практика. Локальные сети в последнее время из модного дополнения к компьютерам все более превращаются в обязательную принадлежность любой компании, имеющей больше одного компьютера
 Скачать 72.89 Kb.
|
|
В Active Directory сайт - это совокупность подсетей TCP/IP, между которыми существует высокоскоростное соединение. Хотя «высокоскоростное» - это относительное понятие, обычно под этим подразумевается соединение на скоростях, соответствующих LAN - соединениям [8]. Вы определяете сайт в Active Directory для контроля репликации, аутентификации и местоположения служб. Как только сайт будет создан, компьютеры клиентов будут пытаться аутентифицироваться на контроллере домена, который находится на данном сайте, вместо того, чтобы посылать запросы по WAN (глобальной сети). Сайты также позволяют вам контролировать, когда репликация может происходить между контроллерами доменов. Если определить сайт в Active Directory, можно также определить время и дни, в которые репликация между сайтами должна происходить, как часто она должна происходить, и преимущественные пути для ее прохождения. Важно отметить, что сайты - это другой элемент, который позволяет большим компаниям иметь только один домен. Так как не существует соотношения между логической и физической структурой Active Directory, вы можете иметь один домен и сотню сайтов. Возможность контролировать трафик репликации - одно из наибольших преимуществ управляемости Active Directory. Домена не может существовать без по крайней мере одного контроллера домена, где хранится база данных Active Directory. В Windows 2000/2003 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Поэтому все контроллеры домена в среде Active Directory достаточно равноправны. Однако, это усложняет картину, так как теперь каждый контроллер домена может делать записи в базу данных. Создать контроллер домена в Windows 2000/2003, при помощи Installation Wizard (мастер установки Active Directory) - dcpromo.exe (см. Рисунок 12). Этот инструмент не только позволяет создавать новые контроллеры домена, и новые домены, деревья и леса [26]. Он позволяет также понижать контроллер домена до рядового сервера, если возникнет такая необходимость. Рисунок 12 - Installation Wizard [8] После того, как контроллер домена создан, он хранит копию базы данных Active Directory (ntds.dit) и может проводить аутентификацию пользователей домена. База данных Active Directory состоит из того, что принято называть тремя разделами, как показано на рисунке 13. Рисунок 13 - База данных Active Directory. [10] Раздел «домен» реплицируется между контроллерами только внутри одного домена, в то время как разделы «конфигурация» и «схема» реплицируются в каждый из доменов, расположенных в лесу. Некоторые из контроллеров домена отличаются от других специальными ролями, которые они выполняют: Global Catalog Server (сервер Глобального Каталога) - сервер Глобального Каталога - это контроллер домена, который знает о каждом единичном объекте, который существует в Active Directory, в каждом из доменов. Однако, он сохраняет только часть атрибутов каждого объекта, которые считаются наиболее важными. По умолчанию только один контроллер домена во всем лесу выполняет эту роль - первый контроллер домена, созданный в лесу. Большее число серверов Глобального Каталога может (и должно) быть создано в лесу. Когда контроллер домена действует как сервер Глобального Каталога он хранит четвертый раздел, как часть базы данных Active Directory - раздел Глобального Каталога [17]. Помимо роли сервера Глобального Каталога, контроллеры домена могут выполнять еще пять специальных ролей, называемых Operations Masters (основные контроллеры операций). Они перечислены ниже: Schema Master (хозяин схемы) - в лесу только один контроллер домена может выполнять эту роль. Schema Master поддерживает схему Active Directory и поддерживает копию схемы, доступную для записи. По умолчанию первый контроллер домена, созданный в корневом домене леса, выполняет эту роль. Domain Naming Master (Хозяин именования доменов) - этот контроллер домена отслеживает домены, которые создаются и удаляются из леса, поддерживая целостность структуры леса, если какие-либо изменения имеют место. В лесу существует только один Domain Naming Master и, по умолчанию, эту роль выполняет первый контроллер, созданный в корневом домене леса. PDC Emulator (хозяин PDC) - эта роль существует по паре причин, одна из которых - обратная совместимость с NT 4 контроллерами. Когда домен повышается до Windows 2000, первая система, которая подвергается модернизации - это PDC (главный контроллер домена), и этот новый контроллер домена Windows 2000 эмулирует (имитирует) старый PDC для оставшихся BDC (резервных контроллеров домена), работающих под Windows NT. PDC Emulator отслеживает изменения паролей и выступает «арбитром» перед тем, как пароль может быть отвергнут системой. По умолчанию клиенты предыдущих Windows OS, таких как Windows 9x и NT продолжают изменять свои пароли на PDC Emulator (до тех пор, пока на систему не будет установлен клиент Active Directory). Один контроллер в каждом домене выполняет роль PDC Emulator, по умолчанию, это первый контроллер созданный в домене. Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста) является базовой сетевой службой, предлагаемой Windows 2000 для динамического распределения IP-адресов и связанной с ними информации клиентам, использующим TCP/IP. Хотя функции, выполняемые DHCP в Windows 2000 во многом похожи на те, что были в Windows NT, некоторое количество несущественных отличий [17]. DHCP - развитие протокола ВООТР (RFC 951 и 1084), позволявшего динамически назначать IP-адреса (в дополнение к удаленной загрузке бездисковых станций). При этом DHCP предоставляет все данные для настройки стека протоколов TCP/IP и дополнительные данные для функционирования определенных серверов. Область DHCP. Область (scope) DHCP - административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP. Пул адресов. Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети. Диапазоны исключения. Диапазон исключения (exclusion range) - ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP. Резервирование. Резервирование (reservation) позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес. Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект - суперобласть (superscope). Суперобласти полезны для решения различных задач службы DHCP. Арендные договоры. Арендный договор (lease) - отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу) [14]. Опции DHCP - дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции. [6] Служба DHCP в Windows 2000 состоит из трех основных компонентов. Серверы DHCP. В состав сервера DHCP входит оснастка DHCP - удобный в работе графический инструмент, который позволяет администратору настраивать конфигурации для клиентов DHCP. Сервер DHCP также содержит базу данных для назначения IP-адресов и других параметров настройки. Сервер DHCP поддерживает более 30 опций DHCP согласно RFC 2132. Параметры конфигурации TCP/IP, которые могут быть назначены сервером DHCP, включают: IP-адрес для каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы по умолчанию, дополнительные параметры конфигурации, например, IP-адрес сервера DNS или WINS. Один или более компьютеров в сети должны работать под управлением Windows 2000 Server с протоколом TCP/IP и установленным сервером DHCP. Если служба сервера DHCP установлена на компьютере, то сразу после задания и активизации областей автоматически создается база данных DHCP. Клиенты DHCP. Клиентами сервера DHCP из состава Windows 2000 могут быть компьютеры, работающие на любой платформе. Компьютеры под управлением ОС производства Microsoft могут действовать как клиенты DHCP: Windows NT Server/Workstation (все версии), Windows 98/95, Windows for Workgroups 3.11 (с установленным 32-разрядным протоколом TCP/IP), Microsoft Network Client 3.0 for MS-DOS (с установленным драйвером реального режима), LAN Manager версии 2.2 с. Работа протоколов ВООТР и DHCP основана на механизмах широковещания. Маршрутизаторы обычно по умолчанию не ретранслируют широковещательные посылки, поэтому передача таких посылок выполняется агентом ретрансляции. Агент ретрансляции DHCP - это маршрутизатор, либо хост, который слушает широковещательные сообщения DHCP/BOOTP и переадресовывает их на заданный сервер (серверы) DHCP. Использование агентов ретрансляции избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на удаленные серверы DHCP, но также возвращает ответы удаленных серверов DHCP клиентам DHCP. Администратор может отменить параметры динамической настройки, настроив их вручную. Любая информация, вручную введенная на клиенте, отменяет параметры динамической настройки. Служба сервера DHCP устанавливается автоматически на сервер Windows 2000/2003, но не является сконфигурированной (и даже может быть отключена) без дополнительной настройки [27]. Она может быть удалена и добавлена в случае необходимости, посредством использования вкладки Add/Remove Windows Components программы Add/Remove Programs в Control Panel (в разделе Networking Services). После установки, сервер DHCP настраивается при помощи оснастки DHCP ММС, которая находится в Administrative Tools. Если сервер Windows 2000 является частью рабочей группы или домена, основанного на Windows 2000, то сервер DHCP будет запущен по умолчанию, но необходимо будет вручную настроить области используемых IP-адресов для распределения их службой DHCP. Если DHCP установлена на систему, являющуюся частью домена Windows 2000, то служба DHCP не сможет быть запущена до тех пор, пока сервер DHCP не будет авторизован в Active Directory. Авторизация сервера DHCP в Active Directory может быть осуществлена только членом группы Enterprise Admins. Эта особенность используется как контрольный механизм, позволяющий избежать такой проблемы, как установка незарегистрированных серверов DHCP (пользователями с административными привилегиями), могущих создать проблемы с настройкой TCP/IP сетей (так как клиент получает IP-адрес от первого же сервера DHCP, который отвечает на его запрос). В Active Directory домене (Windows 2000), только авторизованные Windows 2000 сервера DHCP могут выполнять распределение IP-адресов. В Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не попадет под действие авторизации. Однако если другой администратор попытается установить Windows 2000 сервер DHCP и запустить службу без предварительной авторизации, то сервер осуществит запрос AD и не запустит службу, если не найдет подтверждения ее авторизации в сети. Неавторизованный сервер DHCP появляется в консоли DHCP с указывающей вниз красной стрелкой (которая может обозначать также, что служба не запущена или область адресов не настроена), как показано на рисунке 14. Рисунок 14 - Консоль DHCP. [6] Для авторизации DHCP сервер, нужно щелкнуть правой кнопкой мыши на значке сервера и выбрать опцию Authorize (авторизовать) из появившегося меню. Для управления авторизованным DHCP сервером (включая добавление или удаление авторизованных серверов), щелкните правой кнопкой мыши на иконке DHCP и выберите Manage Authorized Servers (управление авторизованными серверами), как показано на рисунке 15: Рисунок 15 - Управление авторизованными серверами Сервер DHCP не будет выполнять никаких функций, до тех пор, пока вы не сконфигурируете область адресов - набор настроек, которые будут распределяться группе клиентов. Как и большинство других вещей в Windows 2000/2003, процесс создания области осуществляется с применением соответствующего мастера [28]. Для создания области адресов, щелкните правой кнопкой мыши на значке сервера DHCP и выберите опцию New Score (новая область). Мастер проведет вас через длинный процесс, включающий в себя настройку допустимого диапазона IP-адресов, маски подсети и таких опций, как адрес шлюза по умолчанию (маршрутизатора), используемых серверов DNS и так далее. После того, как область будет настроена, она будет продолжать нуждаться в активизации (правый щелчок мыши и выбор Activate (активизировать)). Каждая область включает в себя: набор адресов, активные выделенные адреса, резервирование и свойства области, как показано на рисунке 16 (свойства области выделены): Рисунок 16 - Консоль DHCP После того, как сервер авторизован и область настроена, стрелка на иконке сервера меняется на зеленую и теперь указывает вверх. Области в Windows 2000 Advanced Server: - Области могут быть собраны или объединены для создания суперобластей. Они позволяют распределять диапазоны IP-адресов, которые не примыкают друг к другу, но расположены на одной подсети. - Для изменения маски подсети, связанной с областью, необходимо будет удалить область и создать ее заново. - Время аренды адреса по умолчанию для области - 8 дней. Это значение может быть изменено в зависимости от потребностей сети. - Каждый диапазон IP-адресов может быть представлен только в одной из областей. Если серверы DHCP не будут скоординированы и два сервера будут иметь одинаковые диапазоны адресов в своих областях, тогда один и тот же адрес может быть назначен разным клиентам в одной сети. Также надо быть уверенным, что исключены все статически назначенные IP-адреса из областей. - Для создания отказоустойчивых областей необходимо настроить 2 (или более) сервера DHCP и разделить диапазоны адресов из каждой области между ними. При такой конфигурации, если один из серверов выйдет из строя, другой будет продолжать распределять допустимые адреса между клиентами. - Настройки DHCP могут быть осуществлены на 4 различных уровнях: на уровне Server (сервера) (установки влияют на все области), Score (область) (установки влияют только на область), Client (клиент) (установки для зарезервированного клиента) Class (класс) (для компьютеров, которые входят в различные, заранее определенные, классы) [29]. Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, on запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов, Этот процесс состоит из четырех шагов: 1. Клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), 2. DHCP-сервер предлагает адрес (DHCP Offer, предложение), 3. Клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не «простаивал», сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования. Протокол DHCP в Microsoft Windows 2000 Server был дополнен новыми функциями, что упростило развертывание, интеграцию и настройку сети. Интеграция с DNS. Серверы DNS обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. В Windows 2000 серверы DHCP и клиенты DHCP могут регистрироваться в DNS [30]. Улучшенное управление и мониторинг. Новая возможность обеспечивает уведомление об уровне использования пула IP-адресов. Оповещение производится при помощи соответствующего значка либо при помощи передачи сообщения. Распределение групповых адресов. Добавлена возможность назначения групповых адресов. Типичные приложения для групповой работы - конференции или радиотрансляция требуют специальной настройки групповых адресов. Защита от появления неправомочных серверов DHCP. Наличие нескольких серверов DHCP в одном сегменте сети может привести к конфликту. Новые механизмы позволяют обнаружить конфликт такого рода и деактивизировать работу сервера, обеспечив правильную работу DHCP. Защита от подмены серверов. Регистрация уполномоченных (авторизированных) серверов DHCP выполняется при помощи Active Directory. Если сервер не обнаружен в каталоге, то он не будет функционировать и отвечать на запросы пользователей. |