1. Стек протоколов TCP/IP.

реклама
1
Оглавление
1. Стек протоколов TCP/IP. ............................................................................................................... 4
ICMP ................................................................................................................................................ 5
ARP .................................................................................................................................................. 5
Ping ................................................................................................................................................... 5
Синтаксис ........................................................................................................................................ 5
Параметры ....................................................................................................................................... 5
Примечания ..................................................................................................................................... 7
Ipconfig............................................................................................................................................. 7
Синтаксис ........................................................................................................................................ 7
Параметры ....................................................................................................................................... 7
Заметки ............................................................................................................................................ 8
Nslookup........................................................................................................................................... 9
Синтаксис ........................................................................................................................................ 9
Параметры ....................................................................................................................................... 9
Замечания ........................................................................................................................................ 9
Проверка соединений с помощью программы ping. ................................................................. 10
Классовая и бесклассовая IP-адресация, VLSM, CIDR. ........................................................... 11
Технология бесклассовой междоменной маршрутизации (CIDR) ............................................ 13
VLSM (Variable Length Subnet Mask) ......................................................................................... 14
Децимальная и бинарная нотация IP-подсетей. ........................................................................ 15
Планирование сети разбиением на подсети с использованием маршрутизаторов различного
типа. ............................................................................................................................................... 16
VLAN ............................................................................................................................................. 19
Одноранговые ЛВС. ..................................................................................................................... 20
Драйверы сетевых карт. Конфигурирование сетевых карт. ..................................................... 21
Управление сетевыми ресурсами. Sharing. ................................................................................ 22
Mapping. ......................................................................................................................................... 23
Имена UNC. ................................................................................................................................... 23
Взаимодействие компьютеров в сети. ........................................................................................ 24
Основные сетевые сервисы и службы разветвлённой корпоративной сети. .......................... 25
Взаимодействие клиентских приложений NetBIOS, SOCK, WinSock. ................................... 26
2. Служба доменных имен Dynamic DNS. ..................................................................................... 28
Зоны прямого и обратного просмотра. ....................................................................................... 28
Ресурсные записи. ........................................................................................................................ 28
Рекурсивные и итеративные запросы. ........................................................................................ 29
Зонные передачи AXFR и IXFR. ................................................................................................. 29
DNS серверы: кэширования, пересылок, первичные, вторичные, корневые. ........................ 29
Делегирование зон. ....................................................................................................................... 30
Динамическое обновление записей. ........................................................................................... 30
Интеграция DNS и AD. ................................................................................................................ 31
3. Служба динамического распределения адресов DHCP. ........................................................... 31
Процессы получения, возобновления, освобождения аренды. ................................................ 32
Настройки передаваемых параметров DHCP: Суперобласти Агенты ретрансляции DHCP
Relay Agent. ................................................................................................................................... 33
2
Взаимодействие DHCP и DNS. Средства поддержки динамической регистрации в DNS от
имени клиента. .............................................................................................................................. 33
4. Служба имен NBNS/WINS. ......................................................................................................... 37
Процессы регистрации, обновления, разрешения, освобождения имен для различных типов
узлов (b, p, m, h). ........................................................................................................................... 38
Поддержка non-WINS клиентов с использованием WINS Proxy Agent, статические записи и
LMHOSTS. .................................................................................................................................... 39
Статические записи и LMHOSTS. .............................................................................................. 39
Push/Pull репликация WINS серверов......................................................................................... 40
Конфигурирование WINS клиентов. .......................................................................................... 40
Интеграция сетевых служб DDNS, WINS и DHCP. .................................................................. 41
5. Служба каталогов Active Directory. ............................................................................................ 42
Логическая структура AD ............................................................................................................ 42
Схема AD....................................................................................................................................... 42
Классы объектов, атрибуты ......................................................................................................... 42
Домен, дерево, лес. ....................................................................................................................... 43
Сайты, подсети, контроллеры домена. ....................................................................................... 44
Именование объектов. LDAP - сервер. ....................................................................................... 44
Глобальный каталог. .................................................................................................................... 46
Репликация внутри сайта и между сайтами. .............................................................................. 47
Роли хозяина операций на уровне леса и домена. ..................................................................... 48
Передача и захват ролей FSMO. ................................................................................................. 50
6. Групповые политики AD ............................................................................................................. 53
Объекты групповой политики GPO ............................................................................................ 53
Структура узлов GP. ..................................................................................................................... 56
Настройка параметров GPO. ....................................................................................................... 58
Делегирование прав управления групповой политикой ........................................................... 64
Наследование, блокировка, фильтрование GPO ....................................................................... 66
Планирование многоуровневой структуры GP (Site, Domain, OU/OU) .................................. 66
7. Компоненты инфраструктуры открытых ключей PKI. ............................................................. 67
Аутентификация и авторизация. ................................................................................................. 67
Конфиденциальность и целостность данных. ........................................................................... 67
Цифровые подписи. ...................................................................................................................... 68
Службы сертификации. ................................................................................................................ 68
Центры сертификации внешние и внутренние. ......................................................................... 69
Корневые центры предприятия CA и изолированные CA. ...................................................... 70
Управление сертификатами......................................................................................................... 70
Типы сертификатов. ..................................................................................................................... 70
Запрос, импорт, экспорт сертификатов. ..................................................................................... 71
Экспорт сертификатов и личных ключей ......................................................................... 71
Импорт сертификатов ........................................................................................................... 71
Настройка сертификатов для конкретных целей. .................................................................... 72
Аутентификация с помощью сертификатов. ............................................................................. 72
Аутентификация с использованием Smart Card ........................................................................ 73
Установка и настройка службы сертификации. ........................................................................ 74
Использование консолей Certificate Authority ,Certificates, Certificate Templates. ................. 76
8. Служба многопротокольной маршрутизации RRA. ................................................................. 77
Статические и динамические маршрутизаторы на базе многоадаптерных серверов. ........... 77
Таблицы маршрутизации. ........................................................................................................... 77
3
Маршрутизация коммуникационных соединений по требованию. ........................................ 78
Использование протоколов RIP v.2, OSPF. ................................................................................ 78
Настройка протокола IGMP групповой рассылки. ................................................................... 79
Установка и настройка службы RAS ***ВНИМАНИЕ*** ТУТ КАКОЕ ТО ГОВНО ПРО
win 2000. ........................................................................................................................................ 81
Установка Windows 2000 Remote Access Service ...................................................................... 82
Настройка модемных соединений .......................................................................................... 82
Установка RAS ............................................................................................................................. 82
Изменение установки RAS .......................................................................................................... 86
Политики удаленного доступа ................................................................................................ 90
Управление подключенными пользователями ...................................................................... 90
10. Базовые механизмы и концепции IPSec. .................................................................................. 93
Как действует IPSec...................................................................................................................... 93
Internet Protocol Security (IPSec) .................................................................................................. 94
Компоненты IPSec. ....................................................................................................................... 94
Управление политиками IPSec .................................................................................................... 95
ISAKMP/Oakley ............................................................................................................................ 96
Структуры пакетов для транспортного и туннельного режимов IPSec. ................................. 98
Предопределенные политики IPSec. ........................................................................................... 99
Настройка политик на соединяющихся сторонах. .................................................................... 99
Определение политик IPSec .................................................................................................... 99
11. Виртуальные частные сети VPN. ............................................................................................ 101
Что такое виртуальные частные сети ................................................................................... 101
Виртуальные частные сети ........................................................................................................ 101
Протоколы инкапсуляции данных PPTP, L2TP. ...................................................................... 102
Конфигурирование портов PPTP .......................................................................................... 103
Конфигурирование фильтров PPTP ...................................................................................... 103
Работа с виртуальными частными сетями (VPN) .................................................................... 103
Как работают виртуальные частные сети ............................................................................ 105
Конфигурирование Internet-соединения............................................................................... 105
Конфигурирование сервера дистанционного доступа как маршрутизатора .................... 106
Задание статических маршрутов и протоколов маршрутизации ....................................... 106
Интерфейсы коммутируемых соединений по требованию .................................................... 107
Добавление интерфейса коммутируемых соединений по требованию ............................ 107
4
1. Стек протоколов TCP/IP.
TCP/IP включает целый ряд протоколов и утилит. Протоколы разделены на 4 логических
уровня:
Прикладной;
Транспортный;
Межсетевой;
Сетевого доступа.
Пакеты данных передаются по уровням сверху вниз на хосте-отправителе и снизу вверх на
хосте-получателе.
1) Большинство приложений и утилит размещаются на прикладном уровне и используют его
для доступа к сетевым функциям TCP/IP. Для этого существуют два интерфейса: WinSock(!),
NetBIOS Helper Service.
На прикладном уровне работают следующие TCP/IP приложения:
 HTTP;
 FTP;
 SMTP;
 TelNet;
 DNS.
2) Транспортный уровень управляет взаимодействием между компьютерами; передаёт
данные приложению на прикладном уровне или межсетевому уровню для доставки по сети.
Этот уровень также определяет уникальный идентификатор для каждого
взаимодействующего приложения в виде номера порта.
Доставка данных контролируется двумя протоколами:
TCP; перед передачей данных требует установления соединения между двумя компами,
затем подтверждения доставки, и может повторить доставку в случае неудачи =>
более надёжный;
UDP; более быстрый, т.к. нет таких требований как у TCP.
Порты 0-1023 зарезервированы для общепринятых стандартных приложений
(общеизвестные), 1024-49151 – для менее известных стандартных приложений
(зарегистрированные), 49152-65535 – динамические (частные).
3) Межсетевой уровень отвечает за адресацию, разбиение на пакеты и маршрутизацию
данных, полученных от транспортного уровня.
Его образуют 4 основных протокола:
 IP; адресация и пересылка пакетов данных;
 ARP; сопоставление IP и MAC;
 ICMP; средства диагностики и сообщения об ошибках;
 IGMP; используется хостами, чтобы сообщить соседним МШ о членстве в группах IPрассылки.
4) Уровень сетевого доступа отвечает за пересылку данных в сетевую среду и их приём из
этой среды. Он охватывает физические устройства. Включает протоколы:
 Ethernet;
 ATM.
5
Базовые протоколы (ICMP, ARP и т.д.) и утилиты (PING, Ipconfig, Nslookup
и т.п.).
Протоколы: (еще 2 см стр. 1)
ICMP
Этот протокол поддерживает средства диагностики и сообщает об ошибках, когда доставить
пакеты не удаётся. Благодаря ему компы и МШ, использующие IP для коммуникационной
связи, могут сообщать об ошибках и обмениваться информацией о состоянии и базовыми
управляющими сообщениями.
ARP
Этот протокол отвечает за сопоставление IP и MAC адресов. Он выполняет их
взаимопреобразование и поддерживает таблицу сопоставлений (ARP-Кэш). Таблица
формируется динамически. Когда приходит запрос на трансляцию IP-адреса, происходит
поиск в таблице. Если адрес найден, то ARP возвращает его, иначе посылает
широковещательный пакет в локальной подсети. Если принимающий хост распознаёт
переданный IP-адрес как свой, он отправляет передающему хосту свой MAC, который
сохраняется в ARP-Кэше.
Утилиты:
Ping
С помощью отправки сообщений с эхо-запросом по протоколу ICMP проверяет соединение
на уровне протокола IP с другим компьютером, поддерживающим TCP/IP. После каждой
передачи выводится соответствующее сообщение с эхо-ответом. ping - это основная
TCP/IP-команда, используемая для устранения неполадки в соединении, проверки
возможности доступа и разрешения имен. Команда ping, запущенная без параметров,
выводит справку.
Синтаксис
ping [-t] [-a] [-n счетчик] [-l размер] [-f] [-i TTL] [-v тип] [-r счетчик] [-s счетчик] [{-j
список_узлов | -k список_узлов}] [-w интервал] [-R] [-S адрес_источника] [-4] [-6]
имя_конечного_компьютера
Параметры
-t
Задает для команды ping отправку сообщений с эхо-запросом к точке назначения до
тех пор, пока команда не будет прервана. Для прерывания команды и вывода
статистики нажмите CTRL+BREAK. Для прерывания команды ping и выхода из нее
нажмите клавиши CTRL+C.
-a
Задает разрешение обратного имени по IP-адресу назначения. В случае успешного
выполнения выводится имя соответствующего узла.
-n счетчик
Задает число отправляемых сообщений с эхо-запросом. По умолчанию — 4.
6
-l размер
Задает длину (в байтах) поля данных в отправленных сообщениях с эхо-запросом. По
умолчанию — 32 байта. Максимальный размер — 65527.
-f
Задает отправку сообщений с эхо-запросом с флагом «Don't Fragment» в IP-заголовке,
установленном на 1 (доступно только в IPv4). Сообщения с эхо-запросом не
фрагментируются маршрутизаторами на пути к месту назначения. Этот параметр
полезен для устранения проблем, возникающих с максимальным блоком данных для
канала (Maximum Transmission Unit).
-i TTL
Задает значение поля TTL в IP-заголовке для отправляемых сообщений с эхозапросом. По умолчанию берется значение TTL, заданное по умолчанию для узла.
Максимальное значение TTL равно 255.
-v тип
Задает значение поля типа службы (TOS) в IP-заголовке для отправляемых сообщений
с эхо-запросом (доступно только в IPv4). По умолчанию это значение равно 0. тип —
это десятичное значение от 0 до 255.
-r счетчик
Задает параметр записи маршрута (Record Route) в IP-заголовке для записи пути, по
которому проходит сообщение с эхо-запросом и соответствующее ему сообщение с
эхо-ответом (доступно только в IPv4). Каждый переход в пути использует параметр
записи маршрута. По возможности значение счетчика задается равным или большим,
чем количество переходов между источником и местом назначения. Параметр счетчик
имеет значение от 1 до 9.
-s счетчик
Указывает вариант штампа времени Интернета (Internet Timestamp) в заголовке IP для
записи времени прибытия сообщения с эхо-запросом и соответствующего ему
сообщения с эхо-ответом для каждого перехода. Параметр счетчик имеет значение от
1 до 4. Это необходимо для целевых адресов с локальной ссылкой.
-j список_узлов
Указывает для сообщений с эхо-запросом использование параметра свободной
маршрутизации в IP-заголовке с набором промежуточных точек назначения,
указанным в списке_узлов (доступно только в IPv4). При свободной маршрутизации
последовательные промежуточные точки назначения могут быть разделены одним или
несколькими маршрутизаторами. Максимальное число адресов или имен в списке
узлов — 9. Список узлов — это набор IP-адресов (в точечно-десятичной нотации),
разделенных пробелами.
-k список_узлов
Указывает для сообщений с эхо-запросом использование параметра строгой
маршрутизации в IP-заголовке с набором промежуточных точек назначения,
указанным в списке_узлов (доступно только в IPv4). При строгой маршрутизации
следующая промежуточная точка назначения должна быть доступной напрямую (она
должна быть соседней в интерфейсе маршрутизатора). Максимальное число адресов
или имен в списке узлов равно 9. Список узлов — это набор IP-адресов (в точечнодесятичной нотации), разделенных пробелами.
-w интервал
Определяет в миллисекундах время ожидания получения сообщения с эхо-ответом,
которое соответствует сообщению с эхо-запросом. Если сообщение с эхо-ответом не
7
получено в пределах заданного интервала, то выдается сообщение об ошибке "Request
timed out". Интервал по умолчанию равен 4000 (4 секунды).
-R
Задает отслеживание пути приема-передачи (Round Trip) (доступно только в IPv6).
-S адрес_источника
Указывает используемый адрес источника (доступно только в IPv6).
-4
Задает использование для проверки связи протокола IPv4. Этот параметр не требуется
для идентификации конечного узла с адресом IPv4. Он требуется только для
идентификации конечного узла по имени.
-6
Задает использование протокола IPv6 для проверки связи. Этот параметр не требуется
для идентификации конечного узла с адресом IPv6. Он требуется только для
идентификации конечного узла по имени.
имя_конечного_компьютера
Задает имя узла или IP-адрес назначения.
/?
Отображает справку в командной строке.
Примечания
 Команда ping позволяет проверить имя и IP-адрес компьютера. Если проверка IPадреса успешная, и проверка имени — нет, то имеет место проблема разрешения имен.
В этом случае с помощью запросов DNS (Domain Name System) или с помощью
методов разрешения имен NetBIOS проверьте, чтобы имя задаваемого компьютера
было разрешено в локальном файле Hosts.
 Эта команда доступна, только если в свойствах сетевого адаптера в объекте Сетевые
подключения в качестве компонента установлен протокол Интернета (TCP/IP).
Ipconfig
Служит для отображения всех текущих параметров сети TCP/IP и обновления параметров
DHCP и DNS. При вызове команды Ipconfig без параметров выводятся IPv6-адреса или
IPv4-адрес, маска подсети и основной шлюз для каждого сетевого адаптера.
Синтаксис
Ipconfig [/all] [/renew [адаптер]] [/release [адаптер]] [/flushdns] [/displaydns]
[/registerdns] [/showclassid адаптер] [/setclassid адаптер [код_класса]]
Параметры
/all
Вывод полной конфигурации TCP/IP для всех адаптеров. Без этого параметра команда
Ipconfig выводит только IPv6-адреса или IPv4-адрес, маску подсети и основной шлюз
для каждого адаптера. Адаптеры могут представлять собой физические интерфейсы,
такие как установленные сетевые адаптеры, или логические интерфейсы, такие как
подключения удаленного доступа.
/renew [адаптер]
Обновление конфигурации DHCP для всех адаптеров (если адаптер не задан) или для
заданного адаптера. Данный параметр доступен только на компьютерах с адаптерами,
8
настроенными для автоматического получения IP-адресов. Чтобы указать адаптер,
введите без параметров имя, выводимое командой Ipconfig.
/release [адаптер]
Отправка сообщения DHCPRELEASE серверу DHCP для освобождения текущей
конфигурации DHCP и удаление конфигурации IP-адресов для всех адаптеров (если
адаптер не задан) или для заданного адаптера. Этот адаптер отключает протокол
TCP/IP для адаптеров, настроенных для автоматического получения IP-адресов. Чтобы
указать адаптер, введите без параметров имя, выводимое командой Ipconfig.
/flushdns
Сброс и очистка содержимого кэша сопоставления имен DNS клиента. Во время
устранения неполадок DNS эту процедуру используют для удаления из кэша записей
отрицательных попыток сопоставления и других динамически добавляемых записей.
/displaydns
Отображение содержимого кэша сопоставления имен DNS клиента, включающего
записи, предварительно загруженные из локального файла Hosts, а также последние
полученные записи ресурсов для запросов на сопоставление имен. Эта информация
используется службой DNS клиента для быстрого сопоставления часто встречаемых
имен без обращения к указанным в конфигурации DNS-серверам.
/registerdns
Динамическая регистрация вручную имен DNS и IP-адресов, настроенных на
компьютере. Этот параметр полезен при устранении неполадок в случае отказа в
регистрации имени DNS или при выяснении причин неполадок динамического
обновления между клиентом и DNS-сервером без перезагрузки клиента. Имена,
зарегистрированные в DNS, определяются параметрами DNS в дополнительных
свойствах протокола TCP/IP.
/showclassid адаптер
Отображение кода класса DHCP для указанного адаптера. Чтобы просмотреть код
класса DHCP для всех адаптеров, вместо параметра адаптер укажите звездочку (*).
Данный параметр доступен только на компьютерах с адаптерами, настроенными для
автоматического получения IP-адресов.
/setclassid адаптер [код_класса]
Задание кода класса DHCP для указанного адаптера. Чтобы задать код класса DHCP
для всех адаптеров, вместо параметра адаптер укажите звездочку (*). Данный
параметр доступен только на компьютерах с адаптерами, настроенными для
автоматического получения IP-адресов. Если код класса DHCP не задан, текущий код
класса удаляется.
/?
Отображение справки в командной строке.
Заметки
 Команда Ipconfig является эквивалентом для командной строки команды winipcfg,
имеющейся в Windows Millennium Edition, Windows 98 и Windows 95. Хотя
Windows XP и семейство Windows Server 2003 не имеют графического эквивалента
команде winipcfg, для просмотра и обновления IP-адреса можно воспользоваться
окном «Сетевые подключения». Для этого откройте окно Сетевые подключения,
щелкните правой кнопкой мыши сетевое подключение, выберите команду Состояние,
а затем откройте вкладку Поддержка.
 Данная команда доступна только на компьютерах с адаптерами, настроенными для
автоматического получения IP-адресов. Это позволяет пользователям определять,
9



какие значения конфигурации были получены с помощью DHCP, APIPA или другой
конфигурации.
Если имя адаптер содержит пробелы, его следует заключать в кавычки (т. е.
"имя_адаптера").
В именах адаптеров, задаваемых для команды Ipconfig, поддерживается
использование подстановочного знака звездочки (*) для задания имен, начинающихся
с указанной строки или содержащих указанную строку. Например, имя Подкл* будет
включать все адаптеры, начинающиеся со строки «Подкл», а имя *сет* — все
адаптера, содержащие строку «сет».
Эта команда доступна, только если в свойствах сетевого адаптера в объекте Сетевые
подключения в качестве компонента установлен протокол Интернета (TCP/IP).
Nslookup
Предоставляет сведения, предназначенные для диагностики инфраструктуры DNS. Для
использования этого средства необходимо быть знакомым с принципами работы системы
DNS. Средство командной строки Nslookup доступно, только если установлен протокол
TCP/IP.
Синтаксис
Nslookup [-подкоманда ...] [{искомый_компьютер | -сервер}]
Параметры
-подкоманда ...
Задает одну или несколько подкоманд Nslookup как параметры командной строки.
Список подкоманд см. в разделе «См. также».
искомый_компьютер
Ищет данные для параметра искомый_компьютер, используя текущий, заданный по
умолчанию сервер имен DNS, если никакого другого сервера не указано. Чтобы
получить сведения о компьютере не из текущего домена DNS, в конец имени должна
быть добавлена точка.
-сервер
Указывает, что данный сервер следует использовать в качестве сервера имен DNS.
Если параметр -сервер не указан, используется сервер DNS, заданный по умолчанию.
{help | ?}
Выводит краткое описание подкоманд Nslookup.
Замечания
 Если искомый_компьютер задан IP-адресом, а запрашивается запись ресурса типа A
или PTR, будет выведено имя компьютера. Если искомый_компьютер задан именем
без замыкающей точки, имя домена DSN, используемого по умолчанию, будет
добавлено к указанному имени. Поведение зависит от состояния следующих
подкоманд команды set: domain, srchlist, defname и search.
 Если в командной строке введен дефис (-) вместо параметра искомый_компьютер,
команда Nslookup перейдет в интерактивный режим.
 Длина строки вызова команды не может превышать 256 символов.
 Команда Nslookup может работать в двух режимах: интерактивном и обычном
(автономном).
10
Если требуется вывод только небольшой части информации, следует использовать
обычный режим. В качестве первого параметра следует использовать имя или IPадрес компьютера, о котором требуется получить данные. В качестве второго
параметра введите имя или IP-адрес сервера имен DNS. Если второй параметр не
задан, командой Nslookup используется сервер имен DNS, установленный по
умолчанию.
Если требуется получить более полные сведения, следует использовать
интерактивный режим. В качестве первого параметра следует ввести знак дефиса () и имя или IP-адрес сервера имен DNS в качестве второго параметра. Если оба
параметра не заданы, командой Nslookup используется сервер имен DNS,
установленный по умолчанию. Далее перечислено несколько советов по работе в
интерактивном режиме.
o Для прерывания интерактивной команды в любой момент следует нажать
CTRL+B.
Для выхода необходимо ввести exit.
Для ввода имени компьютера, совпадающего с какой-либо командой, перед
именем следует ввести обратную косую черту (\).
o Нераспознанные команды воспринимаются как имена компьютеров.
Если при обработке запроса возникла ошибка, командой Nslookup на экран будет
выведено сообщение. В следующей таблице перечислены возможные сообщения об
ошибках.
o
o

Использование утилит в диагностике соединений.
Проверка соединений с помощью программы ping.
Команда ping позволяет проверить работоспособность IP-соединения. С помощью команды
ping можно отправить эхо-запрос ICMP интересующему узлу по имени узла или по его IPадресу. Используйте команду ping всегда, когда требуется проверить, может ли узел
подключаться к сети TCP/IP и ее ресурсам. Команду ping можно также использовать для
выявления неполадок сетевых устройств и неправильных конфигураций.
Обычно лучше всего проверять наличие маршрута между локальным компьютером и узлом
сети, обращаясь сначала к узлу с помощью команды ping и IP-адреса этого узла. Для
этого выполните следующую команду:
ping IP-адрес
Используя команду ping, следует выполнить перечисленные ниже действия.
1. Обратитесь по адресу замыкания на себя, чтобы проверить правильность настройки
TCP/IP на локальном компьютере.
ping 127.0.0.1
2. Обратитесь по IP-адресу локального компьютера, чтобы убедиться в том, что он был
правильно добавлен к сети.
ping IP-адрес_локального_узла
3. Обратитесь по IP-адресу основного шлюза, чтобы проверить работоспособность
основного шлюза и возможность связи с локальным узлом локальной сети.
ping IP-адрес_основного_шлюза
4. Обратитесь по IP-адресу удаленного узла, чтобы проверить возможность связи через
маршрутизатор.
ping IP-адрес_удаленного_узла
Команда ping использует разрешение имен компьютеров в IP-адреса в стиле Windows
Sockets, поэтому если обратиться с ее помощью по адресу удается, а по имени — нет, то
проблема кроется в разрешении имен или адресов, а не в сетевом соединении.
11
Если обращение с помощью команды ping на каком-либо этапе оканчивается неудачей,
убедитесь, что:
 после настройки протокола TCP/IP компьютер был перезагружен;
 IP-адрес локального компьютера является допустимым и правильно отображается на

вкладке Общие диалогового окна Свойства: Протокол Интернета (TCP/IP);
включена IP-маршрутизация и связь между маршрутизаторами функционирует
нормально.
Устранение и диагностика неполадок с помощью команды ipconfig.
Устраняя неполадки сетевых соединений TCP/IP, начинайте с проверки конфигурации
TCP/IP на компьютере, на котором возникают эти неполадки. Для получения сведений о
конфигурации компьютера, включая его IP-адрес, маску подсети и основной шлюз, можно
использовать программу ipconfig.
Когда команда ipconfig выполняется с параметром /all, она выдает подробный отчет о
конфигурации всех интерфейсов, включая все настроенные последовательные порты.
Результаты работы команды ipconfig /all можно перенаправить в файл и вставить их в
другие документы. Можно также использовать эти результаты для проверки конфигурации
TCP/IP на всех компьютерах сети и для выявления причин неполадок TCP/IP-сети.
Например, если компьютер имеет IP-адрес, который уже присвоен другому компьютеру, то
маска подсети будет иметь значение 0.0.0.0.
На следующем примере показаны результаты работы команды ipconfig /all на
компьютере с Windows XP Professional, настроенном на использование DHCP-сервера для
автоматического конфигурирования TCP/IP и WINS- и DNS-серверов для разрешения имен.
При устранении неполадок с сетями TCP/IP, проверьте сначала конфигурацию TCP/IP на
компьютере, на котором возникли неполадки. Если компьютер настроен на использование
DHCP и получает конфигурацию от DHCP-сервера, можно инициировать обновление
аренды, выполнив команду ipconfig /renew.
Когда выполняется команда ipconfig /renew, все сетевые адаптеры компьютера, на
котором используется DHCP (за исключением тех, которые настроены вручную), пытаются
связаться с DHCP-сервером и обновить свои имеющиеся или получить новые
конфигурации.
Можно также выполнить команду ipconfig с параметром /release, чтобы немедленно
освободить текущую конфигурацию DHCP для узла.
Классовая и бесклассовая IP-адресация, VLSM, CIDR.
Традиционная схема деления IP-адреса на номер сети и номер узла основана на понятии
класса, который определяется значениями нескольких первых битов адреса. Именно потому, что
первый байт адреса 185.23.44.206 попадает в диапазон 128-191, мы можем сказать, что этот адрес
относится к классу В, а значит, номером сети являются первые два байта IP-адреса,
дополненные двумя нулевыми байтами — 185.23.0.0, а номером узла — два младшие байта,
дополненные с начала двумя нулевыми байтами — 0.0.44.206.
Принадлежность IP-адреса к классу определяется значениями первых битов адреса. На рисунке
показана структура IP-адресов разных классов.
A
B
C
0 №
1 0сети
№ сети
1 1 0
№ узла
№узла
№ сети
№
Узла
12
D
1 1 10
Адрес
группы
E
1 11 0
Зарезервирован
multicast
Рис. Структура IP-адресов
Если адрес начинается с 0, то этот адрес относится к классу А, в котором под номер сети
отводится один байт, а остальные три байта интерпретируются как номер узла в сети. Сети,
имеющие номера в диапазоне от 1 (00000001) до 126 (01111110), называются сетями класса А.
(Номер 0 не используется, а номер 127 зарезервирован для специальных целей. Сетей класса А
немного, зато количество узлов в них может достигать 224, то есть 16 777 216 узлов.
Если первые два бита адреса равны 10, то адрес относится к классу В. В адресах класса В под
номер сети и под номер узла отводится по два байта. Сети, имеющие номера в диапазоне от 128.0
(10000000 00000000) до 191.255 (10111111 1111111), называются сетями класса В. Таким
образом, сетей класса В больше, чем А, но размеры их меньше, максимальное количество
узлов в них составляет 216 (65 536).
Если адрес начинается с последовательности битов 110, то это адрес класса С. В этом случае
под номер сети отводится 24 бита, а под номер узла — 8 бит. Сети класса С наиболее
распространены, но число узлов в них ограничено значением 256 узлов.
Еще два класса адресов D и Е не связаны непосредственно с сетями.
Если адрес начинается с последовательности 1110, то он является адресом класса D и
обозначает особый, групповой адрес (multicast). Групповой адрес идентифицирует группу узлов
(сетевых интерфейсов), которые в общем случае могут принадлежать разным сетям.
Интерфейс, входящий в группу, получает наряду с обычным индивидуальным IP-адресом еще
один групповой адрес. Если при отправке пакета в качестве адреса назначения указан адрес
класса D, то такой пакет должен быть доставлен всем узлам, которые входят в группу.
Если адрес начинается с последовательности 11110, то это значит, что данный адрес относится к
классу Е. Адреса этого класса зарезервированы для будущих применений.
В табл. 12.1 приведены диапазоны номеров сетей и максимальное число узлов,
соответствующих каждому классу сетей.
Таблица 12.1. Характеристики адресов разного класса
Класс Первы
е биты
A
0
B
10
110
D
1110
E
11110
Наименьш
ий номер
сети
1.0.0.0
128.0.0.0
192.0.1.0
224.0.0.0
240.0.0.0
Наибольший
номер сети
126.0.0.0
191.255.0.0
223.255.255.0
239.255.255.255
247.255.255.255
Максимальное
число узлов в сети
224
216
28
Multicast
Зарезервирован
Особые IP-адреса
В протоколе IP существует несколько соглашений об особой интерпретации IP-адресов.
- Если весь IP-адрес состоит только из двоичных нулей, то он обозначает адрес того узла,
который сгенерировал этот пакет (этот режим используется только в некоторых сообщениях
ICMP).
- Если в поле номера сети стоят только нули, то по умолчанию считается, что узел назначения
принадлежит той же самой сети, что и узел, который отправил пакет.
- Если все двоичные разряды IP-адреса равны 1, то пакет с таким адресом назначения должен
рассылаться всем узлам, находящимся в той же сети, что и источник этого пакета. Такая
13
рассылка называется ограниченным широковещателъным сообщением (limited broadcast).
Ограниченность в данном случае означает, что пакет не выйдет за границы маршрутизатора ни
при каких условиях.
- Если в поле номера узла назначения стоят только единицы, то пакет, имеющий такой адрес,
рассылается всем узлам сети с заданным номером сети. Например, пакет с адресом
192.190.21.255 доставляется всем узлам сети 192.190.21.0. Такая рассылка называется
широковещательным сообщением (broadcast)
Специальные адреса, состоящие из последовательностей нулей, могут быть пользованы только в
качестве адреса отправителя, а адреса, состоящие из последовательностей единиц, — только в
качестве адреса получателя.
Особый смысл имеет IP-адрес, первый октет которого равен 127. Он испоя ся для тестирования
программ и взаимодействия процессов в пределах одной машины. Когда программа посылает
данные по IP-адресу 127.0.0.1, то образуется как бы «петля». Данные не передаются по сети, а
возвращаются модулям верхнего уровня, как только что принятые. Поэтому в IP-сети запрещается
присваивать сетевым интерфейсам IP-адреса, начинающиеся с числа 127. Этот адрес название
loopback. Можно отнести адрес 127.0.0.0 к внутренней сети модуля маршрутизации узла, а адрес
127.0.0.1 — к адресу этого модуля на внутренней сети.
Технология бесклассовой междоменной маршрутизации (CIDR)
За последние несколько лет в Интернете многое изменилось: резко возросло число узлов и
сетей, повысилась интенсивность трафика, изменился характер передаваемых данных. Из-за
несовершенства протоколов маршрутизации обмен сообщениями об обновлении таблиц стал
иногда приводить к сбоям ММШ из-за перегрузки при обработке большого объема информации.
На решение этой проблемы была направленаи технология бесклассовой междомеиной
маршрутизации (Classless Inter-Domain Routing, CIDR)
Суть технологии CIDR заключается в следующем. Каждому поставщику услуг Интернета
должен назначаться непрерывный диапазон в пространстве IP-адресов. При таком подходе
адреса всех сетей каждого поставщика услуг общую старшую часть — префикс, поэтому
маршрутизация на магистралях может осуществляться на основе префиксов, а не полных
адресов сетей. Агрегирование адресов позволит уменьшить объем таблиц в маршрутизаторах
всех уровней, а следовательно, ускорить работу маршрутизаторов и повысить пропускную
способность Интернета.
Деление IP-адреса на номер сети и номер узла в технологии CIDR происходит не на основе
нескольких старших битов, определяющих класс сети (А, В или С), а на основе маски переменной
длины, назначаемой поставщиком услуг.
Допустим, мы имеем некоторое пространство IP-адресов, которое имеется в распоряжении
гипотетического поставщика услуг. Все адреса имеют одинаковые цифры в К старших
разрядах — префикс. Оставшиеся n разрядов используются для дополнения
неизменяемого префикса переменной частью адреса. Диапазон имеются у поставщика
услуг адресов в таком случае составляет 2 n . Когда потребитель обращается к
поставщику услуг с просьбой о выделении ему некоторого количества адре сов, то в
имеющемся пуле адресов «вырезается» непрерывная область SI, S2, S3 или S4
соответствующего размера. Причем границы каждой из областей выбираются не
произвольно, а такими, чтобы значения всех старших разрядов (оставшихся после
нумерации требуемого числа узлов) было одинаковыми у всех адресов данного
диапазона. Таким условиям могут удовлетворять только области, размер которых
кратен степени двойки. А границы выделяемого участка должны быть кратны
14
требуемому количеству узлов. Рассмотрим пример. Пусть поставщик услуг Интернета
располагает пулом адресов в диапазоне 193.20.0.0-193.23.255.255 (1100 0001.0001
0100.0000 0000.0000 0000-1100 0001. 0001 11.1111 1111.1111 1111) с общим префиксом
193.20 (1100 0001.0001 01) и маской, соответствующей этому префиксу 255.252.0.0.
Если абоненту этого поставщика услуг требуется совсем немного адресов, напри мер 13,
то поставщик мог бы предложить ему различные варианты: сеть 193.20.30.0, сеть
193.20.30.16 или сеть 193.21.204.48, все с одним и тем же значением маски
255.255.255.240. Во всех случаях в распоряжении абонента для нумерации узлов имеются
4 младших бита.
Итак, внедрение технологии CIDR позволяет решить две основные задачи.
- Более экономное расходование адресного пространства. Действительно, получая в свое
распоряжение адрес сети, например, класса С, некоторые организации не используют весь
возможный диапазон адресов просто потому, что их сети гораздо меньше 255 узлов.
Технология CIDR отказывается от традиционной концепции разделения адресов протокола IP
на классы, что позволяет ограничивать потребителей тем количеством адресов, которые им
реально необходимы.
- Уменьшение числа записей в таблицах маршрутизаторов за счет объединения маршрутов —
одна запись в таблице маршрутизации может представлять большое количество сетей.
Действительно, для всех сетей, номера которых начинаются с одинаковой последовательности
цифр, в таблице маршрутизации может быть предусмотрена одна запись.
Необходимым условием эффективного использования CIDR является локализация адресов, то
есть назначение адресов, имеющих совпадающие префиксы, сетям, располагающимся
территориально по соседству.
VLSM (Variable Length Subnet Mask)
Очень редко в локальную вычислительную сеть входит более 100-200 узлов: даже если взять
сеть с большим количеством узлов, многие сетевые среды накладывают ограничения,
например, в 1024 узла. Исходя из этого, целесообразность использования сетей класса А и В
весьма сомнительна. Да и использование класса С для сетей, состоящих из 20-30 узлов, тоже
является расточительством.
Для решения этих проблем в двухуровневую иерархию IP-адресов?(сеть -- узел) была введена
новая составляющая -- подсеть. Идея заключается в "заимствовании" нескольких битов из
узловой части адреса для определения подсети.
Полный префикс сети, состоящий из сетевого префикса и номера подсети, получил название
расширенного сетевого префикса. Двоичное число, и его десятичный эквивалент, содержащее
единицы в разрядах, относящихся к расширенному сетевому префиксу, а в остальных
разрядах -- нули, назвали маской подсети.
Сетевой префикс
подсеть узел
IP адрес 144.144.19.22 10010000 10010000
00010011 00010110
Маска 255.255.255.0 11111111 11111111
11111111 00000000
Расширенный сетевой префикс
Рис.4
Но маску в десятичном представлении удобно использовать лишь тогда, когда расширенный
сетевой префикс заканчивается на границе октетов, в других случаях ее расшифровать
сложнее. Допустим, что в примере на рис. 4 мы хотели бы для подсети использовать не 8 бит,
а десять. Тогда в последнем (z-ом) октете мы имели бы не нули, а число 11000000. В
десятичном представлении получаем 255.255.255.192. Очевидно, что такое представление не
очень удобно. В наше время чаще используют обозначение вида "/xx", где хх -- количество
15
бит в расширенном сетевом префиксе. Таким образом, вместо указания: "144.144.19.22 с
маской 255.255.255.192", мы можем записать: 144.144.19.22/26. Как видно, такое
представление более компактно и понятно.
Однако вскоре стало ясно, что подсети, несмотря на все их достоинства, обладают и
недостатками. Так, определив однажды маску подсети, приходится использовать подсети
фиксированных размеров. Скажем, у нас есть сеть 144.144.0.0/16 с расширенным префиксом
/23.
Сетевой префикс
Подсеть
Узел
144.144.0.0/23
<-->
10010000
10010000
0000000
000000000
Расширенный сетевой префикс
Рис. 5
7
Такая схема позволяет создать 2 подсетей размером в 29 узлов каждая. Это подходит к
случаю, когда есть много подсетей с большим количеством узлов. Но если среди этих сетей
есть такие, количество узлов в которых находится в пределах ста, то в каждой их них будет
пропадать около 400 адресов.
Решение состоит в том, что бы для одной сети указывать более одного расширенного
сетевого префикса. О такой сети говорят, что это сеть с маской подсети переменной длины
(VLSM).
Действительно, если для сети 144.144.0.0/16 использовать расширенный сетевой префикс /25,
то это больше бы подходило сетям размерами около ста узлов. Если допустить использование
обеих масок, то это бы значительно увеличило гибкость применения подсетей.
Общая схема разбиения сети на подсети с масками переменной длины такова: сеть делится на
подсети максимально необходимого размера. Затем некоторые подсети делятся на более
мелкие, и рекурсивно далее, до тех пор, пока это необходимо.
Кроме того, технология VLSM, путем скрытия части подсетей, позволяет уменьшить объем
данных, передаваемых маршрутизаторами. Так, если сеть 12/8 конфигурируется с
расширенным сетевым префиксом /16, после чего сети 12.1/16 и 12.2/16 разбиваются на
подсети /20, то маршрутизатору в сети 12.1 незачем знать о подсетях 12.2 с префиксом /20,
ему достаточно знать маршрут на сеть 12.1/16.
Децимальная и бинарная нотация IP-подсетей.
Каждый ИФ в сети получает уникальный IP-адрес. Адресацией управляет протокол IP. IPадрес состоит из 4 чисел, каждое варьируется от 0 до 255 и отделено десятичной точкой. За
каждым из этих чисел стоит двоичный октет, т.к. комп работает с двоичным форматом.
Любой IP-адрес включает:
 идентификатор сети; определяет сегмент сети, в котором находится хост;
 идентификатор хоста; определяет конкретный хост в сегменте сети.
Комбинация идентификаторов сети и хоста должна быть уникальна для всех компов,
взаимодействующих друг с другом.
Маска подсети указывает, где заканчивается идентификатор сети и начинается
идентификатор хоста.
16
Маска подсети разделяет идентификаторы сети и хоста.
Десятичный формат Двоичный формат
IP-адрес
131.104.16.192
10000011 01101000
Маска подсети 255.255.0.0
11111111 11111111
Ид. Сети
131.104.0.0
10000011 01101000
Ид. Хоста
0.0.16.192
00000000 00000000
00010000
00000000
00000000
00010000
01011100
00000000
00000000
01011100
Планирование сети разбиением на подсети с использованием
маршрутизаторов различного типа.
Основная функция маршрутизатора - чтение заголовков пакетов сетевых протоколов,
принимаемых и буферизуемых по каждому порту (например, IPX, IP, AppleTalk или DECnet),
и принятие решения о дальнейшем маршруте следования пакета по его сетевому адресу,
включающему, как правило, номер сети и номер узла.
Функции маршрутизатора могут быть разбиты на 3 группы в соответствии с уровнями
модели OSI
Уровень интерфейсов
На нижнем уровне маршрутизатор, как и любое устройство, подключенное к сети,
обеспечивает физический интерфейс со средой передачи, включая согласование уровней
электрических сигналов, линейное и логическое кодирование, оснащение определенным
типом разъема. В разных моделях маршрутизаторов часто предусматриваются различные
наборы физических интерфейсов, представляющих собой комбинацию портов для
подсоединения локальных и глобальных сетей. С каждым интерфейсом для подключения
локальной сети неразрывно связан определенный протокол канального уровня - например,
Ethernet, Token Ring, FDDI. Интерфейсы для присоединения к глобальным сетям чаще всего
определяют только некоторый стандарт физического уровня, над которым в маршрутизаторе
могут работать различные протоколы канального уровня. Например, глобальный порт может
поддерживать интерфейс V.35, над которым могут работать протоколы канального уровня:
LAP-B (используемый в сетях X.25), LAP-F (используемый в сетях frame relay), LAP-D
(используемый в сетях ISDN). Разница между интерфейсами локальных и глобальных сетей
объясняется тем, что технологии локальных сетей работают по собственным стандартам
физического уровня, которые не могут, как правило, использоваться в других технологиях,
поэтому интерфейс для локальной сети представляет собой сочетание физического и
канального уровней и носит название по имени соответствующей технологии - например,
интерфейс Ethernet.
Интерфейсы маршрутизатора выполняют полный набор функций физического и канального
уровней по передаче кадра, включая получение доступа к среде (если это необходимо),
формирование битовых сигналов, прием кадра, подсчет его контрольной суммы и передачу
поля данных кадра верхнему уровню, в случае если контрольная сумма имеет корректное
значение.
17
Перечень физических интерфейсов, которые поддерживает та или иная модель
маршрутизатора, является его важнейшей потребительской характеристикой. Маршрутизатор
должен поддерживать все протоколы канального и физического уровней, используемые в
каждой из сетей, к которым он будет непосредственно присоединен.
Кадры, которые поступают на порты маршрутизатора, после обработки соответствующими
протоколами физического и канального уровней, освобождаются от заголовков канального
уровня. Извлеченные из поля данных кадра пакеты передаются модулю сетевого протокола.
Уровень сетевого протокола
Сетевой протокол в свою очередь извлекает из пакета заголовок сетевого уровня и
анализирует содержимое его полей. Прежде всего проверяется контрольная сумма, и если
пакет пришел поврежденным, то он отбрасывается. Выполняется проверка, не превысило ли
время, которое провел пакет в сети (время жизни пакета), допустимой величины. Если
превысило - то пакет также отбрасывается. На этом этапе вносятся корректировки в
содержимое некоторых полей, например, наращивается время жизни пакета, пересчитывается
контрольная сумма.
На сетевом уровне выполняется одна из важнейших функций маршрутизатора - фильтрация
трафика. Маршрутизатор, обладая более высоким интеллектом, нежели мосты и
коммутаторы, позволяет задавать и может отрабатывать значительно более сложные правила
фильтрации. Пакет сетевого уровня, находящийся в поле данных кадра, для
мостов/коммутаторов представляется неструктурированной двоичной последовательностью.
Маршрутизаторы же, программное обеспечение которых содержит модуль сетевого
протокола, способны производить разбор и анализ отдельных полей пакета. Они оснащаются
развитыми средствами пользовательского интерфейса, которые позволяют администратору
без особых усилий задавать сложные правила фильтрации. Они, например, могут запретить
прохождение в корпоративную сеть всех пакетов, кроме пакетов, поступающих из подсетей
этого же предприятия. Фильтрация в данном случае производится по сетевым адресам, и все
пакеты, адреса которых не входят в разрешенный диапазон, отбрасываются.
Маршрутизаторы, как правило, также могут анализировать структуру сообщений
транспортного уровня, поэтому фильтры могут не пропускать в сеть сообщения
определенных прикладных служб, например службы tehet, анализируя поле типа протокола в
транспортном сообщении.
В случае если интенсивность поступления пакетов выше интенсивности, с которой они
обрабатываются, пакеты могут образовать очередь. Программное обеспечение
маршрутизатора может реализовать различные дисциплины обслуживания очередей пакетов:
в порядке поступления по принципу «первый пришел - первым обслужен» (First Input First
Output, FIFO), случайное раннее обнаружение, когда обслуживание идет по правилу FIFO, но
при достижении длиной очереди некоторого порогового значения вновь поступающие пакеты
отбрасываются (Random Early Detection, RED), а также различные варианты приоритетного
обслуживания.
К сетевому уровню относится основная функция маршрутизатора - определение маршрута
пакета. По номеру сети, извлеченному из заголовка пакета, модуль сетевого протокола
находит в таблице маршрутизации строку, содержащую сетевой адрес следующего
маршрутизатора, и номер порта, на который нужно передать данный пакет, чтобы он
двигался в правильном направлении. Если в таблице отсутствует запись о сети назначения
пакета и к тому же нет записи о маршрутизаторе по умолчанию, то данный пакет
отбрасывается.
Перед тем как передать сетевой адрес следующего маршрутизатора на канальный уровень,
необходимо преобразовать его в локальный адрес той технологии, которая используется в
сети, содержащей следующий маршрутизатор. Для этого сетевой протокол обращается к
18
протоколу разрешения адресов. Протоколы этого типа устанавливают соответствие между
сетевыми и локальными адресами либо на основании заранее составленных таблиц, либо
путем рассылки широковещательных запросов. Таблица соответствия локальных адресов
сетевым адресам строится отдельно для каждого сетевого интерфейса. Протоколы
разрешения адресов занимают промежуточное положение между сетевым и канальным
уровнями.
С сетевого уровня пакет, локальный адрес следующего маршрутизатора и номер порта
маршрутизатора передаются вниз, канальному уровню. На основании указанного номера
порта осуществляется коммутация с одним из интерфейсов маршрутизатора, средствами
которого выполняется упаковка пакета в кадр соответствующего формата. В поле адреса
назначения заголовка кадра помещается локальный адрес следующего маршрутизатора.
Готовый кадр отправляется в сеть.
Уровень протоколов маршрутизации
Сетевые протоколы активно используют в своей работе таблицу маршрутизации, но ни ее
построением, ни поддержанием ее содержимого не занимаются. Эти функции выполняют
протоколы маршрутизации. На основании этих протоколов маршрутизаторы обмениваются
информацией о топологии сети, а затем анализируют полученные сведения, определяя
наилучшие по тем или иным критериям маршруты. Результаты анализа и составляют
содержимое таблиц маршрутизации.
Помимо перечисленных выше функций, на маршрутизаторы могут быть возложены и другие
обязанности, например операции, связанные с фрагментацией.
Классификация маршрутизаторов по областям применения
По областям применения маршрутизаторы делятся на несколько классов.
Магистральные маршрутизаторы (backbone routers) предназначены для построения
центральной сети корпорации. Центральная сеть может состоять из большого количества
локальных сетей, разбросанных по разным зданиям и использующих самые разнообразные
сетевые технологии, типы компьютеров и операционных систем. Магистральные
маршрутизаторы - это наиболее мощные устройства, способные обрабатывать несколько
сотен тысяч или даже несколько миллионов пакетов в секунду, имеющие большое
количество интерфейсов локальных и глобальных сетей. Поддерживаются не только
среднескоростные интерфейсы глобальных сетей, такие как Т1/Е1, но и высокоскоростные,
например, АТМ или SDH со скоростями 155 Мбит/с или 622 Мбит/с. Чаще всего
магистральный маршрутизатор конструктивно выполнен по модульной схеме на основе
шасси с большим количеством слотов - до 12-14. Большое внимание уделяется в
магистральных моделях надежности и отказоустойчивости маршрутизатора, которая
достигается за счет системы терморегуляции, избыточных источников питания, заменяемых
«на ходу» (hot swap) модулей, а также симметричного муль-типроцессирования. Примерами
магистральных маршрутизаторов могут служить маршрутизаторы Backbone Concentrator
Node (BCN) компании Nortel Networks (ранее Bay Networks), Cisco 7500, Cisco 12000.
Маршрутизаторы региональных отделений соединяют региональные отделения между
собой и с центральной сетью. Сеть регионального отделения, так же как и центральная сеть,
может состоять из нескольких локальных сетей. Такой маршрутизатор обычно представляет
собой некоторую упрощенную версию магистрального маршрутизатора. Если он выполнен
на основе шасси, то количество слотов его шасси меньше: 4-5. Возможен также конструктив
с фиксированным количеством портов. Поддерживаемые интерфейсы локальных и
глобальных сетей менее скоростные. Примерами маршрутизаторов региональных отделений
могут служить маршрутизаторы BLN, ASN компании Nortel Networks, Cisco 3600, Cisco 2500,
NetBuilder II компании 3Com. Это наиболее обширный класс выпускаемых маршрутизаторов,
характеристики которых могут приближаться к характеристикам магистральных
19
маршрутизаторов, а могут и опускаться до характеристик маршрутизаторов удаленных
офисов.
Маршрутизаторы удаленных офисов соединяют, как правило, единственную локальную сеть
удаленного офиса с центральной сетью или сетью регионального отделения по глобальной
связи. В максимальном варианте такие маршрутизаторы могут поддерживать и два
интерфейса локальных сетей. Как правило, интерфейс локальной сети - это Ethernet 10
Мбит/с, а интерфейс глобальной сети - выделенная линия со скоростью 64 Кбит/с, 1,544 или 2
Мбит/с. Маршрутизатор удаленного офиса может поддерживать работу по коммутируемой
телефонной линии в качестве резервной связи для выделенного канала. Существует очень
большое количество типов маршрутизаторов удаленных офисов. Это объясняется как
массовостью потенциальных потребителей, так и специализацией такого типа устройств,
проявляющейся в поддержке одного конкретного типа глобальной связи. Например,
существуют маршрутизаторы, работающие только по сети ISDN, существуют модели только
для аналоговых выделенных линий и т. п. Типичными представителями этого класса
являются маршрутизаторы Nautika компании Nortel Networks, Cisco 1600, Office Connect
компании 3Com, семейство Pipeline компании Ascend.
Маршрутизаторы локальных сетей (коммутаторы 3-го уровня) предназначены для
разделения крупных локальных сетей на подсети. Основное требование, предъявляемое к
ним, - высокая скорость маршрутизации, так как в такой конфигурации отсутствуют
низкоскоростные порты, такие как модемные порты 33,6 Кбит/с или цифровые порты 64
Кбит/с. Все порты имеют скорость по крайней мере 10 Мбит/с, а многие работают на
скорости 100 Мбит/с. Примерами коммутаторов 3-го уровня служат коммутаторы CoreBuilder
3500 компании 3Com, Accelar 1200 компании Nortel Networks, Waveswitch 9000 компании
Plaintree, Turboiron Switching Router компании Foudry Networks.
В зависимости от области применения маршрутизаторы обладают различными основными и
дополнительными техническими характеристиками.
VLAN
Преимущества VLAN
увеличивает число широковещательных доменов но уменьшает размер каждого
широковещательного домена, которые в свою очередь уменьшают сетевой траффик и
увеличивают безопасность сети (оба следствия связаны вместе из-за единого большого
широковещательного домена)
уменьшает усилия администраторов на создание подсетей
уменьшает количество оборудования, так как сети могут быть разделены логически а не
физически
улучшает управление над различными типами траффика
Протоколы и принцип работы
Протокол тегирования IEEE 802.1Q сейчас господствует в мире VLAN. Этому
предшествовали другие протоколы, такие как Ciscoвский ISL (Inter-Switch Link, вариант IEEE
802.10) и 3Comовский VLT (Virtual LAN Trunk). ISL больше не поддерживается Cisco.
Первые создатели сетей часто конфигурировали VLANы с целью уменьшения коллизий в
большом цельном сегменте сети Ethernet и тем самым увеличивали производительность.
Когда Ethernet-свитчи сделали эту проблему малообсуждаемой (поскольку коллизий не
наблюдалось), внимание перешло к уменьшению размера широковещательного домена на
20
уровне MAC. Виртуальные сети также могут служить для ограничения доступа к сетевым
ресурсам без влияния на топологию сети, хотя надежность этого метода остается предметом
обсуждения и известна как (шаманство над VLANами) и часто означает упущение этих
мероприятий по обеспечению безопасности.
Виртуальные сети работают на 2-м (канальном) уровне модели OSI. Несмотря на это
администраторы часто конфигурируют VLAN для непосредственной работы с IP-сетями или
подсетями, что ведет к вовлечению уровня 3 (сетевого).
В контексте VLANов, термин "транк" означает сетевое соединение переносящее несколько
VLANов, которые обозначаются метками (или "тегами") вставленными в их пакеты. Такие
транки обычно создаются между "тегированными портами" VLAN-устройств, поэтому
обычно прокладываются по пути свитч-свитч или свитч-маршрутизатор нежели по пути к
хостам. Немного смущает то что термин "транк" также используется для того что Cisco
называет "каналами": Link Aggregation или Port Trunking. Маршрутизатор (свитч третьего
уровня) выступает в роли магистрали для сетевого траффика, проходящего через разные
VLANы.
Обозначение членства в VLANе
Для этого существует четыре решения:
Port-based (по порту): порт свитча вручную конфигурируется чтобы быть членом VLANа.
Этот метод работает только если все устройства, висящие на этом порту, принадлежат
одному VLANу.
MAC-based (по MAC-адресу): членство в VLANе основывается на MAC-адресе рабочей
станции. Свитч составляет таблицу MAC-адресов всех устройств вместе с VLANами, к
которым они принадлежат.
Protocol-base (по протоколу): данные 3 уровня внутри фрейма используются чтобы
определить членство в VLANe. Например, IP машины могут быть переведены в первый
VLAN, а машины AppleTalk во второй. Основной недостаток этого метода в том, что он
нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к
падению свитча.
Authentication based (по аутентификации): Устройства могут быть автоматически
перемещены в VLAN основываясь на данных аутентификации пользователя или устройства
при использовании протокола 802.1x
Одноранговые ЛВС.
Одноранговая ЛВС предоставляет возможность такой организации работы компьютерной
сети, при которой каждая рабочая станция одновременно может быть и сервером.
Преимущество одноранговых сетей заключается в том, что разделяемыми ресурсами могут
являться ресурсы всех компьютеров в сети и нет необходимости копировать все
используемые сразу несколькими пользователями файлы на сервер. В принципе, любой
пользователь сети имеет возможность использовать все данные, хранящиеся на других
компьютерах сети, и устройства, подключенные к ним. Затраты на организацию
одноранговых вычислительных сетей относительно небольшие. Однако при увеличении
числа рабочих станций эффективность их использования резко уменьшается. Пороговое
значение числа рабочих станций, по оценкам фирмы Novell, составляет 25. Поэтому
одноранговые ЛВС используются только для небольших рабочих групп.
21
Основной недостаток работы одноранговой сети заключается в значительном увеличении
времени решения прикладных задач. Это связано с тем, что каждый компьютер сети
отрабатывает все запросы, идущие к нему со стороны других пользователей. Следовательно,
в одноранговых сетях каждый компьютер работает значительно интенсивнее, чем в
автономном режиме. Существует еще несколько важных проблем, возникающих в процессе
работы одноранговых сетей: возможность потери сетевых данных при перезагрузке рабочей
станции и сложность организации резервного копирования.
Настройка одноранговых сетей на базе OS Windows.
Драйверы сетевых карт. Конфигурирование сетевых карт.
Сетевой адаптер (Network Interface Card, NIC) вместе со своим драйвером реализует
второй, канальный уровень модели открытых систем в конечном узле сети компьютере. Более точно, в сетевой операционной системе пара адаптер и драй вер
выполняет только функции физического и МАС-уровней, в то время как LLC-уровень
обычно реализуется модулем операционной системы, единым для всех драйверов и
сетевых адаптеров. Собственно, так оно и должно быть в соответствии с моделью стека
протоколов IEEE 802. Например, в ОС Windows NT уровень LLC реализуется в модуле
NDIS, общем для всех драйверов адаптеров, независимо от того, какую технологию
поддерживает драйвер.
Сетевой адаптер совместно с драйвером выполняют две операции: передачу и прием кадра.
Передача кадра из компьютера в кабель состоит из перечисленных ниже этапов:
- Прием кадра данных LLC через межуровневый интерфейс вместе с адресной информацией
МАС-уровня. Обычно взаимодействие между протоколами внутри компьютера происходит
через буферы, расположенные в оперативной памяти. Данные для передачи в сеть помещаются в
эти буферы протоколами верхних уровней, которые извлекают их из дисковой памяти либо из
файлового кэша с помощью подсистемы ввода-вывода операционной системы.
- Оформление кадра данных МАС-уровня, в который инкапсулируется кадр LLC (с отброшенными
флагами 01111110). Заполнение адресов назначения и источника, вычисление контрольной
суммы.
Формирование символов кодов при использовании избыточных кодов типа 4В/5В.
Скрэмблирование кодов для получения более равномерного спектра сигналов.
Выдача сигналов в кабель в соответствии с принятым линейным кодом - манчестерским,
NRZI, MLT-3 и т. п.
Прием кадра из кабеля в компьютер включает следующие действия.
- Прием из кабеля сигналов, кодирующих битовый поток.
- Выделение сигналов на фоне шума. Эту операцию могут выполнять различные
специализированные микросхемы или сигнальные процессоры DSP. В результате в приемнике
адаптера образуется некоторая битовая последовательность, с большой степенью вероятности
совпадающая с той, которая была послана передатчиком.
22
- Если данные перед отправкой в кабель подвергались скрэмблированию, то они
пропускаются через дескрэмблер, после чего в адаптере восстанавливаются символы кода,
посланные передатчиком.
- Проверка контрольной суммы кадра.
Распределение обязанностей между сетевым адаптером и его драйвером стандартами не
определяется, поэтому каждый производитель решает этот вопрос самостоятельно. Обычно
сетевые адаптеры делятся на адаптеры для клиентских компьютеров и адаптеры для серверов.
В адаптерах для клиентских компьютеров значительная часть работы перекладывается на
драйвер, тем самым адаптер оказывается проще и дешевле. Недостатком такого подхода является
высокая степень загрузки центрального процессора компьютера рутинными работами по
передаче кадров из оперативной памяти в сеть. Центральный процессор вынужден заниматься
этой работой вместо выполнения прикладных задач пользователя.
Адаптеры, предназначенные для серверов, обычно снабжаются собственными процессорами,
которые самостоятельно выполняют большую часть работы по передаче кадров из оперативной
памяти в сеть и в обратном направлении. Примером такого адаптера может служить сетевой
адаптер SMS EtherPower со встроенным процессором Intel i960.
Сетевой адаптер перед установкой в компьютер необходимо конфигурировать. При
конфигурировании адаптера обычно задаются номер прерывания IRQ, используемого
адаптером, номер канала прямого доступа к памяти DMA (если адаптер поддерживает режим
DMA) и базовый адрес портов ввода-вывода.
Если сетевой адаптер, аппаратура компьютера и операционная система поддерживают стандарт
Plug-and-Play, то конфигурирование адаптера и его драйвера осуществляется автоматически.
В противном случае нужно сначала сконфигурировать сетевой адаптер, а затем повторить
параметры его конфигурации для драйвера.
Управление сетевыми ресурсами. Sharing.
При использовании любых сетевых операционных систем может потребоваться разделение
ресурсов компьютера пользователя Windows 98. К вашему компьютеру может быть
подключен принтер или факс-модем, необходимый всем членам рабочей группы. На вашем
диске могут храниться общие данные. Наконец, даже в одноранговой сети Windows 98 имеет
смысл использовать один из компьютеров как файл-сервер для хранения данных общего
доступа. Разделение ресурсов позволяет сетевому пользователю распоряжаться папками,
дисками и принтерами сетевого компьютера как своими собственными - разумеется, с
некоторыми ограничениями. Нельзя, например, форматировать сетевой диск. Локальный
пользователь разделяемого ресурса может ограничить доступ к нему по паролю или
разрешить чтение, но не редактирование.
После того как сервис разделения ресурсов запущен, следует выбрать конкретные ресурсы, к
которым сможет получить доступ ведущий компьютер. Для этого существует меню окна
папки Файл|Доступ (File|Sharing) или контекстное меню Доступ (Sharing). Можно разделить
доступ к локальному диску, папке или принтеру. Если разделить доступ к диску, то станут
доступны и все папки, находящиеся на этом диске
23
Mapping.
Функции NAT конфигурируются на пограничном маршрутизаторе, разграничивающем
частную (внутреннюю) сеть и сеть общего пользования (например, Интернет). Далее сеть
общего пользования мы будем называть внешней сетью, а частную сеть – внутренней сетью.
Функции NAT перед отправкой пакетов во внешнюю сеть осуществляют трансляцию
внутренних локальных адресов в уникальные внешние адреса IP. При необходимости
изменения внутренней системы адресов. Вместо того, чтобы производить полное изменение
всех адресов всех узлов внутренней сети, что представляет собой достаточно трудоемкую
процедуру, функции NAT позволят производить их трансляцию в соответствии с новым
адресным планом. При необходимости организации простого разделения трафика на основе
портов TCP. Функции NAT предоставляют возможность установления соответствия
(mapping) множества локальных адресов одному внешнему адресу, используя функции
распределения нагрузки TCP.
Имена UNC.
Windows использует для именования сетевых объектов соглашение UNC (Universal Naming
Convention), полностью описывающее местонахождение объекта в системе. UNC-имена
используют следующий формат:
UNC-имена используют следующий формат:
\\сервер\разделяемый_ресурс\путь
Имя сервера не должно быть длиннее 15 символов, длина имени разделяемого ресурса также
обычно не должна превышать 15 символов, хотя это зависит от используемой сетевой
операционной системы. Windows 98 полностью поддерживает UNC-имена, включая их
использование в командной строке. Таким образом, при помощи UNC-имен и путей можно
использовать сетевые ресурсы точно так же, как и локальные.
К сетевым ресурсам можно добраться посредством папки Сетевое окружение (Network
Neighborhood). В окне Сетевое окружение находятся значки всех серверов, которые в данный
момент подключены к сети, включены и входят в одну с вами рабочую группу, в том числе и
вашего собственного компьютера, если он является сервером.
Если раскрыть окно любого из сетевых компьютеров, там появятся значки тех его ресурсов,
для которых установлено разделение доступа, с теми именами, которые были определены для
них как Share Name - Сетевое имя при установке разделения доступа.
Чтобы удобнее было работать с сетевыми папками, можно присвоить им имена дисков. Это
можно сделать командой Подключить сетевой диск (Map Network Drive) контекстного меню
значков Мой компьютер и Сетевое окружение или Сервис|Подключить сетевой диск
(Tools|Map Network Drive) меню Проводника (Explorer), но удобнее всего использовать
контекстное меню того разделяемого ресурса, который вы собираетесь подключить как диск
Если установлен флажок Автоматически подключать при входе в систему (Reconnect at
logon), при каждом входе в сеть соединение с данным сетевым диском будет возобновляться.
24
Взаимодействие компьютеров в сети.
Вычислительные сети, в зависимости от способов взаимодействия компьютеров в них, можно
разделить на две группы - централизованные и одноранговые.
Централизованные сети строятся на основе архитектуры "клиент-сервер", которая
предполагает выделение в сети так называемых "серверов" и "клиентов". К клиентам
относятся рабочие станции (компьютеры) сети, которые не имеют непосредственных
контактов друг с другом и могут общаться между собой только через сервер: следовательно,
одна станция не может использовать файл, находящийся на другой станции: для этого файл
должен находиться на файл-сервере. Все локальные ресурсы рабочих станций так и остаются
локальными и, следовательно, не могут быть использованы никакой другой рабочей
станцией.
Компьютеры-серверы управляют подключенными к ним общими разделяемыми ресурсами
сети. Различают:
файл-серверы, служащие для управления передачей, файлов и позволяющие пересылать
информацию большого объема, (не обязательно текстовую, но и графическую);
серверы печати (или принт-серверы), служащие для включения в состав сети принтера,
доступного для использования пользователям со всех рабочих станций сети;
коммуникационные (связные) серверы, предназначенные для управления и установления
связи между компьютерами в сети;
почтовые серверы в системе электронной почты, служащие для пересылки и приема
электронных писем;
архивные серверы, предназначенные для архивирования данных и резервного копирования
информации в больших многосерверных сетях;
факс-серверы, используемые для отправления пользователями факсимильных сообщений с
рабочих станции, для приема и последующей рассылки сообщении в личные боксы
пользователей и др.
С точки зрения пользователей архитектура "клиент-сервер" предоставляет им быстрый и
простой доступ с локальной рабочей станции к информации и функциям, содержащимся гдето в сети. Среди других достоинств, важных для пользователя, можно отметить: повышение
производительности, возможность свободного выбора необходимого программного
обеспечения, простоту в использовании инструментальных средств.
Одноранговые ЛВС основаны на равноправной (peer-to-peer) модели взаимодействия
компьютеров. В такой сети каждый компьютер может выступать, смотря по обстоятельствам,
и как рабочая станция, и как сервер, предоставляющий возможность доступа другим
коллегам ("peer" - коллега) к своим ресурсам: накопителям на жестких или гибких дисках,
принтеру, модему и др. В одноранговой сети рабочие станции могут напрямую связываться
друг с другом (в отличие от централизованной структуры сети) и совместно использовать те
ресурсы (файлы, принтеры, накопители и др.), которые на данном конкретном компьютере
определены как разделяемые. Сети подобного типа недороги, поскольку не требуют
приобретения дорогостоящего выделенного сервера, просты в эксплуатации и могут быть
рекомендованы для малочисленных групп пользователей, которым не требуются большие
вычислительные ресурсы.
Для соединения компьютеров используют электрические - в виде "витой пары" (двух
скрученных экранированных проводов) или коаксиальные (подобные кабелю телевизионной
антенны) - провода. Для подключения компьютера к сети необходим так называемый сетевой
25
адаптер, который вставляется в гнездо основной ("материнской") платы компьютера. Адаптер
имеет один или два разъема для подключения к кабелю. В других случаях построение сети не
требует использования специальных адаптеров - сетевой кабель, соединяющий компьютеры,
подключается непосредственно к последовательному порту (подобные сети, однако,
используются лишь в простейших случаях, например, при совместном использовании
принтера несколькими компьютерами и характеризуются низкой производительностью).
Кроме того, необходимы специальные разъемы, разветвители-тройники и терминаторы
(оконечные согласующие сопротивления), а также, возможно, повторители (для усиления и
формирования сигнала, если длина соединения слишком велика).
Для обеспечения межсетевого взаимодействия служат специальные устройства - мосты,
маршрутизаторы, коммутаторы и шлюзы.
Для организации работы вычислительной сети служат сетевые операционные системы (ОС).
При выборе сетевой ОС принимают во внимание несколько факторов: требования к
производительности сети, надежности и степени ее информационной безопасности,
требуемые ресурсы памяти; функциональная мощность; простота эксплуатации, возможности
к объединению с другими сетями; цена.
Основные сетевые сервисы и службы разветвлённой
корпоративной сети.
Кроме обмена данными, сетевые службы должны решать другие задачи, например, задачи,
порождаемые распределенной обработкой данных. К таким задачам относится обеспечение
непротиворечивости данных, размещенных на разных машинах (служба репликации), или
выполнение одной задачи параллельно на нескольких машинах сети (служба вызова удаленных
процедур). Среди сетевых служб можно выделить административные, то есть такие, которые в
основном ориентированы не на простого пользователя, а на администратора и служат для
организации сети в целом. Служба администрирования учетных записей о пользователях,
которая позволяет администратору вести общую базу данных о пользователях сети, система
мониторинга сети, позволяющая захватывать и анализировать сетевой трафик, служба
безопасности, в функции которой может входить среди прочего выполнение процедуры
логического входа с последующей проверкой пароля, — все это примеры административных
служб.
Реализация сетевых служб осуществляется программными средствами. Основные службы –
файловая служба и служба печати — обычно предоставляются сетевой ОС, а вспомогательные,
например, служба баз данных, передачи голоса, — системными сетевыми приложениями, или
утилитами, работающими в тесном контакте с сетевой ОС. Вообще говоря, распределение служб
между ОС и утилитами достаточно условно и меняется в конкретных реализациях ОС.
Одним из главных показателей качества сетевой службы является ее удобство. Например,
Файловая служба может быть основана на использовании команды передачи файла из одного
компьютера в другой по имени файла, а это требует от пользователя знания этого имени. Та же
файловая служба может быть реализована и так, что пользователь монтирует удаленную
файловую систему к локальному каталогу, а далее обращается к удаленным файлам как к своим
26
собственным, что гораздо удобнее. Качество сетевой службы зависит и от качества пользовательского интерфейса — интуитивной понятности, наглядности, рациональности.
При определении степени удобства разделяемого ресурса часто употребляют термин
«прозрачность». Прозрачный доступ — это такой доступ, при котором пользователь не замечает,
где расположен нужный ему ресурс — на собственном или удаленном компьютере. После того как
он смонтировал удаленную файловую систему в свое дерево каталогов, доступ к удаленным
файлам становится для него совершенно прозрачным. Сама операция монтирования также
может иметь разную степень прозрачности — в сетях с меньшей прозрачностью пользователь
должен знать и задавать в команде имя компьютера, на котором хранится удаленная файловая
система, в сетях с большей степенью прозрачности соответствующий программный компонент
сети производит поиск разделяемых томов файлов безотносительно мест их хранения, а затем
предоставляет их пользователю в удобном для него виде, например в виде списка или набора
значков.
Для обеспечения прозрачности важен способ адресации (именования) разделяемых сетевых
ресурсов. Имена разделяемых сетевых ресурсов не должны зависеть от их физического
расположения на том или ином компьютере. В идеале пользователь не должен ничего менять в
своей работе, если администратор сети переместил том или каталог с одного компьютера на
другой. Сам администратор и сетевая операционная система имеют информацию о расположении
файловых систем, но от пользователя она скрыта. Такая степень прозрачности пока редко
встречается в сетях — обычно для получения доступа к ресурсам определенного компьютера
сначала приходится устанавливать с ним логическое соединение.
Взаимодействие клиентских приложений NetBIOS, SOCK, WinSock.
Чтобы два приложения NetBIOS могли связаться друг с другом по сети, они должны
выполняться на рабочих станциях, имеющих по крайней мере один общий транспортный
протокол. Например, если на компьютере Джона установлен только TCP/IP, а на компьютере
Мэри – только NetBEUI, приложения NetBIOS на компьютере Джона не смогут связаться с
приложениями на компьютере Мэри.
SOCKS - прокси-протокол для сетевых приложений на базе TCP/IP. SOCKS включает два
компонента, SOCKS-сервер SOCKS-клиент. SOCKS-сервер находиться на прикладном
уровне. SOCKS-клиент находиться между прикладным и транспортным уровнем.
Что такое - SOCKS Proxy Сервер.
Когда клиент-приложение должно соединиться с сервером, клиент соединяется с SOCKS
proxy сервером. proxy-сервер соединяется с сервером от имени клиента, и данные передаются
между клиентом и сервером. Для сервера, proxy-сервер - клиент.
Модель SOCKS
Есть две версии протокола SOCKS, версия 4 и версия 5, SOCKS V4 и SOCKS V5,
соответственно.
Протокол SOCKS V4 выполняет три функции: делает запросы на подключения,
устанавливает proxy-цепь, и передает данные приложения. Протокол SOCKS V5
поддерживает идентификацию.
27
SOCKS первоначально предназначался как межсетевая защита (firewall). И SOCKS - все еще
одна из популярных альтернатив к сетевым защитам. Из-за его простоты и гибкости, SOCKS
использовался как основной proxy-сервер, в виртуальной частной сети (VPN), и для extranet
приложений. Proxy на базе SOCKS V5 предлагает такие преимущества:
Прозрачный сетевой доступ через множество proxy-серверов
Простая разработка идентификации и методов кодирования
Быстрая разработка новых сетевых приложений
Простое сетевое управление политикой защиты
Уникальные особенности и выгоды
1. Единственный протокол связи который подтверждает подлинность пользователей и
устанавливает канал связи
Передает пользовательскую информацию от SOCKS-клиента на SOCKS-сервер для
пользовательской идентификации, для каждого TCP или UDP канала связи, который
устанавливает протокол SOCKS. Это подтверждает подлинность пользователя и канала,
гарантируя честность TCP и UDP каналов.
Большинство протоколов туннелирования отделяет процесс идентификации от самого канала
связи, что дает меньшую гарантию честности каналов после того, как протокол
устанавливает несколько каналов связи.
2. Независимая Защита Приложений
Как основное proxy-программное обеспечение, протокол SOCKS устанавливает каналы связи,
управляет и защищает канал для любого приложения. Поскольку появляются новые
приложения, SOCKS может защищать их без лишней доработки приложения.
Сетевые приложения, использующие прикладной и IP уровень требуют новой поддержки
технологии proxy-подключения для каждого нового приложения. Разработчики должны
ждать, пока протокол прикладного уровня не будет создан прежде, чем они могут начинать
разрабатывать поддержку технологии proxy, и должны разрабатывать поддержку proxyтехнологии для каждого нового приложения отдельно.
3. Гибкая защита с помощью разнообразных правил управления доступом
Маршрутизаторы IP защищают сеть на уровне IP с помощью маршрутизации IP-пакетов.
SOCKS защищает TCP и UDP подключения на TCP/UDP уровне для каждого приложения, и
могут работать с традиционными защитными IP-маршрутизаторами, или независимо. SOCKS
в этом плане гибче для защиты сети благодаря политике управления доступом, которая
базируется на данных о пользователе, приложении, и времени, кроме того, адресе источника.
4. Двунаправленная proxy-поддержка
Большинство proxy базирующиеся на уровне IP, типа сетевой передачи адреса (network
address translation NAT), только поддерживает uni-направленный proxy, от внутренней
(частный IP) сети к внешней сети (Internet). Proxy устанавливает канал связи, управляя
АДРЕСАМИ IP. IP adrresses должен быть маршрутизируемый (routable). Эти механизмы
proxy не позволяют приложениям, которые должны установить каналы данных для
возможности принятия данных по установленным каналам,например приложениям
мультимедиа. Proxy-механизмы базирующиеся на уровне IP нуждаются в дополнительных
программных модулях для каждого приложения, которые используют несколько каналов.
SOCKS идентифицирует адресатов через доменные имена, преодолевая ограничение
использования частных АДРЕСОВ IP. SOCKS может использовать доменные имена, чтобы
установить связь между отдельными LAN, с накладывающимися АДРЕСАМИ IP.
28
2. Служба доменных имен Dynamic DNS.
Зоны прямого и обратного просмотра.
Зоны, в которых хранится информация по поиску имени по IP-адресу, называются
обратными(Reverse Loockup Zones). Зоны, используемые для разрешения имени в IP-адрес,
называются прямыми(Forward Lookup Zones).
Для зон обратного просмотра создается служебный домен “in-addr.arpa”, поддомены которого
именуются как IP-адреса, записанные в обратном порядке.
Ресурсные записи.
Типы записей DNS зон:
- SOA (start of authority)
хранит информацию об основном сервере, поддерживающем зону, и некоторые другие
параметры, такие, как серийный номер зоны, адрес электронной почты администратора зоны
и т.д.;
- NS (name server)
показывает, что данное имя указывает на сервер DNS более низкого уровня;
- MX (mail exchanger)
показывает, что для отправки электронной почты в данную зону должен использоваться
указанный сервер;
-A
ставит в соответствие указанному имени его IP-адрес;
- AAAА
Аналогичная запись адреса, только использующая 128-битный формат для IPv6
- CNAME
ссылка на другое имя (псевдоним). Говорит о том, что для разрешения указанного имени
должна использоваться запись с другим именем
- PTR
указатель на другую часть пространства имен. Используется в описании зоны обратного
просмотра для указания на соответствующее адресу имя
- SRV
Запись службы позволяет указывать, какие службы предоставляет сервер и какой домен он
обслуживает. Такая запись обязательна для использования AD
- WINS
Идентифицирует WINS-сервер, к которому можно обращаться для получения имен, не
зарегистрированных в пространстве имен DNS
- WINS_R
29
Запись обратного просмотра WINS заставляет Microsoft DNS использовать команду nbstat для
выполнения клиентских запросов на обратный просмотр (преобразование адресов в имена)
- WKS
Запись общеизвестных сервисов описывает сервисы, предоставляемые конкретным
протоколом при использовании конкретного адаптера
Рекурсивные и итеративные запросы.
DNS-серверы распознают два типа запросов: рекурсивные и итеративные.
В случае рекурсивного запроса DNS-сервер, получивший рекурсивный запрос, принимает на
себя всю ответственность за разрешение имени. Если он имеет сведения о запрошенном
имени, то он отвечает клиенту немедленно. В противном случае запрашивает другие DNSсерверы до тех пор, пока не получит необходимую информацию.
В случае итеративного запроса, если на сервере нет соответствующей записи, то он
возвращает ссылку на другой DNS-сервер.
Как правило, итеративные запросы используются для взаимодействия DNS-серверов.
Рекурсивные запросы применяются на серверах пересылки (forwarder).
Зонные передачи AXFR и IXFR.
Существует два основных способа синхронизации содержимого зон.
В первом случае вторичный сервер периодически запрашивает у основного сервера текущий
серийный номер зоны и, если он изменился, запрашивает либо копию всей зоны (запрос
AXFR), либо список изменений в зоне (запрос IXFR). Такой способ репликации данных о
зоне позволяет избежать лишней нагрузки на сервера и сеть передачи данных.
Во втором случае основной сервер посылает вторичному уведомление об изменении
содержимого зоны, что инициирует описанный выше процесс синхронизации зон.
Запрос IXFR поддерживается, начиная с W2K3.
DNS серверы: кэширования, пересылок, первичные, вторичные,
корневые.
Кэширования: не содержит зон и доменов, обрабатывают только клиентские запросы
разрешения имен. Задается во вкладке Forwarders свойств сервера;
Пересылок: специально настроенные серверы для отправки другим серверам рекурсивных
запросов;
Первичные: для каждого клиента указывается адрес первичного адреса DNS-сервера, по
которому он будет обращаться за разрешением имени;
Вторичные: в случае, когда первичный DNS-сервер не отвечает, произойдет обращение к
нему за разрешением имени;
Корневые: специальный DNS-сервер, предназначенный для обслуживания запросов от
клиентских машин внутри сети для внутренних адресов
30
Делегирование зон.
Для эффективного администрирования крупной сети пространство имен делится на домены и
созданным доменам делегируются отдельные зоны.
Динамическое обновление записей.
В традиционном DNS записи о ресурсах зоны вносятся и корректируются вручную, что не
всегда удобно, особенно в связи с использованием DHCP сервисов, динамически
распределяющих IP-адреса при подключении компьютеров к сети. Для облегчения
администрирования записей DNS был разработан стандарт динамического DNS (DDNS Dynamic DNS). Он позволяет авторизованным серверам, например серверам, выполняющим
авторизацию клиентов в сети, автоматически обновлять записи ресурсов зоны на сервере
DNS.
Динамические обновления могут выполняться при любом из следующих условий или
событий.
IP-адрес добавлен, удален или изменен в конфигурации свойств TCP/IP для любого из
установленных сетевых подключений.
Изменена или обновлена аренда IP-адреса на DHCP-сервере для любого из установленных
сетевых подключений. Например, когда запускается компьютер или используется
команда ipconfig /renew.
С помощью команды ipconfig /registerdns вручную принудительно обновляется
регистрация имени клиента в DNS.
Компьютер запускается при его включении.
Когда одно из перечисленных событий запускает динамическое обновление, обновления
отправляются службой DHCP-клиент (а не службой DNS-клиент). Такая возможность
разработана для того, чтобы при изменении IP-адреса службой DHCP, в DNS выполнялись
соответствующие обновления для синхронизации сопоставления имени и адреса компьютера.
Служба DHCP-клиент выполняет эту функцию для всех сетевых подключений, используемых
компьютером, в том числе для подключений, не настроенных на использование DHCP.
31
Интеграция DNS и AD.
Если DNS-сервер находится на компьютере, который является контроллером домена AD, то
возможно хранение всех записей в БД AD. Это дает целый ряд преимуществ, включая
простоту администрирования, разгрузку каналов связи и повышенную безопасность.
Репликация БД зон, интегрированных в AD, осуществляется автоматически, вместе с
другими данными AD.
3. Служба динамического распределения адресов DHCP.
Каждому хосту, подключенному к сети на базе TCP/IP, должен быть назначен уникальный
IP-адрес. Протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической
конфигурации хоста) был разработан как средство динамического выделения хостам IPадресов. Этот протокол может быть использован для централизованного управления
процессом настройки стека протокола TCP/IP на клиентских машинах (речь идет о таких
параметрах,
как
адрес
шлюза
по
умолчанию
или
адресDNS-сервера).
В спецификации протокола DHCP определяются два участника: DHCP-сервер и DHCPклиенты. Служба клиента DHCP запрашивает у DHCP-сервера параметры для настройки
стека протоколов TCP/IP. Служба сервера DHCP обрабатывает клиентские запросы,
осуществляя выдачу в аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется
на определенный срок. По окончании этого срока хост должен либо продлить срок аренды,
либо освободить адрес. Все удовлетворенные запросы пользователя фиксируются службой
сервера DHCP в собственной базе данных. Подобное решение позволяет предотвратить
выделение одного IP-адреса двум хостам. Одновременно с выдачей IP-адреса DHCP-сервер
может также предоставить клиенту дополнительную информацию о настройках стека
протоколов TCP/IP, такую как маска подсети, адрес шлюза и адреса серверов DNS и WINS.
Реализованная в Windows 2000 Server
характеристиками, перечисленными ниже.




поддержка
протокола
DHCP
обладает
Интеграция с DNS. DNS-серверы обеспечивают разрешение имен для сетевых
ресурсов и тесно связаны со службой DHCP. DHCP-серверы и DHCP-клиенты могут
осуществлять динамическую регистрацию выдаваемых IP-адресов и ассоциированных
с ними доменных имен в базе данных DNS-сервера. При этом в базе данных DNSсервера создаются ресурсные записи типа PTR (указатель) и А (адрес).
Улучшенное управление и мониторинг. Новая возможность обеспечивает
уведомление об уровне использования пула IP-адресов. Оповещение производится при
помощи соответствующего значка либо при помощи передачи сообщения.
Распределение групповых адресов. DHCP-сервер может быть использован для
выделения клиентам групповых (multicast) адресов.
Защита
от
подмены
серверов. Одним из
обязательных условий
функционирования DHCP-сервера является требование его авторизации в каталоге
Active Directory. При каждом запуске служба DHCP-сервера пытается обнаружить в
каталоге запись, подтверждающую авторизацию службы. Если подобная запись не
найдена, служба сервера не запускается.
32


Автоматическая настройка клиентов. Служба DHCP-клиента в случае отсутствия
в сети DHCP-сервера может выполнить необходимую настройку самостоятельно.
Используя для работы временную конфигурацию стека протоколов TCP/IP, клиент
продолжает попытки связаться с DHCP-сервером в фоновом режиме каждые 5 минут.
При этом автоматическое назначение адреса всегда прозрачно для пользователей.
Адреса для такого рода клиентов выбираются из диапазона частных сетевых адресов
TCP/IP, которые не используются в Интернете.
Новые специализированные опции и поддержка классов опций.
Администратор может создавать собственные классы DHCP (используемые для
конфигурации клиентов) в соответствии с необходимостью. Механизм
пользовательских классов позволяет применять DHCP в заказных приложениях для
сетей масштаба предприятия. Классы поставщиков (vendor classes) могут
использоваться для настройки различных функций сетевого аппаратного обеспечения.
Процессы получения, возобновления, освобождения аренды.
Когда новый DHCP-клиент подключается к сети, он запрашивает уникальный IP-адрес у DHCPсервера. DHCP-сервер выделяет клиенту один адрес из пула адресов. Этот процесс (рис. 13.13)
состоит из четырех шагов: 1) клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), 2)
DHCP-сервер предлагает адрес (DHCP Offer, предложение), 3) клиент принимает предложение и
запрашивает адрес (DHCP Request, запрос) и 4) адрес официально назначается сервером (DHCP
Acknowledgement, подтверждение). Адрес клиенту предоставляется на определенный срок,
называемый периодом аренды. По истечении половины этого срока клиент должен возобновить
аренду. В противном случае, по истечении срока аренды, выделенный клиенту адрес возвращается в
пул для повторного использования. В этой ситуации клиент должен инициировать процедуру
получения IP-адреса с самого начала.
Рис. 13.13. Схема взаимодействия DHCP-сервера и DHCP-клиента
33
Настройки передаваемых параметров DHCP: Суперобласти
Агенты ретрансляции DHCP Relay Agent.
В службе DHCP, реализованной в рамках Windows Server 2003, разработчиками была
реализована возможность создания суперобластей (superscope). Суперобласть представляет
собой административное объединение стандартных областей. Использование суперобластей
действия оправдано в ситуации, когда для одной подсети имеется несколько несмежных
диапазонов IP-адресов. При этом каждый диапазон реализуется в виде отдельной области
действия. Суперобласть действия выступает в качестве средства объединения получившихся
областей действия.
Суперобласти используются для реализации в пределах одной физической подсети
нескольких логических подсетей. Каждая логическая подсеть создается подмножеством
адресов, заданных в рамках некоторой области, являющейся частью суперобласти. Согласно
терминологии DHCP, в этом случае принято говорить о мультисетях (multinets).
Если физическая подсеть, для которой задается суперобласть, соединяется с другой подсетью
при помощи маршрутизатора, внутренний интерфейс маршрутизатора должен быть
определен в качестве шлюза по умолчанию для всех хостов всех логических подсетей,
входящих в суперобласть. При этом для интерфейса маршрутизатора, подключенного к
физической подсети, поделенной на логические подсети, необходимо выделить по одному IPадресу с каждой из логических подсетей. В противном случае хосты, принадлежащие к
логическим подсетям, не смогут взаимодействовать с другими подсетями через данный
маршрутизатор.
Взаимодействие DHCP и DNS. Средства поддержки динамической
регистрации в DNS от имени клиента.
Агент ретрансляции ВООТР/ DHCP. Работа протоколов ВООТР и DHCP основана на
механизмах широковещания. Маршрутизаторы по умолчанию обычно не ретранслируют
широковещательные рассылки, что может создать трудности для получения IP-адресов
клиентами, находящимися в другой подсети. Передача широковещательных рассылок
DHCP/BOOTP выполняется агентом ретрансляции. Под агентом ретрансляции DHCP
понимается хост, который прослушивает подсети на наличие широковещательных
сообщений DHCP/BOOTP и переадресовывает их на некоторый заданный DHCP-сервер.
Использование агентов ретрансляции избавляет от необходимости устанавливать сервер
DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные
запросы клиента DHCP и перенаправляет их на удаленные DHCP-серверы, но также
возвращает ответы удаленных DHCP-серверов клиентам.
При установке службы DHCP в Windows Server 2003 можно настроить сервер на выполнение
от имени DHCP-клиентов обновлений любых серверов DNS (Domain Name System),
поддерживающих динамическое обновление.
Порядок выполнения обновлений DHCP/DNS
34
DHCP-сервер может использоваться для регистрации и обновления записей ресурсов
указателя (PTR) и адреса (A) от имени своих DHCP-клиентов.
Этот процесс требует использования дополнительного параметра DHCP — «Полное имя
клиента» (код 81). Этот параметр позволяет клиенту предоставлять для DHCP-сервера свое
полное доменное имя, а также инструкции по обработке динамических обновлений DNS от
своего имени.
При получении параметра 81 от квалифицированного DHCP-клиента, например от
компьютера, работающего под управлением Windows 2000, Windows XP; или операционной
системы семейства Windows Server 2003, DHCP-серверы Windows Server 2003 обрабатывают
его, определяя порядок инициирования сервером обновлений от имени данного клиента.
Если сервер настроен на выполнение динамических обновлений DNS, он выполняет одно из
следующих действий:


DHCP-сервер обновляет в DNS записи A и PTR при наличии соответствующего
запроса клиента в параметре 81;
DHCP-сервер обновляет в DNS записи A и PTR независимо от того, запрошено это
действие клиентом или нет.
Кроме того, DHCP-сервер может динамически обновлять в DNS записи A и PTR от имени
устаревших клиентов, которые не могут отправить параметр 81 на сервер. DHCP-сервер
можно также настроить на уничтожение записей A и PTR клиента при удалении его аренды.
DHCP-сервер может быть настроен одним из следующих способов.

DHCP-сервер регистрирует и обновляет сведения о клиенте на официальном DNSсевере зоны, в которой расположен DHCP-сервер, в соответствии с запросом DHCPклиента.
Это стандартная конфигурация для DHCP-серверов, работающих под управлением
Windows Server 2003, и DHCP-клиентов под управлением Windows 2000, Windows XP;
или операционной системы Windows Server 2003. В этом режиме DHCP-клиент может
запрашивать способ обновления DHCP-сервером записей ресурсов адреса (A) и
указателя (PTR). Если это возможно, DHCP-сервер удовлетворяет запрос клиента на
обновление сведений о его имени и IP-адресе в DNS.
Чтобы изменить этот режим, установите флажок Динамически обновлять DNS A- и
PTR-записи только по запросу DHCP-клиента, расположенный на вкладке Служба
DNS диалогового окна свойств соответствующего DHCP-сервера или одной из его
областей.

DHCP-сервер всегда регистрирует и обновляет сведения о клиенте в DNS.
Это модифицированная конфигурация, поддерживаемая для DHCP-серверов,
работающих под управлением Windows Server 2003, и DHCP-клиентов под
управлением Windows 2000, Windows XP; или операционной системы Windows Server
2003. В данном режиме DHCP-сервер всегда выполняет обновление сведений о
35
полном имени клиента и предоставленном ему в аренду IP-адресе, а также записей
ресурсов адреса (A) и указателя (PTR), независимо от того, запрашивал ли клиент
выполнение обновлений.
Чтобы изменить этот режим, установите флажок Включить динамическое обновление
DNS в соответствии с настройкой и установите параметр Всегда динамически
обновлять DNS A- и PTR-записи, расположенный на вкладке Служба DNS
диалогового окна свойств соответствующего DHCP-сервера или одной из его
областей.

DHCP-сервер никогда не регистрирует и не обновляет сведения о клиенте в DNS.
Для перехода в этот режим необходимо отключить на DHCP-сервере выполнение
обновлений DHCP/DNS от имени клиентов. После отключения этой возможности
обновление записей ресурсов адресов (A) и указателей (PTR) для DHCP-клиентов в
DNS не выполняется.
При необходимости выполнить это изменение настроек на DHCP-серверах,
работающих под управлением Windows Server 2003, можно снять флажок Включить
динамическое обновление DNS в соответствии с настройкой, расположенный на
вкладке Служба DNS диалогового окна свойств соответствующего DHCP-сервера или
одной из его областей. По умолчанию обновления для устанавливаемых новых DHCPсерверов, работающих под управлением Windows Server 2003, и создаваемых для них
областей выполняются всегда.
Дополнительные параметры конфигурации сервера DHCP/DNS
Помимо описанного стандартного взаимодействия DHCP/DNS, можно настроить DHCPсервер на выполнение следующих дополнительных задач по обновлению.
1. Сервер можно настроить таким образом, чтобы он не отправлял обновления для удаления
записей ресурсов адресов (A) клиентов, для которых истек срок аренды.
Когда на DHCP-сервере включено выполнение обновлений DNS, он всегда отправляет
обновления для удаления записей ресурсов указателей (PTR) клиентов по окончании срока
аренды. Аналогичный режим для записей ресурсов адресов (A) клиентов можно включать и
отключать (по умолчанию данный режим включен).
Для этого используется флажок Удалять просроченные записи зоны прямого просмотра на
вкладке Служба DNS в окнесвойств DHCP-сервера.
2. Сервер можно настроить таким образом, чтобы он не отправлял обновления для клиентов,
неспособных использовать параметр «Полное имя клиента» (код 81) для запроса способа
обработки обновлений.
По умолчанию DHCP-сервер не отправляет обновления для клиентов, не поддерживающих
параметр 81.
36
Чтобы изменить этот режим, установите флажок Динамически обновлять DNS A- и PTRзаписи для DHCP-клиентов, не требующих обновления (например, клиенты с Windows NT
4.0), расположенный на вкладке Служба DNS диалогового окна свойств соответствующего
DHCP-сервера или одной из его областей.
DHCP-клиенты Windows и протокол динамического обновления DNS
DHCP-клиенты, работающие под управлением Windows 2000, Windows XP; или
операционной системы Windows Server 2003, выполняют описанные выше обновления
DHCP/DNS не так, как более ранние версии Windows. Примеры и рисунки, иллюстрирующие
отличия в различных случаях, приведены ниже.
Пример 1. Обновление DHCP/DNS для DHCP-клиентов, работающих под управлением
Windows 2000, Windows XP или операционной системы семейства Windows Server 2003
DHCP-клиенты, работающие под управлением Windows 2000, Windows XP; или
операционной системы Windows Server 2003, взаимодействуют с протоколом динамического
обновления DNS следующим образом.
1. Клиент отправляет на сервер сообщение-запрос DHCP (DHCPREQUEST) с включением
DHCP-параметра 81. По умолчанию клиент запрашивает выполнение DHCP-сервером
регистрации DNS-записи PTR, а DNS-запись A клиент регистрирует самостоятельно.
2. Сервер возвращает клиенту сообщение подтверждения DHCP (DHCPACK),
предоставляющее ему в аренду IP-адрес и включающее DHCP-параметр 81. Если DHCPсервер использует настройки по умолчанию (динамически обновляет в DNS записи A и PTR
только по запросу DHCP-клиентов), то параметр 81 указывает клиенту, что DHCP-сервер
зарегистрирует в DNS запись PTR, а клиент — запись A.
3. Регистрация в DNS собственной записи A клиентом и регистрация записи PTR клиента
DHCP-сервером выполняются асинхронно.
Пример 2. Обновление DHCP/DNS для DHCP-клиентов, работающих под управлением более
ранних версий Windows (до Windows 2000)
DHCP-клиенты, работающие под управлением более ранних версий Windows, не
поддерживают процесс динамического обновления DNS непосредственно, поэтому не могут
непосредственно взаимодействовать с DNS-сервером. Для этих клиентов DHCP обновления
обычно выполняются следующим образом.
37
1. Клиент отправляет на сервер сообщение-запрос DHCP (DHCPREQUEST). DHCP-параметр
81 в запрос не включается.
2. Сервер возвращает клиенту сообщение подтверждения
предоставляющее ему в аренду IP-адрес, без DHCP-параметра 81.
DHCP
(DHCPACK),
3. Затем сервер отправляет серверу DNS обновления записи прямого просмотра клиента,
которая представляет собой запись ресурса адреса (A). Сервер также отправляет обновления
записи обратного просмотра клиента, которая представляет собой запись ресурса указателя
(PTR).
Настройка механизма динамической регистрации доменных имен
Если нужно, чтобы регистрация доменных имен выполнялась непосредственно на
уровне DHCP-сервера, необходимо в окне свойств объекта, ассоциированного с
сервером, перейти на вкладку DNS и установить флажок Enable DNS dynamic updates
according to the settings below (Разрешить динамические обновления в DNS в
соответствии со следующими настройками) Дополнительно нужно выбрать условия
регистрации доменных имен в базе данных DNS. Сервер DHCP будет посылать
сообщение службе DNS каждый раз, когда клиенту выдается IP-адрес.
4. Служба имен NBNS/WINS.
Служба имен Интернета для Windows (Windows Internet Naming Service, WINS)
разрешает имена Комп. в IP-адреса, т. е. по имени Комп. определяет его IP-адрес, по
которому Комп. в сети Microsoft находят друг друга и обмениваются информацией. WINS
необходима для поддержки версий Windows, предшествующих Win2000, и старых программ,
использующих NetBIOS поверх TCP/IP, например для поддержки утилиты командной строки
NET.
Разрешение имен WINS и передачу информации между компьютерами обеспечивает
интерфейс прикладного программирования (application programming interface, API) NetBIOS.
Он содержит набор команд, с помощью которых приложения получают доступ к службам
сеансового уровня. Обычно в сетях Windows используются расширенные варианты NetBIOS:
NetBEUI (NetBIOS Enhanced User Interface) и NetBIOS по-верх TCP/IP (NetBIOS over TCP/IP,
NET).
38
Связываясь с WINS-сервером, клиент устанавливает сеанс. Этот процесс можно
разделить на три ключевых этапа.
Регистрация имени — клиент сообщает серверу имя своего компьютера и его IP-адрес и
просит включить эту информацию в БД WINS. Если имя и IP-адрес не используются другим компьютером в сети, WINS-сервер принимает запрос и регистрирует клиента в БД
WINS.
Обновление имени — клиент использует имя лишь в течение определенного периода,
называемого временем аренды. Каждому клиенту сообщается интервал обновления, в
течение которого аренда должна быть обновлена. За это время клиент должен
перерегистрироваться на WINS-сервере.
Освобождение имени — если клиент не обновляет аренду, зарегистрированное имя
освобождается, что позволяет другим системам в сети использовать то же имя компьютера
или IP адрес. Имя также освобождается при завершении работы
WINS-клиента.
Процессы регистрации, обновления, разрешения, освобождения
имен для различных типов узлов (b, p, m, h).
Соединившись с WINS-сервером, клиент вправе обращаться с запросами к службе
разрешения имен. Метод разрешения имен компьютеров в IP-адреса зависит от настройки
сети. Всего таких методов четыре:
- В-узел (broadcast node, широковещательный узел) разрешает имена в IP-адреса
посредством широковещательных сообщений. Компьютер, которому нужно разрешить имя,
рассылает по локальной сети широковещательное сообщение с запросом IP-адреса по имени
компьютера.
В сетях Microsoft этот тип также называется «усовершенствованный B-node», так как,
если широковещание не поможет разрешить имя, клиент пытается разрешить его при
помощи файла LMHOSTS. Значение – 0х1.
- Р-узел (point-to-point node, узел «точка — точка») разрешает имена в IP-адреса с
помощью WINS-сернера. Когда клиенту нужно разрешить имя компьютера в IP-адрес, клиент
отправляет серверу имя, а тот в ответ посылает адрес.
Значение 0х2 (широковещание не используется)
- М-узел (mixed node, смешанный узел) комбинирует запросы В и Р-узла. WINS-клиент
смешанного типа сначала пытается применить широковещательный запрос, а в случае
неудачи обращается к WlNS-сервсру. Поскольку разрешение имени начинается с
широковещательного запроса, m-узел загружает сеть широковещательным трафиком в той же
степени, что и В-узел.
Этот метод зачастую применяется в сетях, где сервер WINS отделен от клиента сетями
WAN. Значение 0х4.
- Н-узел (hybrid node, гибридный узел) также комбинирует запросы b-узла и р-узла, но при
этом сначала используется запрос к WINS-серверу и лишь в случае неудачи начинается рассылка широковещательного сообщения. Поэтому в большинстве сетей h-узлы работают
быстрее. По умолчанию для разрешения имен WINS применяется именно этот
метод. Значение 0х8.
39
Поддержка non-WINS клиентов с использованием WINS Proxy
Agent, статические записи и LMHOSTS.
Под посредником WINS понимается специальный WINS-клиент, который может обращаться
к WINS-серверу от имени других хостов, не способных обратиться к WINS-серверу
самостоятельно WINS-посредники используются для поддержки хостов, осуществляющих
разрешение NetBIOS имен методом широковещательных рассылок. Аналогичным методом
(путем рассылки широковещательных сообщений) данный тип хостов информирует другие
сетевые хосты о занимаемом им NetBIOS-имени. При этом принято говорить, что данный
хост работает в режиме b-узла. Поскольку широковещательные сообщения не
ретранслируются маршрутизаторами, для нормальной работы сети возникает необходимость
устанавливать WINS-серверы в каждой подсети (либо отказаться от клиентов, работающих в
режиме b-узла). В качестве альтернативы администратор может сконфигурировать один из
WINS-клиентов в качестве WINS-посредника.
Хост, функционирующий в режиме b-узла, не подозревает о существовании WINSпосредника. Этот хост рассылает широковещательные запросы, которые принимаются всеми
хостами подсети, в том числе и WINS-посредником. WINS-посредник переадресует эти
сообщения WINS-серверу, информируя последний о регистрации или освобождении
соответствующего имени. Аналогичным образом хост, функционирующий в режиме b-узла,
обращается с широковещательным запросом на разрешение имени. Посредник WINS
проверяет собственный локальный кэш имен, и если в нем не обнаружено запрашиваемое
имя, переадресует запрос WINS-серверу.
Если в Вашей подсети есть не-WINS клиенты и необходимо их видеть, то необходимо
активизировать
Proxy
Agent
в
данной
подсети.
WINS Proxy Agent - это WINS клиент, который позволяет видеть не - WINS клиентов,
прослушивая широковещательные запросы имени и пересылая их WINS серверу. А затем
возвращает результат запрашивавшей машине.
Как его настроить на машине клиента?
Используя
редактор
реестра
(regedt32.exe)
откройте
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters и установите
значение параметра EnableProxy в 1
Статические записи и LMHOSTS.
Файл Lmhosts представляет собой таблицу NetBIOS имен и соответствующих им IP адресов.
Он хранится по следующему адресу: %Systemroot%\System32\Drivers\Etc. Основной тип
записей файла состоит из IP адреса и NetBIOS имени, разделенным минимум одним
пробелом. # - комментарий или тег расширения (так же отделяются друг от друга пробелами)
192.168.5.65 Fserver #File Server 1
Теги расширения:
- #PRE - заранее загружает помеченные им записи Lmhosts в кеш NetBIOS имен компьютера
- #DOM:domain – связывает запись с доменом, заданным переменной domain;
- #INCLUDE pathname – заставляет систему найти и обработать файл с удаленного
компьютера, заданного переменной pathname, как если бы этот файл был локальным.
- #BEGIN_ALTERNATE и #END_ALTERNATE – блок содержащий несколько тегов
#INCLUDE, которые система обрабатывает поочередно, пока не будет найден и обработан
хотя бы один из файлов lmhosts, заданных тегами #INCLUDE.
- \0nn – позволяет использовать в записях NetBIOS – имен непечатные символы.
40
Push/Pull репликация WINS серверов.
Если Wins настроен как извещающий партнер (push partner), то при каждой модификации его
БД он будет уведомлять всех своих опрашивающих партнеров На это сообщение партнеры
отвечают запросами обновления, и извещающий партнер посылает им свои
модифицированные записи из БД.
Сервер WINS настроенный как опрашивающий партнер (pull partner), запрашивает у своих
извещающих партнеров записи БД с большими номерами версии, чем у последней записи,
полученной в ходе предыдущей репликации (опрашивающая репликация для медленных
каналов связи).
Обычно создают структуру репликации между серверами в виде кольца, т.е. один
извещает следующего, и запрашивает у предыдущего. В целях надежности организуют
двойное кольцо.
Если есть несколько сетей, то из двух сетей выделяют по серверу для обмена с друг
другом (экономия трафика).
Конфигурирование WINS клиентов.
Служба WINS настраивается так:
1. Откройте диалоговое окно Дополнительные параметры TCP/IP (Advanced TCP/IP Settings)
и перейдите на вкладку WINS
2. В списке WINS-адреса, и порядке использования (WJNS addresses, in order of use)
перечислены IP-адреса серверов WINS, применяемых для разрешения имен NetBIOS. Кнопки
Добавить (Add), Удшшть (Remove) и Изменить (Edit) позволяют добавлять, удалять и
редактировать эти адреса соответственно.
3. Вы вправе использовать для разрешения имен NetBIOS несколько серверов WINS, при
этом их приоритет определяется положением в списке. Если первому серверу WINS не
удается ответить на запрос разрешения имени NetBIOS, запрос посылается на второй
и т. д. Помните, что TCP/IP отправляет запрос на следующий сервер, только если
предыдущий не отвечает, но не из-.ia того, что тот не смог разрешить указанное имя. Чтобы
изменить положение сервера в списке, воспользуйтесь кнопками со стрелками.
4. Чтобы включить поиск по файлу LMHOSTS, установите флажок Включить просмотр
LMHOSTS (Enable LMHOSTS lookup). Чтобы компьютер использовал файл LMHOSTS,
расположенный да определенном компьютере сети, укажите его с помощью кнопки Импорт
LMHOSTS (Import LMHOSTS).
Совет Файлы LMHOSTS поддерживаются на каждом компьютере индивидуально и поэтому
ненадежны. Не полагайтесь иа них — лучше обеспечьте работоспособность и доступность
серверов DNS и WINS.
5. Для разрешения имен WINS требуются службы NetBIOS через TCP/IP (NetBIOS Over
TCP/IP). Чтобы настроить разрешение имен WINS с помощью NetBIOS, выберите один
41
из следующих переключателей:
• при использовании службы DHCP и динамической адресации удобно загружать параметры
NetBIOS с DHCP сервера. Для этого достаточно установить переключатель
По умолчанию (Default);
• при использовании статической IP-адресации или в случае, если DHCP-сервер не передает
параметры NetBIOS, установите переключатель Включить NetBIOS через TCP/
IP (Enable NetBIOS Over TCP/IP);
• если WINS и NetBIOS в сети не используются, установите переключатель Отключить
NetBIOS через TCP/IP (Disable NetBIOS Over TCP/IP). В этом случае широковещательные
рассылки NetBIOS отключаются. Понторите эту процедуру для других сетевых плат.
Интеграция сетевых служб DDNS, WINS и DHCP.
Заключается в том что DDNS можно настроить запрос разрешения имени через WINS для
этого
1.
Запустите DNS manager (Start - Programs - Administrative Tools - DNS Manager)
2.
Нажмите правой клавишей на зоне, которую хотите связать с WINS сервером и
выберите Properties.
3.
Нажмите на вкладке "WINS Lookup".
4.
Выберите "Use WINS Resolution", поставьте галочку и введите IP адрес WINS
сервера. Затем, ADD.
5.
OK.
Так же можно настроить DHTP сервер так, чтобы он выдавал компьютеру клиента при
получении IP адреса также IP адреса доступных WINS серверов, для этого на DHCP сервере
откройте DHCP Administrator (в Admin Tools) и добавьте две новых SCOPE опции:
1.
044 WINS/NBNS Servers - добавить адрес сервера(ов) WINS
2.
046 WINS/NBT Node - сконфигурировать как 0x8 (H-Node)
Размещение серверов в подсетях с клиентами Win и non-Win для
обеспечения полноты сетевой функциональности.
Если вопрос действительно задан правильно, то ответа на него я нигде не нашел.
Если же имелось ввиду WINS и non-WINS то рассказывать надо про WINS PROXY
AGENT который описан выше.
42
5. Служба каталогов Active Directory.
Хорошая реализация службы каталогов дает следующие преимущества:
Централизованность управления
Масштабируемость
Стандартизация (к информации AD можно обращаться по протоколу LDAP)
Расширяемость
Прозрачность физической сети
Безопасность
Логическая структура AD
Масштабируемость AD основана на том, что она отделяет логическую структуру иерархии
доменов от физической структуры самой сети. Логическая структура не базируется на
физическом местонахождении серверов и соединениях в пределах домена. Это позволяет
структурировать домены на основе административных и организационных требований, а не
на основе физических требований сети.
Логические компоненты AD:
 Объекты
 Домены
 Дерево
 Лес
 Организационные единицы
Схема AD
В терминологии БД схема – это структура таблиц и полей, а также их взаимосвязи. Схема AD
– набор данных (классов объектов), определяющих то, как организована и хранится реальная
информация(атрибуты объекта) в каталоге.
Как и любые объекты в AD, схема защищается ACL (access control list).
Классы объектов, атрибуты
Ресурсы хранятся в AD как объекты. Объекты хранятся в виде контейнеров и
подконтейнеров. По сути, объект в AD – набор атрибутов. Атрибуты, образующие объект,
определяются классом объекта.
43
Домен, дерево, лес.
Базовая организационная структура в сетевой модели W2K3 – домен. Домен предствляет
административную единицу. Компьютеры, пользователи и другие объекты внутри домена
делят общую базу данных защиты (security database).
Домены позволяют администраторам разделять сеть на зоны безопасности.
Домены в основном предназначены для логического деления сети в соответствии с
внутренней организации компании.
Домен W2K3 Server представляет собой также пространство имен, которое соответствует
определенной системе именований (структуре DNS).
Несколько доменов организуется в иерархическую структуру, которая называется деревом.
Первый домен, созданный в дереве, является корневым. Следующий домен является
дочерним по отношению к корневому.
Все домены в дереве используют общую схему и непрерывное пространство имен.
Единственное дерево достаточно для тех компаний, где используется одно пространство
имен.
В случае, когда необходимо использовать 2 и более пространства имен, создается лес.
Лес – это группа их одного и более деревьев доменов, которые не образуют непрерывного
пространства имен, но могут совместно использовать общую схему и глобальный каталог.
Первый домен в лесу – корневой домен леса. На нем хранится схема и он управляет
именованием доменов для целого леса. Его нельзя удалить, не удалив сам лес. В иерархии
доменов нельзя создать домен, который был бы над корневым.
Лес является крайней границей AD – каталог не может охватывать более одного леса.
Однако возможно создать несколько лесов и настроить доверительные отношения между
конкретными доменами. Это позволяет предоставить доступ к ресурсам и учетным записям в
другом лесу.
Организационные единицы(OU) позволяют разделять домен на зоны административного
управления. В основном это дает возможность делегировать административные задачи в
домене. OU служит контейнером, в который можно поместить какие-либо ресурсы домена и
после этого назначить административные разрешения самой OU. Например, в организации с
одним доменом можно создать OU для разных отделов.
OU поддерживают вложение.
Физическая структура AD.
По сравнению с логической структурой AD, физическая структура AD довольно проста.
Основные ее физические компоненты – контроллеры доменов и сайты.
44
Сайты, подсети, контроллеры домена.
Контроллер домена – это сервер под управлением Windows 2003 Server, на котором
установлена и работает служба AD.
На каждом контроллере домена хранится полная копия раздела каталога данного домена.
Контроллеры домена локально разрешают запросы на информацию об объектах домена и
пересылают запросы на объекты в других доменах соответствующим контроллерам.
Контроллеры домена также отслеживают изменения в каталоге и отвечают за репликацию
этих изменений на другие контроллеры. Контроллеры в одном домене следуют модели
репликации с несколькими хозяевами(Multimaster model).
Однако существуют роли, которые могут быть назначены только одному контроллеру.
Например, роли хозяина операций.
Сайт в W2K3 Server – группа контроллеров доменов, которые находятся в одной или
нескольких IP-подсетях и связаны скоростными соединениями (не ниже 1 Мб/с).
Сайты в основном используются для управления трафиком репликации.
Сайты не являются частью пространства имен AD.
Сайты содержат объекты двух типов: контроллеры доменов в пределах сайта и связи сайта.
Именование объектов. LDAP - сервер.
Active Directory основана на поддержке протокола LDAP (спецификация
структурированных сетевых каталогов). LDAP-клиенты могут использовать этот протокол
для поиска информации в каталоге LDAP-сервера (например, Active Directory). Сервер LDAP
индексирует все атрибуты всех объектов, хранящихся в каталоге, и публикует их. Клиенты,
поддерживающие LDAP, могут выполнять всевозможные запросы к серверу.
У каждого класса имеются атрибуты, обеспечивающие уникальную идентификацию
каждого объекта каталога. Каждый объект в Active Directory может иметь несколько
различных имен. Active Directory создает относительное различающееся имя и каноническое
имя для каждого объекта на основе сведений, предоставляемых во время создания или
изменения объекта. К каждому объекту можно обращаться по различающемуся имени,
которое создается из относительного различающегося имени объекта и всех его родительских
объектов-контейнеров.
Относительное
различающееся
(составное)
имя
LDAP
уникально
идентифицирует объект в пределах его родительского контейнера. Пример
относительного различающегося имени LDAP компьютера: CN=компьютер, где
«компьютер» — имя компьютера. Относительные различающиеся имена должны
быть уникальными, чтобы пользователи не могли использовать одно и тоже имя
внутри подразделения.
Различающееся (составное) имя LDAP является глобально уникальным. Пример
различающегося имени: CN=компьютер, OU=подразделение, DC=microsoft,
DC=com, где компьютер — имя компьютера, подразделение — название
подразделения, microsoft.com — домен, которому принадлежит компьютер.
45
Каноническое имя составляется так же, как и различающееся имя, но
представляется другой записью. Каноническим именем компьютера для
предыдущего примера будет Microsoft.com/Подразделение/компьютер, где
компьютер — имя компьютера, подразделение — название подразделения,
microsoft.com — домен, которому принадлежит компьютер.
Основные имена пользователей. Основное имя пользователя (UPN), генерируемое
для каждого объекта пользователя имеет вид имя_пользователя@имя_домена.
Пользователи могут входить в сеть под своими основными именами, а
администратор при желании может определить для этих имен суффиксы.
Основные имена пользователей должны быть уникальными, но Active Directory
не проверяет соблюдение этого требования. Лучше всего принять соглашение об
именовании, не допускающее дублирования основных имен пользователей.
Имена объектов-участников безопасности могут содержать все символы кодировки
Юникод, кроме специальных символов LDAP, определенных в RFC 2253. Список
специальных символов включает пробел, конечные пробел и следующие символы: # , + " \ <
>.
Основные объекты-участники безопасности являются объектами Active Directory,
которым присвоены коды безопасности (SID), и которые могут использоваться для входа в
сеть, а также им может быть предоставлен доступ к ресурсам домена. Администратору
необходимо назначить объектам-участникам безопасности (учетным записям пользователей
и компьютеров и группам) имена, уникальные в пределах домена.
На основе сведений, предоставленных при создании объекта-участника безопасности,
Active Directory создает код безопасности (SID) и глобальный уникальный код,
используемый для идентификации участника безопасности. Active Directory также создает
относительное различающееся имя LDAP на основе имени участника безопасности.
Различающееся имя LDAP и каноническое имя создаются из относительного различающегося
имени и имен контекстов домена и контейнера, в котором создан объект-участник
безопасности.
Если в организации есть несколько доменов, возможно использование одинаковых
имен пользователей и компьютеров в разных доменах. Созданные Active Directory код
безопасности SID, глобальный уникальный код, различающееся имя LDAP и каноническое
имя однозначно идентифицируют пользователя, компьютер или группу в составе леса. При
переименовании объекта-участника безопасности или перемещении его в другой домен
изменятся его код безопасности SID, относительное различающееся имя LDAP,
различающееся имя LDAP и каноническое имя, не меняется только глобальный
уникальный код SID, созданный Active Directory.
Объекты-участники безопасности, такие как учетные записи пользователей, могут быть
переименованы, перемещены или могут содержаться во вложенной иерархии доменов. Чтобы
уменьшить влияние переименования, перемещения или назначения имен учетных записей
пользователей во вложенной иерархии доменов, Active Directory предоставляет метод
упрощения имен пользователей.
46
Глобальный каталог.
Сервер ГК выполняет 2 важные функции: аутентификация пользователей при входе в сеть и
поиск объектов в любой части леса.
ГК содержит подмножество информации из каждого доменного раздела и реплицируется
между серверами ГК в домене.
Глобальный каталог создается автоматически на исходном контроллере домена в
составе леса. Пользователь может переносить возможности глобального каталога на другие
контроллеры домена, а также изменять расположение глобального каталога, устанавливаемое
по умолчанию, указывая другой контроллер. ГК рекомендуется ставить не менее одного в
каждом сайте.
Глобальный каталог является контроллером домена, хранящим копии всех объектов
Active Directory в лесу. В нем хранится полная копия всех объектов каталога для его домена и
частичная копия всех объектов для всех других доменов леса, как показано на следующем
рисунке.
Глобальный каталог выполняет следующие основные функции:
• Поиск объектов. Глобальный каталог обеспечивает возможность поиска данных
каталога во всех доменах леса независимо от места хранения данных. Поиск внутри леса
производится с максимальной скоростью и минимальным сетевым трафиком.
При поиске людей или принтеров из меню «Пуск», а также при выборе в качестве
области поиска запроса всего каталога поиск производится в глобальном каталоге. После
введения запроса поиска он направляется в стандартный порт глобального каталога 3268 и
отсылается глобальному каталогу для разрешения.
47
• Проверка подлинности с помощью основного имени пользователя. Глобальный
каталог определяет основное имя пользователя (UPN, user principal name), если проверяющий
подлинность контроллер домена не обладает сведениями об учетной записи. Например, если
учетная запись расположена в узле example1.microsoft.com, а в качестве основного имени
пользователя при входе в систему используется имя [email protected] узла
example2.microsoft.com, контроллер домена узла example2.microsoft.com не сможет найти
учетную запись и обратится к глобальному каталогу для завершения процедуры входа.
• Предоставление сведений об участии в универсальных группах в мультидоменной
среде. В отличие от сведений о принадлежности к глобальной группе, хранящихся в каждом
домене, сведения об участии в универсальных группах содержатся только в глобальном
каталоге. Например, если член универсальной группы входит в домен с уровнем
функциональности основного режима Windows 2000 или более высокого, то глобальный
каталог предоставляет сведения об участии учетной записи в универсальных группах во
время входа в домен.
Если глобальный каталог недоступен при входе в домен с уровнем функциональности
основного режима Windows 2000 или более высокого, то для пользователя, уже
выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если
пользователь еще не входил в домен, он может выполнить вход только на локальный
компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный
администратор») всегда разрешен, даже если глобальный каталог недоступен.
Примечание. Если в составе леса находится только один домен, то при входе в
систему нет необходимости получать в глобальном каталоге членство в универсальных
группах. Это обусловлено тем, что Active Directory обнаруживает отсутствие в лесу других
доменов и предотвращает отправление глобальному каталогу запроса на эти сведения.
• Проверка ссылок на объекты внутри леса. Контроллеры домена используют
глобальный каталог для проверки ссылок на объекты других доменов леса. Если в
контроллер домена входит объект каталога, чей атрибут содержит ссылку на объект другого
домена, то эта ссылка проверяется с помощью глобального каталога.
Репликация внутри сайта и между сайтами.
Внутри сайта репликация осуществляется автоматически. Трафик репликации не сжимается.
При внесении изменений на одном из контроллеров, другие получают уведомления о том, что
произошли изменения и происходит рпеликация.
Для репликации между сайтами необходимо установить связь между ними. Связь состоит из
двух частей: физического соединения между сайтами и объекта связи сайта. Этот объект
создается в AD и определяет протокол передачи трафика репликации (IP или SMTP.
Объект связи инициирует выполнение запланированной репликации.
Весь трафик репликации между сайтами сжимается.
48
Роли хозяина операций на уровне леса и домена.
Существует 2 роли хозяина операций, которые могут быть назначены единственному
контроллеру домена в лесу:
 хозяин схемы
 хозяин именования доменов.
Существуют 3 роли хозяина операций, которые могут быть назначены единственному
контроллеру в домене:
 Мастер относительных идентификаторов
 Эмулятор PDC
 Хозяин инфраструктуры
Некоторые операции уровня домена или предприятия, для которых не может
выполняться обновление с несколькими хозяевами, выполняются только на одном
контроллере домена в рамках домена или леса Active Directory. Контроллеры домена,
выполняющие подобные операции, называются хозяевами операций или обладателями ролей
FSMO (Flexible Single Master Operations).
Ниже перечислены 5 ролей FSMO, существующие в лесу Active Directory, и
операции, выполняемые обладателями этих ролей:
• Хозяин схемы. Роль хозяина схемы — это роль уровня леса. В каждом лесу
существует один хозяин схемы. Хозяин схемы выполняет расширение схемы леса Active
Directory. Кроме того, хозяин схемы необходим для выполнения команды adprep /forestprep.
• Хозяин именования домена. Роль хозяина именования домена — это роль уровня
леса. В каждом лесу существует один хозяин именования домена. Хозяин именования
домена выполняет удаление и добавление доменов и разделов приложений в лесу.
• Хозяин RID. Роль хозяина RID — это роль уровня домена. В каждом домене
существует один хозяин RID. Хозяин RID выполняет выделение идентификаторов RID,
которые необходимы контроллерам домена для создания групп безопасности, а также
учетных записей пользователей и компьютеров.
• Эмулятор PDC. Роль эмулятора PDC — это роль уровня домена. В каждом домене
существует один эмулятор PDC. Эмулятор PDC — это контроллер домена, отправляющий
обновления базы данных резервным контроллерам домена Windows NT. Эмулятор PDC
также используется некоторыми средствами администрирования и получает обновления
паролей учетных записей пользователей и компьютеров.
• Хозяин инфраструктуры. Роль хозяина инфраструктуры — это роль уровня домена. В
каждом домене существует один хозяин инфраструктуры. Хозяин инфраструктуры
необходим для успешного выполнения команды adprep /forestprep, а также для обновления
идентификаторов SID и различающихся имен объектов при использовании междоменных
ссылок.
Мастер установки Active Directory (Dcpromo.exe) присваивает все 5 ролей FSMO
первому контроллеру домена в корневом домене леса. При создании дочерних доменов 3
роли уровня домена присваиваются первому контроллеру домена в каждом дочернем
домене. Контроллеры домена исполняют назначенные роли, пока эти роли не будут
переданы другим контроллерам доменов. Передача ролей происходит в следующих
случаях.
49
• Администратор передает роль с помощью средств администрирования с графическим
интерфейсом.
• Администратор передает роль, выполняя команду ntdsutil /roles.
• Администратор в штатном порядке понижает роль контроллера домена, являющегося
хранителем роли, с помощью мастера установки Active Directory. При этом роли, которыми
обладал текущий контроллер домена, мастер передает существующим контроллерам домена
в лесу. Если для понижения роли контроллера домена использовалась команда dcpromo
/forceremoval, то роли FSMO будут находиться в недопустимом состоянии, пока
администратор не выполнит переназначение ролей вручную.
Корпорация Майкрософт рекомендует использовать передачу ролей FSMO в
следующих случаях:
• Текущий обладатель роли работает надлежащим образом и доступен по сети новому
обладателю данной роли.
• Администратор в штатном порядке понижает роль контроллера домена, являющегося
обладателем ролей FSMO, которые следует передать определенному контроллеру домена в
лесу Active Directory.
• Контроллер домена, являющийся обладателем ролей FSMO, необходимо отключить
для выполнения профилактических работ, а присвоенные ему роли должны быть переданы
работающему контроллеру домена. Это может потребоваться для выполнения функций,
относящихся к данной роли FSMO. Это особо необходимо при отключении эмулятора PDC.
Временное отключение хозяина RID, хозяина именования домена и хозяина схемы в меньшей
степени сказывается на работе окружения.
Корпорация Майкрософт рекомендует использовать захват ролей FSMO в
следующих случаях:
• В работе текущего обладателя роли FSMO возникли сбои, которые препятствуют
успешному выполнению функций, присущих данной роли, и не дают выполнить перенос
роли.
• Роль контроллера домена, являвшегося обладателем роли FSMO, была принудительно
понижена с помощью команды dcpromo /forceremoval.
• На компьютере, являвшемся обладателем роли FSMO, переустановлена или не
загружается операционная система.
В процессе репликации сведения об изменениях, выполненных обладателями ролей
FSMO, будут переданы всем не являющимся обладателями ролей FSMO контроллерам
домена в лесу или в домене. При выборе контроллера домена, которому следует передать
роль FSMO, рекомендуется выбирать контроллер, который расположен в соответствующем
домене и последним (или в числе последних) выполнил входящую репликацию доступной
для записи копии «раздела FSMO» с текущим обладателем данной роли. Например, хозяин
схемы
имеет
различающееся
имя
пути
CN=schema,CN=configuration,dc=<корневой_домен_леса>. Это означает, что роли хранятся и
реплицируются в составе раздела CN=schema. Если на контроллере домена, являющемся
хозяином схемы, возникает программный или аппаратный сбой, рекомендуется присвоить
эту роль контроллеру домена, расположенному в том же корневом домене и в том же сайте
Active Directory, что и исходный хозяин схемы. Контроллеры домена, находящиеся в
пределах одного сайта Active Directory, выполняют входящую репликацию каждые 5 минут
или 15 секунд.
Ниже перечислены разделы, используемые ролями FSMO:
50
Роль FSMO
Хозяин схемы
Хозяин именования
домена
Эмулятор PDC
Хозяин RID
Хозяин
инфраструктуры
Раздел
CN=Schema,CN=configuration,DC=<корневой_домен_леса>
CN=configuration,DC=<корневой_домен_леса>
DC=<домен>
DC=<домен>
DC=<домен>
После захвата роли FSMO контроллер домена, ранее являвшийся обладателем этой
роли, не должен обмениваться данными с другими контроллерами домена в лесу. На таком
контроллере домена необходимо отформатировать жесткий диск и переустановить
операционную систему или принудительно понизить роль данного контроллера домена в
изолированной сети и удалить метаданные этого контроллера домена с других контроллеров
домена в лесу с помощью команды ntdsutil /metadata cleanup. Включение в сеть обладателя
роли FSMO, роль которого была захвачена другим компьютером, может привести к тому, что
до получения сведений о захвате роли (эти сведения передаются при репликации) данный
контроллер домена продолжит функционировать в качестве хозяина операций. Наличие двух
компьютеров, исполняющих одну роль FSMO, может привести к созданию участников
безопасности, обладающих одинаковыми пулами идентификаторов RID, а также к
возникновению других проблем.
Передача и захват ролей FSMO.
Передача ролей FSMO
Чтобы передать роли FSMO с помощью средства Ntdsutil, выполните следующие
действия.
1.
Зайдите в систему на рядовом сервере или контроллере домена под
управлением Windows 2000 Server или Windows Server 2003, расположенном в домене, в
котором следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на
контроллере домена, которому будут передаваться роли FSMO. Для передачи роли хозяина
схемы или хозяина именования домена необходимо войти в систему с учетной записью,
являющейся членом группы «Администраторы предприятия». Для передачи роли эмулятора
PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной
записью, являющейся членом группы «Администраторы домена».
2.
Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть
команду ntdsutil и нажмите кнопку ОК.
3.
Введите строку roles и нажмите клавишу ВВОД.
Примечание. На любом этапе использования программы Ntdsutil для просмотра
доступных команд следует ввести символ ? и нажать клавишу ВВОД.
4.
Введите строку connections и нажмите клавишу ВВОД.
5.
Введите команду connect to server имя_сервера и нажмите клавишу ВВОД, где
имя_сервера — это имя контроллера домена, которому следует передать роль FSMO.
6.
В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
51
7.
Введите команду transfer роль, где роль — подлежащая передаче роль. Чтобы
определить роли, которые могут быть переданы, обратитесь к списку ролей в начале данной
статьи или введите команду ? после появления приглашения fsmo maintenance и нажмите
клавишу ВВОД. Например, для передачи роли хозяина RID введите команду transfer rid
master. Единственным исключением является передача роли эмулятора PDC — для передачи
данной роли необходимо использовать команду transfer pdc (а не transfer pdc emulator).
8.
После появления приглашения fsmo maintenance введите q и нажмите клавишу
ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Введите команду q и нажмите
клавишу ВВОД, чтобы завершить работу средства Ntdsutil.
Захват ролей FSMO
Чтобы захватить роли FSMO с помощью средства Ntdsutil, выполните следующие
действия.
1.
Зайдите в систему на рядовом сервере или контроллере домена под
управлением Windows 2000 Server или Windows Server 2003, расположенном в домене, в
котором следует выполнить захват ролей FSMO. Рекомендуется войти в систему на
контроллере домена, которому должны быть переданы захваченные роли. Для захвата роли
хозяина схемы или хозяина именования домена необходимо войти в систему с учетной
записью, являющейся членом группы «Администраторы предприятия». Для захвата роли
эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с
учетной записью, являющейся членом группы «Администраторы домена».
2.
Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть
команду ntdsutil и нажмите кнопку ОК.
3.
Введите строку roles и нажмите клавишу ВВОД.
4.
Введите строку connections и нажмите клавишу ВВОД.
5.
Введите команду connect to server имя_сервера и нажмите клавишу ВВОД, где
имя_сервера — это имя контроллера домена, которому следует передать роль FSMO.
6.
В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
7.
Введите команду seize роль, где роль — это роль, которая будет захвачена.
Чтобы определить роли, которые могут быть захвачены, обратитесь к списку ролей в начале
данной статьи или введите команду ? после появления приглашения fsmo maintenance и
нажмите клавишу ВВОД. Например, для захвата роли хозяина RID введите команду seize rid
master. Единственным исключением является захват роли эмулятора PDC — для захвата
данной роли необходимо использовать команду seize pdc (а не seize pdc emulator).
8.
После появления приглашения fsmo maintenance введите q и нажмите клавишу
ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Введите команду q и нажмите
клавишу ВВОД, чтобы завершить работу средства Ntdsutil.
Примечания
• Как правило, все пять ролей должны быть присвоены действующим контроллерам
домена в лесу. Если контроллер домена, которому присвоены роли FSMO, будет отключен
раньше, чем эти роли будут переданы другим компьютерам, необходимо выполнить захват
этих ролей и присвоить их работающим контроллерам домена. Корпорация Майкрософт
рекомендует выполнять захват ролей только в тех случаях, когда исходный обладатель ролей
больше не будет работать в домене. Если возможно, восстановите работоспособность
вышедшего из строя контроллера домена, которому были присвоены роли FSMO. Выберите
контроллер домена для каждой роли таким образом, чтобы все роли оказались на одном
52
сервере. Дополнительные сведения о размещении ролей FSMO см. в следующей статье базы
знаний Майкрософт:
223346 Расположение и оптимизация ролей FSMO на контроллерах домена под
управлением Windows 2000
• Если контроллер домена, исполняющий какие-либо роли FSMO, отсутствует в домене,
а его роли были захвачены в соответствии с приведенными в этой статье инструкциями,
удалите данный контроллер из Active Directory. Для этого выполните процедуру, описанную
в следующей статье базы знаний Майкрософт:
216498 Удаление данных из Active Directory после неудачного понижения роли
контроллера домена
• При удалении метаданных контроллера домена с помощью команды ntdsutil /metadata
cleanup (версия для Windows 2000 или для Windows Server 2003, сборка 3790) присвоенные
этому контроллеру домена роли FSMO не передаются другим контроллерам домена. Версия
средства Ntdsutil, входящая в состав Windows Server 2003 с пакетом обновления 1 (SP1),
автоматизирует выполнение этой задачи и удаляет дополнительные элементы метаданных
контроллера домена.
• Некоторые администраторы предпочитают не восстанавливать состояние системы на
контроллерах домена, являющихся обладателями ролей FSMO, если соответствующая роль
была передана после архивирования состояния системы.
• Не присваивайте роль хозяина инфраструктуры контроллеру домена, являющемуся
сервером глобального каталога, поскольку в этом случае хозяин инфраструктуры не будет
обновлять сведения об объектах, так как он не содержит ссылки на объекты, которые не
хранит. Причина такого поведения заключается в том, что сервер глобального каталога
хранит частичные реплики всех объектов в лесу.
Чтобы проверить, является ли контроллер домена сервером глобального каталога,
выполните следующие действия:
1.
Нажмите кнопку Пуск и выберите последовательно пункты Программы,
Администрирование и Active Directory - сайты и службы.
2.
Дважды щелкните на левой панели узел Сайты и найдите соответствующий
сайт или, если другие сайты отсутствуют, выберите вариант Default-first-site-name.
3.
Откройте папку «Серверы» и выделите требуемый контроллер домена.
4.
В папке контроллера домена щелкните дважды элемент NTDS Settings.
5.
В меню Действие выберите команду Свойства.
6.
Откройте вкладку Общие и проверьте, установлен ли флажок Глобальный
каталог.
53
6. Групповые политики AD
Групповая политика – набор параметров конфигурации пользователей и компьютеров,
который можно связать с компьютерами, сайтами, доменами и OU в AD. Такой набор
параметров групповой политики называется объектом групповой политики.
Групповые политики позволяют разграничивать доступ к общим ресурсам сети, что
позволяет осуществлять высокий уровень гибкости. Пользователи и их рабочая среда
Windows 2000 может контролироваться и управляться. То, что вы можете сделать при
помощи групповых политик, включает в себя распространение программного обеспечения,
настройка системных параметров безопасности, обновление настроек, таких, как
настройки прокси-сервера в Internet Explorer, запрещение пользователю пользоваться
панелью управления и т.д и т.п.
Групповые политики расширяют и используют преимущества службы Active Directory.
Их настройки находятся в объектах групповых политик - Group Policy Object, GPO, которые
в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены
и подразделения (организационные единицы).
GPO хранит информацию о настройках групповых политик в двух структурах контейнере
групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group
Policy Template, GPT).
Контейнер групповых политик представляет собой объект Active Directory, в котором
хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в
объекте групповой политики, состояние GPO и т. д.
Шаблон групповых политик это папка, где находится информация о настройках,
модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с
помощью административных шаблонов, настройки безопасности, приложения, управление
которыми осуществляется посредством расширения, Установка программ, сценарии,
заданные с помощью расширения Сценарии, и т. д.
При работе с GPO имя папки его шаблона групповых политик выступает в качестве
глобального уникального идентификатора (Global Unique Identifier, GUID), уникально
характеризующего данный объект групповой политики.
Объекты групповой политики GPO
Созданные GPO связывают с объектами-контейнерами AD, представляющими домены,
сайты и организационные подразделения и Windows автоматически применяет политику
GPO ко всем объектам внутри контейнера.
GPO создается с помощью оснастки консоли управления Групповая политика, которая
может вызываться как изолированный инструмент и в качестве расширения таких оснасток,
как Active Directory пользователи и компьютеры (Active Directory Users and Computers) или
Active Directory сайты и службы (Active Directory Site and Services).
Для вызова оснастки Групповая политика в качестве расширения в окне
соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши.
В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся
окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете
просматривать контейнеры Active Directory и ассоциированные с ними GPO.
54
Запуск оснастки Групповая политика, как изолированной оснастки нужно выполнять
с помощью меню Пуск (Start)-> Выполнить (Run). Следует запустить консоль управления
Microsoft (MMC). Выбрать в меню Консоль команду Добавить/удалить оснастку, в
следующем окне нажать кнопку Добавить. В окне Добавить изолированную оснастку
выбрать элемент Групповая политика, затем нажать кнопку Добавить.
55
В следующем окне Выбор объекта групповой политики нажать кнопку Обзор.
Запустится браузер GPO. Если создается новый GPO с именем, установленным по
умолчанию, нажимаем кнопку Новый объект групповой политики (Create New Group Policy
Object). Затем можно его переименовать.
Закрываем окно браузера GPO и окно диалога Поиск объекта групповой политики.
Теперь в оснастке Групповая политика загружен, только что созданный GPO.
Можно выбрать уже существующий GPO для отдельного компьютера, подразделения,
сайта или домена. Затем такую оснастку можно сохранить в файле с любым именем.
Создать групповую политику для контейнера Active Directory можно только при
наличии определенного набора условий:
Необходимо иметь работающий контроллер домена Windows 2000.
Пользователь, который создает групповую политику, должен обладать правами на
чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он
должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки Групповая политика в окне структуры появляется набор
узлов, которые являются расширениями этой оснастки, как вы видели на предыдущем
рисунке.
56
По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их
состав можно изменить с помощью средств создания индивидуальной конфигурации
консоли ММС и с помощью политик, определяющих работу самой консоли. Подход,
предполагающий применение расширений, позволяет пользователям создавать свои
собственные расширения оснастки Групповая политика, наделяя ее способностью
устанавливать дополнительные групповые политики. Любое расширение может в свою
очередь состоять из расширений, поэтому оснастка Групповая политика чрезвычайно
гибкий инструмент, который можно сконфигурировать для конкретной компьютерной
среды.
Структура узлов GP.
При запуске оснастка Групповая политика загружает корневой узел, представляющий
собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя
контейнера, к которому он присоединен, отображаются в окне структуры в следующем
формате:
Политика Имя_СРО[.Имя_домена.соm]
Затем пространство имен подразделяется на два узла более низкого уровня
Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User
Configuration).
Используя их, можно создавать и настраивать групповые политики для компьютера и
пользователей. Рассмотрим настройки каждого отдельно.
Узел Конфигурация компьютера (Computer Configuration)
57
Узел Конфигурация компьютера содержит параметры всех политик, определяющих
работу компьютера. Они регулируют функционирование операционной системы вид
рабочего стола, задают параметры выполняемых приложений определяют работу средств
обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе
загрузки системы и в дальнейшем при выполнении циклов обновления
Узел Конфигурация пользователя (User Configuration)
Узел
Конфигурация
пользователя
содержит
параметры
всех
политик,
определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола,
задают параметры выполняющихся приложений, определяют работу средств обеспечения
безопасности и пользовательских сценариев входа и выхода. Групповая политика
применяется к пользователю при его регистрации на компьютере и в дальнейшем при
выполнении циклов обновления.
Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя
находятся дочерние узлы, каждый из которых является полноценным расширением
оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с
различными параметрами, или индивидуально расширять узлы Конфигурация компьютера
или Конфигурация пользователя.
Оснастка Групповая политика имеет следующие расширения:
- Административные шаблоны. (Administrative Templates).
Здесь находится групповая политика, определяющая параметры реестра, задающие
работу и внешний вид рабочего стола, компонент операционной системы и приложений.
58
- Параметры безопасности (Security Settings).
Служит для настройки параметров системы безопасности компьютеров, на которые
воздействует данный объект групповой политики. С помощью групповых политик можно
настроить безопасность локального компьютера, домена и целой сети.
- Установка программ (Software Installation).
Служит для централизованного управления программным обеспечением организации.
С его помощью можно задавать различные режимы установки новых программ на
компьютеры пользователей.
- Сценарии (Scripts).
Сценарии используются для автоматического выполнения набора команд при
загрузке операционной системы и в процессе завершения ее работы, а также при
регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных
на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер
сценариев (Windows Scripting Host).
- Перенаправление папок (Folder Redirection).
Позволяет перенаправлять обращение к специальным папкам в сеть.
Настройка параметров GPO.
Административные шаблоны (Administrative Templates)
С помощью расширения Административные шаблоны администратор системы может
настроить целый набор параметров реестра, задающих режим функционирования
компонентов операционной системы и приложений.
Задать конкретные параметры, доступные для модификации с помощью интерфейса
пользователя
оснастки
Групповая
политика,
можно с
помощью
специальных
административных
шаблонов.
Модифицируемые
значения
параметров
реестра,
относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел
реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру,
записываются в раздел HKEY_LOCAL_MACHINE.
Административный шаблон представляет собой текстовый файл в кодировке Unicode
с расширением adm, информация которого определяет, как доступные для модификации
параметры реестра должны отображаться в окне интерфейса пользователя оснастки
Групповая политика. Кроме того, административные шаблоны задают разделы реестра,
куда должны быть записаны модифицированные значения параметров, с их помощью
проверяется допустимость вводимых значений параметров. В некоторых случаях с
помощью шаблонов могут быть заданы значения параметров реестра, выбираемые по
умолчанию.
Операционная система Windows 2000 содержит два файла административных
шаблонов system.adm и inetres.adm, где описаны все параметры реестра, доступные для
изменения и отображаемые в расширении Административные шаблоны по умолчанию.
Узел Административные шаблоны может быть расширен с помощью меню Добавление
и удаление шаблонов (Add/Remove Template).
59
В окне Добавление и удаление шаблонов можно добавить нужный шаблон (или
удалить ненужный). Если была необходимость добавить, то в окне Шаблоны политики
(Policy Templates) следует выбрать добавляемый шаблон и нажать кнопку Открыть (Open).
Внутри узла Административные шаблоны появятся дополнительные папки,
соответствующие добавленному шаблону. С их помощью администратор может
редактировать параметры дополнительного набора разделов реестра.
Существует возможность создавать индивидуальные административные шаблоны.
При установке нового программного обеспечения, как вам известно, содержимое
реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими
нельзя управлять с помощью оснастки Групповая политика, поскольку стандартные
административные шаблоны не предоставляют доступ к вновь появившимся разделам
реестра. В таких случаях необходимо создать индивидуальный административный шаблон.
Он может быть сгенерирован с помощью любого текстового редактора, позволяющего
работать с файлами в кодировке Unicode, например, программы Блокнот (Notepad).
В административном шаблоне с помощью специального языка определяется иерархия
категорий и подкатегорий, задающая взаимоотношения между доступными для
модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять
из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких
частей. Все политики и части политик описываются с помощью операторов языка создания
административных шаблонов. Они позволяют описать название политики, параметр
реестра, который регулирует политика, набор допустимых значений параметра, элементы
управления пользовательского интерфейса оснастки Групповая политика, с помощью
которых можно настроить данный параметр и т. д. Мы не будем рассматривать состав и
синтаксис языка создания административных шаблонов.
Параметры безопасности
С помощью расширения Параметры безопасности в GPO можно определить параметры
политики безопасности, определяющие различные аспекты работы системы безопасности
Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на
все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Расширение Параметры безопасности позволяет настраивать следующие аспекты
системы безопасности компьютера:
Политики учетных записей (Account Policies).
60
Можно настраивать политики безопасности как учетных записей в масштабах домена,
так и локальных учетных записей. Здесь определяются политика паролей, политика
блокировки паролей и новая политика Kerberos, распространяющаяся на весь домен.
- Локальные политики (Local Policies).
Можно настраивать политику аудита, назначать права пользователей и различные
параметры безопасности, доступные для настройки в системе Windows 2000.
Журнал событий (Event Log).
Можно настраивать политики безопасности, определяющие работу журналов событий
приложений, системы и безопасности.
- Группы с ограниченным доступом (Restricted Groups).
Можно регулировать членство пользователей в специфических группах. Сюда обычно
включают встроенные группы, такие как Администраторы, Операторы архива и другие,
имеющие по умолчанию права администратора. В эту категорию могут быть включены и
другие группы, безопасность которых требует особого внимания и членство в которых
должно регулироваться на уровне политики.
- Системные службы (System Services).
Можно настраивать безопасность и параметры загрузки для работающих на
компьютере служб. В этом разделе могут быть использованы расширения, с помощью
которых можно осуществлять настройку безопасности, специфическую для данной
службы. Например, расширение File Sharing Service позволяет настраивать политику
безопасности для службы создания общего доступа к файлу (активизация подписи 8MB,
ограничение анонимного доступа к общим ресурсам, формирование безопасности
различных сетевых общих ресурсов и т. д.).
- Реестр (Registry).
Можно настраивать безопасность различных разделов реестра.
- Файловая система (File System).
Можно настраивать безопасность определенных файлов.
- Политики открытого ключа (Public Key Policies).
Можно настраивать политики безопасности в отношении шифрования информации с
помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации
доверенного сертификата и т. д. Политики безопасности IP (IPSEC). Позволяет настраивать
политику безопасности IP для компьютеров, находящихся в определенной области
действия.
Политики безопасности, определяемые расширением Параметры безопасности,
действуют на компьютеры и частично на пользователей. Поскольку политика безопасности
Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при
переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если
при переходе создается новое дерево доменов, одновременно создается и новая политика
безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже
существующему дереву, политика безопасности берется от родительского домена.
Чтобы изменить настройки безопасности достаточно щелкнуть на папке Параметры
безопасности, затем щелчками на соответствующих узлах открыть весь путь, ведущий к
интересующим настройкам. В правом подокне окна оснастки Групповая политика двойным
щелчком выбрать настраиваемую политику и в открывшемся окне настроить ее.
61
Установка программ (Software Installation)
Оснастка Установка программ предназначена для организации централизованного
управления установкой программного обеспечения на компьютеры сети Windows 2000.
Она позволяет настроить два режима установки ПО на группу компьютеров, или для
группы пользователей назначение (assignment) и публикация (publishing).
Назначение ПО группе пользователей или компьютеров предполагает, что все
пользователи, которым необходима данная программа, будут автоматически получать ее
без привлечения администраторов или технического персонала. Если для приложения
установлен принудительный режим, ярлык, соответствующий данной программе,
появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая
местоположение пакета и других файлов, необходимых для установки данного ПО. При
первом обращении пользователя к ярлыку соответствующее программное обеспечение
устанавливается и запускается.
Публикация программного обеспечения предполагает, что пользователь сам сможет
решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню
Пуск не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая
для установки программы, находится в Active Directory.
Для того, чтобы установить программу используются средства утилиты Установка и
удаление программ (Add/Remove Programs) из панели управления.
Необходимо в окне диалога Установка и удаление программ нажать кнопку Установка
новой программы (Add New Programs). Система выполнит поиск, всех программных
пакетов, для которых настроена публикация. Результат, поиска (список всех приложений,
для установки которых настроена публикация) будут отображены в поле Установка
программ из сети (Add programs from your network).
Чтобы настроить автоматическую установку программного обеспечения на
компьютеры клиентов следует запустить оснастку Групповая политика, открыть узел
Установка программ.
В правом подокне или на узле Установка программ нажать правую кнопку мыши и в
открывшемся контекстном меню выбрать команду Создать|Пакет (New|Package).
Откроется окно диалога Открыть, в котором нужно перейти к местоположению
настраиваемого программного пакета, выбрать его и нажать кнопку Открыть.
62
Откроется окно диалога Развертывание программ (Deploy Software) в котором
необходимо указать, какой метод развертывания программного пакета необходим:
публичный (Published) (этот режим может быть установлен только для пользователя),
назначенный (Assigned) или публичный или назначенный с особыми свойствами (Advanced
published or assigned). В последнем случае откроется окно диалога Свойства для настройки
необходимых свойств программного пакета. Если в дальнейшем понадобится изменить
свойства программного пакета, настроенного для автоматической установки, достаточно
щелкнуть на нем дважды в правом подокне.
Для удаления программного пакета из автоматической установки необходимо указать
удаляемый пакет, нажать правую кнопку мыши и в контекстном меню выбрать команду
Все задачи (All Tasks), а в появившемся подменю выберите команду Удалить.
Сценарии (Scripts)
С помощью этого расширения можно задать сценарии, которые должны выполняться
на компьютере при загрузке и завершении работы операционной системы, а также при
регистрации пользователя в системе и окончании сеанса работы.
Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с
помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка
сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.
Если необходимо задать сценарий, выполняющийся при загрузке операционной
системы или завершении ее/работы, необходимо открыть узел Конфигурация компьютера
оснастки Групповая политика.
Чтобы задать сценарий, выполняющийся при регистрации пользователя в системе и
выходе из системы, откройте узел Конфигурация пользователя.
Итак, открываем узел Сценарии.
В правом подокне окна оснастки Групповая политика появится пара образов
сценариев: Автозагрузка/Завершение (Startup/Shutdown) для компьютера и Вход в
систему/Выход из системы (Logon/Logoff) для пользователя. Для подключения сценария
укажите соответствующий образ и нажмите правую кнопку мыши. В контекстном меню
выберите команду Свойства. Откроется окно диалога свойств сценариев.
63
В этом окне нажмите кнопку Добавить. Откроется окно диалога Добавление сценария
(Add a Script), в котором введите имя присоединяемого сценария и задайте необходимые
значения параметров. Если имя сценария неизвестно, нажмите кнопку Обзор отобразится
содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится
в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый
сценарий. Для быстрого перехода к папке со сценариями служит кнопка Показать файлы
(Show Files) в окне свойств сценариев.
Перенаправление папки (Folder Redirection)
Оснастка Перенаправление папки позволяет перенаправить некоторые папки
профиля пользователя в другое место (как правило, на общий ресурс сети).
Перенаправление возможно для следующих папок:
- Application Data
- Мои рисунки (My Pictures)
- Рабочий стол (Desktop)
- Главное меню (Start Menu)
- Мои документы (My Documents)
Перенаправление папки на общий ресурс сети позволяет, например, обеспечить
доступ к информации перечисленных папок для различных компьютеров сети (особенно
важно для папки Мои документы), а также повысить отказоустойчивость и упростить
создание резервных копий информации.
Для того, чтобы перенаправить специальную папку на общий ресурс сети необходимо
в оснастке Групповая политика открыть узел Перенаправление папки.
Указать специальную папку и нажать правую кнопку мыши. В открывшемся
контекстном меню выбрать команду Свойства.
В окне свойств папки в раскрывающемся списке Значение (Setting) выбрать пункт
"Перенаправлять папки всех пользователей в одно место", если данная специальная папка
переназначается в одно место для всех пользователей. Появится поле ввода Размещение
конечной папки (Target Folder Location). Нажмите кнопку Обзор и укажите местоположение
переназначаемой информации.
64
Если специальная папка для различных групп переназначается в разные места, в
списке Значение выберите пункт "Указать различные места для разных груп
пользователей". В этом случае в нижней части окна свойств папки появится поле Членство
в группе безопасности (Security Group Membership).
Нажмите кнопку Добавить. В открывшемся окне диалога Выбор группы и размещения
(Specify Group and Location) введите имя группы пользователей и соответствующее ей
целевое местоположение переназначаемой информации
Итак, мы с вами рассмотрели основные расширения оснастки групповая политика на
стороне контроллера домена, теперь рассмотрим как они "выглядят" на стороне клиента.
Некоторым расширениям оснастки Групповая политика, находящимся на сервере,
соответствуют расширения, работающие у клиента. Они предназначены, для отработки
настроек групповых политик на клиентских компьютерах. Расширения, работающие на
стороне клиента, представляют собой модули DLL, загружаемые в операционной системе
клиентского компьютера по требованию в процессе отработки настроек групповых
политик.
При загрузке операционная система запрашивает список доступных объектов
групповой политики. Затем последовательно просматриваются существующие расширения
на стороне клиента и определяется, имеют ли они какие-либо данные в доступных GPO.
Если расширение на стороне клиента имеет данные в каком-нибудь из доступных объектов
групповой политики, оно вызывается с параметром списком объектов групповой политики,
которые необходимо обработать.
Делегирование прав управления групповой политикой
С помощью инструментов управления Active Directory администратор может
делегировать другим пользователям и группам право управления частью каталога.
Это в полной мере относится и к объектам групповой политики, в отношении которых
могут быть, в частности, делегированы следующие права:
- Управление связями GPO с сайтом, доменом или подразделением (OU).
Для этого с помощью инструмента управления Active Directory укажите сайт, домен
или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите
команду Делегирование управления (Delegate Control). Запустится Мастер делегирования
управления (Delegation of Control Wizard). С его помощью можно выбрать объект
групповой политики, группу или пользователя, которому должны быть делегированы
права, а также и само право (в данном случае Управление ссылками групповой политики
(Manage Group Policy links)).
65
- Создание и удаление всех дочерних объектов групповой политики.
По умолчанию правом создания объектов в GPO обладают администраторы домена
(Domain Admins) и администраторы предприятия (Enterprise Admins), а также
операционная система. Для делегирования пользователю права управления объектами
групповой политики домена необходимо включить его в группу Создатели-владельцы
групповой политики (Group Policy Creator Owners).
- Редактирование свойств объектов групповой политики.
По умолчанию правом редактирования GPO обладают администраторы домена,
администраторы предприятия и операционная система. Для делегирования пользователю
права редактирования объекта групповой политики необходимо включить его в одну из
указанных групп безопасности.
66
Наследование, блокировка, фильтрование GPO
Фильтрация с помощью разрешений – если нужно связать GPO с OU, содержащей 500
пользователей и 20 групп, но не применять параметры ко всем этим объектам.
Чтобы не применять политику к пользователю или группе, можно изменить настройку
разрешений для этих пользователей. Для применения политики необходимо 2 разрешения:
 Чтение
 Применение групповой политики
По умолчанию дочерние контейнеры наследуют групповую политику от родительских
контейнеров. Однако можно переопределить унаследованные параметры. В GPO можно
сделать параметр активным, неактивным и вообще не определять его. Неопределенные
параметры родителя не наследуются.
При управлении наследованием GP применяются еще 2 механизма:
 No override – при связи GPO с контейнером можно указать No Override, чтобы параметры,
заданные в этом GPO, не перекрывались параметрами GPO, связанных с дочерними
контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная
вами политика.
 Блокировать наследование политики – в данном случае дочерний контейнер не наследует
параметры GPO родительского объекта.
Фильтрация с помощью разрешений – если нужно связать GPO с OU, содержащей 500
пользователей и 20 групп, но не применять параметры ко всем этим объектам.
Чтобы не применять политику к пользователю или группе, можно изменить настройку
разрешений для этих пользователей. Для применения политики необходимо 2 разрешения:
 Чтение
 Применение групповой политики
Планирование многоуровневой структуры GP (Site, Domain,
OU/OU)
При реализации групповой политики сначала создают GPO, а затем связывают его с сайтами,
доменами и OU.
GPO, связанный с доменом, применяется ко всем компьютерам и пользователям домена.
Типичное применение GPO к домену – реализация корпоративных стандартов.
Если параметры должны быть общими для всех компьютеров, физически находящихся в
определенном месте, и на этом месте создан сайт, то имеет смысл связать GPO с сайтом.
В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем
с сайтами и доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют
спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики.
Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать
пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать
сами OU.
67
Инструментальные средства управления групповыми политиками.
7. Компоненты инфраструктуры открытых ключей PKI.
Инфраструктура открытых ключей – набор программных компонентов и действующих
политик, управляющих распространением и использованием открытых и закрытых ключей с
помощью цифровых сертификатов.
Аутентификация и авторизация.
Для обеспечения аутентификации при установлении соединения клиент и сервер
обмениваются своими сертификатами и проверяют их подлинность. Аутентификация
участников соединения позволяет гарантировать, что к серверу подключился авторизованный
клиент, а клиент устанавливает подлинность сервера, с которым установлено соединение.
Конфиденциальность и целостность данных.
Конфиденциальность информации может быть обеспечена при помощи шифрования
передаваемых сообщений.
В некоторых случаях бывает важна не столько конфиденциальность сообщения, сколько его
неизменность. В этом случае информация передается в незашифрованном виде, но к
сообщению в зашифрованном виде добавляется некий параметр, позволяющий
удостовериться в неизменности сообщения. В качестве такого параметра, например, может
использоваться контрольная сумма исходного сообщения или некоторая функциональная
выборка () передаваемого сообщения. Тогда отправитель строит контрольную сумму/hash
исходного сообщения, зашифровывает полученное значение и отправляет его вместе с
сообщением. При приеме сообщения получатель строит контрольную сумму/hash
полученного сообщения и сравнивает ее с расшифрованным значением. Если значения
совпадают, то сообщение получено в неизмененном виде. Для обеспечения целостности
данных требуется значительно меньше вычислительных ресурсов, чем для шифрования всего
сообщения целиком, поэтому в некоторых случаях оптимальным является обеспечение
целостности, а не конфиденциальности данных.
Конфиденциальность данных можно защищать с помощью алгоритмов и ключей
шифрования. Без соответствующих ключей дешифрования нежелательные получатели,
перехватившие предаваемые данные, не получат ничего, кроме зашифрованного «мусора».
Прочность шифрования зависит также от используемого алгоритма и длины ключа.
Для обеспечения конфиденциальности передаваемых данных на уровне сети Windows Server
2003 использует технологию Internet Protocol Security (IPSec). IPSec шифрует пакеты
TCP/IP перед передачей и дешифрует их после получения.
Хотя шифрование может гарантировать конфиденциальность файла, оно не может
гарантировать целостности данных этого файла, то есть защиту от модификации ли порчи
68
файла. К счастью, Windows Server 2003 поддерживает также цифровую подпись. Цифровая
подпись для файла, модуля или другого программного компонента чем-то напоминает
подпись контракта на бумаге. Подписывающий несет ответственность за то, что он
подписывает. Тот, кто затем смотрит документ и подпись, может сказать, кто его подписал.
Цифровые подписи.
Цифровые подписи (digital signature) используются для аутентификации отправителя
сообщения и обеспечения целостности данных, например пересылаемого программного кода.
При асимметричном шифровании открытый ключ использовался для шифрования
сообщения, а расшифровать его мог только тот, кто обладает секретным ключом. При
построении цифровой подписи все происходит наоборот. В текст сообщения включается
заголовок, зашифрованный при помощи секретного ключа отправителя. При этом каждый
может получить открытый ключ отправителя и прочесть зашифрованный заголовок. Такой
заголовок и называется цифровой подписью отправителя. Никто не может создать сообщение
с соответствующим образом зашифрованным заголовком, не зная нужного секретного ключа.
Однако цифровые подписи значат гораздо больше, чем простая подпись. Цифровая
подпись генерируется путем хеширования документа и последующего шифрования подписи
с помощью личного ключа шифрования владельца подписи. Эта процедура формирует
подпись, которая криптографически связана и с владельцем подписи, и с содержимым
документа. Изменение содержимого приводит к несоответствию с подписью.
При верификации цифровая подпись дешифруется с помощью личного ключа владельца
подписи. Полученный хеш-код сравнивается с вновь рассчитанным хеш-кодом полученного
сообщения. Этот процесс неопровержимо доказывает, что именно владелец подписи
подписал сообщение, поскольку его ключ был использован для верификации подписи; кроме
того, он верифицирует, что содержимое документа не изменилось, поскольку
дешифрованный хеш-код совпадает с вновь рассчитанным хеш-кодом.
В Windows Server 2003 цифровая подпись имеет две важные цели. Во-первых, она
гарантирует целостность данных, сохраняемых локально или предаваемым через сеть. Вовторых, она аутентифицирует модули или другие программные компоненты, которые
поступают из непроверенных источников, таких как Internet.
Службы сертификации.
Система цифровых сертификатов Windows 2003 основана на стандарте инфраструктуры
открытых ключей IETF X.509 v3, что позволяет обеспечить взаимодействие со множеством
приложений сторонних производителей.
Основу службы цифровых сертификатов составляют следующие компоненты:
 цифровые сертификаты;
 центры сертификации.
69
Центры сертификации внешние и внутренние.
Центр сертификации (Certification Authority, CA). В случае использования сертификатов
каждый участник соединения, проверив цифровую подпись полученного сертификата,
сможет проверить его подлинность, а значит и подлинность указанного в нем открытого
ключа. Цифровая подпись сертификата выполняется некой третьей стороной, которой
доверяют все участники соединения. Центр сертификации выполняет роль той самой третьей
стороны, которой доверяют все участники соединения, которая удостоверяет, хранит и
предоставляет информацию о сертификатах.
Центры сертификации предназначены для выдачи, отзыва и предоставлении информации о
выданных ими сертификатах.
Считается, что открытый ключ ЦС общеизвестен и поэтому не может быть подменен. В
качестве примера общеизвестных в Интернет центров сертификации можно привести
VerySign, Thawte, KeyWitness и др. Сертификаты с открытыми ключами крупнейших из
таких CA включены в поставку ОС Windows 2003.
Внутренние ЦС
Достоинства
Недостатки
Позволяют
Требуют больших
непосредственно
издержек на
управлять
управление
сертификатами
сертификатами
Выдают сертификаты
бесплатно
Могут быть
интегрированы в AD
Их развертывание
более сложное и
длительное
Организация сама
отвечает за отказы
PKI
Позволяют настраивать Не все внешние
и расширять PKI с
клиенты будут
минимальными
доверять таким ЦС
затратами
Внешние ЦС
Достоинства
Недостатки
Клиенты больше
Такие
доверяют организациям, сертификаты
использующим
дороги
сертификаты
независимых ЦС
За отказы PKI отвечает
Невозможна
поставщик сертификатов автоматическая
подача заявок
Опыт решения
Меньше гибкости
технических и
в управлении и
юридических проблем
настройке
использования
сертификатов
сертификатов
Позволяют снизить
Ограниченная
издержки на управление интеграция с
сертификатами
инфраструктурой
предприятия
70
Корневые центры предприятия CA и изолированные CA.
Компьютеры, на которых запущена служба Certificate Services, могут действовать как
центры сертификации (ЦС) двух различных типов: как ЦС предприятия или как автономный
ЦС. Тип ЦС, который вы устанавливаете, определяет круг получателей ваших сертификатов
и его назначение.
ЦС предприятия интегрированы в службу каталогов AD, используют шаблоны сертификатов,
публикуют свои сертификаты и CRL в AD, и на основании информации БД AD
автоматически выполняют или отклоняют заявки на сертификаты. Поскольку для получения
сертификатов клиентам ЦС предприятия требуется доступ к AD, ЦС предприятия не годятся
для выдачи сертификатов внешним клиентам.
Изолированные ЦС не используют шаблоны сертификатов из AD и хранят информацию
локально. Кроме того, по умолчанию изолированные ЦС не обрабатывают заявки
автоматически, как это делают ЦС предприятия. Запросы ожидают в очереди, пока
администратор не удовлетворит или не отклонит их вручную. Изолированные ЦС
предназначены для обслуживания заявок на сертификаты, поступающих от внешних
пользователей.
Управление сертификатами.
Данный этап развертывания PKI следует после конструирования PKI и установки ЦС. Он
включает в себя мероприятия по управлению ЦС и сертификатами: администрирование
подачи заявок на сертификаты, управление сертификатами и публикация CRL.
В консоли MMC можно вызывать оснастку Certificates (Сертификаты), которая
используется для одной цели – управление сертификатами пользователей, компьютеров и
служб.
Типы сертификатов.
Хранилище сертификатов разбито на пять категорий: Personal (Личные), Trusted Root
Certification Authorities (Доверяемые корневые центры сертификации), Enterprise Trust
(Доверительные отношения на предприятии), Intermediate Certification Authorities
(Промежуточные центры сертификации) и Active Directory User Object (Объект
пользователя Active Directory). Сертификаты типа Trusted Root и Intermediate Certification
Authorities загружены заранее.
71
Запрос, импорт, экспорт сертификатов.
Запрос сертификата
Прежде чем использовать любое приложение, основывающееся на инфраструктуре отрытых
ключей, вам нужно получить сертификат. Серверы сертификатов, конфигурируемые как ЦС
предприятия, могут запрашивать сертификаты с помощью оснастки Certificates.
В процессе запроса сертификата сначала генерируется пара ключей, состоящая из открытого
ключа и личного ключа. Личный ключ хранится и защищается на локальном компьютере.
Открытый ключ вместе с информацией, идентифицирующей пользователя, отправляется в
ЦС для запроса сертификата. Если ЦС определяет, что данный пользователь, устройство или
служба авторизованы для получения запрашиваемого сертификата, то ЦС генерирует и
подписывает сертификат. Этот сертификат можно затем считать с помощью оснастки
Certificates и поместить в локальное хранилище сертификатов.
Для запроса щелкните правой кнопкой на папке Certificates в хранилище личных
сертификатов (Personal). Укажите пункт All Tasks, выберите команду Request New
Certificate (Запросить новый сертификат) и выполните инструкции мастера Certificate
Request Wizard (Мастер запроса сертификатов). Вам потребуется выбрать тип сертификата
(цель, для которой будет использоваться сертификат – Certificate purpose), дружественное
имя (Friendly name) для этого сертификата и ЦС, который должен выдать сертификат, если
доступно несколько ЦС. Чтобы вы могли загрузить сертификат после его выдачи центром
сертификации, в окне мастера Certificate Request Wizard имеется опция Install Certificate
(Установить сертификат).
Экспорт сертификатов и личных ключей
Вы можете экспортировать любой тип сертификата, включая сертификаты корневых ЦС.
Естественно, что для экспорта сертификатов вместе с личными ключами (то есть личных
сертификатов) подходят только те сертификаты, которые маркированы как экспортируемые.
Для экспорта сертификата выполните следующие шаги.
1. Найдите нужный сертификат в оснастке Certificates и щелкните правой кнопкой на
этой записи.
2. Укажите пункт all Tasks (Все задачи) и выберите команду export (Экспортировать).
Появится окно мастера Certificate Export Wizard (Мастер экспорта сертификатов).
3. Выполните процедуру, проходя через окна этого мастера и выбирая, нужно ли
экспортировать личный ключ (если это возможно).
4. Выберите формат хранения сертификата. DER Encoded Binary и Base 64 Encoded –
это форматы для хранения одного сертификата. Используя формат PKCS #7, вы
можете включать всю цепочку сертификатов. Комбинации с личными ключами
сохраняются в файле PKCS #12 и защищаются паролем; для доступа к этому файлу
вам нужно ввести пароль.
5. Введите путь доступа и имя файла для экспортируемого сертификата.
Импорт сертификатов
Пользователи могут импортировать сертификаты в любую из категорий сертификатов в
хранилище сертификатов. В оснастке Certificates щелкните правой кнопкой на категории
сертификатов, в которую вы хотите импортировать сертификат, укажите пункт All Tasks и
72
выберите команду Import (Импортировать). Введите имя файла сертификата. Ведите пароль
(если запрашивается).
Хранилище сертификатов.
Важной частью инфраструктуры PKI является каталог, в котором сохраняются
сертификаты и из которого их можно считывать. В среде Windows Server 2003 служба Active
Directory действует как хранилище сертификатов; любой пользователь или компьютер с
соответствующими правами может считывать их из этого хранилища. Кроме того,
сертификаты внешних пользователей могут отображаться в пользовательские учетные записи
в Active Directory.
В свойствах ЦС оснастки Certificate Aithority вкладка “Хранилище” позволяет
просмотреть расположение:
 базы данных сертификатов;
 журнала запросов;
папки, в которой публикуются сертификаты в случае недоступности Active Directory.
Настройка сертификатов для конкретных целей.
Корпоративные центры сертификации позволяют выдавать сертификаты для:
создания цифровых подписей;
защиты сообщений электронной почты;
аутентификации на веб сервере;
входа в домен с помощью смарт-карты
Чтобы задать цели использования сертификата, щелкните правой кнопкой на этом
сертификате и выберите пункт Properties. Имеется три варианта выбора целей сертификата:
Enable All Purposes For This Certificate (Активизировать все цели для этого сертификата),
Disable All Purposes For This Certificate (Запретить все цели для этого сертификата) и
Enable Only The Following Purposes (активизировать только следующие цели).




Аутентификация с помощью сертификатов.
1. В меню Start на удаленной машине откройте панель управления и дважды щелкните
на Network Connections.
2. Щелкните правой кнопкой на сетевом или коммутируемом соединении, для которого
вы хотите активизировать аутентификацию, и выберите пункт Properties. В окне
Properties для данного соединения щелкните на вкладке Security (рис. 21.6).
3. Щелкните
на
кнопке
Advanced
(Custom
Settings)
[Расширенный
(Специализированные настройки)] в окне Properties данного соединения и щелкните
на кнопке Settings (Настройки). В диалоговом окне Advanced Security Settings
(Расширенные настройки безопасности), см. рис. 21.7, выберите вариант Use
Extensible Authentication Protocol [EAP] (Использовать расширяемый протокол
аутентификации [EAP]) и проследите за тем, чтобы в поле списка был выбран вариант
73
Smart Card Or Other Certificate (Encryption Enabled) [Смарт-карта или другой
сертификат (активизировано шифрование)].
4. Щелкните на кнопке Properties, чтобы появилось окно Smart Card Or Other
Certificate Properties (Свойства смарт-карты или другого сертификата), показанное на
рис. 21.8. Чтобы сконфигурировать аутентификацию для сертификатов, находящихся
в локальном хранилище сертификатов, выберите вариант Use A Certificate On This
Computer (Использовать сертификат на этом компьютере).
5. В этом окне имеются еще две опции, относящиеся к сертификатам. Во-первых, вы
можете ограничить соединения определенными серверами. Для этого установите
флажок Validate Server Certificate (Подтверждать сертификат серверов) и
активизируйте один или оба из следующих методов.
 Connect Only If Server Name Ends With This (Подсоединяться, если только имя
сервера оканчивается следующим образом). Здесь требуется, чтобы серверы были в
определенном домене. Например, введите в этот поле netsolvers.com, чтобы
подсоединиться только к серверам домена Netsolver.
 Trusted Root Certificate Authority (Доверяемый корневой центр сертификации).
Здесь вы можете выбирать к какой иерархии сертификатов принадлежит данный
сервер. Информацию о добавлении сертификата из корневого центра
сертификации см. ниже в этой главе в разделе «Импорт сертификатов».
Вторая опция, флажок Use A Different User Name For The Connection (использовать
другое имя пользователя для данного соединения), препятствует в процессе
аутентификации автоматическому использованию для сертификата имени
соответствующего пользователя. Это позволяет вам указывать альтернативное имя.
Щелкните на кнопке OK, чтобы подтвердить изменения и закрыть данное окно.
Аутентификация с использованием Smart Card
После установки устройства чтения смарт-карт на целевой машине и получения
пользователем запрограммированной смарт-карты от администратора этот пользователь
может применить данную смарт-карту для входа в компьютер. Для этого он должен просто
установить смарт-карту в устройство чтения и ввести после подсказки PIN-код. Этот процесс
используется вместо нажатия клавиш Ctrl+Alt+Del и ввода пользовательского имени и
пароля.
1. В меню Start на удаленной машине откройте панель управления (Control Panel) и
дважды щелкните на Network Connections (Сетевые соединения).
2. Щелкните правой кнопкой на сетевом или коммутируемом соединении, для которого
вы хотите активизировать аутентификацию, и выберите пункт Properties. В окне
Properties для данного соединения щелкните на вкладке Security (рис. 21.6).
3. Проследите за тем, чтобы был выбран вариант Typical (Типичный) и чтобы в списке
Validate My Identity As Follows (Подтверждать мою подлинность следующим
образом) был выбран вариант Use Smart Card (Использовать смарт-карту), как это
показано на рисунке 21.6. Для дополнительного обеспечения безопасности можно
установить флажок require Data Encryption (Требовать шифрования данных).
74
Установка и настройка службы сертификации.
Приняв решения, необходимые для установки нового ЦС, можно приступать к установке
программного обеспечения (ПО) и его настройке в соответствии с вашими требованиями.
Установка Certificate Services производится с помощью мастера Windows Components
Wizard (мастер компонентов Windows). С помощью этого мастера можно установить ЦС
и/или компонент для веб-регистрации. Для проведения установки выполните следующие
шаги.
1. Запустите мастер Windows Components Wizard, открыв Add/Remove Programs
(установка и удаление программ) в панели управления (Control Panel). Затем
выберите вариант Add/Remove Windows Components в левой части этого
диалогового окна.
2. После запуска мастера выберите в списке компонентов Certificate Services.
Программа установки предупредит вас, что после установки программного
обеспечения этого ЦС, вы не сможете изменить имя данного сервера и/или
переместить его в домен или из домена Active Directory. Если у вас есть сервер,
который вы хотите использовать как ЦС предприятия, то прежде чем продолжить
установку, не забудьте использовать dcpromo, чтобы этот сервер мог работать с Active
Directory.
3. Если вы хотите установить только один из компонентов (например, ЦС без
возможности веб-регистрации), щелкните на кнопке Details (Подробно) и сбросьте
флажки у компонентов, которые вы не хотите устанавливать. Если служба IIS не
устанавливается, то не устанавливается также поддержка веб-регистрации, и вы
получите уведомление об этом.
4. Появится страница CA Type (Тип ЦС), рис. 22.1. Выберите вариант, соответствующий
нужному типу ЦС: enterprise root (корневой ЦС предприятия), enterprise subordinate
(подчиненный ЦС предприятия), stand-alone root (корневой автономный) или standalone subordinate (подчиненный автономный). (Если вы работаете на машине, где не
активизирована active Directory, то вам будут доступны не все эти варианты.) Если вы
хотите изменить список провайдеров криптографических услуг (CSP) для этого ЦС,
установите флажок Use Custom Settings To Generate The Key Pair And CA
Certificate (Использовать собственные настройки для генерации пары ключей и
сертификата ЦС). См. ниже раздел «Иерархические связи центров сертификации».
5. Если вы установили флажок Use Custom Settings To Generate The Key Pair And CA
Certificate, появится страница Public and Private Key Pair (пара из открытого и
личного ключей), см. Рис. 22.2. Используйте эту страницу для выбора провайдера
(CSP), который будет использоваться вашим ЦС (помня о том, что некоторые CSP,
возможно, не поддерживаются для генерации сертификатов из некоторых шаблонов).
По умолчанию используется CSP Microsoft Strong Cryptographic Provider 1.0, а
выбор других CSP зависит от установленного вами ПО и наличия у вас смарт-карт или
специализированных криптографических устройств.
6. На странице Public and Private Key Pair выберите нужные параметры конфигурации
Certificate Services и щелкните на кнопке Next (Далее).
 В списке Hash Algorithm можно выбрать алгоритм хеширования, который вы
хотите использовать для подписей. Не используйте алгоритм MD4 и по
75
возможности не используйте MD5. Оба этих алгоритма имеют известные (хотя
в основном теоретические) недостатки. Оставьте выбираемый по умолчанию
алгоритм SHA-1.
 В раскрывающемcя списке Key Length можно выбрать длину ключа, если вы
генерируете пару ключей. Вы можете оставить значение по умолчанию (2048
бит) или увеличивать его вплоть до 4096 бит. Компоненты инфраструктуры
открытых ключей (PKI) компаний, отличных от Microsoft, могут иметь свои
собственные требования и ограничения относительно длины ключа, которым
должен соответствовать ваш выбор.
 Флажок Use Existing Keys (Использовать имеющиеся ключи), позволяет вам
повторно использовать уже существующую пару ключей, при условии, что она
была сгенерирована с помощью алгоритмов, совместимых с выбранным вами
CSP. При выборе других CSP установка этого флажка и содержимое списка
под ним изменяются, отражая возможность использования существующих
ключей.
 Кнопка Import позволяет импортировать сертификаты из файла в формате
PKCS #12, а кнопка View Certificate (Просмотр сертификата) позволяет
увидеть свойства выбранного сертификата.
 Флажок Use The Certificate Associated With This Key (Использовать
сертификат, связанный с этим ключом) позволяет использовать существующий
сертификат, если выбранная вами пара ключей имеет связанный с ней
сертификат и он совместим с выбранным вами CSP.
7. Появится страница CA Identifying Information (Идентификационная информация
ЦС), рис. 22.3. По умолчанию новые генерируемые сертификаты ЦС действительны в
течение пяти лет; вы можете изменить длительность этого периода в раскрывающемся
списке Validity Period (Срок действия). Щелкните на кнопке Next.
8. На странице Certificate Database Settings (Параметры базы данных для
сертификатов), рис. 22.4, укажите места для хранения базы данных и файлов журналов
данного ЦС. Отметим, что места, которые вы указываете, будут использоваться не для
выпущенных сертификатов и списков аннулированных сертификатов (CRL); здесь
будут храниться собственные сертификаты данного ЦС. Вы должны указать такое
место, для которого регулярно выполняется резервное копирование!
9. При конфигурировании мест хранения вы можете также использовать следующие
опции.
 Если вы собираетесь взаимодействовать с клиентами, не использующими службу
Active Directory, или вы сами не используете ее, то можно задать поддержку
данным ЦС разделяемой папки для хранения вновь создаваемых сертификатов.
Для этого установите флажок Store Configuration Information In A Shared Folder
(Хранить информацию о конфигурации в разделяемой папке) и затем укажите имя
какой-либо существующей папки. Поскольку на данном рисунке используется
Active Directory, этот флажок доступен для изменения. Если Active Directory не
используется, этот флажок установлен по умолчанию и вы не можете сбросить его.
 Если вы повторно устанавливаете certificate Services на машине, которая уже
действует как ЦС, то при установке флажка Preserve Existing Certificate Database
(Сохранить существующую базу данных сертификатов) программа установки не
будет затирать существующие сертификаты, чтобы после завершения установки
вы могли использовать свои старые сертификаты.
76
10. При установке подчиненного ЦС вы должны запросить для него сертификат у
используемого вами корневого ЦС. Подробно об этот см. ниже в разделе
«Иерархические связи центров сертификации»; если вы устанавливаете подчиненный
ЦС сейчас, обратитесь к этому разделу, прежде чем продолжать работу с мастером.
Щелкните на кнопке Next.
11. Если у вас запущена служба WWW IIS, то программа установки сообщит вам, что до
завершения установки ЦС она должна прекратить работу этой службы.
12. После того, как мастер завершит установку, вы получите доступ к службе Certificate
Services.
Использование консолей Certificate Authority ,Certificates, Certificate
Templates.
При помощи консоли Certification Authority администратор должен сам анализировать
входящие запросы и принимать решение о выдаче сертификата.
Один из механизмов управления автоматической подачей заявок встроен в шаблоны
сертификатов, определяющие свойства конкретных типов сертификатов. Шаблонами
сертификатов управляют при помощи оснастки Certificate Templates. Эта оснастка позволяет
задавать срок действия и период обновления для отдельных типов сертификатов, а также
выбирать для них поставщиков криптографических служб. Кроме того, на вкладке Security
для конкретного шаблона можно определить пользователей и группы, которым разрешено
получать сертификаты, созданные на основе данного шаблона.
Оснастка Certificates применяется для просмотра и управления сертификатами пользователей
и компьютеров. Она доступна лишь в ЦС предприятия.
77
8. Служба многопротокольной маршрутизации RRA.
В Windows Server 2003 маршрутизация обеспечивается службой RRAS, которая
устанавливается, но не активизируется. Служба RRAS – программный многопротокольный
маршрутизатор, который легко объединяется с другими функциями Windows (учетные
записи безопасности и групповые политики). Служба поддерживает маршрутизацию между
ЛВС-ЛВС, ЛВС-WAN-каналами, VPN- и NAN- маршрутизацию. Ее можно сконфигурировать
для многоадресных IP-рассылок, маршрутизации вызов по требованию, ретрансляции DHCP
и фильтрации пакетов. Поддерживает протоколы RIP v2, OSPF.
Число поддерживаемых RRAS сетевых сегментов = числу сетевых интерфейсов компа.
Статические и динамические маршрутизаторы на базе
многоадаптерных серверов.
Поддержка трафика на узлы, расположенные за пределами широковещательного диапазона
обеспечивается:
1. Путем определения маршрутов вручную, командой routre add или в Консоли RRAS
(это статическая маршрутизация)
2. Конфигурированием динамического протокола маршрутизации RIP, OSPF (это
динамическая маршрутизация). До настройки протокола маршрутизации его надо
добавить в консоль RRAS. После протокол нужно включить на нужных сетевых
интерфейсах.
Таблицы маршрутизации.
Маршрутизаторы считывают адреса назначения пакетов и переправляют пакеты в
соответствии с информации, хранящейся в таблицах маршрутизации. Отдельные записи
таблици маршрутизации наз. маршрутами. Существуют 3 типа маршрутов: 1) узла, 2) сети, 3)
по умолчанию.
Таблица маршрутизации:
Назначения
Маска подсети
Шлюз
Интерфейс
Метрика
Увидеть таблицу маршрутизации можно:
1. В Консоли: щелкнуть Статические маршруты -> отобразить таблицу маршрутизации
2. В командной строке: route print
Для работы с таблицей маршрутизации – утилита Route:
Route print – просмотр таблица
78
Route add – добавить маршрут
Route delete - удалить
Route change- изменить
Маршрутизация коммуникационных соединений по требованию.
Маршрутизация вызовов по требованию – процесс пересылки трафика с одного
маршрутизатора на другой по телефонной линии. Телефонное подключение может
вызываться по требованию или быть постоянным.
Для маршрутизации вызовов по требованию в сетях Windows Server 2003 нужны по крайней
мере 2 маршрутизатора со службой RRAS – вызываемый и вызывающий. Оба
конфигурируются для выполнения обеих функций, но в каждом процессе подключения
вызывающий маршрутизатор должен проходить процедуру аутентификации и авторизации.
Аутентификация выполняется на основе реквизитов вызывающего маршрутизатора,
передаваемых в процессе создания подключения. Они должны соответствовать
пользовательской учетной записи. Авторизация выполняется выполняется в рамках
разрешений пользователя для подключения по телефонной линии и политик удаленного
доступа.
Сконфигурировать интерфейс вызов по требованию.
(Это можно сделать с помощью мастера: Интерфейсы сети -> Создать новый интерфейс по
требованию)
Прописать статические маршруты к сетям, нуждающимся в интерфейсе вызов по требованию
Создание учетных записей, по которым маршрутизатор будет входить в сеть.
Служба RRAS позволяет настроить доп. Функции вызовов по требованию – обратный вызов,
фильтры вызовов по требованию, фильтры пакетов и часы исходящих вызовов.
Фильтрующая и транслирующая маршрутизация.
Настройки входных/выходных интерфейсов.
Использование протоколов RIP v.2, OSPF.
В службе RRAS протоколы маршрутизации обеспечивают связь между маршрутизаторами.
До настройки протокола маршрутизации его надо добавить в консоль RRAS. После протокол
нужно включить на нужных сетевых интерфейсах.
RIP – протокол динамической маршрутизации, позволяющий маршрутизаторам определять
оптимальный путь для пересылки данных. Маршруты выбираются по принципу
минимальной стоимости. По умолчанию стоимость – число переходов, но можно и
сконфигурировать. RIP отбрасывает маршруты со стоимостью выше 15 ->в сети не может
быть больше 15 маршрутизторов. По умолчанию RIP v2 - маршрутизаторы обмениваются
таблицами через 30 сек -> большой сетевой трафик, если 15 мин нет ответа – вычеркивают из
таблицы, за 7-8 мин распрастраняются все таблицы маршрутизации. RIPv1 – обмен
таблицами через 10 сек.
79
RIP поддерживает ряд настраиваемых функций – аутентификацию, фильтрацию равных RIP –
маршрутизаторов, фильтры маршрутов и соседи.
OSPF служит для обмена инфой в крупных сетях. Сложен в развертывании, но обладает
более высокой производителеностью, точностью, масштабируемостью по сравнению с RIP.
OSFP –маршрутизаторы обмениваются сообщениями hello каждые 10 сек. Если произошли
изменения в таблице маршрутизации, то они не всю ее отправляют по сети, а только инфу об
изменившейся связи.
Настройка протокола IGMP групповой рассылки.
Служба Routing and Remote Access в Widows 2000 может также выступать в роли
многоадресного маршрутизатора, используя маршрутизатор IGMP (межсетевого протокола
управления группой) и протокол proxy (поддерживающий IGMP версии 2, который также
совместим с версией 1). Для тех, кто мало знаком с групповым вещанием, напоминаю, что
это тип передачи данных, при котором они посылаются на IP-адрес класса D. Группа
компьютеров, настроенных на данный IP-адрес, прослушивает сетевой трафик и получают
эти данные. Заметьте, что IGMP не является протоколом пересылки данных, но является
протоколом, который отслеживает членство в группах многоадресного вещания.
Преимущество группового вещания в том, что данные передаются только один раз
передающим компьютером и могут быть получены сразу множеством узлов сети. Ключом к
любой реализации группового вещания является то, что маршрутизаторы поддерживают
возможность для узлов регистрироваться и отменять регистрацию как члены группы
многоадресного вещания, что позволяет контролировать, куда направляется групповой
трафик, а также то, что трафик не появится в тех подсетях, где он не требуется. Заметьте, что
в случае, если маршрутизаторы не поддерживают групповое вещание, существует
возможность создавать туннели IP-to-IP, что позволяет трафику передаваться между двумя
маршрутизаторами, поддерживающими групповое вещание, через сети, маршрутизаторы в
которых не поддерживают этот вид маршрутизации. Регистрация в группах многоадресного
вещания очень проста. Когда узел на данной подсети хочет получать групповой трафик, он
контактирует с локальным маршрутизатором и просит его перенаправлять нужный трафик на
особый адрес класса D в его подсеть. Маршрутизатор контактирует с другими
маршрутизаторами «вверх по течению» и просит их присылать данный трафик и т.д. Когда
другие узлы данной подсети просят получать групповое вещание, маршрутизатор просто
добавит их к группе многоадресного вещания, списку тех узлов, которые нуждаются в
получении данного группового вещания. Следует запомнить, что данные группового вещания
не посылается в подсеть несколько раз. Напротив, данные перенаправляются всего один раз и
все узлы, которые участвуют в групповом вещании, будут захватывать эти данные.
Маршрутизатор поддерживает информацию о тех узлах, которые хотят получать групповое
вещание с их периодическим опросом и прекращают передачу данных, если они больше
никому в данной подсети не нужны. Часть Интернета, которая поддерживает групповое
вещание, называется MBONE (широковещательная магистраль). Windows 2000 действует
как маршрутизатор группового вещания следующим образом. На клиентской стороне
маршрутизатора он действует как маршрутизатор группового вещания, обрабатывая запросы
на регистрацию. Однако на внешней стороне, соединенной с Интернетом, он действует как
простой клиент группового вещания, регистрируясь на расположенных в сети
80
маршрутизаторах. Вследствие этого интерфейсы системы должны быть настроены в двух
разных режимах - один в режиме Маршрутизатора и другой в режиме Proxy. Для простоты
запомните, что интерфейс, подключенный к Интернету, должен быть всегда настроен в
режиме Proxy, в то время как интерфейс внутренней сети должен быть настроен в режиме
Маршрутизатора.
Для того чтобы настроить Windows 2000 как маршрутизатор группового вещания, сначала
добавьте IGMP протокол в узле Routing protocols в инструменте Routing and Remote
Access, как показано ниже:
После того, как вы сделаете это, вы должны добавить к данному протоколу интерфейс,
щелкнув правой кнопкой мыши на IGMP и выбрав опцию New Interface. Выбрав новый
интерфейс, вы должны определить, будет ли он настроен в режиме Proxy или
Маршрутизатора, как показано ниже:
81
Удостоверьтесь, что интерфейсы настроены правильно, иначе многоадресная маршрутизация
не будет работать корректно. После того, как два (или более) интерфейса будут настроены,
система с Windows 2000 начнет работать как маршрутизатор группового вещания.
Транслирующий NAT.
Конфигурирование RAS сервера как маршрутизатора.
9. Служба удаленного доступа RAS.
Компоненты службы.
RAS сервер, RAS клиент, аутентификация, защита удаленного доступа к
ресурсам сети.
Соединение через постоянные и коммутируемые линии.
Политики удаленного доступа.
Алгоритм предоставления соединения.
Условия, разрешения и профиль соединения.
Особенности прохождения пакетов IPSec через файрволы, NAT, Proxy.
Установка и настройка службы RAS ***ВНИМАНИЕ*** ТУТ КАКОЕ
ТО ГОВНО ПРО win 2000.
82
Установка Windows 2000 Remote Access Service
Настройка модемных соединений
Когда мы говорим о настройке модемных соединений, мы говорим о настройке сервера.
Сюда входит проектирование системы, установка и активирование. Мы не описываем
настройку модемного соединения на клиенте. Обратитесь к соответствующей документации
клиента.
Настройка сервера RAS в Windows 2000
Перед покупкой оборудования и установкой RAS-устройств, проверьте последний список
совместимости оборудования доя Windows 2000! Зачастую оборудование не работает из-за
отсутствия соответствующих драйверов.
Установка модемов
Прежде всего нажмите кнопку Start и выйдите в Панель Управления (Settings/Control Panel).
Дважды щелкните на иконку Phone and Modem Options. Если вы делаете это в первый раз, у
вас запросят информацию о коде города или системе дозвона. После ввода этой информации
Windows 2000 запустит апплет Phone & Modems Options. Щелкните на закладку Modems,
затем на кнопку Add для запуска мастера установки. Вы можете предоставить Windows 2000
возможность самой определить тип модема, или указать его вручную из списка
поддерживаемых.
Если вы выбрали устновку модема вручную, вам будет предложено выбрать COM-порт. Если
вы указали Windows самой определить модем, она будет искать его на всех доступных портах
и выдаст список найденных модемов. Выберите нужный модем и щелкните кнопку Next.
Windows 2000 автоматически назначит порт и установит правильный драйвер. Затем должно
появиться окно, говорящее о том, что модем успешно установлен.
Установка RAS
Назначением сервера удаленного доступа является прием входящих звонков от удаленных
компьютеров, позволяя тем самым пользователям получать доступ к внутренним сетевым
ресурсам. Windows 2000 содержит встроенный PPP. Любое устройство, которое может
83
устанавливать PPP-соединение, может подключаться к серверу Windows 2000. Сюда входят
системы на базе Macintosh и даже UNIX.
Для того, чтобы Windows 2000 могла принимать звонки, необходимо следующее:





Естественно, Windows 2000 должна быть сконфигурирована с ПО удаленного
доступа для приема звонков.
Устройство клиента должно быть способно установить PPP-соединение.
К серверу RAS должны быть подключены соответствующие устройства (модем,
линия ISDN, T1 и т.п.)
Клиенту должен иметь модем или иное устройство, способное устанавивать
соединение с сервером.
На сервере Windows 2000 должна существовать учетная запись пользователя,
который будет устанавливать соединение.
Если эти условия выполнены, вы можете предоставлять услуги RAS своим пользователям.
Для начала установки RAS щелкните кнопку Start и выберите Programs, Administrative Tools,
Routing and Remote Access. При этом запустится Microsoft Management Console (MMC) и вы
должны увидеть в списке слева свой сервер. Щелкните правой кнопкой мыши на имени
сервера и выберите опцию Configure and Enable Routing and Remote Access. При этом
запустится мастер установки сервера удаленного доступа.
Первым делом надо определить, какую роль будет выполнять сервер. Существует несколько
предопределенных опций - сервер VPN, сервер RAS или сетевой маршрутизатор. Мы
выбираем сервер RAS. Щелкните на радио-кнопке Remote Access Server и затем кнопку Next.
Вас спросят, хотите ли вы сконфигурировать сервер как основной RAS-сервер (т.е.
самостоятельный сервер с упрощенным администрированием), или как Расширенный RASсервер (способный использовать политики удаленного доступа и являющийся сервером членом домена). Windows сообщит, что вы должны настроить входящие сетевые соединения
в папке Network and Dial-up Connections. После того, как вы нажмете OK, Мастер завершит
работу.
Если вы выбрали настройку расширенного (advanced) RAS-сервера, вас попросят проверить
установленные протоколы.
84
Из рисунка можно было бы подразумевать, что вы можете выбрать, какие протоколы
использовать с RAS. К сожалению, это не так. Мастер установки RAS подразумевает, что вы
будете использовать все протоколы для удаленных соединений. Если вы хотите удалить
протоколы с сервера RRAS, Вам следует сделать это вручную, после завершения установки.
Подразумевая, что TCP/IP уже установлен, следующим шагом Мастер RRAS решает, как вы
хотите управлять назначением IP-адресов клиентам. Поскольку каждое устройство в сети
требует уникального адреса IP, у вас должен быть метод распределения адресов. Если у вас в
сети есть сервер DHCP (не обязательно на той же машине, что и RAS), вы можете
использовать службу DHCP для автоматического назначения адресов IP. Это опция по
умолчанию. Для ее использования вам необходим активный сервер RAS, имеющий
достаточное количество адресов IP. Если по каким-то причинам вам нужно определить
диапазон этих адресов, включите радио-кнопку "From" и щелкните "Next". В следующем
окне определите диапазон IP-адресов. Иногда это требуется при наличии скриптов или
программ, зависящих от IP-адресов. Определив диапазон, щелкните кнопку "Next".
На следующем экране вам следует определить способ аутентификации пользователй. Здесь
есть две опции: использовать сервер RADIUS ("Yes, I want to use a RADIUS server," или без
85
него ("No, I don't want to set up this server to use RADIUS now.") Если вы не знаете, что такое
RADIUS, это может вас смутить. RADIUS - это сокращение от Remote Authentication Dial-In
User Service (служба аутентификации удаленных соединений), она используется для
аутентификации и регистрации удаленных соединений разного типа. RADIUS содержит
защищенную базу данных, в которой пользователи и устройства имеют разные уровни
доступа. Если у вас есть RADIUS, вы можете настроить RRAS для аутентификации
пользователей с его помощью. Настройка RADIUS выходит за рамки этой книги, поэтому
выберите "No" и щелкните "Next".
Поскольку вы не используете RADIUS, вам остается нажать кнопку "Finish" для завершения
установки RRAS. Начиная с этого места сервер готов принимать входящие соединения,
назначая им IP-адреса, проверяя их в базе данных клиентов (Windows 2000 Active Directory
или RADIUS), и позволяя им получить доступ в сеть. Но не торопитесь: мы еще не
определили, кто может использовать удаленный доступ! Мы же не хотим разрешить кому
угодно дозваниваться до нашего сервера? Следующим шагом является предоставление
пользователям прав в дереве Active Directory. Щелкните кнопку Start выберите Programs,
Administrative Tools, Active Directory Users and Computers, найдите пользователя, которому
вы хотите дать права. Щелкните правой кнопкой мыши на пользователе, выберите Edit,
войдите свойства. Выберите закладку Dial-in в Administrator Properties.
По умолчанию, в блоке "Remote Access Policy" включена опция Control access. Щелкните
"Allow access" для предоставления прав удаленного доступа. Здесь также есть некоторые
86
опции безопасности. Если модем и телефонная линия поддерживает caller ID, вы можете
включить эту опцию для проверки того, что звонок исходит из правильного места. Еще одной
опцией является использование обратного вызова (Callback). Если она включена, сервер RAS
попробует вызвать пользователя по указанному телефонному номеру для установления
соединения. Это првязывает пользователя к конкретному телефонному номеру. Другая опция
состоит в назначении пользователю фиксированного IP-адеса при каждой регистрации.
Обычно это используется для настройки правил фильтрации на межсетевых экранах.
Кажется, все готово. Вы установили требуемое оборудование, программное обеспечение,
настроили службу удаленного доступа и предоставили пользователям права для удаленного
соединения. Но не торопитесь. Сначала протестируйте свой сервер, чтобы убедиться, что он
предоставляет те услуги, которые требуются. Очень часто администраторы настраивают
систему, а потом убеждаются, что она не соответствует их требованиям. Чем более
тщательно будет проведено тестирование, тем лучше все будет работать.
Использование
RADIUS
RADIUS является очень мощным средством при использовании совместно с удаленным
доступом. Большинство решений VPN поддерживают RADIUS, а учетная информация может
быть получена от сервера RADIUS. И все же его внедрение следует тщательно обдумать.
RADIUS можно использовать для защиты чего угодно - от веб-страниц до локальной сети.
Существует несколько доступных пакетов RADIUS, но все основаны на базовом протоколе.
Сетевые устройства, например, маршрутизаторы, могут передавать учетные данные как часть
RADIUS-пакета на сервер учета, который в свою очередь может использоваться для сбора
статистики.
Изменение установки RAS
После установки, вам может потребоваться вносить изменения в свойства RRAS. Мастер
RRAS, облегчающий начальную установку, делает слишком много невидимых для вас
предположений, которые вам, возможно, потребуется изменить. Для изменения настроек
запустите консоль Routing and Remote Access MMC, щелкните правой кнопкой мыши на
имени сервера, выберите Properties.
87
Здесь вы можете изменить настройку PPP, метод аутентификации, удалить ненужные
протоколы. Закладка General используется в основном для переключений функций сервера
RRAS как сервера удаленного доступа или маршрутизатора. Windows 2000, имеющая
несколько сетевых адаптеров, может выполнять функции маршрутизатора между
несколькими подсетями. RRAS - сокращение от "Routing and Remote Access Services",
поскольку Windows 2000 может выполнять функции маршрутизации. Windows 2000
включает собственное решение RADIUS, называемое Internet Authentication Service (IAS).
Этот дополнительный компонент можно установить через Add/Remove Programs. За более
подробной информацией об IAS обратитесь к файлам помощи Windows 2000 или Server
Resource Kit.
88
Как упоминалось ранее, можно использовать либо аутентификацию Windows 2000, либо
RADIUS. Если вы хотите позднее установить у себя сервер RADIUS, здесь вы можете
включить его использование. Закладка "Accounting" позволяет выбрать тип учета - Windows
Accounting, RADIUS Accounting, или None. Система учета, принятая по умолчанию, дает
значительно меньше информации, чем RADIUS.
Щелкнув на кнопку "Authentication Methods" вы попадете в список возможных методов
аутентификации. Обычно используют MS-CHAP или and PAP, хотя есть и такие
дополнительные методы, как EAP и даже Unauthenticated Access.
89
На этом рисунке показана закладка IP, где вы можете включить маршрутизацию IP,
определить метод адресации клиентов, добавить и удалить IP-адреса из адресного пула. Здесь
же вы можете указать использовать DHCP или статический пул адресов. Чтобы клиенты
могли получить доступ во внутреннюю сеть, вы должны включить маршрутизацию IP.
Закладка PPP позволяет изменить свойства PPP-соединения. Вы можете определить
разрешение множественных соединений, использование прграммного сжатия, расширения
протокола LCP. Индивидуальные настройки выплняются настройкой политик удаленного
доступа.
Последняя закладка - это Event Logging. Здесь вы можете указать, какие события должны
регистрироваться. Если включена опция Point-to-Point Protocol logging, события PPPсоединения записываются в файл Ppp.log, находящийся в каталоге %systemroot%\Tracing. Для
вступления изменений в силу вы должны перезапустить сервер RRAS.
Помимо этих настроек неплохо также проверить свойства портов, настроенных на RRASсоединения. Мастер установки RRAS подразумевает, что все модемы доступны для входящих
соедиений. Это также открывает порты для злоумышленников, которые попытаются
"завалить" ваш сервер. Поэтому неиспользуемые порты лучше удалить. Для использование
порта для удаленного доступа, подсветите соединение и нажмите кнопку Configure.
Проверьте флажки Remote Access Connections (Inbound Only).
90
Политики удаленного доступа
Это заключительная стадия настройки удаленного доступа. Политики настраиваются в
консоли RRAS.
Для создания новой политики выберите в консоли папку Remote Access Policies, щелкните
правой кнопкой мыши в правой панели и выберите New Remote Access Policy.
Введите имя политики, а затем настройте условия. Здесь есть немного доступных опций,
начиная от caller ID и заканчивая временем регистрации и принадлежности пользователя
группе. Эти настройки будут применяться к удаленным соедиениям.
Если ваш сервер Windows 2000 RAS работает в смешанном режиме, опция управления
удаленным доступом посредством политики недоступна. Серверы RAS Windows NT 4.0
неспособны принимать политику удаленного доступа. По этой причине все пользователи,
требущие доступ к службе RAS, должны иметь в своих индивидуальных свойствах право
доступа "Allow", а политика удаленного доступа, используемая по умолчанию, должна быть
удалена.
Управление подключенными пользователями
Мониторинг пользовательских сеансов является бесценным инструментом для управления
удаленным доступом и устранения проблем. Windows 2000 содержит ряд встроенных
инструментов.
Первым средством является консоль Routing and Remote Access MMC. Подсветите ветку
Remote Access Clients вашего сервера RRAS и вы получите список текущих подключенных
пользователей.
Есть
один
трюк,
который
вы
можете
использовать
для
разрешения/запрещения доступа группе пользователей. Если для группы создать политику и
включить туда условие, которое никогда не выполняется, то всей группе будет отказано в
доступе. Например, включить ограничение Restrict Dial-in to this number only (Ограничить
дозвон только с указанного номера) и указать фиктивный номер.
91
Еще одной полезной функцией является возможность посылки пользователям сообщения.
Это можно использовать для предупреждения их о выключении сервера, просьбе выйти из
системы и т.п. Такие сообщения будут появляться в выскакиващем окне, аналогично команде
NET SEND. Однако, пользователи не могут сами посылать сообщения.
Другой полезной утилитой является Performance Monitor. Он может использоваться для сбора
информации о службе RAS. Его отчеты можно просмотреть утилитой perfmon. Помните, в
RRAS своя собственная система журнализации событий. Windows 2000 также включает
полезную утилиту netsh. Введите с командной строки Netsh RAS для получения доступных
команд, которые вы можете дать серверу RAS. Netsh - это утилита запросов, которая
позволяет получить информацию о доступности служб и их текщем состоянии.
Клиент подключается по Dial up, используя PPP или ISDN или X..25, к компьютеру с
Win2003 и службой RRA Настройки сервера и клиента производяться с помощью мастеров
(Мастера новых подключений – клиент, Мастер RRA – сервер).
Адресация клиентов: (соответствующие галочки в мастере настройки сервера)
-DHSP сервером , выделяться по 10 адресов
-Статически, как часть диапазона внутреннего адреса сервера.(Сервер – 192.168.1.1./24
соответственно диапазон: 192.168.1.0./24 , из него необходимо исключить используемые в
сети адреса).
Аутентификация: подтверждение личности пользователя, проверка пароля, сертификатов и
др. учетные данные.
Метод определяется в мастере настройки сервера или на вкладке безопасность свойств
сервера, есть два варианта с использованием RADIUS (В случае нескольких серверов), и без
использование RADIUS.
Протоколы аутентификации: EAP-TLS, CHAP v 1 , CHAP v 2, EAP-MD5 CHAP, CHAP,
SPAP,PAP, «Доступ без идентификации» - различаться способом и шифрованием, наличием
или отсутствием ключей и сертификатов, поддержкой разными ОС.
Клиент – настройка протоколов на вкладке свойства/безопасность/дополнительные
параметры безопасности.
Сервернастройка протоколов на вкладке свойства/безопасность/методы проверки
подлинности.
Авторизация: два действия. 1-е Проверка свойства входящих звонков учетной записи
пользователя (предоставляться подключением). 2-е Применение подходящей политики
безопасности.
92
Сервер – настройка учетной записи заранее в консоли AD(пользователи и компьютеры),
вкладка /Входящие звонки/.
Есть три разрешения удаленного доступа: -на основе политики безопасности, -разрешить,
-запретить.
Можно проверять номер абонента установив флажок /Проверять код звонящего/, можно
организовать ответный вызов, можно задавать статические IP пользователям.
Политики безопасности- набор разрешений и ограничений, применяемые к подключению
удаленного доступа после его аутентификации. В консоли (дереве)RRA – узел /Политики
удаленного доступа/. Политики обрабатываться либо RRA либо RADIUS серверами. По
умолчанию определены две политики: 1-я подключение к RAS, 2-я подключение к другим
серверам удаленного доступа. Основой политик являются параметры политики - их много ,
например методы аутентификации, принадлежность к глобальной группе безопасности
(нельзя задавать членство в универсальных группах или локальных). Политика ЛИБО
ПРЕДОСТАВЛЯЕТ ДОСТУП, ЛИБО ОТКАЗЫВАЕТ.
Профили политик – это набор ограничений и свойств (время простоя до разъединения,
время в течении которого клиент может быть подключен, доступ в определенное время….).
Профиль многоканальное подключение – канал содержит несколько физических линий,
отвечает за работу протокол BAP. Профиль Проверка подлинности – определяет
тип(протокол) аутентификации для политики. Профиль шифрование – порядок поддержки
шифрования MPPE – 40 бит, 56 бит, 128 бит, или без шифрования.
Алгоритмы предоставления доступа:
1.Проверка учетной записи (шаг 2 только в случае /управление доступом политикой/ в
случае /разрешить доступ/ - сразу шаг три)
2.Политика удаленного доступа (шаг 3 только в случае /предоставить доступ/)
3.Оценка профиля политики.
93
10. Базовые механизмы и концепции IPSec.
IPSec предназначен для защиты данных цифровой подписью и шифрованием перед
передачей по сети. IPSec шифрует и инкапсулирует содержимое IP-дейтаграмм, делая
невозможным чтение информации из перехваченных пакетов.
Работая на сетевом уровне, как расширение протокола IP, IPSec обеспечивает сквозное
шифрование. Т.е. данные шифрует компьютер-отправитель, а расшифровка происходит
только на компьютере-адресате. Промежуточные системы (маршрутизаторы) обрабатывают
зашифрованное содержимое пакетов как обычные данные (перенаправляют по адресу без
расшифровки).
Функции IPSec:
 Генерация ключей. Общий шифровальный ключ позволит одному компьютеру
зашифровать данные, а второму – расшифровать. Передавать ключь в открытом виде по
сети – нельзя (опасно). Компьютеры обмениваются описанием вычислений идентичных
ключей, но не самими ключами. Ключи же генерируются по алгоритму Диффи-Хелмана.
 Криптографические контрольные суммы. IPSec применяет криптографические ключи
для расчета контрольной суммы данных в каждом пакете, называемой хэш-кодом проверки
подлинности сообщения (HMAC). Т.е. если кто-то изменит пакет, то значение HMAC,
вычисленное получателем, будет отличаться от присланного в пакете.
 Взаимная проверка подлинности. IPSec поддерживает проверку подлинности с
использованием протокола Kerberos, цифровых сертификатов и предварительного ключа.
После взаимной проверки подлинности криптографическая контрольная сумма в каждом
пакете будет играть роль цифровой подписи, исключая подмену участников
взаимодействия.
 Защита от повтора. IPSec предотвращает повтор пакетов, назначая каждому пакету
порядковый номер. Система с Ipsec не примет пакет с неправильным порядковым номером.
 Фильтрация IP-пакетов. IPSec включает собственный независимый механизм фильтрации
пакетов, позволяющий предотвращать DoS-атаки посредством блокировки определенных
видов трафика на основе IP-адресов, протоколов, портов и их комбинаций.
Как действует IPSec
Прежде чем защищать и передавать данные между двумя машинами, поддерживающими
IPSec, между этими машинами должно быть согласовано, какие ключи, механизмы и
политики безопасности будут использоваться для защиты данных. В результате этого
согласования создается так называемая ассоциация безопасности (SA – security association).
Для обмена данных с помощью IPSec между двумя компьютерами создается начальная SA,
которая называется протоколом ISAKMP (Internet Security Association and Key Management
Protocol); этот протокол представляет метод обмена ключами. Затем, используя для защиты
ISAKMP, происходит второе согласование, чтобы создать пару SA для IPSec и ключи, один
из которых используется для входящих и второй – для исходящих соединений. Эти SA
содержат согласованный алгоритм шифрования и обеспечения целостности, а также
согласованный для использования протокол IPSec. Имеются следующие два протокола IPSec.
 Authentication Header (AH – Заголовок аутентификации). Обеспечивает
аутентификацию и целостность данных, а также защиту от воспроизведения для IPпакетов.
94

Encapsulating Security Payload (ESP – Инкапсулированная информация
безопасности). Обеспечивает конфиденциальность в сочетании с аутентификацией и
целостностью данных, а также защитой от воспроизведения для IP-пакетов.
Ключи и SA для IPSec загружаются в драйвер IPSec на своих машинах и используются для
защиты данных во время их передачи.
Internet Protocol Security (IPSec)
И, наконец, протокол безопасности IPSec Windows Server 2003 обеспечивает сквозную
защиту сетевых данных с помощью шифрования, цифровой подписи и алгоритмов
хеширования. Драйвер IPSec защищает отдельные пакеты, прежде чем они попадут в сеть, и
снимает защиту после того, как они получены. Поскольку драйвер IPSec располагается на
транспортном уровне IP, то отдельным приложениям не требуется знание специфики защиты
данных во время их передачи. Данные, переданные через сеть из приложений, не имеющих
средств безопасности, могут быть, тем не менее, защищены. Поскольку IPSec защищает
пакеты данных (а не сам канал), то IPSec может обеспечивать безопасность для обмена в
незащищенных сетях, и только двум компьютерам, участвующим в обмене, требуется знать
об этом. IPSec обеспечивает ряд следующих возможностей безопасности.
 Аутентификация. Использование цифровой подписи позволяет верифицировать
идентичность отправителя.
 Целостность. Использование алгоритмов хеширования обеспечивает проверку того,
что данные не были изменены.
 Конфиденциальность. Использование шифрования защищает данные от прочтения.
 Защита от воспроизведения (Anti-replay). Защищает пакеты от повторной отправки
злоумышленником для получения несанкционированного доступа.
 Невозможность отрицания (Nonrepudiation). Использование цифровых подписей
открытого ключа доказывает авторство источника сообщения.
 Динамическое формирование ключей (Dynamic rekeying). Способность
генерировать ключи во время передачи, чтобы части передаваемой информации были
защищены различными ключами.
 Генерация ключей. Алгоритм согласования ключей Диффи-Хеллмана позволяет
двум компьютерам согласовывать ключ, не показывая его.
 Длина ключей. Позволяет задавать длину ключей для ограничений экспорта или для
передачи особо важной информации.
Компоненты IPSec.
 Агент политики IPSec – служба, использующая политики IPSec, которые хранятся в БД
AD или реестре Windows
 Протокол Internet Key Exchange (IKE) – позволяет компьютерам, использующим IPSec,
обмениваться сведениями о генерации ключей по алгоритму Диффи-Хеллмана и создавать
сопоставления безопасности. Взаимодействие с применением IKE осуществляется в два
этапа. На первом этапе согласовываются алгоритмы шифрования и хэширования, а также
способы проверки подлинности. На втором этапе создаются два сопоставления
безопасности (по одному для каждого направления передачи). На втором этапе согласуются
95
протоколы IPSec, алгоритмы хэширования и шифрования, а также происходит обмен
сведениями о проверке подлинности и генерации ключа.
 Драйвер IPSec – выполняет собственно подготовку защищенного взаимодействия:
генерирует контрльные суммы, формирует пакеты IPSec и шифрует данные для передачи.
Драйвер получает список фильтров от системной политики IPSec и сравнивает с этим
списком все исходящие пакеты. Если пакет соответствует критериям списка, драйвер
инициирует взаимодействие с целевой системой IKE, добавляет к исходящему пакету AHи ESP-заголовки, а также шифрует данные пакета при необходимости. Для входящих
пакетов драйвер IPSec вычисляет хэш-код, контрольные суммы и сравнивает их с
соответствующими значениями, полученными вместе с пакетом.
Служба IPSec Policy Agent, служба управления ключами IKE, драйвер
IPSec.
Компоненты политик IPSec и их функции.
Управление политиками IPSec
Важным компонентом IPSec является агент политик. Агент политик начинает действовать во
время запуска системы, и он обеспечивает считывание информации политик IPSec из Active
Directory или реестра и передачу этой информации драйверу IPSec. Для компьютеров домена
информация политики домена считывается из Active Directory при запуске компьютера и
затем – через интервалы времени, определенные политикой. Для изолированных
компьютеров или отсоединенных компьютеров агент политик считывает политики из
реестра. После повторного подсоединения компьютера считанная политика домена замещает
локальную политику.
На рисунке показано, каким образом информация политики передается из Active Directory
драйверу IPSec. Агент политик IPSec считывает политики безопасности и передает их
драйверу IPSec.
В главе 21 описывается, как использовать управление политиками IPSec для определения и
управления политиками IPSec для отдельных компьютеров или целого домена. Windows
Server 2003 также содержит заранее определенные политики, которые можно настраивать для
конкретных целей.
Политика IPSec состоит из трех элементов:
 Правила – комбинации списка фильтров IP и действий фильтра, определяющие, когда и
как компьютер должен использовать IPSec. Политика IPSec может включать множество
правил.
 Списки фильтров IP – наборы фильтров, определяющих на основании IP-адресов,
протоколов и номеров портов или их комбинации трафик, который система должна
защищать с использованием IPSec.
 Действия фильтра – настройки, определяющие как именно IPSec будет защищать
отфильтрованные пакеты. Действия фильтров указывают, должен ли IPSec использовать
AH, ESP или оба этих протокола, а также применяемые алгоритмы защиты целостности и
шифрования данных.
96
Политика переговоров и политика безопасности.
Протоколы безопасности, используемые службами IPSec: ISAKMP/Oakley,
AH, ESP.
ISAKMP/Oakley
Протокол ISAKMP определяет общую структуру протоколов, которые используются
для установления SA и для выполнения других функций управления ключами. ISAKMP
поддерживает несколько Областей Интерпретации (DOI), одной из которых является IPSecDOI. ISAKMP не определяет законченный протокол, а предоставляет "строительные блоки"
для различных DOI и протоколов обмена ключами.
Протокол Oakley – это протокол определения ключа, использующий алгоритм замены
ключа Диффи-Хеллмана. Протокол Oakley поддерживает идеальную прямую безопасность
(Perfect Forward Secrecy – PFS). Наличие PFS означает невозможность расшифровки всего
траффика при компрометации любого ключа в системе.
Протокол IP Authentication Header (AH) не шифрует данные IP-пакетов, а
предоставляет службы проверки подлинности, целостности и защиты от повтора пакетов. AH
можно использовать как отдельно, так и совместно с ESP. В отдельности AH предоставляет
базовые службы защиты, создавая сравнительно низкую нагрузку. Сам по себе AH не
предотвращает чтение содержимого перехваченных пакетов, но гарантирует, что пакет не
изменился в пути и был сгенерирован системой, на которую указывает IP-адрес отправителя
пакета.
При использовании AH система вставляет в IP-дейтаграмму AH-заголовок, размещая
его сразу после IP-заголовка и перед данными дейтаграммы.
Поля заголовка AH:
Next Header Playload Length Reserved
Security Parameters Index
Sequence Number
Authentication Data
 Next Header (Следующий заголовок). Содержит IANA-код протокола, сгенерировавшего
заголовок, следующий за AH-заголовком. Если IPSec использует только AH, это поле
содержит код протокола, сгенерировавшего данные дейтаграммы, обычно это TCP, UDP
или ICMP.
 Payload Length (Длина AH-заголовка).
 Reserved (Зарезервировано). Не используется.
 Security Parameters Index (Индекс параметров защиты). Содержит значение, которое с IPадресом назначения и протоколом безопасности (AH) пакета определяет сопоставление
безопасности (security association) дейтаграммы. Сопоставление безопасности – это
перечень мер, согласованный и применяемый взаимодействующими компьютерами для
защиты передаваемых данных.
97
 Sequence Number (Порядковый номер). Содержит значение, которое в первом пакете с
некоторым сопоставлением безопасности равно1 и увеличивается на 1 в каждом
последующем пакете с тем же сопоставлением. Реализует защиту от повтора.
Использующие IPSec системы отбрасывают пакеты с одинаковыми порядковыми номерами
и сопоставлениями безпасности.
 Authentication Data (Данные проверки подлинности). Содержит значение проверки
целостности (ICV), вычисляемое компьютером-отправителем на основе отдельных полей
IP- и AH-заголовков, а также данных IP-дейтаграмм. Принимающая системма повторяет эти
вычисления и сравнивает полученный результат с значением, рассчитанным отправителем.
Протокол IP Encapsulating Security Payload (ESP) шифрует данные IP-дейтаграммы,
предотвращая чтение злоумышленниками информации из перехваченных пакетов. Кроме
того, ESP предоставляет службы проверки подлинности, целостности и защиты от повтора
пакетов. В отличии от AH, вставляющего в IP-дейтаграмму только заголовок, ESP вставляет
вместе с заголовками трейлер, заключая в свои данные содержимое дейтаграммы. Протокол
шифрует все данные между ESP-заголовком и трейлером. Т.е. из перехваченного пакета
удастся прочитать IP-заголовок, но не содержимое дейтаграммы, включая TCP, UDP или
ICMP-заголовок.
Формат ESP-сообщения:
Security Parameters Index
Sequence Number
Payload Data
Padding
Pad Length
Next Header
Authentication Data
 Security Parameters Index (Индекс параметров защиты). Содержит значение, которое с IPадресом назначения и протоколом безопасности (AH или ESP) пакета определяет
сопоставление безопасности (security association) дейтаграммы.
 Sequence Number (Порядковый номер). Содержит значение, которое в первом пакете с
некоторым сопоставлением безопасности равно 1 и увеличивается на 1 в каждом
последующем пакете с тем же сопоставлением. Реализует защиту от повтора.
Использующие IPSec системы отбрасывают пакеты с одинаковыми порядковыми номерами
и сопоставлениями безпасности.
 Payload Data. Содержит данные протокола TCP, UDP или ICMP из исходной IPдейтаграммы.
 Pad Length (длина заполнителя). Указывает число байтов-заполнителей, добавленных
системой в поле Payload Data для получения 32-разрядного значения типа word.
 Next Header (Следующий заголовок). Содержит IANA-код протокола, сгенерировавшего
заголовок, следующий за ESP-заголовком. Почти всегда это код протокола,
сгенерировавшего данный дейтаграммы (TCP, UDP или ICMP).
 Authentication Data (Данные проверки подлинности). Содержит значение проверки
целостности (ICV), расчитанное по данным между ESP-заголовком и ESP-трейлером
98
(включительно). Принимающая система повторяет расчет ICV и сравнивает результат с
значением, вычесленным отправителем.
Структуры пакетов для транспортного и туннельного режимов
IPSec.
Выше были рассмотрены работы протоколов AH и ESP в транспортном режиме.
Транспортный режим используется для шифрования поля данных IP пакета,
содержащего протоколы транспортного уровня (TCP, UDP, ICMP), которое, в свою очередь,
содержит информацию прикладных служб. Примером применения транспортного режима
является передача электронной почты. Все промежуточные узлы на маршруте пакета от
отправителя к получателю используют только открытую информацию сетевого уровня.
Недостатком транспортного режима является отсутствие механизмов скрытия конкретных
отправителя и получателя пакета, а также возможность проведения анализа трафика.
Для защиты взаимодействия компьютеров в сети применяется транспортный режим, в
котором промежуточным системам (маршрутизаторам) не требуется поддерживать IPSec.
Туннельный режим предназначен для защиты ГВС-подключений, особенно VPNподключений, использующих Интернет в качестве среды передачи. В туннельном режиме
взаимодействующие системмы не поддерживают и не реализуют протоколы IPSec; этим
занимаются маршрутизаторы на обоих концах ГВС-канала.
Соединение в туннельном режиме осуществляется так:
1.Компьютеры одной из частных сетей передают свои данные в обычных, незащищенных IPдейтаграммах.
2.Пакеты достигают ГВС-маршрутизатора, который инкапсулирует их в данные IPSec, при
необходимости шифруя и подписывая пакеты.
3.Маршрутизатор передает защищенные пакеты маршрутизатору на другом конце ГВСканала.
4.Второй маршрутизатор проверяет пакеты, вычисляя и сравнивая значения ICV при
необходимости расшифровывая эти пакеты.
5.Второй маршрутизатор извлекает из защищенных пакетов обычные, незащищенные IPдейтаграммы и передает их получателям в частной сети.
В отличии от транспортного режима, когда IPSec изменяет существующую IPдейтаграмму, добавляя в неё собственные заголовки, реализации туннельного режима
создают совершенно новую дейтаграмму и используют её для инкапсуляции имеющейся
дейтаграммы. Оригинальная дейтаграмма находится внутри новой в неизменном виде.
Заголовки IPSec являются частью внешней дейтаграммы, которая существует только для
передачи инкапсулированной дейтаграммы между маршрутизаторами.
99
Предопределенные политики IPSec.
Настройка политик на соединяющихся сторонах.
Для просмотра и управления политиками IPSec применяется оснастка MMC Политики
безопасности IP (IP Security Policies). Эта оснастка входит в состав консоли Редактор
объектов групповой политики.
Windows 2003 Server по умолчанию создает три политики:
 Клиент (Ответ только) – активирует IPSec на компьютере, только если этого требует
другой компьютер. Компьютер, использующий данную политику, никогда не начнет
первым согласование параметров IPSec и делает это только при запросе защищенного
соединения. Политика предназначена для компьютеров, подключающихся как к
защищенным серверам, так и к системам, не требующим защиты IPSec.
 Безопасный сервер (Требовать безопасность) – задает применение защиты IPSec для всех
соединений. Если машина, с которой компьютер пытается установить связь, не
поддерживает IPSec, соединение установлено не будет. Политика предназначена для
компьютеров, работающих с важными данными, требующих непременной защиты.
 Сервер (Запрос безопасности) – определяет запрос защиты IPSec при подключении к
другим компьютерам. Если целевой компьютер поддерживает IPSec, будет начато
согласование параметров IPSec, в противном случае система установит обычное IPсоединение. Политика предназначена для компьютеров, которым не требуется высшая
степень защиты, способных взаимодействовать с системами, не поддерживающими IPSec.
Определение политик IPSec
Политика IPSec передается от агента политик драйверу IPSec, а также определяет нужные
процедуры для всех задач протокола: когда и как защищать данные и какие методы
безопасности нужно использовать. Для определения политик нужны определенные знания.
Прежде чем перейти к реальному конфигурированию, освоим терминологию, определив
компоненты политики IPSec.
 IP filter (Фильтр IP). Подмножество сетевого трафика, определяемое IP-адресом,
портом и транспортным протоколом. Этот фильтр указывает драйверу IPSec, какие
выходные и входные трафики следует защитить.
 IP filter list (Список фильтров IP). Конкатенация одного или нескольких фильтров
IP, определяющая диапазон сетевого трафика.
 Filter action (Действие фильтра). Каким образом драйвер IPSec должен защищать
сетевой трафик.
 Security method (Метод обеспечения безопасности). Алгоритмы и типы
безопасности, используемые для аутентификации и обмена ключей.
 Tunnel Setting (Туннелирование). IP-адрес или DNS-имя конечной точки «туннеля»
(при использовании туннелирования IPSec для защиты точки доставки пакета).
 Connection type (Тип соединения). Тип соединения, на который воздействует
политика IPSec: удаленный доступ, соединение локальной сети (LAN) или все сетевые
соединения.
 Rule (Правило). Сочетание компонентов: фильтр IP, действие трафика, методы
обеспечения безопасности, туннелирование и тип соединения. Политика IPSec может
иметь несколько правил для отдельной защиты каждого подмножества сетевого
трафика.
100
Использование заранее определенных политик IPSec
Имеются три базовые заранее определенные политики, готовые для непосредственного
использования или как начальный вариант для более развитых политик IPSec.
Используйте политику Client (Respond Only) (Клиент [Только для ответа]) на компьютерах,
которые обычно не отправляют незащищенных данных. Эта политика не инициирует
защищенные соединения. Если безопасность запрашивается сервером, то клиент отвечает,
защищая только запрошенный протокол и направляемый через порт трафик с этим сервером.
Политику Server (Request Security) (Сервер [Запрашивать безопасность]) можно использовать
на любом компьютере (клиентском или серверном), которому требуется инициировать
защищенное соединение. В отличие от политики типа Client, политика Server защищает все
исходящие передачи данных. Незащищенные входящие передачи будут приниматься на
сервере, но их разрешение происходит только в случае запросов безопасности IPSec от
отправителя всех последующих передач данных. В качестве протокола безопасности для этой
политики требуется Kerberos.
Самой жесткой из заранее определенных политик является Secure Server (Require Security)
(Защищенный сервер [Требует обеспечения безопасности]); при этой политике не происходит
отправки или приема незащищенных данных. Клиенты, которые пытаются подсоединиться к
защищенному серверу, должны использовать, как минимум, заранее определенную политику
Server или эквивалентную политику. Как и политика Server, политика Secure Server
использует аутентификацию Kerberos.
В следующем разделе показано, как создавать политику IPSec с самого начала. Но для начала
изучим одну из заранее определенных политик, чтобы ознакомиться с этой темой.
101
11. Виртуальные частные сети VPN.
VPN (Virtual Private Network) - механизм безопасной прозрачной для пользователя передачи
информации через незащищенные сети (например, Internet) с возможностью удаленного
использования ресурсов сети как если бы пользователь находился внутри этой сети
(примером может служить локальная сеть офиса и сотруднику, уехавшему в командировку,
нужно получить доступ в нее через Интернет).
Что такое виртуальные частные сети
Виртуальная частная сеть (VPN) является расширением частной сети через открытую сеть,
такую как Internet. Использование VPN позволяет передавать через соединения открытой
сети данные в форе, похожей на соединения частного двухточечного протокола
туннелирования PPTP (Point-to-Point Tunneling Protocol). Для виртуальных частных сетей
используется инфраструктура маршрутизации Internet, но пользователь воспринимает это как
выделенный частный канал.
Виртуальные частные сети привлекательны тем, что доступ происходит через Internet и,
следовательно, имеет глобальный характер. Каналы связи создаются быстро, дешево и
безопасно в масштабах всего мира. Отпадает необходимость выделенных частных линий, а
защита может быть сконфигурирована на очень высоких уровнях. В исследовании компании
Infonetics Research за 2002 г. «User Plans for VPN Products and Services, US/Canada» (прогноз
пользовательского спроса продуктов и услуг VPN) прогнозируется рост расходов на
продукты и услуги VPN на 117% - с 21,3 млрд. до 46,2 млрд. долларов США за период с 2002
по 2006 г.
Виртуальные частные сети
Прежде чем приступить к рассмотрению виртуальных частных сетей (VPN – virtual private
networks), что они означают и почему применяются, раскроем сокращение VPN.
«Виртуальная» - означает имитируемая, «частная» означает секретная и конфиденциальная и
«сеть» означает набор компьютеров.
Логически VPN – это просто расширение частной сети. В реальности частные сети
географически изолированы от удаленных пользователей и других частных сетей
незащищенными линиями передачи данных, такими как Internet. Используя защищенный
протокол сетевого уровня, подобный IPSec, можно эмулировать частный канал между двумя
отдельными сетями. То, что на самом деле является оболочкой для данных, создаваемой
перед тем, как они будут переданы через незащищенные сети экстранет или интранет,
воспринимается обеими сторонами (реквестором и аутентификатором) как частная
выделенная линия. Поскольку пакеты данных защищены шифрованием, любая
перехваченная при передаче информация является нечитаемой.
Протокол IPSec позволяет шифровать передачу между равноправными машинами; по
определению, никакого сервера не требуется. Сравните это с сетями VPN, для которых
требуется использование выделенного сервера, связанного с частной сетью. Допуская
соединения только с VPN-авторизованными клиентами, сервер VPN позволяет осуществлять
частный трафик в физическом анклаве без требования дополнительной внутренней
безопасности.
Прежде чем установить VPN-соединение, для клиента должна быть подтверждена VPNавторизация. Авторизация основывается на политиках удаленного доступа, установленных
102
сетевым администратором, и на свойствах коммутируемых (dial-in) соединений клиента,
который запрашивает данное соединение. После того, как будет определен пользователь для
авторизации и произойдет односторонняя или взаимная аутентификация можно установить
VPN-соединение. В Windows Server 2003 включены два следующих протокола, которые
используются для инкапсуляции данных через виртуальную частную сеть.
 Point-to-Point Tunneling Protocol (PPTP – туннельный протокол двухточечной
связи). Обеспечивает шифрование данных с помощью метода двухточечного
шифрования Microsoft Point-to-Point Encryption (MPPE).
 Layer Two Tunneling Protocol (L2TP – туннельный протокол уровня 2).
Обеспечивает шифрование, аутентификацию и целостность данных с помощью IPSec.
Компоненты VPN.
В Windows Server 2003 соединение виртуальной частной сети состоит из сервера VPN,
клиента VPN, соединения VPN (той части соединения, где шифруются данные) и туннеля
(той части соединения, где инкапсулируются данные). Туннелирование осуществляется с
помощью одного из двух туннельных протоколов, включенных в Windows Server 2003,
причем оба протокола устанавливаются вместе со службой Routing and Remote Access.
PPTP (Point-to-Point Tunneling Protocol – двухточечный протокол туннелирования).
Этот протокол является расширением протокола PPP (Point-to-Point Protocol),
используемого уже много лет. Протокол PPTP был впервые использован в Windows
NT 4.
L2TP (Layer Two Tunneling Protocol – Протокол туннелирования уровня 2). Комбинация
PPTP и L2F (Layer Two Forwarding), туннельного протокола, разработанного Cisco
Systems. Для шифрования в L2TP применяется IPSec (Internet Protocol Security),
поэтому и клиент, и сервер VPN должны поддерживать как L2TP, так и IPSec.
Туннелирование.
Протоколы инкапсуляции данных PPTP, L2TP.
PPTP – стандартный протокол, разработанный группой IETF и реализованный Microsoft,
который изначально использовался на компьютерах под управлением Windows.
 Многопротокольный трафик может шифроваться с помощью MPPE,
инкапсулироваться и туннелироваться через IP-сети
 При соединении через PPTP-туннель согласуются методы аутентификации, сжатия и
шифрования
L2TP/IPSec – это комбинация протоколов Microsoft PPTP и CISCO L2F (Layer 2 Forwarding).
 Для шифрования применяется протокол IPSec ESP
 L2TP/IPSec поддерживает проверку подлинности пользователей, но дополнительно
требует взаимной проверки подлинности компьютеров
 Для проверки подлинности компьютера необходим сертификат; у клиента и сервера
VPN (либо у VPN-маршрутизаторов) должны быть действительные сертификаты.
103
Конфигурирование портов PPTP
Вы должны убедиться, что имеете нужное количество портов PPTP. Чтобы проверить
количество портов или добавить порты, выполните следующие шаги.
1. Откройте Routing and Remote Access из папки Administrative Tools.
2. В дереве консоли щелкните на нужном сервере, затем щелкните правой кнопкой на
Ports и выберите в контекстном меню пункт Properties.
3. В диалоговом окне Ports Properties выделите WAN Miniport (PPTP) и щелкните на
кнопке Configure.
4. В диалоговом окне Configure Device (Конфигурирование устройства) вы можете
задать максимальное количество портов для данного устройства и указать, для чего
будет использоваться это устройство: только для входящих соединений или для
входящих и исходящих соединений.
5. По окончании щелкните на кнопке OK.
Конфигурирование фильтров PPTP
В большинстве сетей требуется фильтрация пакетов, основывающаяся на их входящих или
исходящих адресах. Чтобы задать фильтры PPTP, выполните следующие шаги.
1. Откройте Routing and Remote Access из папки Administrative Tools.
2. В дереве консоли раскройте нужный сервер, затем IP Routing а затем General.
3. В правой панели щелкните правой кнопкой на интерфейсе, который будет
фильтроваться, и выберите в контекстном меню пункт Properties.
4. Щелкните на Input Filters (Входные фильтры) или на Output Filters (Выходные
фильтры) и задайте источник фильтруемых пакетов, место назначения и/или протокол
для фильтрации. (Последним шагом в конфигурировании VPN является задание
политик дистанционного доступа, как было описано выше в этой главе.)
Постоянные и коммутируемые VPN.
VPN - соединения между вызывающим и отвечающим маршрутизаторами.
Планирование VPN сетей на базе маршрутизированных VPN соединений.
Установка и настройка ресурсного VPN сервера.
Подключение удаленного VPN клиента по протоколу L2TP/IPSec.
Работа с виртуальными частными сетями (VPN)
ISA Server может работать со службой Windows Server 2003 Routing and Remote Access
(Маршрутизация и удаленный доступ) для создания защищенного сетевого канала через
Internet с помощью соединения виртуальной частной сети (VPN).
Существует два типа VPN-соединений, которые вы можете задавать с помощью ISA Server.
Вы можете использовать VPN-соединение как канал глобальной сети (WAN), чтобы
соединить две сети, или можете задать сервер ISA как сервер VPN и разрешать клиентам
осуществлять защищенные соединения с локальной сетью из Internet.
Соединение двух сетей
До недавнего времени при необходимости соединения двух сетей постоянным сетевым
соединением требовалось использовать выделенный канал глобальной сети (WAN), который
мог потребовать очень больших затрат и усилий для его создания. Однако с появлением
104
VPN-соединений компании могут теперь использовать свое Internet-соединение для создания
виртуального канала глобальной сети между отдельными сетями при затратах денег и
времени, составляющих лишь небольшую часть от затрат, требующихся для традиционного
канала глобальной сети.
Чтобы соединить две сети с помощью VPN, вам нужно сначала создать канал VPN на сервере
ISA, находящемся в первичной сети. Затем нужно настроить сервер ISA, находящийся в
другой сети (по обеим сторонам VPN-соединения требуется использование сервера ISA).
Создание VPN в первичной сети. При создании VPN-соединения между двумя сетями
нужно начать с одной или с другой сети. Начните с первичной сети, то есть главной сети, с
которой вы хотите соединять другие сети.
Чтобы задать на сервере ISA прием VPN-соединений от вторичных сетей вашей компании,
используйте следующую процедуру на сервере ISA в первичной сети.
1. Откройте контейнер Network Configuration, находящийся под нужным сервером или
массивом в дереве консоли.
2. Щелкните на ссылке Configure A Local Virtual Private Network (VPN)
[Конфигурировать локальную виртуальную частную сеть (VPN)].
3. Щелкните на кнопке Next в первом окне и затем щелкните на кнопке Yes (если
появится запрос), чтобы запустить службу Windows Routing and Remote Access.
4. Следуйте инструкциям на экране.
Создание VPN во вторичной сети. Чтобы завершить создание между двумя сетями канала
глобальной сети, использующего VPN-соединение (после настройки сервера ISA в первичной
сети), выполните следующие шаги на сервере ISA во вторичной сети.
1. Откройте контейнер Network Configuration, находящийся под нужным сервером или
массивом в дереве консоли.
2. Щелкните на ссылке Configure A Remote Virtual Private Network (VPN)
[Конфигурировать удаленную виртуальную частную сеть (VPN)].
3. Щелкните на кнопке Next в первом окне и затем щелкните на кнопке Yes (если
появится запрос), чтобы запустить службу Windows Routing and Remote Access.
4. Следуйте инструкциям на экране.
Клиенты VPN
Клиент VPN – это вызывающий маршрутизатор, инициирующий соединение VPN. При
соединениях через маршрутизаторы вы можете использовать в качестве клиентов
компьютеры, работающие под управлением Windows Server 2003, Windows 2000 Server или
Windows NT Server 4 с RRAS.
Разрешение клиентских VPN-соединений
Настройка ISA Server для приема входящих VPN-соединений от таких клиентов, как
домашние пользователи или находящиеся в поездках сотрудники, выполняется просто.
Достаточно выполнить следующие шаги.
Откройте контейнер Network Configuration, находящийся под нужным сервером или
массивом в дереве консоли.
Щелкните на ссылке Configure A Client Virtual Private Network (VPN) [Конфигурировать
клиентскую виртуальную частную сеть (VPN)].
Щелкните на кнопке Next в первом окне и затем щелкните на кнопке Yes (если появится
запрос), чтобы запустить службу Windows Routing and Remote Access.
Щелкните на кнопке Finish. ISA Server сконфигурирует службу Routing and Remote Access
для приема аутентифицированных и шифрованных VPN-соединений и создаст статический
105
фильтр пакетов, чтобы протоколы L2TP и PPTP могли работаь с протоколом IP Security
(IPSec). Щелкните на кнопке Yes, когда появится запрос перезапуска службы Routing and
Remote Access.
Примечание. Для приема L2TP-соединений вам нужно сконфигурировать сервер с помощью
сертификата сервера.
Как работают виртуальные частные сети
При использовании VPN на обоих концах соединения создается канал связи с Internet. (С
технической точки зрения, можно устанавливать канал связи с любой открытой сетью, но
почти всегда это Internet.) Для канала связи могут использоваться обычные способы –
простая телефонная линия, линия ISDN или выделенная линия того ли иного типа. Вместо
отправки пакета в том виде, как он был создан в исходящем узле, VPN, используя какой-либо
протокол туннелирования, инкапсулирует его в дополнительный заголовок. Заголовок
содержит маршрутную информацию, чтобы инкапсулированные данные могли пройти через
промежуточную сеть. Из соображений конфиденциальности данные шифруются, и
соответствующие пакеты не могут быть дешифрованы без ключей шифрования.
С помощью этой технологии удаленный пользователь может установить коммутируемое
соединение с любым провайдером услуг Internet и посредством этого соединения создать
прямое соединение с сервером в сети компании, расположенной в другом регионе. Все это
быстро, дешево и несложно в настройке.
Протоколы локальных сетей и дистанционного доступа
Для передачи информации используются протоколы локальных сетей, такие как TCP/IP и
IPX. В соединениях VPN через маршрутизаторы Windows Server 2003 поддерживает
маршрутизацию пакетов протоколов локальной сети с помощью протокола дистанционного
доступа PPP.
Конфигурирование Internet-соединения
Ваше подсоединение к Internet будет осуществляться через выделенную линию, скорее всего,
через T1, Fractional T1 или Frame Relay. Вам нужно убедиться, что адаптер глобальной сети
(WAN-адаптер) входит в список оборудования, совместимого с Windows Server 2003 (список
HCL). В комплект адаптера глобальной сети включены драйверы, устанавливаемые в
операционной системе Windows, что позволяет представлять адаптеры глобальной сети как
сетевые адаптеры. Адаптер глобальной сети конфигурируется с IP-адресом и маской подсети,
присвоенными вашему домену или предоставленными провайдером услуг Internet (ISP), а
также со шлюзом по умолчанию маршрутизатора ISP.
VPN для удаленного доступа
Авторизованный, но изолированный пользователь может осуществлять доступ к
защищенным ресурсам частной или скрытой сети путем аутентификации на сервере VPN
этой сети и установления VPN-соединения. Удаленный пользователь может быть дома или в
пути, когда ему потребуется соединение через провайдера услуг Internet (ISP), или он может
быть в той же сети интранет, но отделен от защищенной или скрытой сети.
Например, предположим, что технический отдел имеет скрытый анклав в сети предприятия,
где хранятся секретные документы и альфа-версия программного обеспечения. Требуется
предоставить доступ к этой скрытой сети начальнику технического отдела, не нарушая при
этом конфиденциальности информации, когда она выходит за границы сети интранет данной
компании. Используя сервер VPN, который блокирует доступ неавторизованных
106
пользователей, но разрешает начальнику аутентифицироваться и установить VPNсоединение, секретная сеть технического отдела расширяется только на одного пользователя.
Примечание. То, что вы просто имеете VPN-соединение с частной сетью, не означает, что
вы имеете полный доступ. Вам нужны еще соответствующие полномочия для доступа к
определенным ресурсам.
После того, как клиент устанавливает VPN-соединение с сервером VPN, пользователь
получает непосредственный доступ к частной сети.
Пользовательские учетные записи
Для вызывающего маршрутизатора требуется пользовательская учетная запись с
полномочиями коммутируемого доступа (с помощью настроек этой пользовательской
учетной записи или политик дистанционного доступа).
Серверы VPN
Сервер VPN – это отвечающий маршрутизатор, принимающий соединение от вызывающего
маршрутизатора. В качестве серверов VPN вы можете использовать компьютеры под
управлением Windows Server 2003, Windows 2000 Server или Windows NT Server 4 с RRAS.
VPN между маршрутизаторами
VPN-соединение может быть также установлено между двумя взаимно исключающимися
частными сетями. В этом случае клиент VPN и сервер VPN являются маршрутизаторами. Как
и VPN для удаленного доступа, VPN между маршрутизаторами могут включать анклавы,
которые являются частью той же сети интранет, или могут включать частные сети, для
обмена между которыми требуется инфраструктура Internet.
В данном случае клиент VPN аутентифицирует себя на сервере VPN, и происходит
согласование защищенного VPN-соединения. И здесь в обоих случаях создается «логическое
впечатление», что частные сети физически соединены. Более подробную информацию по
VPN см. в гл. 34.
Конфигурирование сервера дистанционного доступа как маршрутизатора
Чтобы сервер дистанционного доступа правильно перенаправлял трафик в вашей сети, вы
должны сконфигурировать его как маршрутизатор либо со статическими маршрутами, либо с
протоколами маршрутизации, чтобы все точки сети интранет были доступны для сервера
дистанционного доступа.
Чтобы сконфигурировать сервер как маршрутизатор, откройте Routing and Remote Access,
щелкните правой кнопкой на имени сервера и выберите в контекстном меню пункт Properties.
Во вкладке General выберите вариант Router (Маршрутизатор). Затем укажите, что вам
нужно: чтобы маршрутизатор работал только с локальной сетью или с локальной сетью и
маршрутизацией коммутируемых соединений по требованию. Щелкните на кнопке OK,
чтобы закрыть диалоговое окно Properties.
Задание статических маршрутов и протоколов маршрутизации
Как говорилось выше, каждый маршрутизатор должен иметь соответствующие маршруты в
таблице маршрутизации, чтобы маршрутизаторы могли направлять пакеты через VPNсоединение между маршрутизаторами. Маршрут можно добавлять как статический маршрут
в таблицу маршрутизации обоих маршрутизации обоих маршрутизаторов. Выполните для
этого следующие шаги.
Откройте Routing and Remote Access из папки Administrative Tools.
107
Щелкните на нужном маршрутизаторе и затем щелкните на IP Routing.
Щелкните правой кнопкой на Static Routing (Статическая маршрутизация) и выберите в
контекстном меню пункт New Static Route (Новый статический маршрут). (Из того же
меню вы можете посмотреть существующую таблицу IP-маршрутизации.)
В диалоговом окне Static Route выберите интерфейс и задайте IP-адрес для целевого
маршрутизатора.
Маршрут должен быть также сконфигурирован на соответствующем маршрутизаторе на
другом конце VPN-соединения. Для постоянных соединений вы можете добавлять вместо
статического маршрута протокол маршрутизации. Для этого щелкните правой кнопкой на
General под IP Routing и выберите в контекстном меню пункт New Routing Protocol (Новый
протокол маршрутизации).
Интерфейсы коммутируемых соединений по требованию
Прежде чем конфигурировать интерфейс коммутируемого соединения по требованию, нужно
решить, смогут ли оба конца соединения инициировать вызовы. Для двусторонних
соединений (любой маршрутизатор может инициировать вызовы) оба маршрутизатора
должны быть сконфигурированы с опознавательными данными для аутентификации
(например, в пользовательской учетной записи). Оба маршрутизатора должны также иметь
порт PPTP (для VPN-соединения на основе PPTP) или порт L2TP (для соединения на основе
L2TP).
Если соединение всегда инициирует один маршрутизатор, то настройка вызывающего
маршрутизатора происходит так же, как и для двустороннего соединения. На принимающем
вызовы маршрутизаторе необходимо создать пользовательскую учетную запись, которая
используется вызывающим маршрутизатором при вызове, и сконфигурировать статические
маршруты в этой учетной записи. Прежде чем настраивать интерфейс коммутируемого
соединения по требованию, обратитесь к разделу «Добавление интерфейса коммутируемых
соединений по требованию» ниже в этой главе.
Добавление интерфейса коммутируемых соединений по требованию
Чтобы добавить интерфейс коммутируемых соединений по требованию, выполните
следующие шаги.
1. Откройте Routing and Remote Access из папки Administrative Tools.
2. В дереве консоли щелкните на нужном сервере.
3. Щелкните правой кнопкой на Network Interfaces (Сетевые интерфейсы). Выберите в
контекстном меню пункт New Demand-Dial Interface (Новый интерфейс
коммутируемого соединения по требованию), чтобы выполнить запуск мастера
Demand Dial Interface Wizard. Щелкните на кнопке Next.
4. Введите имя интерфейса коммутируемого соединения по требованию. Используйте
имя, с помощью которого можно понять, для какого соединения он применяется,
например, название филиала фирмы или название сети, к которой вы подсоединяетесь.
Щелкните на кнопке Next.
5. Выберите тип соединения.
 Если вы не используете VPN в данном интерфейсе, то выберите вариант
Connect Using A Modem, ISDN Adapter, Or Other Physical Device
(Подсоединиться с помощью модема, адаптера ISDN или другого физического
устройства) и щелкните на кнопке Next.
 Задайте модем, затем введите вызываемый телефонный номер. В дополнение к
основному номеру вы можете щелкнуть на Alternates (Альтернативные) и
108
6.
7.
8.
9.
задать дополнительные номера для автоматических попыток соединиться в
случае недоступности основного номера.
 Если вы выбираете Connect Using Virtual Private Networking (VPN)
(Подсоединяться с помощью VPN), щелкните на кнопке Next, чтобы открыть
окно VPN Type (Тип VPN). Выберите подходящий для ваших условий
туннельный протокол. Щелкните на кнопке Next.
 В окне Destination Address (Адрес места назначения) задайте имя хоста или IPадрес удаленного маршрутизатора. Щелкните на кнопке Next.
Под заголовком Protocol And Security (Протоколы и безопасность) выберите все
условия, применяемые к данному соединению. Если выбрать опцию Add A User
Account So A Remote Router Can Dial In (Добавить пользовательскую учетную запись,
чтобы удаленный маршрутизатор мог выполнять коммутируемое соединение) и/или
опцию Use Scripting To Complete The Connection With The Remote Router
(Использовать сценарии для выполнения соединения с удаленным маршрутизатором)
(вторая опция не подходит для типов интерфейсов с VPN), то мастер выведет окно для
конфигурирования каждого из этих элементов.
Задайте IP-адрес сети или сетей, доступ к которым вам требуется.
Задайте запрошенные верительные данные для коммутируемых соединений (Dial Out
Credentials), включая имя и пароль пользовательской учетной записи.
По окончании к интерфейсам маршрутизации в окне Routing and Remote Access будет
добавлен новый интерфейс. Щелкните правой кнопкой на этом интерфейсе и выберите
пункт Properties, если нужно внести изменения или дополнения в конфигурацию.
12. Обeспечение безопасного доступа пользователей Internet к ресурсам
частной (Private) сети с использованием Firewall,NAT, Proxy сервера.
Фильтрация IP пакетов в межсетевых экранах.
Скачать