Ii. настройка протокола tcp/ip

Чтобы настроить протокол TCP/IP для подключения необходимо:

1. В контекстном меню ярлыка рабочего стола Мое сетевое окружение (My Network Place)выбрать пункт менюСвойства

2. В папке Сеть и удаленный доступ к сети (Network and Dial-up Connections)в контекстном меню значка Локальное подключение(Local Area Connection) выбрать пункт Свойства(Properties).

3. На вкладке Основное (General) в списке выбрать пункт Протокол Интернета (TCP/IP)(Internet Protocol (TCP/IP)) и нажать кнопку Свойства.

4. Выполните одно из следующих действий:

· Чтобы параметры настройки IP были назначены автоматически, надо выбрать положение переключателя Получить IP-адрес автоматически(Obtain an IP address automatically) и нажмите кнопку ОК.

· Чтобы задать определенный IP-адрес или адрес сервера DNS, надо установить переключатель Использовать следующий IP-адрес(Use following IP address) и в поле IP-адрес(IP address) введсти нужный IP-адрес;

· установите переключатель Использовать следующие адреса DNS-cep-веров(Use following DNS server addresses) и в полях Предпочитаемый DNS-сервер(Preferred DNS server) и Альтернативный DNS-сервер(Alternate DNS server) ввести адреса первичного и вторичного серверов DNS.

Краткая справка по командам

1. Просмотр конфигурации с помощью команды ipconfig /all

Для получения сведений о конфигурации компьютера, включая его IP-адрес, маску подсети и адрес основного шлюза используют программу ipconfig.

При выполнении команды на экране появится информация следующего вида:

Настройка протокола IP для Windows 2000

Адаптер Ethernet Подключение по локальной сети:

DNS суффикс этого подключения . . : informatics.dstu.net

IP-адрес . . . . . . . . . . . . : 10.16.33.215

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 10.16.33.1

Когда команда ipconfig выполняется с параметром /all, она выдает подробный отчет о конфигурации всех интерфейсов, включая все настроенные последовательные порты.

Результаты работы команды ipconfig /all можно перенаправить в файл и вставить их в другие документы. Можно также использовать эти результаты для проверки конфигурации TCP/IP на всех компьютерах сети и для выявления причин неполадок TCP/IP-сети. Например, если компьютер имеет IP-адрес, который уже присвоен другому компьютеру, то маска подсети будет иметь значение 0.0.0.0.

В следующем примере показаны результаты работы команды ipconfig /all :

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : FLAME_01

Основной DNS суффикс . . . . . . : informatics.dstu.net

Тип узла . . . . . . . . . . . . : Гибридный

Включена IP-маршрутизация . . . . : Нет

Доверенный WINS-сервер . . . . . : Нет

Порядок просмотра суффиксов DNS . : informatics.dstu.net

dstu.net

Адаптер Ethernet Подключение по локальной сети:

DNS суффикс этого подключения . . : informatics.dstu.net

Описание . . . . . . . . . . . . :

Физический адрес. . . . . . . . . : 00-50-BF-59-5F-8F

DHCP разрешен . . . . . . . . . . : Да

Автонастройка включена . . . . . : Да

IP-адрес . . . . . . . . . . . . : 10.16.33.215

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 10.16.33.1

DHCP-сервер . . . . . . . . . . . : 10.16.33.1

DNS-серверы . . . . . . . . . . . : 10.16.33.1

Основной WINS-сервер . . . . . . : 10.16.33.1

Дополнительный WINS-сервер. . . . : 10.0.0.20

Аренда получена . . . . . . . . . : Thursday, July 24, 2003 9:36

Аренда истекает . . . . . . . . . : Tuesday, July 29, 2003 9:36

Если с конфигурацией TCP/IP все в порядке, следующим шагом должна быть проверка возможности соединения с другими узлами TCP/IP-сети.

2. Проверка соединений с помощью команды ping

Команда ping позволяет проверить работоспособность IP-соединения. С помощью команды ping можно отправить эхо-запрос в формате (ICMP) интересующему узлу по его имени или по его IP-адресу.

Команда ping используется всегда, когда требуется проверить, является ли узел (удаленный компьютер) подключенным к сети TCP/IP и ее ресурсам. Команду ping можно также использовать для выявления неполадок сетевых устройств и неправильных конфигураций.

Обычно лучше всего проверять наличие маршрута между локальным компьютером и узлом сети, обращаясь сначала к узлу с помощью команды ping и IP-адреса этого узла.

Формат команды

ping [IP-адрес/Имя узла ]

Команда ping может выполняться с различными параметрами, задающими такие характеристики, как размер пакетов, число отправляемых пакетов и срок жизни пакета (TTL), и определяющими, нужно ли записывать используемый маршрут и нужно ли устанавливать флаг, запрещающий фрагментацию пакетов.

На следующем примере показано, как можно отправить два пакета размером по 1450 байт по IP-адресу 10.16.33.210:

C:\>ping -n 2 -l 1450 10.16.33.210

Pinging 10.16.33.210 with 1450 bytes of data:

Reply from 10.16.33.210: bytes=1450 time<10ms TTL=128

Reply from 10.16.33.210: bytes=1450 time<10ms TTL=128

Ping statistics for 10.16.33.210:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

По умолчанию команда ping ожидает возврата каждого запроса в течение 1000 мс (1 секунда), а потом выдает сообщение «Превышен интервал ожидания для запроса». Если удаленная система, к которой выполняется обращение, использует соединение, характеризуемое большими задержками, например спутниковую связь, то для возврата запроса может потребоваться большее время. Чтобы задать большее время ожидания, используйте параметр –w.

Команда Net use

Команда используется для подключения к общим сетевым ресурсам или выводу информации о подключениях компьютера. Команда также управляет постоянными сетевыми соединениями. Форматы использования команды:

net use [устройство|*] [\\компьютер\ресурс[\том]] [пароль|*]] [/user:[домен\]имя_пользователя] [[/delete] | [/persistent:{yes|no}]]

net useустройство [/home[пароль|*]] [/delete:{yes|no}]

net use [/persistent:{yes | no}]

Пример: net use * \\server\share\folder /user:username password

Таблица 2. Параметры команды Net use

Параметры Действия
без параметров Вызванная без параметров, команда net use извлекает список сетевых подключений.
устройство Задает имя ресурса при подключении или имя устройства при отключении. Существует два типа имен устройств: дисководы (от D: до Z:) и принтеры (от LPT1: до LPT3:). Ввод символа звездочки обеспечит подключение к следующему доступному имени устройства.
\\компьютер\ресурс Указывает имя сервера и общего ресурса. Если параметр компьютер содержит пробелы, все имя компьютера от двойной обратной черты (\\) до конца должно быть заключено в кавычки (" "). Имя компьютера может иметь длину от 1 до 15 символов. В качестве имени можно использовать IP-адрес компьютера.
\том Задает имя тома системы NetWare. Для подключения к серверам NetWare должна быть запущена служба клиента сети NetWare (для Windows 2000 Professional) или служба шлюза сети NetWare (Windows 2000 Server).
пароль Задает пароль, необходимый для подключения к общему ресурсу. Выводит приглашение для ввода пароля. При вводе с клавиатуры символы пароля не выводятся на экран.
/user Задает другое имя пользователя для подключения к общему ресурсу.
домен Задает имя другого домена. Например, net use d:\\server\share /user:admin\mariel подключает пользователя mariel из домена admin. Если домен не указан, используется текущий домен.
имя_пользователя Указывает имя пользователя для подключения.
/delete Отменяет указанное сетевое подключение. Если подключение задано с символом звездочки, будут отменены все сетевые подключения.
/home Подключает пользователя к его основному каталогу.
/persistent Управляет постоянными сетевыми подключениями. По умолчанию берется последнее использованное значение. Подключения без устройства не являются постоянными. yes —Сохраняет все существующие соединения и восстанавливает их при следующем подключении. no—Не сохраняет выполняемые и последующие подключения.
/delete Для удаления постоянных подключений используется ключ

Лабораторная работа № 2

"Настройка службы DHCP"

Цель работы:

Научиться настраивать службу DHCP.

Краткая теория

Назначение IP-адресов узлам сети даже при небольшом размере сети может представлять для администратора утомительную процедуру. Протокол Dynamic Host Configuration Protocol (DHCP) освобождает администратора от этих проблем, автоматизируя процесс назначения IP-адресов.

DHCP может поддерживать способ автоматического динамического распределения адресов, а также более простые способы ручного и автоматического статического назначения адресов. Протокол DHCP работает в соответствии с моделью клиент-сервер:

· Во время старта системы компьютер, являющийся DHCP-клиентом, посылает в сеть широковещательный запрос на получение IP-адреса (DHCP Discovery broadcast).

· DHCP-cepвер откликается и посылает широковещательное сообщение-ответ (DHCP Offer), содержащее IP-адрес.

· Получив это предложение, клиент посылает сообщение DHCP Request, подтверждая что он принимает предложение сервера.

· Сервер регистрирует данные о клиенте в своей базе данных и высылает ему ответ DHCP Acknowledgement (подтверждение), а также дополнительную информацию для настройки (опции).

· Получив подтверждение, клиент может приступать к полноценной работе в сети.

Предполагается, что DHCP-клиент и DHCP-сервер находятся в одной IP-сети. Чтобы DHCP-сервер мог обслуживать клиентов за пределами домена коллизий (части физической сети, в пределах которой распространяются широковещательные пакеты), маршрутизатор на границе между сетями настраивают на передачу широковещательных DHCP-сообщений. Такой маршрутизатор называют передающим агентом (relay agent).

При динамическом распределении адресов DHCP-сервер выдает адрес клиенту на ограниченное время, называемое временем аренды (lease duration), что дает возможность впоследствии повторно использовать этот IP-адрес для назначения другому компьютеру. Основное преимущество DHCP - автоматизация рутинной работы администратора по конфигурированию стека TCP/IP на каждом компьютере. Иногда динамическое разделение адресов позволяет строить IP-сеть, количество узлов в которой превышает количество имеющихся в распоряжении администратора IP-адресов.

В ручной процедуре назначения статических адресов активное участие принимает администратор, который предоставляет DHCP-серверу информацию о соответствии IP-адресов физическим адресам или другим идентификаторам клиентов. DHCP-сервер, пользуясь этой информацией, всегда выдает определенному клиенту назначенный администратором адрес.

При автоматическом статическом способе DHCP-сервер присваивает IP-адрес из пула наличных IP-адресов без вмешательства оператора. Границы пула назначаемых адресов задает администратор при конфигурировании DHCP-сервера. Адрес дается клиенту из пула в постоянное пользование, то есть с неограниченным сроком аренды. Между идентификатором клиента и его IP-адресом по-прежнему, как и при ручном назначении, существует постоянное соответствие. Оно устанавливается в момент первого назначения DHCP-сервером IP-адреса клиенту. При всех последующих запросах сервер возвращает тот же самый IP-адрес.

DHCP обеспечивает надежный и простой способ конфигурации сети TCP/IP, гарантируя отсутствие дублирования адресов за счет централизованного управления их распределением. Администратор управляет процессом назначения адресов с помощью параметра «продолжительность аренды», которая определяет, как долго компьютер может использовать назначенный IP-адрес, перед тем как снова запросить его от DHCP-сервера в аренду.

Примером работы протокола DHCP может служить ситуация, когда компьютер, являющийся DHCP-клиентом, удаляется из подсети. При этом назначенный ему IP-адрес автоматически освобождается. Когда компьютер подключается к другой подсети, то ему автоматически назначается новый адрес. Ни пользователь, ни сетевой администратор не вмешиваются в этот процесс. Это свойство очень важно для мобильных пользователей.

DHCP-сервер может назначить клиенту не только IP-адрес клиента, но и другие параметры стека TCP/IP, необходимые для его эффективной работы, например, маску, IP-адрес маршрутизатора по умолчанию, IP-адрес серверов DNS и NTP, доменный суффикс и т. п.

Понятия DHCP

Область DHCP.Область (scope) DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

Диапазоны исключения.Диапазон исключения (exclusion range) — ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.

Пул адресов.Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.

Резервирование.Резервирование (reservation) позволяет назначить конкретному клиенту постоянный адрес и гарантировать, что он может всегда использовать этот IP-адрес.

Суперобласти.Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект — суперобласть (superscope). Суперобласти полезны для управления службой DHCP в сети со сложной структурой.

Арендные договоры.Арендный договор (lease) — отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу). В стремительно меняющейся сети или во время начальной настройки значение lease ставят маленьким (1-2 часа); когда сеть «стабилизируется», значение увеличивают до нескольких суток.

Опции DHCP.Опции DHCP — дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.

Замечания:

  • Работа нескольких серверов DHCP в рамках одного домена допустима только с целью повышения отказоустойчивости и распределения нагрузки в крупных сетях. Серверам назначают одинаковые настройки, за исключением областей: диапазоны адресов не должны пересекаться.
  • Чтобы проверить настройки клиента, на нем выполняют команду ipconfig /all
  • Чтобы обновить настройки клиента (запрос DHCP Request), необязательно перезагружать компьютер. Следует использовать команду ipconfig /renew.
  • Однажды получив адрес от сервера, в дальнейшем клиент будет «выбирать» этот же сервер при получении ответа от нескольких DHCP-серверов. Чтобы сбросить предыдущие настройки и инициировать на клиенте новый поиск серверов (запрос DHCP Discovery), используют команды ipconfig /release,ipconfig /renew.

Рабочее задание:

  1. По заданию преподавателя выбрать в сети машину, которая будет управлять выдачей IP-адресов (сервер DHCP). Присвоить ей статический IP-адрес в «собственной» учебной подсети и установить на нее DHCP службу.
  2. Назначить область IP адресов (10-20 последних адресов в «собственной» подсети 192.168.N.0) и активировать ее.
  3. Остальным компьютерам назначить автоматическое получение IP-адресов.
  4. Проверить работу DHCP (просмотреть список Address leases на сервере, проверить полученные настройки на клиентах).
  5. Установить для области опции DHCP: (Router: IP-адрес сервера, DNS Domain name: “testlab”) и проверить полученные настройки на клиентах.
  6. Выбрать один из компьютеров-клиентов, определить его MAC-адрес и создать на DHCP-сервере резервирование для этого клиента (IP:192.168.N.200). Установить для него дополнительную опцию Host Name (имя компьютера, выбрать самостоятельно). Проверить полученные настройки на выбранном клиенте.
  7. Завершение работы: остановить и удалить службу DHCP с сервера, назначить серверу автоматическое получение IP-адреса.

Ход работы

Чтобы установить службу DHCP необходимо:

- запустить мастер компонентов Windows (Windows Component Wizard) (значок Установка и удаление программ на панели управления, затем кнопка Добавление и удаление компонентов Windows (Add/Remove Windows Components)) или — в окне Сеть и удаленный доступ к сети в меню Дополнительно выбрать команду Дополнительные сетевые компоненты.

- в списке Компоненты (Components)выбрать Сетевые службы (Networking Services).

- нажать кнопку Состав (Details).

- в списке Сетевые службы — состав (Subcomponents of Networking Services) установить флажок у элемента DHCP (Dynamic Host Configuration Protocol (DHCP)) и нажать кнопку ОК.

- если потребуется, введите полный путь к файлам дистрибутива Windows 2000 и нажмите кнопку Продолжить (Continue), в нашем случае дистрибутив находится в корневом каталоге диска D:\. Требуемые файлы будут скопированы на жесткий диск; новое программное обеспечение сервера можно использовать сразу после установки без перезапуска системы.

Лабораторная работа № 3

"Настройка службы каталогов Active Directory и системы доменных имен Domain Name System"

Цель работы:

Научиться устанавливать, настраивать и конфигурировать службы Active Directory DNS.

Краткая теория

По своей сути, служба каталогов — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды.

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

Ii. настройка протокола tcp/ip - student2.ru Единая регистрация в сети; Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.

Ii. настройка протокола tcp/ip - student2.ru Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.

Ii. настройка протокола tcp/ip - student2.ru Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.

Ii. настройка протокола tcp/ip - student2.ru Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе.

Ii. настройка протокола tcp/ip - student2.ru Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься. Кроме того, службу каталога можно связать с Интернетом для взаимодействия с деловыми партнерами и поддержки электронной коммерции.

Ii. настройка протокола tcp/ip - student2.ru Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.

Ii. настройка протокола tcp/ip - student2.ru Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам.

Ii. настройка протокола tcp/ip - student2.ru Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.

Ii. настройка протокола tcp/ip - student2.ru Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.

Ii. настройка протокола tcp/ip - student2.ru Гибкость запросов к каталогу. Пользователи и администраторы сети могут быстро находить объекты в сети, используя свойства объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.). Это, в частности, можно сделать при помощи команды Пуск | Поиск(Start | Search), папку Мое сетевое окружение(My Network Places) или оснастку Active Directory - пользователи и компьютеры(Active Directory Users and Computers). Оптимальность процедуры поиска достигается благодаря использованию глобального каталога.

Ii. настройка протокола tcp/ip - student2.ru Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности

При инсталляции Windows 2000 Server и организации домена Windows 2000 (или смешанного с Windows NT 4.0 домена) необходимо иметь четкое представление о некоторых базовых понятиях служб каталога вообще и Active Directory — в частности. Без этого невозможно даже правильно сконфигурировать Windows 2000 Server, не говоря уж об эффективной организации доменов.

Домены и Контроллеры доменов

Основные компоненты любой службы каталога — база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.

Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.

Домены — это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. В среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). Так, домен MainOffice при обновлении может получить новое имя типа mainqfflce.company.com. В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена. В среде Windows 2000 Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, — "стандартной", службе каталогов, применяемой в настоящее время для сетей TCP/IP. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP) (рис. 2).

Рисунок 2. Доступ к данным с использованием LDAP

Ii. настройка протокола tcp/ip - student2.ru


Службы DNS и Active Directory

В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой — преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Например, запись типа А применяется для преобразования доменного имени компьютера в заданный IP-адрес, а запись типа MX — для поиска почтового сервера в определенном почтовом домене. Каждый DNS-сервер "знает" свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому — пусть и не сразу— почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию.

Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:

Ii. настройка протокола tcp/ip - student2.ru Домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен.

Ii. настройка протокола tcp/ip - student2.ru Зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 .Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS.

Ii. настройка протокола tcp/ip - student2.ru Использование клиентами службы DNS при поиске контроллеров домена.

В Active Directory служба LDAP каждого домена Windows 2000 представлена некоторой SRV-записью службы DNS. Такая запись содержит DNS-имя контроллера этого домена, по которому клиенты Active Directory могут находить IP-адрес компьютера-контроллера домена. После того как нужный контроллер обнаружен, для доступа к данным Active Directory, хранящихся на нем, клиент может использовать протокол LDAP.

Windows 2000 Server поддерживает также службу динамического именования хостов, Dynamic DNS. В соответствии с RFC 2136 служба Dynamic DNS расширяет протокол DNS, позволяя модифицировать базу данных DNS со стороны удаленных систем. Например, при подключении некоторый контроллер домена может сам добавлять SRV-запись для себя, освобождая администратора от такой необходимости.

Листья и контейнеры LDAP

После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к данным Active Directory используется протокол LDAP. Протокол LDAP работает поверх TCP/IP и — как следует из названия протокола — определяет способы доступа к каталогу со стороны клиентов. Помимо механизма доступа данный протокол реализует соглашения по именованию информации в каталоге, в явном виде описывая структуру этой информации. Для клиента все данные, хранящиеся в базе LDAP, представляются в виде иерархического дерева. Каждый узел дерева (объект или элемент) может быть либо контейнером (container), либо листом (leaf). Различие между ними вполне очевидно: контейнеры могут содержать другие элементы, а листья — нет.

Каждый элемент (контейнер или лист) представляет собой некоторый объектный класс, определяющий атрибуты (называемые также свойствами) данного элемента. Поскольку атрибуты есть и у контейнеров, и у листьев, информация, хранящаяся в дереве каталога, распределена по всем узлам. Тип информации (объектные классы и типы атрибутов), содержащейся в конкретной базе данных Active Directory, задается схемой, определенной для этого каталога. В Active Directory схема каждого каталога представлена элементами, хранящимися непосредственно в самом каталоге. Компания Microsoft определяет стандартную схему, однако пользователи и разработчики программных средств могут добавлять новые классы и типы атрибутов. Изменение схемы каталога — полезная возможность, которой нужно пользоваться очень осторожно, поскольку такие изменения могут иметь весьма значительные последствия.

Схема Active Directory достаточно сложна и содержит сотни и сотни объектных классов и типов атрибутов. Ниже для примера перечислены некоторые интересные классы:

Ii. настройка протокола tcp/ip - student2.ru user — описывает конкретного пользователя домена. Среди атрибутов этого класса: canonicalName (Каноническое имя), userPrincipalName (Полное имя пользователя), homePostalAddress (Домашний почтовый адрес), telephoneNumber (Номер телефона), thumbnailPhoto (Фотография).

Ii. настройка протокола tcp/ip - student2.ru printQueue— позволяет клиенту находить некоторый принтер. Среди атрибутов: location (Местоположение), printStatus (Состояние принтера) и printLanguage (Язык принтера).

Ii. настройка протокола tcp/ip - student2.ru compoter— идентифицирует некоторый компьютер домена. Среди множества атрибутов этого класса: operatingSystem (Операционная система), operatingSystemServicePack, dNSHostName (DNS-имя хоста) и machineRole (Назначение компьютера; этот атрибут указывает, является ли данный компьютер контроллером домена, рядовым сервером или рабочей станцией).

Ii. настройка протокола tcp/ip - student2.ru organizationalUnit— описывает подразделения конкретного домена. Самый важный.атрибут— ои (Имя организационной единицы). Организационные единицы играют очень важную роль при структурировании информации, внутри домена (это будет описано чуть позже).

Каждый элемент Active Directory и каждый атрибут любого элемента имеют список управления доступом (ACL), который определяет права и возможности пользователей в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям — читать и изменять некоторые из атрибутов, а остальным — запретить какой-либо доступ к элементу. Эффективное управление доступом невозможно без достоверной аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos. (Kerberos — стандарт, созданный консорциумом IETF и поддерживаемый многими поставщиками; ключевая технология для обеспечения распределенной безопасности Windows 2000.)

Механизмы именования в Active Directory

Каждый домен в Windows 2000 имеет DNS-имя, однако DNS-имена не применяются для именования отдельных элементов базы данных Active Directory. Вместо этого следует использовать имена, принятые в LDAP. Согласно требованиям протокола LDAP один {или — очень редко — несколько) из атрибутов элемента каталога служит для именования этого элемента. Например, для идентификации экземпляра (элемента) объектного класса user может быть задействовано значение атрибута сn; а для объекта класса organizational Unit — значение атрибута оu.

На рис. 3 показана гипотетическая структура очень простого домена Windows 2000 для компании BHV. Предположим, что эта компания имеет два структурных подразделения (отдел продаж и редакционную группу) и доменное имя компании — bhv.com. По функциональным обязанностям члены редакционной группы делятся на администрацию и редакторов. Практически в любом домене для деления пространства имен используются подразделения или организационные единицы (OU), и демонстрационный домен — не исключение. Ниже корня домена располагаются два подразделения: sales (отдел продаж) и office (редакционная группа). Имя каждого подразделения определяется значением ее атрибута оu.

Рисунок 3. Структура каталога простого домена Windows 2000

Ii. настройка протокола tcp/ip - student2.ru

Примечание

Объектам Active Directory (в частности, подразделениям) можно давать и русские имена (возможно, из нескольких слов). Однако, если локальная сеть подключается к Интернету, нужно учитывать, что в стандартных интернетовских DNS-именах разрешены только латинские буквы!

Ниже подразделения sales располагаются объекты класса user. Имя каждого объекта определяется атрибутом en (Common-Name), и эти объекты хранят информацию о пользователях домена. Организационная единица office делится еще на два подразделения: Admins и Editors. Ниже располагаются элементы каталога для отдельных работников, имена которых также определяются атрибутами сп.

Для получения информации о некотором элементе, например, Director, клиент должен указать уникальное имя этого элемента, которое называется отличительным, или различающимся, именем (distinguished name). Отличительное имя — это набор имен, отражающих путь от корня дерева домена до интересующего элемента. Для элемента Director, например, отличительным именем будет cn=Director, ou=Admms, dc=bhv, dc=eom. В последних двух элементах имени dc означает domain component, эти элементы представляют DNS-имя домена в соответствии с соглашениями LDAP. Отличительные имена уникальным образом идентифицируют узлы в базе данных Active Directory, однако их нельзя назвать "дружественными". Можно не перечислять в имени все типы атрибутов явно (cn=, ou=, dc= и т. п.), а записать это имя как //bhv.com/Admins/Director. В передаваемых LDAP-пакетах всегда указывается отличительное имя, однако в пользовательском интерфейсе можно применять более удобную и простую форму имени. Помимо отличительного имени каждый объект каталога имеет относительное отличительное имя (relative distinguished name), которое является атрибутом самого этого объекта, а не образуется как цепочка имен до объекта от корня дерева. Таким образом, для элемента Director, например, относительным отличительным именем будет cn=Director. Для родительского объекта этого элемента относительное отличительное имя — ou=Admins. В Active Directory имеется несколько контекстов имен (naming contexts), или разделов (partitions), которые представляют собой законченные, непрерывные поддеревья каталога и являются объектами репликации. Каждый сервер с Active Directory имеет по меньшей мере три контекста имен:

Ii. настройка протокола tcp/ip - student2.ru Схема (Schema), описывающая классы объектов и их атрибуты, хранящиеся в Active Directory.

Ii. настройка протокола tcp/ip - student2.ru Конфигурация (Configuration) (топология репликации и связанные с ней метаданные, например, сведения о контроллерах домена).

Ii. настройка протокола tcp/ip - student2.ru Один (в нашем примере — bhv.com) или несколько пользовательских, или доменных, контекстов имен (т. е. контекстов, содержащих реальные, рабочие объекты каталога), при этом контроллеры домена хранят реальные объекты только своего домена.

Организация доменов: Лес и Деревья

База данных домена Windows 2000 может хранить значительно больше элементов, чем это было возможно в доменах Windows NT 4.0, поэтому организация, имеющая в своей сети множество доменов, теперь сможет объединить их в один домен. Однако в некоторых ситуациях даже одной организации полезно иметь несколько доменов. В подобных случаях Active Directory позволяет различным образом группировать домены (хотя такое решение не является обязательным).

Домены с непрерывными "смежными" DNS-именами могут быть объединены в дерево доменов (domain tree), или доменное дерево (рис. 23.3).

Рисунок 4. Объединение нескольких доменов

Ii. настройка протокола tcp/ip - student2.ru
Рис 23.3. Несколько доменов можно объединить в один

Какие преимущества дает объединение доменов в подобную иерархию? Появляется возможность поиска в корневом домене, при котором также проверяются элементы в дочерних доменах. Кроме того, наличие автоматически созданных двусторонних доверительных отношений между всеми доменами, входящими в дерево, значительно упрощает администрирование всей сети. Также можно группировать домены, не имеющие "смежных" DNS-имен. В результате этого возникнет лес (forest), состоящий из нескольких доменов и/или деревьев доменов. Как и в дереве доменов, все домены, входящие в лес, связаны между собой двусторонними доверительными отношениями, используют общую схему, конфигурацию и глобальный каталог. Главное различие между деревом доменов и лесом зак<

Наши рекомендации