Администрирование операционных систем и сетей

     В Active Directory домене (Windows 2000), только авторизованные Windows 2000 сервера DHCP могут выполнять распределение IP-адресов. В Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не попадет под действие авторизации. Однако если другой администратор попытается установить Windows 2000 сервер DHCP и запустить службу без предварительной авторизации, то сервер осуществит запрос AD и не запустит службу, если не найдет подтверждения ее авторизации в сети. Неавторизованный сервер DHCP появляется в консоли DHCP с указывающей вниз красной стрелкой (которая может обозначать также, что служба не запущена или область адресов не настроена), как показано на рисунке 5.7.

     Рис. 5.7. Консоль DHCP.

     

     Для авторизации DHCP сервер, нужно щелкнуть правой кнопкой мыши на значке сервера и выбрать опцию Authorize (авторизовать) из появившегося меню. Для управления авторизованным DHCP сервером (включая добавление или удаление авторизованных серверов), щелкните правой кнопкой мыши на иконке DHCP и выберите Manage Authorized Servers (управление авторизованными серверами), как показано на рисунке 5.8:

     Рис. 5.8 Рис. Управление авторизованными  серверами

     

     Заметим, что сервер DHCP не будет выполнять никаких функций, до тех пор, пока вы не сконфигурируете область адресов – набор настроек, которые будут распределяться группе клиентов. Как и большинство других вещей в Windows 2000, процесс создания области осуществляется с применением соответствующего мастера. Для создания области адресов, щелкните правой кнопкой мыши на значке сервера DHCP и выберите опцию New Score (новая область). Мастер проведет вас через длинный процесс, включающий в себя настройку допустимого диапазона IP-адресов, маски подсети и таких опций, как адрес шлюза по умолчанию (маршрутизатора), используемых серверов DNS и так далее. После того, как область будет настроена, она будет продолжать нуждаться в активизации (правый щелчок мыши и выбор Activate (активизировать)). Каждая область включает в себя: набор адресов, активные выделенные адреса, резервирование и свойства области, как показано на рисунке 5.9 (свойства области выделены):

     Рис. 5.9. Консоль DHCP.

     После того, как сервер авторизован и  область настроена, стрелка на иконке сервера меняется на зеленую и  теперь указывает вверх.

     Области в Windows 2000 Advanced Server:

     - Области могут быть собраны  или объединены для создания  суперобластей. Они позволяют распределять диапазоны IP-адресов, которые не примыкают друг к другу, но расположены на одной подсети.

     - Для изменения маски подсети, связанной с областью, необходимо будет удалить область и создать ее заново.

     - Время аренды адреса по умолчанию  для области – 8 дней, что отличается от значения в Windows NT, где оно составляло 72 часа. Это значение может быть изменено в зависимости от потребностей сети.

     

     - Каждый диапазон IP-адресов может  быть представлен только в  одной из областей. Если серверы  DHCP не будут скоординированы и  два сервера будут иметь одинаковые  диапазоны адресов в своих  областях, тогда один и тот  же адрес может быть назначен разным клиентам в одной сети. Также надо быть уверенным, что исключены все статически назначенные IP-адреса из областей.

     - Для создания отказоустойчивых  областей необходимо настроить  2 (или более) сервера DHCP и разделить  диапазоны адресов из каждой области между ними. При такой конфигурации, если один из серверов выйдет из строя, другой будет продолжать распределять допустимые адреса между клиентами.

     - Настройки DHCP могут быть осуществлены  на 4 различных уровнях: на уровне  Server (сервера) (установки влияют на все области), Score (область) (установки влияют только на область), Client (клиент) (установки для зарезервированного клиента) Class (класс) (для компьютеров, которые входят в различные, заранее определенные, классы).

     Протокол  упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, on запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов, Этот процесс состоит из четырех шагов:

     1. Клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение),

     2. DHCP-сервер предлагает адрес (DHCP Offer, предложение),

     3. Клиент принимает предложение  и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение).

     

     Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.

     Протокол DHCP в Microsoft Windows 2000 Server был дополнен новыми функциями, что упростило развертывание, интеграцию и настройку сети.

     Интеграция  с DNS. Серверы DNS обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. В Windows 2000 серверы DHCP и клиенты DHCP могут регистрироваться в DNS.

     4.6. Управление в среде Windows 2000 Advanced Server

     После успешной установки Windows 2000 Server выполняется  настройка пользователей.

     Основным элементом централизованного администрирования в Windows 2000 Server является домен. Домен – это группа серверов, работающих под управлением Windows 2000 Server, которая функционирует, как одна система. Все серверы Windows 2000 в домене используют один и тот же набор учетных карточек пользователя, поэтому достаточно заполнить учетную карточку пользователя только на одном сервере домена, чтобы она распознавалась всеми серверами этого домена.

     Связи доверия – это связи между доменами, которые допускают сквозную идентификацию, при которой пользователь, имеющий единственную учетную карточку в домене, получает доступ к целой сети. Если домены и связи доверия хорошо спланированы, то все компьютеры Windows 2000 распознают каждую учетную карточку пользователя и пользователю надо будет ввести пароль для входа в систему только один раз, чтобы потом иметь доступ к любому серверу сети.

     

     Группирование компьютеров в домены дает два  важных преимущества сетевым администраторам и пользователям. Наиболее важное – серверы домена составляют (формируют) единый административный блок, совместно использующий службу безопасности и информацию учетных карточек пользователя. Каждый домен имеет одну базу данных, содержащую учетные карточки пользователя и групп, а также установочные параметры политики безопасности. Все серверы домена функционируют либо как первичный контроллер домена, либо как резервный контроллер домена, содержащий копию этой базы данных. Это означает, что администраторам нужно управлять только одной учетной карточкой для каждого пользователя, и каждый пользователь должен использовать (и помнить) пароль только одной учетной карточки. Расширяя административный блок с единственного компьютера на целый домен, Windows 2000 Server сохраняет усилия администраторов и время пользователей.

     Второе  преимущество доменов сделано для  удобства пользователей: когда пользователи просматривают сеть в поисках  доступных ресурсов, они видят  сеть, сгруппированную в домены, а не разбросанные по всей сети серверы и принтеры.

     4.7. Требования к домену

     Минимальное требование для домена – один сервер, работающий под управлением Windows 2000 Server, который служит в качестве первичного контроллера домена и хранит оригинал базы данных учетных карточек пользователя и групп домена. В дополнение к сказанному, домен может также иметь другие серверы, работающие под управлением Windows 2000 Server и служащие в качестве резервных контроллеров домена, а также компьютеры, служащие в качестве стандартных серверов, серверов LAN Manager 2.x, клиентов Windows 2000 Workstation и других клиентов, как  например, работающих с MS-DOS.

     Первичный контроллер домена должен быть сервером, работающим под управлением Windows 2000 Server. Все изменения базы данных, учетных карточек пользователя и групп домена должны выполняться в базе данных первичного контроллера домена.

     Резервные контроллеры домена, работающие под  управлением Windows 2000 Server, хранят копию  базы данных учетных карточек домена. База данных учетных карточек копируется во все резервные контроллеры домена.

     

     Все резервные контроллеры домена дополняют  первичный контроллер и могут  обрабатывать запросы на начала сеанса от пользователей учетных карточек домена. Если домен получает запрос на начало сеанса, первичный контроллер домена или любой из резервных контроллеров домена может идентифицировать попытку начала сеанса.

     Дополнительно к первичным и резервным контроллерам домена, работающим под управлением Windows 2000 Server, есть другой тип серверов. Во время установки Windows 2000 они определяются, как “серверы”, а не контроллеры домена. Сервер, который входит в домен, не получает копию базы данных пользователей домена.

     5. Защита информации в сети

     Исследование  и анализ многочисленных случаев  воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные.

     Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе.

     Исследование  опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки  и передачи подвергается различным случайным воздействиям.

     Причинами таких воздействий могут быть:

     - отказы и сбои аппаратуры;

     - помехи на линии связи от  воздействий внешней среды;

     - ошибки человека как звена  системы;

     

     - системные и системотехнические  ошибки разработчиков;

     - структурные, алгоритмические и  программные ошибки;

     - аварийные ситуации;

     - другие воздействия.

     Преднамеренные  угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной  ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т. д.

     Нет никаких сомнений, что на предприятии  произойдут случайные или преднамеренные попытки взлома сети извне. В связи  с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.

     Для вычислительных систем характерны следующие штатные каналы доступа к информации:

     - терминалы пользователей, самые  доступные из которых это рабочие  станции в компьютерных классах;

     - терминал администратора системы;

     - терминал оператора функционального  контроля;

     - средства отображения информации;

     - средства загрузки программного  обеспечения;

     - средства документирования информации;

     - носители информации;

     - внешние каналы связи.

     Принято различать пять основных средств  защиты информации:

     - технические;

     - программные;

     - криптографические;