Главная страница
Навигация по странице:

  • 3. Администрирование Active Directory Active Directory - это «родная» полнофункциональная служба каталогов для Windows 2000

  • В Active Directory набор доменов может создаваться в порядке, напоминающем структуру д

  • Лес - это термин, применяемый для описания совокупности Active Directory деревьев. Каждое дерево в лесе имеет собственное отдельное пр

  • практика. Локальные сети в последнее время из модного дополнения к компьютерам все более превращаются в обязательную принадлежность любой компании, имеющей больше одного компьютера


    Скачать 72.89 Kb.
    НазваниеЛокальные сети в последнее время из модного дополнения к компьютерам все более превращаются в обязательную принадлежность любой компании, имеющей больше одного компьютера
    Дата30.05.2022
    Размер72.89 Kb.
    Формат файлаdocx
    Имя файлапрактика.docx
    ТипДокументы
    #556339
    страница3 из 5
    1   2   3   4   5

    2.4 Методы и средства модернизации Windows-сети



  • Этот метод оправдывается и при проектировании сети. Будет слишком дорого и неразумно покупать кучу коммутаторов, маршрутизаторов и клиентского оборудования, не зная точно, что нужно. Симулятор сети - это замечательный способ убедиться, что сеть правильно спроектирована и сконструирована. Так как сети динамичны по своей природе, симулятор сети покажет, как новое устройство повлияет на работу сети в целом [15].

  • Симулятор сети - это программы, которые позволяют построить тестовый вариант сети с различными конфигурациями, а затем применить различные нагрузки и посмотреть, как сеть будет работать. Симуляция является очень полезным инструментом, так как по мере роста сети и трансформации маршрутов нет другой возможности проверить, как небольшое изменение повлияет на сетевую работу.

  • При создании модели сети первым шагом является создание изображения сети, в которое входит ее топология и трафик [20]. Топология - это каркас вашей сети, который включает в себя как ее физическую конструкцию, так и логическую конфигурацию. Некоторые из устройств, включаемых в топологическую схему, перечислены ниже:

  •   маршрутизаторы;

  •   компьютеры;

  •   коммутаторы;

  •   линии WAN;

  •   линии LAN;

  •   соединения типа «точка-точка».

  • Некоторыми из логических установок, которые следует учитывать, являются:

  •   настройки интерфейса маршрутизатора;

  •   LAN-скорости;

  •   WAN-скорости;

  •   возможности маршрутизаторов;

  •   протоколы трассировки;

  •   согласование выдачи имен.

  • Существуют программы, которые используют протокол Simple Network Management Protocol (SNMP) для исследования сети и всех ее физических и логических особенностей.

  •  Рассмотрим работу трафика

  •  Замеры трафика лучше всего проводить в тех точках, откуда он исходит, и в конечных точках. В эти точки надо поместить сетевые зонды. К сожалению, сетевые зонды достаточно дороги и их долго устанавливать [15].

  •  Зонды - это обычные РС c зондирующими программами. Они по размеру меньше персонального компьютера, без клавиатуры и монитора.

  •  Несмотря на то что зонды дорого стоят и их сложно устанавливать, информация, которую они собирают, является бесценной.

  •  Хорошие зонды собирают информацию о трафике вплоть до прикладного уровня и генерируют статистику на базе приложений. От зондов можно получить следующую информацию.

  •    Сетевые протоколы.

  •    Имя приложения.

  •    Исходный компьютер.

  •    Конечный компьютер.

  •    Количество пакетов, проходящих в каждом направлении.

  •    Количество байтов, проходящих в каждом направлении.

  •    Запаздывание приложения.

  •    Продолжительность соединения.

  •  Вся эта информация пригодится при построении сети. Однако даже если вы не строите топологическую модель своей сети, эта информация полезна сама по себе. Например, вы можете использовать зонд для проверки запаздывания приложения, чтобы выяснить, достаточен ли уровень обслуживания в сети. Можно посмотреть, какова скорость передачи данных каждого приложения и т.д.

  •  Для этого проведем тестирование.

  •  Запуская свой симулятор, следует знать, что тестирование продлится несколько часов. Это не так уж плохо, потому что чем дольше будет продолжаться тестирование, тем лучшее представление о своей сети вы получите. Если требуется повысить скорость работы симулятора, то следует удалить или зафиксировать трафик работы [13].

  •  Снижение трафика работы. Естественно, если удалить разговоры из сети, то это искусственным образом снизит количество трафика и даст искаженные результаты. Однако это не означает, что этого нельзя сделать без помех. Если несколько зондов одновременно фиксируют данные, то они будут получать одни и те же разговоры. Обычно программы зондов ликвидируют дублирующиеся разговоры, но если программа не «отловит» их, то придется это сделать вручную.

  •  Для этого существует инструменты симуляции сети [21].

  •  Инструмент NetScout nGenius Capacity Planner предсказывает поведение приложений, сети и образцы трафика устройств с помощью анализа информации, полученной из целого ряда источников, таких как сетевые зонды, управляемые SNMP устройства и MIB.

  •  Использование всех этих инструментов для сбора информации позволяет nGenius получать своевременную и точную информацию о состоянии сети. NGenius использует зонды, осведомленные о приложениях, которые возвращают информацию об использовании полосы пропускания пользователем и приложением.

  •  Кроме того, nGenius исследует трафик приложений, давая представление о том, какую часть ресурсов они потребляют. NGenius использует nGenius NewStand для предоставления отчетов об отдельных пользователях и группах [13]. Эти отчеты можно экспортировать в интранет для внутреннего использования. NGenius позволяет выполнять следующие действия:

  •  - определять наиболее и наименее используемые сегменты сети, цепи и виртуальные локальные сети;

  •  - сосредоточиваться на особенностях сети для обнаружения специфических требований;

  •  - использовать NetScout-зонды для получения точных текущих данных о состоянии сети.

  •  NGenius Capacity Planner использует технологию подписывания трафика (Traffic Signature) для создания максимальной, 90-процентной и средней базовых линий. Эта технология позволяет получать следующую информацию:

  •  - отчеты за каждый час дня в сравнении с максимальной, 90-процентной и средней базовой линией;

  •  - повторяющиеся образцы;

  •  - предупреждения о том, что трафик отличается от нормального.

  •  Compuware Predictor

  •  Инструмент Compuware Predictor показывает влияние изменений трафика или топологии на работу сети в целом. Predictor использует метрические показатели задержки и утилизации, а также предсказания того, в каких местах будут проявляться задержки отклика приложений [22].

  •  Predictor можно использовать для:

  •  - отключения устройств;

  •  - моделирования изменений протокола;

  •  - планирования простоев сети;

  •  - централизации серверов;

  •  - управления пропускной способностью;

  •  - управления обновлением;

  •  - обнаружения узких мест;

  •  - добавления новых пользователей, групп пользователей и приложений.

  •  Predictor предоставляет ряд метрических данных и отчетов по такой тематике, как пропускная способность WAN и запаздывание, задержка и утилизация. Кроме того, Predictor использует предупреждения, тревожные сообщения и информацию о перегрузке.

  •  Для этого существуют нструменты сторонних производителей.

  •  Приложение VitalSuit представляет собой интегрированный набор программных модулей для мониторинга сетевой активности, приложений и их транзакций. Для планирования мощности и других нужд VitalSuit содержит базу данных SQL Server (включает SQL Server 7.0 и 2000).

  •  My Vital объединяет виды трех основных компонентов (VitalNet, VitalAnalysis и VitalHelp) в одном окне. Это является прекрасным обобщением, которое отражает работу системы.

  •  My Vital можно настроить на создание различных отчетов, ориентированных не только на нужды IT-отделения или сетевого администратора, но и отдельных работников.

  •    Concord eHealth - это набор четырех компонентов для проведения мониторинга сети. В его состав входит следующее.

  •    Network Health.

  •  Следит за работой и доступностью WAN-интерфейсов, маршрутизаторов, коммутаторов, каналов Frame Relay и оборудованием удаленного доступа.

  •    Live Health.

  •  Опрашивает SNMP-управляемые устройства, определяя их статус и состояние, представляет ошибки и потенциальное время простоя.

  •    System Health.

  •  Ведет наблюдение за серверами и выбирает клиентов для предупреждения администратора о проблемах работы приложений, поломках серверов и проблемах с запасами памяти на жестких дисках.

  •    Application Health.

  •  Набор инструментов, ориентированных на транзакции, для определения причины плохого отклика приложений. Один из инструментов (Application Assessment) наблюдает за работой программ Microsoft Exchange, Internet Information Server и SQL Server, отслеживая ошибки.

  •    EHealth может представлять собранные данные в браузере, консоли сервера или формате Adobe Acrobat. Более того, eHealth имеет собственный веб сервер для представления данных по управлению и отчетов в виде веб-страниц.

  •    HP OpenView

  •  Линия инструментов для мониторинга от компании Hewlett-Packard включает в себя ряд продуктов Open View [2]. Open View содержит 56 различных инструментов для мониторинга сетей. Продукты Open View используются для наблюдения за веб-активностью, UNIX-средой и OS/400-окружением. Для Windows XP Professional-среды больше всего подходит Open View Operations for Windows [23].

  •    OpenView Operations for Windows - это распространенное решение, и оно установлено на целом ряде сетевых хостов. Инструмент может выполнять следующие работы:

  •  - находить сеть;

  •  - внедрять правила управления и политику;

  •  - собирать и автоматически откликаться на события;

  •  - просматривать и управлять сообщениями;

  •  - создавать отчеты и графики;

  •  - представлять важнейшие сервисы на цветных топологических картах (схемах).

  • 3. Администрирование Active Directory

  • Active Directory - это «родная» полнофункциональная служба каталогов для Windows 2000-2003.

  • Каталог может хранить различную информацию, относящуюся к пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее - все это называется объектами.

  • Каталог хранит также информацию о самом объекте, или его свойства - атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит и многое другое. [17]

  • Active Directory использует Lightweight Directory Access Protocol (LDAP) - простой протокол доступа к каталогам, как главный протокол доступа. LDAP действует поверх TCP/IP и определяет способы обращения и доступа к объектам между клиентом и сервером Active Directory. В LDAP каждый объект имеет свое особенное Distinguished Name (отличительное имя), и это имя отличает его от других объектов Active Directory, а также подсказывает нам, где данный объект расположен. Два главных составных части отличительного имени - это CN (common name) - общее имя и DC (domain component) - доменная составляющая. Общее имя определяет объект или контейнер, в котором этот объект находится, в то время как доменный компонент определяет домен, в котором объект находится. Например, отличительное имя может быть следующим:

  • CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru

  • В этом примере у нас есть пользователь Peter Ivanoff, который находится внутри контейнера, называемого Users, в домене firma, который является поддоменом.ru. Отличительное имя объекта должно быть уникальным внутри леса Active Directory.

  • В то время как отличительное имя дает нам полную информацию о расположении объекта, relative distinguished name (относительное отличительное имя) определяет объект внутри его родительского контейнера. Например, если осуществляется поиск внутри контейнера Users, относительное отличительное имя объекта, который ищут, может быть Peter Ivanoff [1].

  • Когда пользователь входит в домен, расположенный в Active Directory, у него может быть два типа имени. Первое из них - традиционное NetBIOS - имя. В Windows 2000/2003 на него ссылаются как на downlevel logon name (имя регистрации в ранних версиях Windows). Этот тип имени существует для совместимости с ранними версиями Windows, процесс входа в которые был основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так далее). Когда вы используете downlevel logon name (на вкладке свойств - «имя входа пользователя пред-Windows 2000») для входа, пользователь должен ввести имя пользователя, пароль и выбрать соответствующий домен, в который он собирается входить. Второе имя - и это новинка в Windows 2000 - это возможность входа в систему с использованием того, что называется User Principal Name (основное имя пользователя) или UPN. Основное имя пользователя имеет следующий формат - user@domain.com (на вкладке свойств пользователя это называется - User logon name (имя входа пользователя)) [24]. Если это соглашение действует, то пользователю не нужно определять домен, в который он хочет войти. Фактически, когда для входа в Windows 2000/2003 используется UPN, доменная часть окна имени для входа в систему закрашена серым. Пример этих двух типов имен показан на вкладке свойств учетной записи пользователя Active Directory (см. Рисунок 8)

  • Рисунок 8. Active Directory [1]

  • Логическая структура Active Directory зависит от нужд организации. Логические элементы Active Directory это леса, деревья, домены и OU.

  • · Домены

  • Для различных намерений и целей, домен является логической группой пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации. Прежде всего домен - это административная единица. Следовательно, администратор этого домена может его администрировать и для этого не нужен никто другой. Кроме того, все контроллеры одного домена должны осуществлять репликацию друг с другом [17].

  • В Windows 2000/2003 домены именуются в соответствии с соглашением об именовании DNS. Примером имени домена в Active Directory может быть 2000trainers.com. Active Directory также позволяет иметь множество доменов, формируя структуры, которые называются деревьями и лесами. [6]

  • · Дерево

  • В Active Directory набор доменов может создаваться в порядке, напоминающем структуру дерева. В этом случае «дочерний» домен наследует свое имя от «родительского» домена (см. Рисунок 9)





  • Рисунок 9 - Домены [6]

  • Каждый домен в дереве является отдельной и явно выраженной административной единицей, так же как и границей для целей репликации. То есть, если вы создали учетную запись пользователя в домене filial1.firma.ru, то эта учетная запись, существующая на контроллере домена, будет реплицирована на все контроллеры домена filial2.firma.ru.

  • Каждый новый «дочерний» домен имеет transitive (транзитивные) двунаправленные доверительные отношения с «родительским» доменом. Это достигается автоматически в Active Directory и позволяет пользователям из одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых доверительных отношений, пользователи в filial1 могут получать доступ к ресурсам (для чего у них должны быть соответствующие разрешения) в filial2 и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет своему «родительскому» домену firma, который в свою очередь «доверяет» filial2 - таким образом filial1 доверяет filial2 и наоборот).

  • Дерево, в общих чертах, можно определить как набор доменов, которые связаны отношениями «дочерний»/ «родительский» и поддерживают связанное пространство имен. [6]

  • · Лес

  • Лес - это термин, применяемый для описания совокупности Active Directory деревьев. Каждое дерево в лесе имеет собственное отдельное пространство имен. Например, что фирма владеет еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое собственное отдельное пространство имен, следует достичь этого объединив деревья и сформировать лес (см. Рисунок 10)





  • Рисунок 10 - Лес [6]

  • Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по-прежнему остается доменом и может иметь собственное дерево. Заметьте, что здесь существуют транзитивные доверительные отношения между «корневыми» доменами каждого дерева в лесу - это позволит пользователям домена acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в то же время поддерживает проверку подлинности в собственном домене.

  • Первый домен, созданный в лесу, рассматривается как «корень» леса. Одна из самых важных особенностей леса - это то, что каждый отдельный домен поддерживает общую схему - определения для различных объектов и связанных с ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть создан из одного дерева, которое содержит всего один домен. Это будет маленький лес, но формально это будет лес. [6]

  • · Организационные единицы

  • Организационные единицы (обычно называемые OU) - это контейнеры внутри Active Directory которые создаются для объединения объектов, в целях делегирования административных прав и применения групповых политик в домене. OU могут быть созданы для организации объектов несколькими путями, в соответствии с их функциями, местоположением, ресурсами и так далее [25]. Примером объектов, которые могут быть объединены в OU могут служить учетные записи пользователей, компьютеров, групп и т.д. Рисунок 11 показывает пример OU, основанной на местоположении пользователей и ресурсов:

  • Рисунок 11 - Организационные единицы. [1]

  • OU может содержать только объекты из того домена, в котором они расположены. Также заметьте, что структура OU может широко варьироваться от компании к компании. Она разрабатывается с целью облегчить администрирование ресурсов и применения групповых политик. В то время как полный административный контроль может быть дан (делегирован) пользователю через OU, для больших организаций становиться возможным иметь только один домен, в котором каждая структура будет имеет собственный контроль только над своей OU. [1]

  • Физическая структура Active Directory связана с двумя главными типами объектов - сайтами и контроллерами доменов.

  • - Сайты
  • 1   2   3   4   5


  • написать администратору сайта