Использование масок в IP-адресации
Лабораторная работа № 1
"Настройка протокола TCP/IP средствами операционной системы MS Windows 2000 Server"
Цель работы:
Научиться настраивать протокол TCP/IP средствами операционной системы MS Windows 2000 Server. Познакомиться с командами стека протокола TCP/IP.
Краткая теория
Типы адресов в сети TCP/IP
В сетях TCP/IP используются три типа адресов: локальные (называемые также аппаратными), IP-адреса и символьные имена (DNS).
а) Локальные адреса.
В терминологии TCP/IP под локальным адресом понимаются адреса, которые используются средствами базовой сетевой технологии подсети для доставки данных в пределах данной подсети.
В разных подсетях могут использоваться разные сетевые технологии, разные стеки протоколов, поэтому при создании стека TCP/IP предполагалась возможность использования разных типов локальных адресов.
Если подсетью интерсети является локальная сеть, то локальный адрес — это МАС-адрес. МАС-адреса присваиваются сетевым адаптерам компьютеров и портам маршрутизаторов, причем это делают производители оборудования, благодаря чему МАС-адреса являются уникальными. МАС-адреса называются также физическими адресами.
Во всех существующих технологиях локальных сетей МАС-адреса задаются шестью байтами и записываются парами шестнадцатеричных цифр, разделенными тире. Например, 11-A0-17-3D-BC-01.
б) IP-адреса.
Адреса, с помощью которых пакеты передаются между сетями, называются IP-адреса. IP-адрес назначается администратором сети в процессе конфигурирования компьютеров и маршрутизаторов.
IP-адреса имеют длину 4 байта и обычно записываются в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных точками, например, 109.26.17.100.
IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно (в локальной сети), либо назначен по рекомендации специального подразделения Internet (Internet Network Information Center, InterNIC), если сеть должна работать как составная часть Internet.
Обычно поставщики услуг Internet получают диапазоны адресов у подразделений InterNIC, а затем распределяют их между своими абонентами. Номер узла в протоколе IP назначается независимо от локального адреса узла. Маршрутизатор по определению входит сразу в несколько сетей. Поэтому каждый порт маршрутизатора имеет собственный IP-адрес. Конечный узел также может входить в несколько IP-сетей. В этом случае компьютер должен иметь несколько IP-адресов, по числу сетевых связей. Таким образом, IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.
в) Символьные адреса.
Символьный адрес — это в общем случае составной идентификатор, имя, которое назначается администратором и состоит из нескольких частей, например, имени машины, имени организации, имени домена. Такой адрес, называемый также DNS-именем. Например, SERV1.IBM.COM,
Классы IP-адресов
Как уже говорилось, IP-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме: 128.10.2.30. Однако для анализа структуры IP-адресов необходимо использовать двоичную форму представления адреса. Так, для приведенного выше адреса двоичное представление имеет вид: 10000000 00001010 00000010 00011110.
IP-адрес состоит из двух логических частей — номера сети и номера узла в сети. Очевидно, что могут возникнуть самые разные ситуации. Например, количество подсетей в сети небольшое, а количество узлов в каждой из этих подсетей — большое, или наоборот. Поэтому структура IP-адресов выбрана гибкой и меняющейся, в зависимости от потребностей данной сети.
IP-адреса одинаковой структуры образуют класс адресов. Чтобы узнать, какая часть адреса относится к номеру сети, а какая — к номеру узла, нужно проанализировать значения первых бит адреса. Таким образом, значения этих бит являются также признаками того, к какому классу относится тот или иной IP-адрес.
На рис. 1 показана структура IP-адреса разных классов.
Рисунок 1.Структура IP-адреса
Если адрес начинается с 0, то сеть относят к классу А и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126 (нуль не используется, а номер 127 зарезервирован для специальных целей, о чем будет сказано ниже.) Сетей класса А немного, зато количество узлов в них может достигать 224, то есть 16 777 216 узлов.
Если первые два бита адреса содержат 10, то сеть относится к классу В. В сетях класса В под номер сети и под номер узла отводится по 16 бит, то есть по 2 байта. Таким образом, сеть класса В является сетью средних размеров с максимальным числом узлов 216, что составляет 65 536 узлов.
Если адрес начинается с последовательности 110, то это сеть класса С. В этом случае под номер сети отводится три байта (24 бита), а под номер узла оставшиеся 8 бит. Сети этого класса наиболее распространены, максимальное число узлов в них — 256.
Если адрес начинается с последовательности 1110, то он является адресом класса D и обозначает особый, групповой адрес — multicast. Если в пакете в качестве адреса назначения указан адрес класса D, то такой пакет должны получить все узлы, которым присвоен данный адрес.
Если адрес начинается с последовательности 11110, то это значит, что данный адрес относится к классу Е, Адреса этого класса зарезервированы для будущих применений.
Таблица 1.Характеристики адресов разного класса
Очевидно, что большие сети должны использовать адреса класса А, средние — класса В, а маленькие — класса С.
Особые IP-адреса
В протоколе IP существует несколько соглашений об особой интерпретации IP-адресов.
Если весь IP-адрес состоит только из двоичных нулей, то он обозначает адрес того узла, который сгенерировал этот пакет. Этот режим используется только в некоторых сообщениях ICMP (протокола контрольных сообщений Internet).
Если в поле номера сети стоят только нули, то по умолчанию считается, что узел назначения принадлежит той же самой сети, что и узел, который отправил пакет.
Если все двоичные разряды IP-адреса равны 1, то пакет с таким адресом назначения должен рассылаться всем узлам, находящимся в той же сети, что и источник этого пакета. Такая рассылка называется ограниченным широковещательным. сообщением (limited broadcast).
Если в поле номера узла назначения стоят только единицы, то пакет, имеющий такой адрес, рассылается всем узлам сети с заданным номером сети. Например, пакет с адресом 192.190.21.255 доставляется всем узлам сети 192.190.21.0. Такая рассылка называется ограниченным широковещательным сообщением (limited broadcast). В протоколе IP нет понятия широковещательности (broadcast), когда данные должны быть доставлены абсолютно всем узлам. Поэтому деление сети с помощью маршрутизаторов на части локализует широковещательную доставку пределами одной из составляющих общую сеть подсетей, так как нет способа адресовать пакет одновременно всем узлам всех сетей составной сети.
Особые IP-адреса несколько сокращают диапазоны адресов, используемых для обычных целей. Так, ни номер сети, ни номер узла не может состоять только из одних двоичных единиц или только из одних двоичных нулей. Отсюда следует, что максимальное количество узлов, приведенное в таблице для сетей каждого класса, на практике должно быть уменьшено на 2. Например, в сетях класса С под номер узла отводится 8 бит, которые позволяют задавать 256 номеров: от 0 до 255. Однако на практике максимальное число узлов в сети класса С не может превышать 254, так как адреса 0 и 255 имеют специальное назначение.
Из этих же соображений следует, что конечный узел не может иметь адрес типа 98.255.255.255, поскольку номер узла в этом адресе (класс А) состоит из одних двоичных единиц.
Особый смысл имеет IP-адрес, первый байт которого равен 127. Он используется для тестирования программ и взаимодействия процессов в пределах одной машины. Когда программа посылает данные по IP-адресу 127.0.0.1, то образуется как бы «петля» (поэтому адрес имеет специальное название loopback). В этом случае данные не передаются в сеть, а возвращаются назад, как только что принятые. Поэтому в IP-сети запрещается присваивать машинам также IP‑адреса, начинающиеся со 127.
Рабочее задание
1. Назначить сетевому интерфейсу статический IP-адрес в общей учебной подсети.
Замечание о назначении статических IP-адресов ВНИМАНИЕ! Задания лабораторных работ могут требовать различной конфигурации сетевых интерфейсов. Произвольное назначение адресов (особенно на лабораторных работах!) может привести к появлению совпадающих адресов, что вызовет конфликт в сети. Чтобы не терять время на поиск и устранение таких конфликтов, студентам следует назначать адреса по таким правилам:
|
- С помощью команды pingпроверить подключение (связь с другими машинами в этой подсети). Используя параметр – l, определить максимально допустимый размер пакета. Подумать, в чем причина этого ограничения.
- Назначить сетевому интерфейсу дополнительный IP-адрес в «собственной» учебной подсети. Используя команду ping проверить соединение с другими компьютерами по соответствующим адресам в «собственной» подсети. Объяснить результат.
- Назначить сетевому интерфейсу дополнительный IP-адрес в подсети, «принадлежащей» соседнему компьютеру и проверить его подключение к сети.
- Войти в сеть informatics.dstu.net и, пользуясь командой net use, выполнить подключение к общему сетевому диску вашей группы. IP-адрес файл-сервера – 10.16.33.1/24. Путь NetBIOS на сервере - \users\userXX (по логину пользователя).
6. По окончании работы удалить все IP-адреса (в свойствах протокола TCP/IP назначить автоматическое получение).
Ход работы
I. Загрузка рабочей станции
Для загрузки на рабочей станции операционной системы MS Windows 2000 Server необходимо при включении компьютера нажать клавишу F8, после чего на экране появится меню вариантов загрузки, в котором необходимо выбрать пункт "Возврат к выбору операционной системы", далее будет предложен выбор операционных систем. Необходимо переместить курсор на пункт "Windows 2000 Server" и нажать клавишу Enter.
Команда Net use
Команда используется для подключения к общим сетевым ресурсам или выводу информации о подключениях компьютера. Команда также управляет постоянными сетевыми соединениями. Форматы использования команды:
net use [устройство|*] [\\компьютер\ресурс[\том]] [пароль|*]] [/user:[домен\]имя_пользователя] [[/delete] | [/persistent:{yes|no}]]
net useустройство [/home[пароль|*]] [/delete:{yes|no}]
net use [/persistent:{yes | no}]
Пример: net use * \\server\share\folder /user:username password
Таблица 2. Параметры команды Net use
Параметры | Действия |
без параметров | Вызванная без параметров, команда net use извлекает список сетевых подключений. |
устройство | Задает имя ресурса при подключении или имя устройства при отключении. Существует два типа имен устройств: дисководы (от D: до Z:) и принтеры (от LPT1: до LPT3:). Ввод символа звездочки обеспечит подключение к следующему доступному имени устройства. |
\\компьютер\ресурс | Указывает имя сервера и общего ресурса. Если параметр компьютер содержит пробелы, все имя компьютера от двойной обратной черты (\\) до конца должно быть заключено в кавычки (" "). Имя компьютера может иметь длину от 1 до 15 символов. В качестве имени можно использовать IP-адрес компьютера. |
\том | Задает имя тома системы NetWare. Для подключения к серверам NetWare должна быть запущена служба клиента сети NetWare (для Windows 2000 Professional) или служба шлюза сети NetWare (Windows 2000 Server). |
пароль | Задает пароль, необходимый для подключения к общему ресурсу. Выводит приглашение для ввода пароля. При вводе с клавиатуры символы пароля не выводятся на экран. |
/user | Задает другое имя пользователя для подключения к общему ресурсу. |
домен | Задает имя другого домена. Например, net use d:\\server\share /user:admin\mariel подключает пользователя mariel из домена admin. Если домен не указан, используется текущий домен. |
имя_пользователя | Указывает имя пользователя для подключения. |
/delete | Отменяет указанное сетевое подключение. Если подключение задано с символом звездочки, будут отменены все сетевые подключения. |
/home | Подключает пользователя к его основному каталогу. |
/persistent | Управляет постоянными сетевыми подключениями. По умолчанию берется последнее использованное значение. Подключения без устройства не являются постоянными. yes —Сохраняет все существующие соединения и восстанавливает их при следующем подключении. no—Не сохраняет выполняемые и последующие подключения. |
/delete | Для удаления постоянных подключений используется ключ |
Лабораторная работа № 2
"Настройка службы DHCP"
Цель работы:
Научиться настраивать службу DHCP.
Краткая теория
Назначение IP-адресов узлам сети даже при небольшом размере сети может представлять для администратора утомительную процедуру. Протокол Dynamic Host Configuration Protocol (DHCP) освобождает администратора от этих проблем, автоматизируя процесс назначения IP-адресов.
DHCP может поддерживать способ автоматического динамического распределения адресов, а также более простые способы ручного и автоматического статического назначения адресов. Протокол DHCP работает в соответствии с моделью клиент-сервер:
· Во время старта системы компьютер, являющийся DHCP-клиентом, посылает в сеть широковещательный запрос на получение IP-адреса (DHCP Discovery broadcast).
· DHCP-cepвер откликается и посылает широковещательное сообщение-ответ (DHCP Offer), содержащее IP-адрес.
· Получив это предложение, клиент посылает сообщение DHCP Request, подтверждая что он принимает предложение сервера.
· Сервер регистрирует данные о клиенте в своей базе данных и высылает ему ответ DHCP Acknowledgement (подтверждение), а также дополнительную информацию для настройки (опции).
· Получив подтверждение, клиент может приступать к полноценной работе в сети.
Предполагается, что DHCP-клиент и DHCP-сервер находятся в одной IP-сети. Чтобы DHCP-сервер мог обслуживать клиентов за пределами домена коллизий (части физической сети, в пределах которой распространяются широковещательные пакеты), маршрутизатор на границе между сетями настраивают на передачу широковещательных DHCP-сообщений. Такой маршрутизатор называют передающим агентом (relay agent).
При динамическом распределении адресов DHCP-сервер выдает адрес клиенту на ограниченное время, называемое временем аренды (lease duration), что дает возможность впоследствии повторно использовать этот IP-адрес для назначения другому компьютеру. Основное преимущество DHCP - автоматизация рутинной работы администратора по конфигурированию стека TCP/IP на каждом компьютере. Иногда динамическое разделение адресов позволяет строить IP-сеть, количество узлов в которой превышает количество имеющихся в распоряжении администратора IP-адресов.
В ручной процедуре назначения статических адресов активное участие принимает администратор, который предоставляет DHCP-серверу информацию о соответствии IP-адресов физическим адресам или другим идентификаторам клиентов. DHCP-сервер, пользуясь этой информацией, всегда выдает определенному клиенту назначенный администратором адрес.
При автоматическом статическом способе DHCP-сервер присваивает IP-адрес из пула наличных IP-адресов без вмешательства оператора. Границы пула назначаемых адресов задает администратор при конфигурировании DHCP-сервера. Адрес дается клиенту из пула в постоянное пользование, то есть с неограниченным сроком аренды. Между идентификатором клиента и его IP-адресом по-прежнему, как и при ручном назначении, существует постоянное соответствие. Оно устанавливается в момент первого назначения DHCP-сервером IP-адреса клиенту. При всех последующих запросах сервер возвращает тот же самый IP-адрес.
DHCP обеспечивает надежный и простой способ конфигурации сети TCP/IP, гарантируя отсутствие дублирования адресов за счет централизованного управления их распределением. Администратор управляет процессом назначения адресов с помощью параметра «продолжительность аренды», которая определяет, как долго компьютер может использовать назначенный IP-адрес, перед тем как снова запросить его от DHCP-сервера в аренду.
Примером работы протокола DHCP может служить ситуация, когда компьютер, являющийся DHCP-клиентом, удаляется из подсети. При этом назначенный ему IP-адрес автоматически освобождается. Когда компьютер подключается к другой подсети, то ему автоматически назначается новый адрес. Ни пользователь, ни сетевой администратор не вмешиваются в этот процесс. Это свойство очень важно для мобильных пользователей.
DHCP-сервер может назначить клиенту не только IP-адрес клиента, но и другие параметры стека TCP/IP, необходимые для его эффективной работы, например, маску, IP-адрес маршрутизатора по умолчанию, IP-адрес серверов DNS и NTP, доменный суффикс и т. п.
Понятия DHCP
Область DHCP.Область (scope) DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.
Диапазоны исключения.Диапазон исключения (exclusion range) — ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.
Пул адресов.Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.
Резервирование.Резервирование (reservation) позволяет назначить конкретному клиенту постоянный адрес и гарантировать, что он может всегда использовать этот IP-адрес.
Суперобласти.Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект — суперобласть (superscope). Суперобласти полезны для управления службой DHCP в сети со сложной структурой.
Арендные договоры.Арендный договор (lease) — отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу). В стремительно меняющейся сети или во время начальной настройки значение lease ставят маленьким (1-2 часа); когда сеть «стабилизируется», значение увеличивают до нескольких суток.
Опции DHCP.Опции DHCP — дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.
Замечания:
- Работа нескольких серверов DHCP в рамках одного домена допустима только с целью повышения отказоустойчивости и распределения нагрузки в крупных сетях. Серверам назначают одинаковые настройки, за исключением областей: диапазоны адресов не должны пересекаться.
- Чтобы проверить настройки клиента, на нем выполняют команду ipconfig /all
- Чтобы обновить настройки клиента (запрос DHCP Request), необязательно перезагружать компьютер. Следует использовать команду ipconfig /renew.
- Однажды получив адрес от сервера, в дальнейшем клиент будет «выбирать» этот же сервер при получении ответа от нескольких DHCP-серверов. Чтобы сбросить предыдущие настройки и инициировать на клиенте новый поиск серверов (запрос DHCP Discovery), используют команды ipconfig /release,ipconfig /renew.
Рабочее задание:
- По заданию преподавателя выбрать в сети машину, которая будет управлять выдачей IP-адресов (сервер DHCP). Присвоить ей статический IP-адрес в «собственной» учебной подсети и установить на нее DHCP службу.
- Назначить область IP адресов (10-20 последних адресов в «собственной» подсети 192.168.N.0) и активировать ее.
- Остальным компьютерам назначить автоматическое получение IP-адресов.
- Проверить работу DHCP (просмотреть список Address leases на сервере, проверить полученные настройки на клиентах).
- Установить для области опции DHCP: (Router: IP-адрес сервера, DNS Domain name: “testlab”) и проверить полученные настройки на клиентах.
- Выбрать один из компьютеров-клиентов, определить его MAC-адрес и создать на DHCP-сервере резервирование для этого клиента (IP:192.168.N.200). Установить для него дополнительную опцию Host Name (имя компьютера, выбрать самостоятельно). Проверить полученные настройки на выбранном клиенте.
- Завершение работы: остановить и удалить службу DHCP с сервера, назначить серверу автоматическое получение IP-адреса.
Ход работы
Чтобы установить службу DHCP необходимо:
- запустить мастер компонентов Windows (Windows Component Wizard) (значок Установка и удаление программ на панели управления, затем кнопка Добавление и удаление компонентов Windows (Add/Remove Windows Components)) или — в окне Сеть и удаленный доступ к сети в меню Дополнительно выбрать команду Дополнительные сетевые компоненты.
- в списке Компоненты (Components)выбрать Сетевые службы (Networking Services).
- нажать кнопку Состав (Details).
- в списке Сетевые службы — состав (Subcomponents of Networking Services) установить флажок у элемента DHCP (Dynamic Host Configuration Protocol (DHCP)) и нажать кнопку ОК.
- если потребуется, введите полный путь к файлам дистрибутива Windows 2000 и нажмите кнопку Продолжить (Continue), в нашем случае дистрибутив находится в корневом каталоге диска D:\. Требуемые файлы будут скопированы на жесткий диск; новое программное обеспечение сервера можно использовать сразу после установки без перезапуска системы.
Лабораторная работа № 3
"Настройка службы каталогов Active Directory и системы доменных имен Domain Name System"
Цель работы:
Научиться устанавливать, настраивать и конфигурировать службы Active Directory DNS.
Краткая теория
По своей сути, служба каталогов — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды.
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
Единая регистрация в сети; Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.
Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.
Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе.
Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься. Кроме того, службу каталога можно связать с Интернетом для взаимодействия с деловыми партнерами и поддержки электронной коммерции.
Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам.
Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.
Гибкость запросов к каталогу. Пользователи и администраторы сети могут быстро находить объекты в сети, используя свойства объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.). Это, в частности, можно сделать при помощи команды Пуск | Поиск(Start | Search), папку Мое сетевое окружение(My Network Places) или оснастку Active Directory - пользователи и компьютеры(Active Directory Users and Computers). Оптимальность процедуры поиска достигается благодаря использованию глобального каталога.
Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности
При инсталляции Windows 2000 Server и организации домена Windows 2000 (или смешанного с Windows NT 4.0 домена) необходимо иметь четкое представление о некоторых базовых понятиях служб каталога вообще и Active Directory — в частности. Без этого невозможно даже правильно сконфигурировать Windows 2000 Server, не говоря уж об эффективной организации доменов.
Домены и Контроллеры доменов
Основные компоненты любой службы каталога — база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.
Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.
Домены — это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. В среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). Так, домен MainOffice при обновлении может получить новое имя типа mainqfflce.company.com. В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена. В среде Windows 2000 Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, — "стандартной", службе каталогов, применяемой в настоящее время для сетей TCP/IP. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP) (рис. 2).
Рисунок 2. Доступ к данным с использованием LDAP
Службы DNS и Active Directory
В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой — преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Например, запись типа А применяется для преобразования доменного имени компьютера в заданный IP-адрес, а запись типа MX — для поиска почтового сервера в определенном почтовом домене. Каждый DNS-сервер "знает" свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому — пусть и не сразу— почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию.
Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:
Домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен.
Зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 .Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS.
Использование клиентами службы DNS при поиске контроллеров домена.
В Active Directory служба LDAP каждого домена Windows 2000 представлена некоторой SRV-записью службы DNS. Такая запись содержит DNS-имя контроллера этого домена, по которому клиенты Active Directory могут находить IP-адрес компьютера-контроллера домена. После того как нужный контроллер обнаружен, для доступа к данным Active Directory, хранящихся на нем, клиент может использовать протокол LDAP.
Windows 2000 Server поддерживает также службу динамического именования хостов, Dynamic DNS. В соответствии с RFC 2136 служба Dynamic DNS расширяет протокол DNS, позволяя модифицировать базу данных DNS со стороны удаленных систем. Например, при подключении некоторый контроллер домена может сам добавлять SRV-запись для себя, освобождая администратора от такой необходимости.
Листья и контейнеры LDAP
После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к данным Active Directory используется протокол LDAP. Протокол LDAP работает поверх TCP/IP и — как следует из названия протокола — определяет способы доступа к каталогу со стороны клиентов. Помимо механизма доступа данный протокол реализует соглашения по именованию информации в каталоге, в явном виде описывая структуру этой информации. Для клиента все данные, хранящиеся в базе LDAP, представляются в виде иерархического дерева. Каждый узел дерева (объект или элемент) может быть либо контейнером (container), либо листом (leaf). Различие между ними вполне очевидно: контейнеры могут содержать другие элементы, а листья — нет.
Каждый элемент (контейнер или лист) представляет собой некоторый объектный класс, определяющий атрибуты (называемые также свойствами) данного элемента. Поскольку атрибуты есть и у контейнеров, и у листьев, информация, хранящаяся в дереве каталога, распределена по всем узлам. Тип информации (объектные классы и типы атрибутов), содержащейся в конкретной базе данных Active Directory, задается схемой, определенной для этого каталога. В Active Directory схема каждого каталога представлена элементами, хранящимися непосредственно в самом каталоге. Компания Microsoft определяет стандартную схему, однако пользователи и разработчики программных средств могут добавлять новые классы и типы атрибутов. Изменение схемы каталога — полезная возможность, которой нужно пользоваться очень осторожно, поскольку такие изменения могут иметь весьма значительные последствия.
Схема Active Directory достаточно сложна и содержит сотни и сотни объектных классов и типов атрибутов. Ниже для примера перечислены некоторые интересные классы:
user — описывает конкретного пользователя домена. Среди атрибутов этого класса: canonicalName (Каноническое имя), userPrincipalName (Полное имя пользователя), homePostalAddress (Домашний почтовый адрес), telephoneNumber (Номер телефона), thumbnailPhoto (Фотография).
printQueue— позволяет клиенту находить некоторый принтер. Среди атрибутов: location (Местоположение), printStatus (Состояние принтера) и printLanguage (Язык принтера).
compoter— идентифицирует некоторый компьютер домена. Среди множества атрибутов этого класса: operatingSystem (Операционная система), operatingSystemServicePack, dNSHostName (DNS-имя хоста) и machineRole (Назначение компьютера; этот атрибут указывает, является ли данный компьютер контроллером домена, рядовым сервером или рабочей станцией).
organizationalUnit— описывает подразделения конкретного домена. Самый важный.атрибут— ои (Имя организационной единицы). Организационные единицы играют очень важную роль при структурировании информации, внутри домена (это будет описано чуть позже).
Каждый элемент Active Directory и каждый атрибут любого элемента имеют список управления доступом (ACL), который определяет права и возможности пользователей в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям — читать и изменять некоторые из атрибутов, а остальным — запретить какой-либо доступ к элементу. Эффективное управление доступом невозможно без достоверной аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos. (Kerberos — стандарт, созданный консорциумом IETF и поддерживаемый многими поставщиками; ключевая технология для обеспечения распределенной безопасности Windows 2000.)
Механизмы именования в Active Directory
Каждый домен в Windows 2000 имеет DNS-имя, однако DNS-имена не применяются для именования отдельных элементов базы данных Active Directory. Вместо этого следует использовать и