автоматически создается при установке сервера WINS. Добавляя членов к этой

группе, можно предоставить доступ только для чтения к информации о WINS.

Это позволяет пользователю-члену группы просматривать, но не изменять

информацию и свойства, хранящиеся на определенном сервере WINS.[1]

5.4.2. Компоненты службы WINS

Основные компоненты WINS — сервер WINS и клиенты WINS, а также

посредники WINS (WINS proxy).

Серверы WINS. Сервер WINS обрабатывает запросы на регистрацию имен от

клиентов WINS, регистрирует их имена и IP-адреса и отвечает на запросы

разрешения имен NetBIOS от клиентов, возвращая IP-адрес по имени, если это

имя находится в базе данных сервера (рис. 17.8). Сервер WINS поддерживает

базу данных WINS.

Клиенты WINS. Клиенты WINS регистрируют свои имена на сервере WINS,

когда они запускаются или подключаются к сети.

Microsoft поддерживает клиентов WINS на платформах Windows 2000

Server/Professional, Windows NT Server/Workstation, Windows 9x, Windows for

Workgroups, Microsoft LAN Manager, MS-DOS, OS/2, Linux/Unix (с

установленной службой Samba) [7].

Клиенты WINS обращаются к серверу WINS, чтобы зарегистрировать/об-

новить/удалить имя клиента в базе данных WINS, а также для разрешения имен

пользователей, имен NetBIOS, имен DNS и адресов IP.

Посредники WINS. Посредник WINS — клиентский компьютер WINS,

настроенный так, чтобы действовать от имени других хостов, которые не могут

непосредственно использовать WINS .

5.4.3. Планирование сети с использованием WINS

Перед установкой серверов WINS в сети необходимо решить следующие

задачи:

Определить число необходимых серверов WINS

Спланировать партнеров репликации

Оценить влияние трафика WINS на самых медленных соединениях

Оценить уровень отказоустойчивости в пределах сети для WINS

Составить и оценить план инсталляции WINS

До настройки репликации нужно тщательно спроектировать топологию

репликации WINS. В глобальных сетях это очень важно для успешного

развертывания и использования WINS.

Настройка статического отображения:

Запись, отображающая имя в IP-адрес, может быть добавлена в базу

данных WINS двумя способами:

1. Динамически (клиентами WINS, непосредственно при связи с сервером

WINS).

2. Статически (вручную, администратором, при помощи оснастки WINS или

утилит командной строки).

Статические (добавляемые администратором вручную) записи полезны,

когда нужно добавить отображение "имя-адрес" к базе данных сервера для

компьютера, который непосредственно не использует WINS. Например, в

некоторых сетях серверы под управлением других операционных систем не могут

регистрировать имя NetBIOS непосредственно на сервере WINS. Хотя эти имена

можно было бы добавить с помощью файла Lmhosts или через запрос

5.4.4. Управление базой данных WINS

Оснастка WINS обеспечивает поддержку, просмотр, копирование и

восстановление базы данных WINS. Основные задачи по работе с базой:

Сжатие базы

Резервное копирование базы

Проверка целостности базы

Переход от WINS к DNS

В сетях, использующих только Windows 2000, можно уменьшить или даже

устранить применение WINS. Удаление установленных серверов WINS из сети

называется отзывом (decommissioning).

После развертывания сервера DNS в сети отзыв сервера WINS выполняется

в такой последовательности:

1. Клиентские компьютеры перенастраиваются, чтобы они не использовали

WINS, а только DNS.

2. На каждом сервере WINS по отдельности запускается процесс отзыва:

• В дереве WINS выбрать сервер WINS, который нужно отозвать, затем

выбрать опцию Активные регистрации (Active Registrations).

• В меню Действие (Action) выберать пункт «Найти по владельцу» (Show

records for the sleeted owner).

• В появившемся окне в списке только для выбранного владельца (only

for selected owner) выбрать сервер WINS, который необходимо отозвать, и

нажать кнопку ОК.

• В подокне подробного просмотра выделить все элементы.

• В меню Действие (Action) выберать команду Удалить (Delete).

• В диалоговом окне Подтверждение удаления записей (Confirm WINS

Record Delete) установить переключатель Реплицировать удаление записи на

другие серверы (Tombstone WINS records on all WINS servers) переключателя и

нажмать кнопку ОК.

• Подтвердить удаление, нажав кнопку Да (Yes) в окне запроса.

•В дереве выберать элемент Партнеры репликации (Replication Partners).

• В меню Действие (Action) выбрать команду Запустить репликацию

(Replicate Now).

• После проверки репликации выбранных записей на другие серверы

остановить и удалить службу WINS на отозванном сервере.

3. Делается необязательная настройка для уменьшения и переадресации

трафика WINS. Может потребоваться настроить дополнительное разрешение имен

DNS через WINS.

После заключительного шага процесса отзыва WINS можно настроить

клиентские компьютеры под управлением Windows 2000, чтобы они не

использовали поддержку NetBIOS поверх TCP/IP (NetBIOS over TCP/IP). Этот

шаг нужен, только если надо уменьшить трафик запросов имени NetBIOS и

трафик регистрации WINS. Однако в большинстве сетей ограниченное применение

WINS какое-то время еще будет необходимо.

5.5. Конфигурирование сервера

Сетевая операционная система выполняется на сетевом сервере. С другой

стороны, компьютеры-клиенты могут работать под управлением различных

операционных систем. Чтобы операционная система клиента могла использовать

сеть, нужно установить специальные драйверы, которые позволят плате

сетевого интерфейса компьютера-клиента связаться с сетью. Эти драйверы

работают подобно драйверам принтера, позволяющим прикладным программам

посылать информацию на принтер. Программное обеспечение сетевого драйвера

дает возможность программам посылать и принимать информацию по сети. Каждый

компьютер в сети содержит одну или более плат сетевого интерфейса, которые

соединяют компьютер с сетью.

5.5.1. Выбор сервера

Очевидно, что производительность ЛВС не в последнюю очередь зависит от

компьютера, используемого в качестве сервера. При использовании Windows

2000 Server необходимо ориентироваться на наиболее высокоскоростной

компьютер. В этом случае, как всегда, существует возможность выбора между

готовыми серверами, предлагаемыми производителями и поставщиками

компьютерной техники, и серверами самостоятельной сборки. При наличии

определенного опыта, самостоятельно собранный под заказ сервер может

составить альтернативу готовому продукту. Большое разнообразие компонентов

не дает возможности назвать конкретные виды «железа» для закупки и

сборки. Поэтому следует обратить внимание на следующие моменты. [13]

1. На вопрос об используемой шине ответ однозначен – PCI. Помимо

высокой производительности (за счет 64-битной разрядности

шины), PCI – компоненты допускают программное

конфигурирование. Благодаря последнему обстоятельству,

возможные конфликты между подключаемыми аппаратными

ресурсами почти всегда предотвращаются автоматически.

2. Windows 2000 Server изначально предъявляет высокие

требования к объему оперативной памяти. И они еще более

возрастают в случае применения сетевого сервера (здесь объем

ОЗУ должен быть не менее 64 Мб).

3. В сервере должны использоваться, как минимум, винчестеры и

соответствующие адаптеры SCSI. Новейшие диски данного

стандарта при частоте вращения шпинделя 15000 об/мин

обеспечивают максимально высокую скорость передачи данных

практически независящую от загрузки дисковой подсистемы.

4. Идеальным корпусом будет специальный корпус для сервера,

снабженные мощными блоками питания, дополнительными

вентиляторами, съемными заглушками и защитной передней

панелью. В качестве более экономичного решения допустимо

использование корпусов типа Big Tower, прошедших сертификацию

фирмы-производителя материнской платы.

5. Скоростной привод CD-ROM не только сэкономит время при

установке ОС и прикладного ПО, но и окажется чрезвычайно

полезным при работе с централизованной справочной системой.

6. Так как все подключенные к сети рабочие станции будут

постоянно обращаться к серверу, одним из его важнейших

компонентов является производительная 32-ух или 64-х битная

сетевая карта. Она должна эффективно управлять информационным

обменом, то есть иметь сопроцессор, принимающий на себя

основные функции центрального процессора по обработке

поступающих на сервер данных. Для обеспечения дополнительной

надежности можно использовать 2 и более сетевых карты

одновременно.

Исходя из вышеизложенного, предлагается следующая модель

корпоративного сервера Klondike President 2000A.

Klondike President 2000A - универсальный сервер среднего уровня. Может

использоваться в качестве сервера служб обмена электронными сообщениями,

сервера службы доменных имен, сервера службы доступа к информационным

ресурсам. Построен на базе производительной материнской платы Intel SDS2.

Таблица 5.1.

Конфигурация сервера.

|Состав системного блока |

|Процессор |2 Intel Xeon DP 1,8 - 2,8 ГГц |

|Кэш-память |512 Кбайт (L2) |

|Чипсет |ServerWorks Server Set GC-LE |

|Оперативная память |до 12 Гбайт ECC DDR200/266 |

|Слоты расширения |3 x PCI 32-бит/33 МГц |

| |2 x PCI 64-бит/100 МГц |

| |1 x PCI 64-бит/133 МГц |

|Контроллеры жестких |- Adaptec AIC-7899W Ultra3Wide SCSI (2 канала, |

|дисков |встроенный) |

|Жесткие диски |18 – 146 Гбайт (Ultra160 SCSI, 10000-15000 об/мин) |

|Места для жестких |10 x 3,5" (горячая замена) |

|дисков | |

|Устройства |FDD 3,5" 1,44 Мбайт |

|ввода/вывода |CD-ROM 50x |

|Места для |1 x 3.5" (занято FDD) |

|дополнительных |3 x 5,25 (одно занято CD-ROM) |

|устройств | |

|Устройство резервного|- 4 мм SCSI ленточные накопители DAT стандарта |

|копирования |DDS-3 и DDS-4 емкостью до 40 Гбайт |

|Видеоконтроллер |PCI, ATI Rage XL 8 Мбайт (встроенный) |

|Сетевой адаптер |Intel PRO/100+ |

| |Intel PRO/1000 XT |

|Порты ввода/вывода |COM1, COM2, LPT, 4 USB |

|Корпус |Hudson3 - Tower (HxWxD - 45x22x69 cм) |

|Блоки питания |- 2*350 Вт |

|Диагностика |отказ вентиляторов охлаждения (предсказание |

|неисправностей |отказа), отказ жестких дисков (предсказание отказа,|

| |SMART), отказ питающих напряжений, отказ блоков |

| |питания, ошибки в памяти (с указанием сбойного |

| |модуля памяти физического адреса), ошибки PCI, сбой|

| |или превышение рабочей температуры процессоров, |

| |превышение рабочей температуры электронных |

| |компонентов, превышение рабочей температуры в |

| |отсеках для жестких дисков, зависание операционной |

| |системы |

|Устранение |автоматическая коррекция ошибок в памяти, |

|неисправностей |автоматическое отключение неисправного процессора |

| |(FRB level 1,2,3), автоматическая перезагрузка или |

| |выключение системы в критических ситуациях, |

| |автоматическая аппаратная перезагрузка при |

| |зависании операционной системы. |

|Безопасность |контроль трех датчиков открытия корпуса и отсека с |

| |жесткими дисками, блокирование клавиатуры и мыши, |

| |блокирование кнопок выключения питания и |

| |перезагрузки, выключение видео и дисковода, доступ |

| |по паролю. |

|ПО управления |Intel Server Management |

|Предустанавливаемая |Microsoft, |

|ОС | |

5.5.2. Установка Windows 2000 Advanced Server

Компьютер, на который Вы хотите установить операционную систему, не

должен содержать форматированных разделов. Раздел на жестком диске для

установки Windows 2000 Advanced Server в качестве изолированного сервера

рабочей группы можно создать непосредственно в процессе установки.

На Вашем компьютере должна работать MS-DOS или любая версия Windows.

Кроме того, он должен уметь обращаться к каталогу Bootdisk установочного

компакт-диска с Windows 2000 Advanced Server. Если Ваш компьютер настроен

для загрузки с CD-ROM, Вы можете установить Windows 2000, не используя

установочные дискеты.

5.5.2.1. Запуск процедуры предварительного копирования файлов и

текстового режима Windows 2000 Advanced Server

Вставьте загрузочный диск Windows 2000 Advanced Server и перезагрузите

компьютер

1. После перезапуска компьютера появится сообщение, что выполняется

проверка вашей системной конфигурации, и вскоре откроется окно Windows 2000

Setup.

Обратите внимание на серую строку внизу экрана. В ней сообщается, что

выполняется проверка компьютера и загрузка Windows 2000 Executive —

минимальной версии ядра Windows 2000.

2. Установщик произведет загрузку HAL, шрифтов, драйверов шины и

других программ, обеспечивающих работу материнской платы, шины и других

аппаратных средств вашего компьютера. Кроме того, будут загружены

исполнимые файлы Windows 2000 Setup.

3. Установщик произведет загрузку драйверов контроллера дисковода и

инициализацию драйверов, обеспечивающих поддержку доступа к дисководу. Во

время этого процесса Setup может несколько раз останавливаться.

4. Установщик загрузит драйверы периферийных устройств, например

драйвер дисковода и файловых систем, после чего будет выполнена

инициализация исполняемой части Windows 2000 и загрузка оставшихся

установочных файлов.

Если Вы устанавливаете пробную версию Windows 2000, программа

установки предупредит Вас об этом.

Прочитав сообщение установщика Windows 2000, нажмите Enter. Заметьте, что

программа установки позволяет Вам произвести не только первоначальную

установку, но и восстановить поврежденную версию Windows 2000.

Прочитайте сообщение, содержащееся в окне Welcome To Setup, и нажмите Enter

для продолжения установки. Откроется окно License Agreement.

Прочитайте лицензионное соглашение. Для прокрутки текста пользуйтесь

клавишей Page Down.

Выберите I Accept The Agreement, нажав клавишу F8.

Откроется окно Windows 2000 Advanced Server Setup, где Вам

предлагается выбрать область диска (или уже существующий раздел) для

установки Windows 2000. На этом этапе Вы можете создавать и удалять разделы

на жестком диске.

Если жесткий диск ранее не содержал разделов, то Вы увидите на диске

неразмеченное пространство.

9. Убедившись, что выбрано Unpartitioned space (неразмеченное

пространство), нажмите клавишу C. Появится сообщение о создании нового

раздела с указанием минимально и максимально возможных размеров этого

раздела.

10. Выбрав размер раздела (минимум 2 Гб), нажмите Enter. Новый

раздел будет назван С: New (Unformatted).

Убедившись, что выбран новый раздел, нажмите Enter. Установщик предложит

выбрать файловую систему для нового раздела.

Воспользовавшись клавишами управления курсором, выберите Format The

Partition Using The NTFS File System и нажмите Enter. Установщик

отформатирует раздел под NTFS, проверит жесткий диск на наличие ошибок,

способных повлечь сбои в установке, после чего скопирует файлы на диск. Это

займет несколько минут.

По завершении копирования компьютер будет перезагружен.

13. Выньте установочный диск.

14. Программа установки скопирует дополнительные файлы, затем

перезагрузит ваш компьютер и запустит мастер установки Windows 2000.

5.5.2.2. Графический режим установки и сбор информации

С этого момента установщик начинает работать в графическом режиме.

1. В окне мастера установки Windows 2000 щелкните кнопку Next для

сбора информации о компьютере.

Установщик сконфигурирует папки и разрешения NTFS для файлов

операционной системы. После этого выполняется поиск устройств, подключенных

к компьютеру, а также установка и конфигурирование драйверов этих

устройств. Это займет несколько минут.

2. Убедившись, что в системных и пользовательских параметрах, а

также для раскладки клавиатуры указаны нужные Вам язык и регион, щелкните

Next.

3. На странице Personalize Your Software введите Ваше имя в поле

Name (Имя) и имя Вашей организации в поле Organization (Организация), затем

щелкните Next.

Эти данные используются в дальнейшем для генерации имени компьютера по

умолчанию, а также приложениями — для регистрации ПО и идентификации

документов.

Откроется окно Licensing Modes с предложением выбрать режим

лицензирования. По умолчанию устанавливается режим лицензирования Per

Server (на сервер). Установщик попросит Вас ввести количество приобретенных

для этого сервера лицензий.

4. Щелкните переключатель Per Server Number Of Concurrent

Connections и установите число одновременных соединений равным

приобретённому количеству лицензий (для этого введите количество лицензий в

соответствующее поле). Далее щелкните Next.

В поля Administrator Password и Confirm Password введите строчными

буквами пароль администратора и щелкните кнопку Next. Пароль чувствителен к

регистру.

В реальных ситуациях для пароля администратора рекомендуется выбирать

более сложное сочетание символов (которое было бы трудно угадать). В

частности, Microsoft рекомендует, чтобы пароль содержал прописные и

строчные буквы, а также числа и другие символы (например, Lp6*g9).

Откроется окно Windows 2000 Components, в котором перечислены

доступные компоненты Windows 2000. Щелкните Next.

После установки Windows 2000 дополнительные компоненты устанавливаются

средствами Add/Remove Programs панели управления. Пока же Вам нужно

установить только компоненты, выбранные по умолчанию. Дополнительные

компоненты Вы установите позже.

Если во время установки на Вашем компьютере был обнаружен модем,

откроется окно Modem Dialing Information. В открывшееся окно Modem Dialing

Information введите в него код региона или города и щелкните Next.

Откроется окно Date And Time Settings.

После перезагрузки будет запущена только что установленная версия

Windows 2000 Advanced Server.

5.5.2.3. Завершение установки оборудования

На этом этапе выполняется поиск устройств Plug and Play, не

обнаруженных ранее.

Войдите в систему, нажав Ctrl+Alt+Delete.

В диалоговом окне Enter Password введите administrator в поле User Name и

пароль — в поле Password.

Щелкните кнопку ОК.

Если Windows 2000 найдет устройства, которые не были обнаружены при

установке, откроется окно мастера Found New Hardware с сообщением, что

Windows 2000 устанавливает соответствующие драйверы.

Если откроется окно мастера Found New Hardware, убедитесь, что флажок

Restart The Computer When I Click Finish не установлен, и щелкните кнопку

Finish для завершения работы мастера Found New Hardware.

Откроется окно Configure Your Server, позволяющее Вам сконфигурировать

множество различных параметров и служб.

Установите флажок I Will Configure This Server Later и щелкните кнопку

Next.

В следующем окне сбросьте флажок Show This Screen At Startup.

Закройте окно Configure Your Server.

Установка Windows 2000 Advanced Server завершена, и Вы вошли в систему

под учетной записью Administrator. [11]

5.5.3. Управление в среде Windows 2000 Advanced Server

После успешной установки Windows 2000 Server выполняется настройка

пользователей.

Основным элементом централизованного администрирования в Windows

2000 Server является домен. Домен - это группа серверов, работающих под

управлением Windows 2000 Server, которая функционирует, как одна система.

Все серверы Windows 2000 в домене используют один и тот же набор учетных

карточек пользователя, поэтому достаточно заполнить учетную карточку

пользователя только на одном сервере домена, чтобы она распознавалась всеми

серверами этого домена.

Связи доверия - это связи между доменами, которые допускают сквозную

идентификацию, при которой пользователь, имеющий единственную учетную

карточку в домене, получает доступ к целой сети. Если домены и связи

доверия хорошо спланированы, то все компьютеры Windows 2000 распознают

каждую учетную карточку пользователя и пользователю надо будет ввести

пароль для входа в систему только один раз, чтобы потом иметь доступ к

любому серверу сети. [3]

Группирование компьютеров в домены дает два важных преимущества

сетевым администраторам и пользователям. Наиболее важное - серверы домена

составляют (формируют) единый административный блок, совместно использующий

службу безопасности и информацию учетных карточек пользователя. Каждый

домен имеет одну базу данных, содержащую учетные карточки пользователя и

групп, а также установочные параметры политики безопасности. Все серверы

домена функционируют либо как первичный контроллер домена, либо как

резервный контроллер домена, содержащий копию этой базы данных. Это

означает, что администраторам нужно управлять только одной учетной

карточкой для каждого пользователя, и каждый пользователь должен

использовать (и помнить) пароль только одной учетной карточки. Расширяя

административный блок с единственного компьютера на целый домен, Windows

2000 Server сохраняет усилия администраторов и время пользователей.

Второе преимущество доменов сделано для удобства пользователей:

когда пользователи просматривают сеть в поисках доступных ресурсов, они

видят сеть, сгруппированную в домены, а не разбросанные по всей сети

серверы и принтеры.

5.5.4. Требования к домену

Минимальное требование для домена - один сервер, работающий под

управлением Windows 2000 Server, который служит в качестве первичного

контроллера домена и хранит оригинал базы данных учетных карточек

пользователя и групп домена. В дополнение к сказанному, домен может также

иметь другие серверы, работающие под управлением Windows 2000 Server и

служащие в качестве резервных контроллеров домена, а также компьютеры,

служащие в качестве стандартных серверов, серверов LAN Manager 2.x,

клиентов Windows 2000 Workstation и других клиентов, как например,

работающих с MS-DOS.

Первичный контроллер домена должен быть сервером, работающим под

управлением Windows 2000 Server. Все изменения базы данных, учетных

карточек пользователя и групп домена должны выполняться в базе данных

первичного контроллера домена.

Резервные контроллеры домена, работающие под управлением Windows 2000

Server, хранят копию базы данных учетных карточек домена. База данных

учетных карточек копируется во все резервные контроллеры домена.

Все резервные контроллеры домена дополняют первичный контроллер и

могут обрабатывать запросы на начала сеанса от пользователей учетных

карточек домена. Если домен получает запрос на начало сеанса, первичный

контроллер домена или любой из резервных контроллеров домена может

идентифицировать попытку начала сеанса.

Дополнительно к первичным и резервным контроллерам домена, работающим

под управлением Windows 2000 Server, есть другой тип серверов. Во время

установки Windows 2000 они определяются, как “серверы”, а не контроллеры

домена. Сервер, который входит в домен, не получает копию базы данных

пользователей домена. [12]

5.5.5. Выбор модели организации сети

Проанализировав организационно-штатную структуру предприятия,

можно заключить, что оптимальным выбором является модель основного

домена. Ее достоинства и недостатки сведены в табл. 5.1.

Таблица 5.2

Преимущества и недостатки модели основного домена.

|Преимущества |Недостатки |

|Учетные карточки пользователей могут |Ухудшение |

|управляться централизовано. |производительности в |

| |случае, если домен будет |

| |дополнен большим числом |

| |пользователей и групп. |

|Ресурсы сгруппированы логически. Что |Локальные группы должны |

|актуально в связи с территориальной |быть определены в каждом |

|разбросанностью рабочих станций |домене, где они будут |

|предприятия. |использоваться. |

|Домены отделений могут иметь своих | |

|собственных администраторов, которые | |

|управляют ресурсами в отделе. Что является | |

|актуальным для предприятия так как в | |

|компьютерных классах обязательно должно | |

|быть администрирование сети. | |

|Глобальные группы должны быть определены | |

|только один раз (в основном домене). | |

5.6. Служба Routing and Remote Access

Служба Routing and Remote Access (Маршрутизация и удаленный доступ) —

это фактически полноценный многофункциональный маршрутизатор,

поддерживающий множество протоколов. Используйтся Routing and Remote Access

для поддержки маршрутизации в частных сетях и между разными сегментами

сети.

Функции, обеспечиваемые службой Routing and Remote Access:

поддержка множества протоколов, в том числе IP, IPX и AppleTalk;

V одноадресная (unicast) IP-маршрутизация средствами протоколов:

1. Open Shortest Path First (OSPF);

2. Routing Information Protocol (RIP) версий 1 и 2, протокол

маршрутизации IP;

V многоадресная (multicast) IP-маршрутизация средствами маршрутизатора

IGMP (Internet Group Membership Protocol), в том числе при работе в

режиме прокси-сервера;

V маршрутизация вызова по требованию по коммутируемым WAN-подключениям;

V поддержка VPN-сетей по туннельному протоколу Point-to-Point Tunneling

Protocol (PPTP);

V поддержка VPN-сетей по туннельному протоколу Layer Two Tunneling

Protocol (L2TP);

V фильтрация IP- и IPX-пакетов;

V агент ретрансляции DHCP (DHCP Relay Agent) для IP;

V поддержка носителей, в том числе Ethernet, Token Ring, Fiber

Distributed Data Interface (FDDI), ATM (Asynchronous Transfer Mode),

Integrated Services Digital Network (ISDN), T-Carrier, Frame Relay,

xDSL, кабельных модемов, Х.25 и аналоговых модемов.

5.7. Измерение сетевого трафика

Наблюдение за сетевой активностью включает:

V наблюдение за производительностью сервера;

V измерение общего сетевого трафика.

С сетевой активностью связано большое количество счетчиков. Все

сетевые компоненты - Server, Redirector, протоколы NetBIOS, NWLink, TCP/IP

- генерируют набор статистических параметров. Ненормальное значение

сетевого счетчика часто говорит о проблемах с памятью, процессором или

диском сервера. Следовательно, наилучший способ наблюдения за сервером

состоит в наблюдении за сетевыми счетчиками в сочетании с наблюдением за

такими счетчиками, как %Processor Time, %Disk Time и Pages/sec.

Например, если сервер показывает резкое увеличение счетчика Pages/sec

одновременно с падением счетчика Total bytes/sec, то это может говорить о

том, что компьютеру не хватает физической памяти для сетевых операций.

Расчет сетевой нагрузки

[pic]

где : n – количество запросов;

[pic] - продолжительность передачи ед.объема информации

Т – время работы сети

А=0.25

Во время работы пользователя в среднем за один диалоговый шаг

передается 1,5 - 2,0 Кб данных, а одна операция требует в среднем прохода

по 3 - 4 экранам, поэтому средний объем операции принимается равным 16000

байт. Для того, чтобы обеспечить требуемое время ответа (response time)

утилизация сети не должна превышать 50%. Оптимальной считает нагрузка 30% ,

в нашей сети получена нагрузка 25%, что свидетельствует об оптимальной

работе сети.

6. Защита информации в сети

Исследование и анализ многочисленных случаев воздействий на

информацию и несанкционированного доступа к ней показывают, что их можно

разделить на случайные и преднамеренные.

Для создания средств защиты информации необходимо определить природу

угроз, формы и пути их возможного проявления и осуществления в

автоматизированной системе. Для решения поставленной задачи все

многообразие угроз и путей их воздействия приводится к простейшим видам и

формам, которые были бы адекватны их множеству в автоматизированной

системе.

Исследование опыта проектирования, изготовления, испытаний и

эксплуатации автоматизированных систем говорят о том, что информация в

процессе ввода, хранения, обработки и передачи подвергается различным

случайным воздействиям.

Причинами таких воздействий могут быть:

- отказы и сбои аппаратуры;

- помехи на линии связи от воздействий внешней среды;

- ошибки человека как звена системы;

- системные и системотехнические ошибки разработчиков;

- структурные, алгоритмические и программные ошибки;

- аварийные ситуации;

- другие воздействия.

Преднамеренные угрозы связаны с действиями человека, причинами

которых могут быть определенное недовольство своей жизненной ситуацией,

сугубо материальный интерес или простое развлечение с самоутверждением

своих способностей, как у хакеров, и т.д.[12]

Нет никаких сомнений, что на предприятии произойдут случайные или

преднамеренные попытки взлома сети извне. В связи с этим обстоятельством

требуется тщательно предусмотреть защитные мероприятия.

Для вычислительных систем характерны следующие штатные каналы

доступа к информации:

- терминалы пользователей, самые доступные из которых это рабочие

станции в компьютерных классах;

- терминал администратора системы;

- терминал оператора функционального контроля;

- средства отображения информации;

- средства загрузки программного обеспечения;

- средства документирования информации;

- носители информации;

- внешние каналы связи.

Принято различать пять основных средств защиты информации:

- технические;

- программные;

- криптографические;

- организационные;

- законодательные.

6.1. Анализ возможностей системы разграничения доступа Windows

2000 Advanced Server

Windows 2000 Advanced Server имеет средства обеспечения безопасности,

встроенные в операционную систему. Ниже рассмотрены наиболее значимые из

них.

6.1.1. Слежение за деятельностью сети

Windows 2000 Server дает много инструментальных средств для слежения

за сетевой деятельностью и использованием сети. ОС позволяет просмотреть

сервер и увидеть, какие ресурсы он использует; увидеть пользователей,

подключенных к настоящему времени к серверу и увидеть, какие файлы у них

открыты; проверить данные в журнале безопасности; записи в журнале событий;

и указать, о каких ошибках администратор должен быть предупрежден, если они

произойдут. [3]

6.1.2. Начало сеанса на рабочей станции

Всякий раз, когда пользователь начинает сеанс на рабочей станции

Windows 98, экран начала сеанса запрашивает имя пользователя, пароль и

домен. Затем рабочая станция посылает имя пользователя и пароль в домен

для идентификации. Сервер в домене проверяет имя пользователя и пароль в

базе данных учетных карточек пользователей домена. Если имя пользователя и

пароль идентичны данным в учетной карточке, сервер уведомляет рабочую

станцию о начале сеанса. Сервер также загружает другую информацию при

начале сеанса пользователя, как например установки пользователя, свой

каталог и переменные среды.

По умолчанию не все учетные карточки в домене позволяют входить в

систему. Только карточкам групп администраторов, операторов сервера,

операторов управления печатью, операторов управления учетными карточками и

операторов управления резервным копированием разрешено это делать.

Для всех пользователей сети предприятия предусмотрено свое имя и

пароль.

6.1.3. Учетные карточки пользователей

Каждый клиент, который использует сеть, должен иметь учетную

карточку пользователя в домене сети. Учетная карточка пользователя

содержит информацию о пользователе, включающую имя, пароль и ограничения по

использованию сети, налагаемые на него. Имеется возможность также

сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы;

группы облегчают предоставление прав и разрешений на ресурсы, достаточно

сделать только одно действие, дающее права или разрешения всей группе.

Таблица 6.1 показывает содержимое учетной карточки пользователя.

Таблица 6.1

Содержимое учетной карточки.

|Учетная карточка |Элемент учетной |Комментарии. |

|пользователя. |карточки. | |

|Username |Имя пользователя |Уникальное имя пользователя, |

| | |выбирается при регистрации. |

| | | |

|Password |Пароль |Пароль пользователя. |

| | | |

|Full name |Полное имя |Полное имя пользователя. |

| | | |

|Logon hours |Часы начала |Часы, в течение которых |

| |сеанса |пользователю позволяется входить в|

| | |систему. Они влияют на вход в |

| | |систему сети и доступ к серверу. |

| | |Так или иначе, пользователь |

| | |вынужден будет выйти из системы, |

| | |когда |

| | |его часы сеанса, определенные |

| | |политикой безопасности, истекут |

|Logon workstations|Рабочие станции |Имена рабочих станций, на которых |

| | |пользователю позволяется работать.|

| | |По умолчанию пользователь может |

| | |использовать любую рабочую |

| | |станцию, но возможно введение |

| | |ограничений. |

| |Дата истечения | |

|Expiration date |срока |Дата в будущем, когда учетную |

| | |карточку автоматически исключают |

| | |из базы, полезна при принятии на |

| | |работу временных служащих |

|Учетная карточка |Элемент учетной |Комментарии. |

|пользователя. |карточки. | |

|Home directory |Собственный |Каталог на сервере, который |

| |каталог |принадлежит пользователю; |

| | |пользователь управляет доступом к |

| | |этому каталогу. |

| | | |

|Logon script |Сценарий начала |Пакетный или исполняемый файл, |

| |сеанса |который запускается автоматически,|

| | |когда пользователя начинает сеанс.|

| | | |

|Profile |Установки | |

| |(параметры) |Файл, содержащий запись о |

| | |параметрах среды рабочего стола |

| | |(Desktop) пользователя, о таких, |

| | |например, как сетевые соединения, |

| | |цвета экрана и установочные |

| | |параметры, определяющие, какие |

| | |аспекты среды, пользователь может |

|Account type |Тип учетной |изменить. |

| |карточки | |

| | |Тип учетной карточки - глобальный |

| | |или локальный. |

6.1.4. Журнал событий безопасности

Windows 2000 Server позволяет определить, что войдет в ревизию и будет

записано в журнал событий безопасности всякий раз, когда выполняются

определенные действия или осуществляется доступ к файлам. Элемент ревизии

показывает выполненное действие, пользователя, который выполнил его, а

также дату и время действия. Это позволяет контролировать как успешные, так

и неудачные попытки каких-либо действий.

Журнал событий безопасности для условий предприятиа является

обязательным, так как в случае попытки взлома сети можно будет отследить

источник.

Таблица 6.2 включает категории событий, которые могут быть выбраны

для ревизии, а также события покрываемые каждой категорией.

Таблица 6.2

Категории событий для ревизии.

|Категория |События |

|Начало и конец сеанса |Попытки начала сеанса, попытки конца |

| |сеанса; создание и завершение сетевых |

| |соединений к серверу |

| | |

|Доступ к файлам и объектам |Доступы к каталогу или файлу, которые |

| |устанавливаются для ревизии в диспетчере |

| |файлов; использование принтера, |

| |управление компьютером |

|Использование прав |Успешное использование прав пользователя |

|пользователя |и неудачные попытки использовать права, |

| |не назначенные пользователям |

| | |

| | |

|Управление пользователями и |Создание, удаление и модификация учетных |

|группами |карточек пользователя и групп |

| | |

| | |

|Изменения полиса |Предоставление или отменена прав |

|безопасности |пользователя пользователям и группам, |

| |установка и разрыв связи доверия с |

| |другими доменами |

| | |

|Перезапуск, выключение и |Остановка и перезапуск компьютера, |

|система |заполнение контрольного журнала и |

| |отвержение данных проверки если |

| |контрольный журнал уже полон |

|Трассировка процесса |Начало и остановка процессов в компьютере|

Таблица 6.3 показывает типы доступа к каталогам и файлам, которые

можно проверить.

Таблица 6.3

Типы доступа к каталогам и файлам.

|Доступ к каталогу |Доступ к файлу |

|Отображение имен файлов в |Отображение данных, хранимых в файле|

|каталоге | |

| | |

|Отображение атрибутов каталога |Отображение атрибутов файла |

| | |

|Изменение атрибутов каталога |Отображение владельца файла и |

| |разрешений |

|Создание подкаталогов и файлов |Изменение файла |

| | |

|Переход в подкаталогах каталога| |

| |Изменение атрибутов файла |

| | |

|Отображение владельца каталога | |

|и разрешений |Запуск файла |

| | |

|Удаление каталога | |

| |Удаление файла |

|Изменение разрешений каталога | |

|Изменение владельца каталога |Изменение файловых разрешений |

| |Изменение владельца файла |

6.1.5. Права пользователя

Права пользователя определяют разрешенные типы действий для этого

пользователя. Действия, регулируемые правами, включают вход в систему на

локальный компьютер, выключение, установку времени, копирование и

восстановление файлов сервера и выполнение других задач.

В домене Windows 2000 Server права предоставляются и ограничиваются на

уровне домена; если группа находится непосредственно в домене, участники

имеют права во всех первичных и резервных контроллерах домена. В каждой

рабочей станции Windows 98 и в каждом компьютере Windows 2000 Server,

который не является контроллером домена, предоставленные права применяются

только к этому единственному компьютеру.

Для каждого пользователя предприятия обязательно устанавливаются свои

права доступа к информации, разрешение на копирование и восстановление

файлов. [2]

6.1.6. Установка пароля и политика учетных карточек

Для домена можно определить все аспекты политики пароля: минимальную

длину пароля (по умолчанию 6 символов), минимальный и максимальный возраст

пароля (по умолчанию устанавливается 14 и 30 дней) и исключительность

пароля, который предохраняет пользователя от изменения его пароля на тот

пароль, который пользователь использовал недавно (по умолчанию должен

предохранить пользователей от повторного использования их последних трех

паролей).

Дается возможность также определить и другие аспекты политики учетных

карточек:

- должна ли происходить блокировка учетной карточки;

- должны ли пользователи насильно отключаться от сервера по

истечении часов начала сеанса;

- должны ли пользователи иметь возможность входа в систему, чтобы

изменить свой пароль.

Когда разрешена блокировка учетной карточки, тогда учетная карточка

блокируется в случае нескольких безуспешных попыток начала сеанса

пользователя, и не более, чем через определенный период времени между

любыми двумя безуспешными попытками начала сеанса. Учетные карточки,

которые заблокированы, не могут быть использованы для входа в систему.

Блокировка учетной карточки обязательно должна быть установлена в

предприятие, что бы предотвратить попытки входа в систему.

Если пользователи принудительно отключаются от серверов, когда время

его сеанса истекло, то они получают предупреждение как раз перед концом

установленного периода сеанса. Если пользователи не отключаются от сети, то

сервер произведет отключение принудительно. Однако отключения пользователя

от рабочей станции не произойдет. Часы сеанса в фирме устанавливаться не

будут, так как в успешной деятельности заинтересованы все сотрудники и

зачастую некоторые остаются работать сверхурочно или в выходные дни.

Если от пользователя требуется изменить пароль, то, когда он этого

не сделал при просроченном пароле, он не сможет изменить свой пароль. При

просрочке пароля пользователь должен обратиться к администратору системы за

помощью в изменении пароля, чтобы иметь возможность снова входить в сеть.

Если пользователь не входил в систему, а время изменения пароля подошло, то

он будет предупрежден о необходимости изменения, как только он будет

входить. Изменение своего пароля будет разрешено не для всех пользователей,

в компьютерных классах будет запрещено менять пароль, эта возможность будет

только у администрации сети.

6.1.7. Шифрованная файловая система EFS

Windows 2000 предоставляет возможность еще больше защитить

зашифрованные файлы и папки на томах NTFS благодаря использованию

шифрованной файловой системы EFS (Encrypting File System). При работе в

среде Windows 2000 можно работать только с теми томами, на которые есть

права доступа. В файловых системах, в которых не используется шифрование,

если запускается компьютер по сети или воспользоваться загрузочной дискетой

MS DOS или Windows 98, можно получить доступ ко всем файлам, хранящимся на

диске, так как на пользователя в этом случае не распространяются

ограничения доступа, сведения о которых содержатся в специальных списках

контроля доступа.

При использовании шифрованной файловой системы EFS можно файлы и

папки, данные которых будут зашифрованы с помощью пары ключей. Любой

пользователь, который захочет получить доступ к определенному файлу, должен

обладать личным ключом, с помощью которого данные файла будут

расшифровываться. Система EFS так же обеспечивает схему защиты файлов в

среде Windows 2000. Однако не следует

забывать о том, что при использовании шифрования производительность работы

системы снижается.[2]

Заключение

В аттестационной работе рассмотрены вопросы организации корпоративной

сети.

Данная тема имеет немаловажное значение для дальнейшего развития

предприятия. На сегодняшний день разработка и внедрение локальных

информационных систем является одной из самых интересных и важных задач в

области информационных технологий. Появляется потребность в использовании

новейших технологий передачи информации. Интенсивное использование

информационных технологий уже сейчас является сильнейшим аргументом в

конкурентной борьбе, развернувшейся на мировом рынке.

Особое внимание уделено вопросам безопасности и администрирования

сети.

В качестве ОС выбрано сервера Windows 2000 Advanced Server, ОС рабочих

станций Windows 2000 Рrofessional, т.к. эти ОС наиболее надежны и большее

количество современного ПО рассчитано на эти ОС. Кроме ОС Windows 2000

обладает гибкостью, позволяющей расширять, сужать или распределять

серверные системы без ущерба для многофункциональности и соотношения

цена/быстродействие для платформы операционной системы.

Так же операционная система Windows 2000 предоставляет средства для

обеспечения конфиденциальности и целостности данных на следующих уровнях:

. при входе в сеть;

. в локальных сетях и при переходе между сетями;

. при локальном хранении данных.

Сделан также подробный обзор служб Windows 2000 Advanced Server:

Главным отличием Windows 2000 является Active Directory (служба

каталогов) — один из наиболее важных компонентов распределенной

компьютерной системы. Она решает следующие задачи:

. Обеспечивает заданную администраторами безопасность для защиты данных от

потенциальных нарушителей.

. Распределяет содержимое каталога по многим компьютерам сети.

. Реплицирует каталог, чтобы сделать его доступным для большего числа

пользователей, а также повысить его отказоустойчивость.

. Разбивает каталог на разделы по нескольким хранилищам, создавая

возможность хранения очень большого числа объектов.

DHCP (Dynamic Host Configuration Protocol) — это стандарт, описанный в

документах RFC (Request for Comments) и позволяющий DHCP-серверам

динамически распределять IP-адреса, а также управлять соответствующими

параметрами конфигурации протокола IP для сетевых клиентов, поддерживающих

стандарт DHCP. DHCP упрощает и сокращает усилия, затрачиваемые на

конфигурирование узлов TCP/IP. Каждый компьютер в сети должен иметь

уникальное имя и IP-адрес. При его перемещении в другую подсеть необходимо

изменить IP-адрес и другие параметры конфигурации. Включение в проект

сервера DHCP позволит Вам динамически обновлять конфигурацию клиентов.

DNS сетевая служба разрешения имен, которая позволяет компьютерам сети

регистрировать и выполнять прямое и обратное разрешение доменных имен в IP-

адреса. Пользователи и приложения используют доменные DNS-имена для поиска

и обращения к ресурсам, предоставляемым другими компьютерами в

корпоративной сети и/или других сетях, например в Интернете.

DNS поддерживает распределенную базу данных для регистрации и

обработки запросов полных доменных имен.

• DNS-сервер имен, соответствующий требованиям документов RFC;

• поддержка взаимодействия с другими реализациями серверов DNS;

• интеграция со службами Active Directory, WINS и DHCP;

• динамическое обновление зон в соответствии с рекомендациями RFC;

• добавочные зонные передачи между серверами DNS.

WINS поддерживает распределенную базу данных для автоматической

регистрации и обработки запросов на разрешение NetBIOS-имен от компьютеров

в сети. Включите в проект WINS, если требуется разрешение NetBIOS-имен в

маршрутизируемой IP-среде.

Служба Routing and Remote Access (Маршрутизация и удаленный доступ)

поддерживает доступ удаленных пользователей к ресурсам, расположенным в

частной сети организации. Используйте Routing and Remote Access, когда

требуется обеспечить доступ удаленным пользователям — по телефонной линии

или по VPN-каналу через Интернет.

Так же в аттестационной работе выбрана оптимальная аппаратная конфигурация

сервера и произведен расчет нагрузки спроектированной ЛВС.

Список использованной литературы

1. Windows 2000 Server. Учебный курс MCSE. – М.: изд-во Русская

редакция, 2000. – 612с.

2. Администрирование сети на основе Microsoft Windows 2000. Учебный

курс MCSE. – М.: изд-во Русская редакция, 2000. – 512с.

3. Андреев А.Г. Новые технологии Windows 2000 / под ред. А.Н.

Чекмарева – СПб.: БХВ – Санкт-Петербург, 1999. – 592с.

4. Вишневский А. Служба каталога Windows 2000. Учебный курс. -

СПб.: Питер, 2001. – 464с.

5. Кульгин М. Технология корпоративных сетей. Энциклопедия. – СПб.:

Питер, 2001. - 704с.

6. Милославская Н. Г/ Интрасети: доступ в Internet, защита. Учебное

пособие для ВУЗов. – М.: ЮНИТИ, 1999 – 468 с.

7. Новиков Ю. Локальные сети: архитектура, алгоритмы,

проектирование. – М.: изд-во ЭКОМ, 2000. – 568 с.

8. Норенков И.П., Трудоношин В.А. Телекоммуникационные технологии и

сети. - М.: изд-во МГТУ им. Н.Э.Баумана, 1999 – 392с.

9. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы,

технологии, протоколы. Учебник для вузов. 2-е изд - СПб.: Питер-

пресс, 2002 – 864с.

10. Олифер В.Г., Олифер Н.А. Новые технологии и оборудование IP-

сетей – СПб.: БХВ – Санкт-Петербург, 2000. – 512с.

11. Разработка инфраструктуры сетевых служб Microsoft Windows 2000.

Учебный курс MCSE М.: изд-во Русская редакция, 2001. – 992с.

12. Сосински Б., Дж. Московиц Дж. Windows 2000 Server за 24 часа. –

М.: Издательский дом Вильямс, 2000. – 592с.

13. Тейт С. Windows 2000 для системного администратора.

Энциклопедия. – СПб.: Питер, 2001. - 768с.[pic]

-----------------------

firma.ru

Требуется установка сервера

Желательна установка сервера

Возможно использование одноранговой сети

Требуется установка сервера

Горизонтальная структура предприятия

Вертикальная структура предприятия

Горизонтальная структура предприятия

Вертикальная структура предприятия

От 3 до 5 рабочих станций

5 и более рабочих станций

Количество рабочих станций в сети

1-й

отдел

Директор

Отдел прямого подчинения

2-й отдел

3-й отдел

4-й отдел

6-е отделение

5-е отделение

4-е отделение

2-е отделение

1-е отделение

3-е отделение

filial1.firma.ru

filial1.firma.ru

filial2.firma.ru

firma.ru

filial2.firma.ru

Sidoroff.ru

Страницы: 1, 2, 3