Построение корпоративных компьютерных сетей на базе ОС семейства Windows

Relative Identifier Master (владелец относительных идентификаторов, мастер RID). В NT4 только PDC отвечает за создание всех SID (security identifier), то есть отвечает за создание всех объектов безопасности («пользователь», «группа», «компьютер»). В Windows Server 2003 каждый контроллер домена может создавать объекты безопасности. На самом деле SID состоит из двух частей -- SID (который определяет домен) и RID (который определяет уникальный объект внутри домена). Для того, чтобы быть уверенным, что SID уникален, один контроллер в каждом домене выполняет роль Master RID, отвечающего за создание доменного пула RID, и размещения этих RID на других контроллерах в домене. Это позволяет быть уверенным, что не произойдет дублирования объектов SID. В каждом домене Active Directory действует один RID Master, по умолчанию, это первый контроллер, созданный в домене.

Infrastructure Master (мастер инфраструктуры) - отслеживает информацию о том, какие пользователи (из других доменов) являются членами той или иной группы данного домена и все изменения, которые имеют место. Это позволяет быть уверенным в непротиворечивости участия пользователей в группах в Active Directory. Каждый домен в Active Directory имеет одного Infrastructure Master, по умолчанию, это первый контроллер, созданный в домене.

Также существует еще одна роль, которая, в отличие от FSMO, может выполняться на каждом контроллере домена в лесу - Global Catalog Server (сервер глобального каталога). Ее существование связано с тем, что структура AD может быть весьма сложной и вмещать в себя большое количество объектов. Один домен AD может включать в себя до 1,5 млн. объектов. Но из-за этого могут возникнуть проблемы с производительностью при выполнении операций. Эта проблема решается с помощью глобального каталога. Он содержит сокращенную версию всего леса AD, что помогает ускорять поиск объектов. Как правило роль сервера глобального каталога назначают всем контроллерам домена.

2.2 DHCP

Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста) является базовой сетевой службой, предлагаемой Windows Server 2003 для динамического распределения IP-адресов и связанной с ними информации клиентам, использующим TCP/IP. Власов Ю.В., Рицкова Т.И., Администрирование сетей на платформе MS Windows Server, М.: Бином, Лаборатория знаний, 2009, С. 241 Хотя функции, выполняемые DHCP в Windows Server 2003 во многом похожи на те, что были в Windows NT, существуют некоторые несущественные отличия.

DHCP - развитие протокола ВООТР (RFC 951 и 1084), позволявшего динамически назначать IP-адреса (в дополнение к удаленной загрузке бездисковых станций). При этом DHCP предоставляет все данные для настройки стека протоколов TCP/IP и дополнительные данные для функционирования определенных серверов.

Область (scope) DHCP -- административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool). Эти адреса могут быть динамически назначены клиентам DHCP в сети.

Диапазон исключения (exclusion range) - ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.

Резервирование (reservation) - позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.

Арендный договор (lease) - отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу).

Опции DHCP - дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.

Служба DHCP в Windows Server 2003 состоит из трех основных компонентов.

1 серверы DHCP. В состав сервера DHCP входит оснастка DHCP -- удобный в работе графический инструмент, который позволяет администратору настраивать конфигурации для клиентов DHCP. Сервер DHCP также содержит базу данных для назначения IP-адресов и других параметров настройки. Параметры конфигурации TCP/IP, которые могут быть назначены сервером DHCP, включают: IP-адрес для каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы по умолчанию, дополнительные параметры конфигурации, например IP-адрес сервера DNS или WINS. Один или более компьютеров в сети должны работать под управлением Windows Server 2003 с протоколом TCP/IP и установленным сервером DHCP. Если служба сервера DHCP установлена на компьютере, то сразу после задания и активизации областей автоматически создается база данных DHCP;

2 клиенты DHCP. Клиентами сервера DHCP из состава Windows Server 2003 могут быть компьютеры, работающие на любой платформе. Компьютеры под управлением ОС производства Microsoft могут действовать как клиенты DHCP: Windows NT Server/Workstation (все версии), Windows 95/98, Windows for Workgroups 3.11 (с установленным 32-разрядным протоколом TCP/IP), Microsoft Network Client 3.0 for MS-DOS (с установленным драйвером реального режима), LAN Manager версии 2.2с;

3 агент ретрансляции DHCP. Работа протоколов ВООТР и DHCP основана на механизмах широковещания. Маршрутизаторы обычно не ретранслируют широковещательные посылки, поэтому передача таких посылок выполняется агентом ретрансляции. Агент ретрансляции DHCP - это маршрутизатор, либо хост, который слушает широковещательные сообщения DHCP/BOOTP и переадресовывает их на заданный сервер (серверы) DHCP. Использование агентов ретрансляции избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на удаленные серверы DHCP, но также возвращает ответы удаленных серверов DHCP клиентам DHCP.

Администратор может отменить параметры динамической настройки, настроив их вручную. Любая информация, вручную введенная на клиенте, отменяет параметры динамической настройки.

Служба сервера DHCP устанавливается на сервер Windows Server 2003, но по умолчанию она не является сконфигурированной. Она может быть удалена и добавлена в случае необходимости, После установки, сервер DHCP настраивается при помощи оснастки DHCP, которая находится в Administrative Tools.

Если сервер Windows Server 2003 является частью рабочей группы или домена, основанного на Windows Server 2003, то сервер DHCP будет запущен по умолчанию, но необходимо будет вручную настроить области используемых IP-адресов для распределения их службой DHCP. Если DHCP установлена на систему, являющуюся частью домена Windows Server 2003, то служба DHCP не сможет быть запущена до тех пор, пока сервер DHCP не будет авторизован в Active Directory. Авторизация сервера DHCP в Active Directory может быть осуществлена только членом группы администраторы предприятия (Enterprise Admins). Эта особенность используется как контрольный механизм, позволяющий избежать такой проблемы, как установка незарегистрированных серверов DHCP пользователями с административными привилегиями, могущих создать проблемы с настройкой TCP/IP сетей (так как клиент получает IP- адрес от первого, ответившего на запрос, сервера DHCP.

В Active Directory домене (Windows Server 2003), только авторизованные Windows Server 2003 сервера DHCP могут выполнять распределение IP-адресов. Холме Д. Управление и поддержка Microsoft Windows Server 2003, М.: Русская Редакция 2008, С. 164 В Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не попадет под действие авторизации. Однако если другой администратор попытается установить Windows Server 2003 сервер DHCP и запустить службу без предварительной авторизации, то сервер осуществит запрос AD и не запустит службу, если не найдет подтверждения ее авторизации в сети.

Области в Windows Server 2003 Enterprise Edition:

1 области могут быть собраны или объединены для создания суперобластей. Они позволяют распределять диапазоны IP-адресов, которые не примыкают друг к другу, но расположены в одной подсети;

2 для изменения маски подсети, связанной с областью, необходимо удалить область и создать ее заново;

3 время аренды адреса по умолчанию для области - 8 дней, что отличается от значения в Windows NT, где оно составляло 72 часа. Это значение может быть изменено в зависимости от потребностей сети;

4 каждый диапазон IP-адресов может быть представлен только в одной из областей. Если серверы DHCP не будут скоординированы и два сервера будут иметь одинаковые диапазоны адресов в своих областях, тогда один и тот же адрес может быть назначен разным клиентам в одной сети. Также надо быть уверенным, что исключены все статически назначенные IP-адреса из областей;

5 для создания отказоустойчивых областей необходимо настроить 2 (или более) сервера DHCP и разделить диапазоны адресов из каждой области между ними. При такой конфигурации, если один из серверов выйдет из строя, другой будет продолжать распределять допустимые адреса между клиентами; настройки DHCP могут быть осуществлены на 4 различных уровнях: на уровне сервера (установки влияют на все области), на уровне области (установки влияют только на область), на уровне клиента (установки для зарезервированного клиента) и на уровне класса (для компьютеров, которые входят в различные, заранее определенные, классы).

Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, он запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов, Этот процесс состоит из трех шагов:

1 Клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение),

2 DHCP-сервер предлагает адрес (DHCP Offer, предложение),

3 Клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение).

Чтобы адрес не «простаивал», DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор.

Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.

Протокол DHCP в Microsoft Windows Server 2003 был дополнен новыми функциями, что упростило развертывание, интеграцию и настройку сети:

1 интеграция с DNS. Серверы DNS обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. В Windows Server 2003 серверы DHCP и клиенты DHCP могут регистрироваться в DNS;

2 улучшенное управление и мониторинг. Новая возможность обеспечивает уведомление об уровне использования пула IP-адресов. Оповещение производится при помощи соответствующего значка либо при помощи передачи сообщения;

3 распределение групповых адресов. Добавлена возможность назначения групповых адресов. Типичные приложения для групповой работы - конференции или радиотрансляция требуют специальной настройки групповых адресов;

4 защита от появления неправомочных серверов DHCP. Наличие нескольких серверов DHCP в одном сегменте сети может привести к конфликту. Новые механизмы позволяют обнаружить конфликт такого рода и деактивировать работу сервера, обеспечив правильную работу DHCP;

5 защита от подмены серверов. Регистрация уполномоченных (авторизированных) серверов DHCP выполняется при помощи Active Directory. Если сервер не обнаружен в каталоге, то он не будет функционировать и отвечать на запросы пользователей;

6 кластеризация. Кластерные службы, работающие на Windows Server 2003 Enterprise Edition и Datacenter поддерживают DHCP-сервер в качестве ресурса кластера, что позволяет повысить доступность DHCP-сервера;

7 автоматическая настройка клиентов. Клиенты с поддержкой DHCP, начинающие работу в сети, могут конфигурироваться самостоятельно с использованием временной конфигурации IP (если сервер DHCP недоступен). Клиенты продолжают попытки связаться с сервером DHCP для получения арендного договора в фоновом режиме каждые 5 мин. Автоматическое назначение всегда прозрачно для пользователей. Адреса для такого рода клиентов выбираются из диапазона частных сетевых адресов TCP/IP и не используются в Интернете;

8 новые специализированные опции и поддержка пользовательских классов. Сервер DHCP в Windows Server 2003 может назначать специализированные опции, сокращая время на получение одобрения новой стандартной опции в IETF. Механизм пользовательских классов позволяет применять DHCP в заказных приложениях для сетей масштаба предприятия. Оборудование большинства поставщиков сетевого аппаратного обеспечения также может использовать различные номера опций для различных функций.

2.3 DNS

Domain Name System (система доменных имен) - это стандарт службы имен для Интернета, который используется Windows Server 2003 для помощи клиентам в разрешении имен узлов в их IP-адреса и для поиска служб в сети. Грэг Ботт, Внедрение, управление и поддержка инфраструктуры Microsoft Windows Server 2003,М.: Эком, 2010, С. 327

DNS - это распределенная система серверов имен. В этой системе группы серверов имен отвечают за записи, относящиеся к узлам, в доменах и поддоменах. Эти группы называются зонами. Зона является полномочной или ответственной для записей, относящихся к данному домену или группе доменов.

Например, Microsoft может иметь несколько серверов, полномочных для домена microsoft.com и все связанные поддомены должны быть частью этого домена. Как следствие, если эти сервера не могут предоставить вам ответ на запрос IP-адреса для имени bluscreen.microsoft.com, то это означает, что его просто не существует.

Серверы имен хранят то, что принято называть записями ресурсов. Записи ресурсов сопоставляют имя узла его IP-адресу или отдельной службы и имени узла. Например, сервер DNS может содержать запись (называемую А-записью) для сервера, называемого Server2, которому соответствует IP-адрес 147.2.3.45. Если клиент другого сервера DNS запросит связанный IP-адрес, он может быть найден и возвращен (послан) клиенту. Подобным образом, некоторый почтовый сервер может запросить сервер DNS найти почтовый сервер, действующий в домене mailfirma.ru. В данном случае DNS сервер запрашивается на наличие записи о системе обмена почтой (запись МХ), которая предоставляет FQDN (полностью определенное имя домена) почтового сервера, которое, в свою очередь, может быть разрешено в IP-адрес.

Существует еще один тип серверов имен, которые не являются полномочными для какой-либо зоны. Эти сервера называются caching-only (только кэширующие) - они просто перенаправляют запросы клиентов другим серверам имен и кэшируют их ответы.

DNS реализована как служба на сервере Windows Server 2003, а раз так, то она может быть запущена и остановлена, как любая другая служба. Она также может быть добавлена или удалена на любой сервер при помощи стандартной оснастки добавления или удаления компонент. DNS не устанавливается автоматически при установке Windows Server 2003, поэтому необходимо устанавливать ее вручную. Число серверов DNS, присутствующих в сети зависит от ряда факторов, таких, как потребность в отказоустойчивости, быстродействие и т. д. DNS требуется для установки Active Directory, поскольку домены Active Directory следуют соглашению о наименовании DNS. Предыдущий пример рассказывал о разрешении DNS-имен через Internet. Подобным образом служба DNS может быть использована для разрешения внутренних узлов или для комбинированных ситуаций.

Процесс репликации между различными DNS-серверами называют передачей зон. Главная причина для того, чтобы иметь 2 или более сервера DNS - это уверенность, что если один из них выйдет из строя, другой может быть доступен для обработки запросов, относящихся к домену, содержащемуся в файле зоны, т.е. обеспечение отказоустойчивости.

В Windows Server 2003, по сравнению с Windows NT, появился новый вид конфигурации DNS. Эта конфигурация называется «DNS, интегрированная в Active Directory». В данной конфигурации информация о зоне DNS храниться непосредственно в Active Directory, а не в отдельном наборе файлов. Как следствие, DNS-информация реплицируется автоматически, как часть общей репликации Active Directory, и не требует создания дополнительной топологии репликации. Это не означает, однако, что каждый контроллер домена автоматически становиться сервером DNS. Это означает только, что каждый контроллер домена может стать сервером DNS, если служба DNS будет установлена на компьютер. DNS, интегрированная в Active Directory, также располагает рядом достоинств, например, каждый из серверов DNS может вносить изменения в зону и, в случае отказа одного из серверов, обновления зоны DNS не прекращаются. В стандартной конфигурации DNS обновления невозможны, если прекращает работу основной сервер имен.

Другое большое преимущество службы DNS в Windows Server 2003 Enterprise - это то, что она динамическая. Это означает, что узел может регистрировать и отменять регистрацию записей в DNS самостоятельно, включая запись соответствия имени и IP-адреса (А).

Преимущество динамической DNS очевидны, так как в предыдущих реализациях DNS все записи требовалось создавать вручную, что отнимало много времени и порождало множество ошибок. Многие сравнивают динамическое обновление DNS с функционированием WINS. Эти службы действительно схожи, но цель WINS - разрешение имен NetBIOS в IP-адрес, в то время как DNS сопоставляет имена узлов их IP-адресам. DNS используется Windows Server 2003 не только для разрешения имен узлов в их IP-адреса. Эта служба также помогает системе находить службы в сети, такие как службу аутентификации контроллера домена. Когда пользователь пытается войти в домен, его Windows XP-система запрашивает DNS о наличии контроллеров домена (одного или более) на данном физическом сайте. Контроллеры домена автоматически регистрируются в DNS и также регистрируют записи, относящиеся к некоторым, работающим на них, службам. Точно также, клиенты Windows XP могут регистрировать себя в DNS самостоятельно, а могут и через сервер DHCP, который дает клиенту его IP-адрес.

Отметим несколько важных замечаний о службе DNS в Windows Server 2003:

1 Windows Server 2003 DNS поддерживает IXFR или инкрементальный трансфер зоны. Если происходят изменения в зоне, то только эти изменения реплицируются на другие сервера DNS;

2 при использовании службы DNS, интегрированной в Active Directory, можно активизировать функцию, называемую Secure Dynamic Updates (безопасные динамические обновления). При этом сервер DNS будет позволять обновления или регистрацию записей только с систем, которые имеют правомочные учетные записи в Active Directory. Если эта настройка не активизирована, то любая система может делать изменения в DNS, что представляет угрозу безопасности сети.

Прежде чем устанавливать Active Directory в среду Windows Server 2003, важно разработать реализацию DNS, которая будет соответствовать как системе разрешения имен, так и требованиям Active Directory. Зубанов Ф., Active Directory: миграция на платформу Microsoft Windows Server 2003, М. Русская Редакция 2006, С. 291 Служба DNS необходима Active Directory как для разрешения имен, так и для определения пространства имен, так как доменные имена в Windows Server 2003 базируются на соглашении об именовании DNS. Как следствие, любой сервер, на который устанавливается Active Directory, должен иметь в своих настройках протокола TCP/IP указание на сервер DNS, который необходимо установить и настроить предварительно.

Первая концепция - это использование DNS для разрешения имен узлов или разрешения FQDN (Fully Qualified Domain Name - полностью определенное имя домена) в его IP-адрес. Пример FQDN-имени - www.firma.ru. В этом примере имя узла - левая часть полного имени, а именно www. Имена узла также могут разрешаться при помощи файла HOSTS, который является статическим текстовым файлом и находится в папке %systemroot%\system32\drivers\etc на локальном компьютере. Не стоит путать DNS c WINS, которая ставит в соответствие NetBIOS имени соответствующий IP-адрес (также имеется текстовый эквивалент данной службы, файл LMHOSTS). Служба DNS хранит большое число записей ресурсов различного типа, кроме простой записи хоста, т. н. «А» записи.

Существует 5 основных типов серверов DNS. Это основные, вторичные, интегрированные в Active Directory, серверы пересылки и кэширующие сервера. Основной сервер DNS -сервер, который полномочен для зоны. По существу это означает, что в зоне есть только один сервер, на котором можно производить изменения в базе данных зоны. Вторичный сервер DNS - содержит копии «только для чтения» информации, хранящейся на основном сервере DNS, и получают обновления в ходе передачи зоны. Один вторичный сервер является минимально необходимым, но и другие могут создаваться с целью выравнивания нагрузки и обеспечению отказоустойчивости. Интегрированный в Active Directory сервер DNS - возможен только для серверов DNS на базе OS Windows Server 2003, в данной реализации DNS файл зоны хранится как объект в Active Directory, а не как несколько файлов на жестком диске. В данном сценарии каждый контроллер домена, на котором установлена служба DNS, по существу действует как основной сервер DNS, допускает изменения в зоне и осуществляет синхронизацию файла зоны через репликацию Каталога. Как следствие, если какой-либо сервер DNS выйдет из строя, любой другой сервер, интегрированный в Active Directory, может продолжать осуществлять изменения. Кэширующий только -не является полномочным для зоны. Как следствие, он только получает клиентские запросы, осуществляет запросы других серверов DNS, кэширует результаты и посылает ответы клиентам. По умолчанию кэширующий сервер DNS пересылает все запросы, ответы на которые не найдены в его кэше, корневому серверу DNS. Сервер пересылки DNS -может быть настроен так, что будет пересылать запросы, которые не могут разрешить к какому-либо определенному серверу. Такие серверы называются forwarder (сервер пересылки). Серверы пересылки могут впоследствии обрабатывать запросы, вместо других серверов DNS. Это позволяет уменьшить время обработки некоторых запросов по поиску узлов (в Интернете, например), т. к. сервер пересылки обрабатывает запросы и кэширует результат, который потом возвращается к компьютеру, сделавшему запрос. Это может улучшить и скорость и производительность.

Очевидно, что производительность ЛВС не в последнюю очередь зависит от компьютера, используемого в качестве сервера. При использовании Windows Server 2003 Standard Edition необходимо ориентироваться на наиболее высокоскоростной компьютер. В этом случае, как всегда, существует возможность выбора между готовыми серверами, предлагаемыми производителями и поставщиками компьютерной техники, и серверами самостоятельной сборки. При наличии определенного опыта, самостоятельно собранный под заказ сервер может составить альтернативу готовому продукту. Большое разнообразие компонентов не дает возможности назвать конкретные виды «железа» для закупки и сборки. Поэтому следует обратить внимание на следующие моменты:

1 оперативная память. Windows Server 2003 предъявляет высокие требования к объему оперативной памяти. И они еще более возрастают в случае применения сетевого сервера. Не смотря на то, что минимальный объем оперативной памяти составляет 128МБ, а рекомендуемый - 256МБ, для нормальной работы этих объемов будет недостаточно. С учетом того в настоящее время цены на оперативную память сильно упали, можно смело действовать по принципу «чем больше - тем лучше», однако при этом не надо забывать о разумности - нет смысла ставить более 4ГБ на Standard Edition, т.к. эта редакция не поддерживает такие объемы памяти, и, как правило, нет смысла ставить все 32ГБ на Enterprise Edition, т.к. не всегда используемые приложения смогут использовать такой объем памяти. Одним словом, при выборе объема оперативной памяти надо исходить из планируемой нагрузки, поддерживаемого объема памяти используемой редакцией Windows Server 2003, используемой материнской платы (они также имеют свой определенный порог максимального поддерживаемого объема оперативной памяти);

2 жесткие диски. В идеале в сервере должны использоваться винчестеры и адаптеры SCSI. Однако их цена довольно-таки высока. Кроме того - в случае выхода из строя SCSI оборудования будет довольно проблематично оперативно найти замену. Поэтому неплохой альтернативой будет использование винчестеров VelociRaptor от компании Western Digital - они более дешевы, по сравнению с SCSI-винчестерами, но при при этом незначительно уступают им в скорости доступа к данным. Кроме того, нельзя забывать о традиционных SATA-накопителях, у них есть два неоспоримых преимущеста - низкая цена и доступность. А скорость доступа к данным и относительно более высокий процент выхода из строя нивелируется путем организации RAID-массива. Основные типы используемых RAID-массивов, их преимущества и недостатки приведены в приложении Д;

3 идеальным вариантом будет использование специального серверного корпуса, снабженного мощными блоками питания (основным и резервным), дополнительными вентиляторами, защитной передней панелью. В качестве более экономичного решения можно использовать корпус типа Big Tower - он достаточно просторный для того, чтобы разместить в нем материнскую плату любого формата, дополнительные вентиляторы, большое количество винчестеров, необходимых для организации RAID-массива;

4 оптический DVD-привод по сути нужен только при установке операционной системы и в случае возникновения нештатных ситуаций;

5 Так как все подключенные к сети рабочие станции будут постоянно обращаться к серверу, одним из его важнейших компонентов является производительная сетевая карта. С учетом того, что передаваемые по сети объемы данных постоянно растут, имеет смысл поставить гигабитную сетевую карту, а в случае высокой планируемой сетевой нагрузки можно поставить две сетевые карты в режиме балансировки сетевой нагрузки.

3. Построение локальной вычислительной сети в ООО «Новостройки Нижнего»

3.1 Постановка задачи для реализации проекта

При разработке структуры и логики будущей ЛВС были поставлены следующие задачи:

1 структура сети должна соответствовать структуре информационных потоков. В зависимости от сетевого трафика компьютеры в сети могут быть разделены на группы (сегменты сети). Компьютеры объединяются в группу, если большая часть порождаемых ими сообщений, адресована компьютерам этой же группы;

2 согласование различных протоколов канального уровня для образования единой транспортной системы, объединяющей несколько сетей с различными принципами передачи информации между конечными узлами;

3 маршрутизация пакетов в сети с выбранной топологией;

4 разработка структуры локальной сети с выделенным сервером;

5 организация сетевых сервисов (служб): DNS, Active Directory, DHCP, File Server.

Прежде, чем выбрать оборудование для построения офисной КС, нужно определиться с ее структурой и топологией, а также задачами, которые будут выполнять пользователи сети.

Будущая КС будет состоять из 36 рабочих станций. Она разрабатывается на реальном объекте: ООО «Новостройки Нижнего» (далее по тексту «организация»). В организации работает 39 человек, у 36 из них есть свое рабочее место с установленным компьютером.

Организация состоит из нескольких функциональных отделов, которые территориально располагаются на территории одного здания в пределах одного этажа.

Права доступа к информации определяются индивидуально для каждого сотрудника или для отдела/отделения в целом: некоторые данные доступны всем, некоторые - только сотрудникам конкретных отделов, некоторые данные доступны только избранным пользователям.

В соответствии с корпоративной политикой все пользователи сети должны иметь доступ, к внутренним информационным ресурсам организации. Доступ к ресурсам глобальной сети Интернет предоставляется в случае наличия производственной необходимости после согласования со службой безопасности компании. При этом разрешенный для посещения перечень сайтов определяется индивидуально в каждом конкретном случае.

Необходимости в делении сети на виртуальные сегменты нет, сеть строится без использования технологии VLAN. Движение трафика для всех отделов прозрачно, разграничение прав доступа к внутренним информационным ресурсам обеспечивается программными средствами на уровне Active Directory (если быть более точным, то на уровне списков контроля доступа - Access Control List, ACL).

Необходимо обеспечить конфиденциальность информации, хранимой в сети, а также ее защиту от различных вредных внутренних и внешних воздействий, таких как несанкционированный доступ, повреждение или искажение информации вследствие действий третьих лиц или действия вредоносного кода (вирусы, троянские программы, сетевые черви и т.д.).

Отталкиваясь от описанных исходных данных, было разработано техническое задание на разработку и построение сети. Данное техническое задание составлено на разработку, настройку, внедрение, отладку и сопровождение ЛВС в данной огранизации.

Основные параметры:

1 КС проектируется для одного этажа здания, в котором необходимо обеспечить взаимодействие для 36 персональных компьютеров с возможностью дальнейшего расширение и наращивания количества используемых персональных компьютеров. Кабельная инфраструктура строится на базе единого коммуникационного центра;

2 КС должна обеспечить решение следующих задач:

a сетевое хранение файлов и сетевая печать;

b телефонная связь;

c высокопроизводительная система коллективной работы с базой данных;

d резервное копирование данных, критичных для работы отделения.

3 На всю сеть необходимо наличие одного главного коммуникационного центра. Параметры производительности используемых сетевых устройств:

a ширина пропускания внутреннего канала связи должна составлять не менее 100 Мбит/с;

b магистраль должна обеспечивать пропускную способность не менее 33% от максимального трафика коммуникационного центра;

c все сетевое оборудование должно находиться в едином коммуникационном центре.

4 на каждом рабочем месте необходимо установить не менее 2 портов кабельной системы. В каждом кабинете необходимо установить не менее одного дополнительного порта кабельной системы для подключения сетевого принтера (независимо от того, используется сетевой принтер в данном кабинете в настоящее время или нет)

5 параметры кабельной системы единого коммуникационного центра:

a резерв свободных сетевых портов для подключения потенциальных новых рабочих мест должен составлять не менее 15%;

b в сети должен быть один центральный сервер, совмещающий в себе функции контроллера домена, сервера DNS, сервера DHCP, файлового сервера, backup-сервера и центрального сервера антивируса (сервер №1);

c в сети должен быть один сервер, исполняющий роль сервера базы данных для внутреннего программного обеспечения, используемого в работе группы по работе с бытовыми потребителями (сервер№2);

d в сети должен быть один сервер, исполняющий роль SQL-сервера (для ведения финансовых расчетов с юридическими лицами) и роль сервера печати (сервер №3).

Планируемая конфигурация серверов приведена в приложении Е.

6 обязательно обеспечить бесперебойное питание всего оборудования, находящегося в едином коммуникационном центре:

a активное сетевое оборудование;

b серверы.

Для организации бесперебойного питания активного сетевого оборудования и серверов допустимо использовать источники бесперебойного питания. Время работы от батарей должно составлять не менее 10 минут.

Также необходимо, чтобы ИБП главного коммуникационного центра поддерживали двусторонний обмен данными с подключенным к ним компьютерам.

После разработки технического задания, изучив структуру помещений офиса и исходя из поставленных задач, была разработана принципиальная схема будущей КС (см. Приложение Ж).

3.2 Выбор аппаратных средств для ЛВС

После разработки принципиальной схемы сети можно перейти к выбору аппаратных средств для построения сети.

Существует несколько основных, наиболее часто используемых типов сетевых устройств.

1 сетевой концентратор (hub). Предназначен для объединения нескольких устройств в общий сегмент сети. Отличительной чертой данного типа сетевых устройств является то, что данные, пришедшие по одному порту, рассылаются на все остальные активные порты, независимо от адресата исходных данных. Как следствие - возможны проблемы с безопасностью (злоумышленник имеет возможность беспрепятственно «слушать» все передаваемые по сети данные) и повышенная нагрузка на сеть. В настоящее время практически не используются.

2 сетевой коммутатор. Предназначен для объединения нескольких устройств в общий сегмент сети. В отличии от сетевого концентратора, который передает данные исходящие от одного узла сетевого сегмента на все остальные активные узлы, передает данные только непосредственному адресату (исключение - широковещательный трафик, передаваемый на MAC-адрес FF:FF:FF:FF:FF:FF). Как следствие - более высокая безопасность и пониженная нагрузка на сеть. В работе использует собственную таблицу коммутации, указывающую на каком порту находится тот или иной владелец MAC-адреса. В процессе работы извлекает из передаваемых данных MAC-адреса отправителя и получателя, затем передает данные адресату в соответствии со своей таблицей коммутации. При первичной настройке таблица коммутации пуста, поэтому коммутатор работает как обычный концентратор - извлекает из первого пришедшего пакета адрес отправителя, заносит его таблицу коммутации, а пакет отправляет на все оставшиеся порты и т.д., постепенно встраивая таблицу коммутации.

3 сетевой мост. Сетевой мост предназначен для объединения нескольких сегментов компьютерной сети разных топологий и архитектур (например, объединение сетей, одна из которых построена на оптоволокне, а вторая - на витой паре). Как и коммутатор, сетевой мост не зависит от протокола и передает пакеты только на тот порт, к которому подключен адресат, но порт адресата определяется не с помощью таблицы коммутации, а путем использования центрального процессора. В отличие от большинства коммутаторов, мосты не передают фрагменты пакетов при возникновении коллизий и пакеты с ошибками, поэтому помимо связи обеспечивают следующие функции - ограничение домена коллизий; задержка фреймов, адресованных узлу в сегменте отправителя; ограничение перехода из домена в домен ошибочных фреймов.

4 маршрутизатор. В отличие от предыдущих устройств зависит от протокола передачи данных. Как и сетевые мосты не передают адресату фрагменты пакетов при возникновении коллизий. Маршрутизаторы сохраняют пакет целиком в своей памяти прежде, чем передать его адресату, поэтому, при использовании маршрутизаторов пакеты передаются с задержкой. В отличие от концентраторов, коммутаторов и мостов маршрутизаторы изменяют все передаваемые пакеты. Маршрутизаторы помогают уменьшить загрузку сети, благодаря её разделению на домены коллизии, а также благодаря фильтрации пакетов (если адресата нет в таблице машрутизации, то пакет отбрасывается). В основном маршрутизаторы применяют для объединения сетей разных типов, часто несовместимых по архитектуре и протоколам (например для объединения локальных сетей Ethernet и WAN-соединений). Нередко маршрутизатор используется для обеспечения доступа из локальной сети в глобальную сеть Internet, осуществляя функции трансляции адресов и межсетевого экрана. В качестве маршрутизатора может выступать как специализированное (аппаратное) устройство, так и обычный компьютер, выполняющий функции маршрутизатора.

5 персональный компьютер. Является как источником, так и получателем информации, передаваемой по сети. Компьютер, подключенный к сети, является универсальным узлом. Прикладное использование компьютеров в сети определяется программным обеспечением и установленным дополнительным оборудованием. Установка мультимедийного оборудования может превратить компьютер в IP-телефон, видеотелефон, терминал видеоконференцсвязи. Коммутация с другими устройствами сети обеспечивается сетевым адаптером и программными средствами загружаемой операционной системы. Для осуществления «дальних» коммуникаций используется модем.

6 сервер. Сервер, по сути, такой же компьютер, но с более высокой сетевой активностью. При установке двух или более сетевых интерфейсов и соответствующего программного обеспечения сервер может играть роль маршрутизатора или моста (как собственно и персональный компьютер).

7 принтер. Принтеры обеспечивают возможность осуществлять печать как с локального компьютера, к которому подключен принтер, так и с прочих компьютеров сети, при соответствующей настройке. Принтер может подключаться как к конкретному компьютеру, так и непосредственно к сети, посредством принт-сервера. В роли принт-сервера может выступать обычный компьютер, подключенный к сети (при этом принтер подключается к данному компьютеру), принт-сервер может быть выполнен в виде отдельного устройства, совместимого со многими моделями принтеров, а может быть встроен в сам принтер. В условиях необходимости использования сетевой печати использование принт-сервера является более оптимальным вариантом, т.к. в этом случае принтер не «привязан» к ПК и может находится в любой точке локальной сети, куда протянута витая пара и организован порт кабельной системы.

Исходя из поставленной задачи на построение корпоративной компьютерной сети, при выборе оборудования для компьютерной сети было принято решение выбрать сетевое оборудование компаний D-link и Cisco. При этом оборудование компании D-link будет использоваться для внутрисетевой коммутации, а оборудование компании Cisco будет использоваться для межсетевой коммутации.

Для внутрисетевой коммутации были выбраны 24х-портовые коммутаторы компании D-link. Данный выбор обусловлен следующими факторами:

1 нет необходимости разделять сеть на сегмент;

2 коммутаторы, в отличие от концентраторов, не загружают сеть лишней нагрузкой, т.к. они передают данные только адресату, а на все активные порты;

3 практика использования оборудования D-link такого класса показывает хорошие результаты и малый процент отказов;

4 малая стоимость оборудования.

Для межсетевой коммутации был выбран маршрутизатор компании Cisco. Данный выбор обусловлен следующими факторами:

1 компания Cisco является одним из ведущих мировых производителей активного сетевого оборудования;

2 практика использования сетевого оборудования компании Cisco показывает отличные результаты и очень малый процент отказов, а на данном участке (межсетевая коммутация, обеспечивающая связь с управлением компании и внешним миром посредством использования электронной почты) высокая надежность и стабильность работы очень важна.

В целях упрощения дальнейшей эксплуатации сети в едином коммутационном центре необходимо установить серверную стойку или серверный шкаф. Т.к. единый коммутационный узел будет находиться в серверном помещении, доступ куда разрешен только персоналу группы АСУ, то для монтажа сетевого оборудования решено выбрать открытую двухрамную 19” телекоммуникационную стойку, высотой 42U (1U = 44,45мм). Стойка является оптимальным решением для экономичного размещения оборудования и представляет собой полностью разборную конструкцию. Кроме того, в отличие от закрытого телекоммуникационного шкафа, стойка упрощает процесс ее эксплуатации.

В целях оптимизации и упрощения дальнейшей эксплуатации КС было решено использовать патч-панели производства копании TRENDтet. Патч-панель (коммутационная панель) - одна из составных частей КС. Представляет собой панель со множеством соединительных разъёмов, расположенных на лицевой стороне панели. На тыльной стороне панели находятся контакты, предназначенные для фиксированного соединения с кабелями, и соединённые с разъёмами электрически. Коммутационная панель относится к пассивному сетевому оборудованию. Каждый информационный кабель, приходящий в коммутационный узел с каждого рабочего места, оборудованного компьютером, телефоном или сетевым принтером, сначала подключается к патч-панели (с тыльной стороны), затем, с помощью патч-корда через разъем на передней части панели подключается к свитчу (в случае использования компьютера или принтера) или к АТС, в случае использования телефона на этом кабеле.

Исходя из планируемых размеров КС, с учетом планируемого роста сети в дальнейшем, для реализации проекта КС потребуется следующее сетевое оборудование, рассчитанное на монтаж в стандартную 19” стойку:

1 свитч на 24 порта - 2 штуки;

2 патч-панель на 48 портов - 2 штуки;

3 маршрутизатор - 1 штука.

Таким образом, на первичном этапе построения КС в стойке будет занято место, равное 7U, остальное пространство в стойке оставляется в резерв, например на случай замены серверов на сервера со стоечными корпусами.

3.3 Описание основных доменных настроек

После монтажа кабельной системы можно приступать к непосредственной настройке параметров КС. Опишем основные настройки серверов и клиентских станций.

Домен.

Для организации домена необходимо на центральном сервере Сервер №1 запустить консоль «Управление данным сервером», выбрать «Добавить или удалить роль». В настоящее время, для управления КС данной роганизации, было принято решение использовать изолированный домен, поэтому на следующем этапе необходимо выбрать типовую настройку для первого сервера. Имя используемого домена - BALY.local, NetBIOS-имя домена - BALY. После завершения работы мастера, на сервере будут установлены типовые необходимые роли для первого сервера в сети - контроллер домена (Active Directory), DNS-сервер и DHCP-сервер.

Параметры DHCP-сервера.

Прежде чем начать работать с DHCP-сервером в домене на базе Windows Server 2003, DHCP-сервер необходимо предварительно авторизовать в Active Directory. Правда в нашем случае этого делать не надо, т.к. DHCP-сервер был автоматически авторизован мастером настройки и установки сервера (на этапе добавления роли DHCP-сервера).

В 1994г. IETF (Internet Engineering Task Force - инженерный совет Internet) было принято решение о том, что часть IP-адресов будет отведена только для использования в частных сетях. Всего было выделено три таких диапазона:

· A: 10.0.0.0 - 10.255.255.255;

· B: 172.16.0.0 - 172.31.255.255;

· C: 192.168.0.0. - 192.168.255.255.

В связи с этим данной организации была выделена сеть 10.1.51.0/24. Т.е. при маске 255.255.255.0 были доступны адреса на отрезке 10.1.51.1-10.1.51.254.

В целях упрощения дальнейшего сопровождения работы КС будет использоваться динамическая конфигурация параметров сетевых подключений на всех рядовых клиентах КС, т.е. они будут настраиваться с помощью DHCP-сервера. Для этого на DHCP-сервере необходимо сделать следующие настройки:

1 переопределить область DHCP-сервера - новая область будет иметь имя «10.1.51», начальный адрес области - 10.1.51.1, конечный адрес области - 10.1.51.254, длина маски - 24 (или 255.255.255.0), диапазон исключения - 10.1.51.1-10.1.51.20 (эти IP-адреса резервируются для серверного оборудования, настройку сетевых принтеров и т.д.);

2 определить следующие параметры области:

a 003 Маршрутизатор - 10.1.51.1;

b 006 DNS Servers - 10.1.51.2;

c 015 DNS-имя домена - BALY.local.

DNS-сервер.

DNS-сервер в дополнительной настройке не нуждается - для поставленной задачи волне достаточно автоматических настроек.

Пользователи, группы пользователей и OU.

Прежде чем пользователи смогут пользоваться своими компьютерами, необходимо все компьютеры ввести в домен, а для пользователей завести персональные учетные данные (логин и пароль для входа). Это выполняется в оснастке «Active Directory - пользователи и компьютеры». В целях упрощения дальнейшего администрирования необходимо определить OU (Organisation Unit, подразделение). Необходимость использования новых OU вызвана тем, на компьютеры, находящиеся в стандартной OU «Computers» не распространяются групповые политики. Кроме того, введение дополнительных OU существенно облегчает навигацию в оснастке «Active Directory - пользователи и компьютеры». Поэтому необходимо создать новые OU с именами, соответствующими названиям групп организации (например «Абонентская группа», «Группа АСУ» и т.д.), затем ввести все компьютеры сотрудников в домен, попутно перенося учетные записи компьютеров в соответствующие OU (дело в том, что при заведении нового компьютера в домен, его учетная запись создается в стандартной OU Computers). Также необходимо создать группы пользователей, которые будут называться соответственно имени их группы и находится в соответствующей OU.

Затем необходимо создать учетные записи для пользователей соответствующих OU и сделать их членами соответствующих групп (например, в организации работает Иванов Иван Иванович, он является сотрудником абонентского отдела, поэтому необходимо создать OU «Абонентский отдел», в ней - группу «Абонентский отдел» и учетную запись для Иванова Ивана Ивановича, причем данная учетная запись будет являться членом группы «Абонентский отдел»).

Сетевые диски.

После создания учетных записей пользователей домена можно приступать к настройке сетевых каталогов, так называемых «расшаренных» папок, которые можно подключать на клиентских компьютерах в качестве сетевых дисков (т.е. когда требуемый сетевой ресурс находится где-то на удаленной машине, а пользователь видит и использует его как локальный диск, правда с незначительными ограничениями).

Для этого в свойствах папки, которую необходимо расшарить, надо поставить галочку «Открыть общий доступ к этой папке» и, в графе «Общий ресурс», определить имя, под которым эта папка будет доступна при обращении к ней по сети (сетевое имя расшаренной папки). В соответствии с рекомендацией Microsoft разрешения для доступа к общему ресурсу необходимо настроить следующим образом - разрешить полный доступ для группы «Все» (для этого там же, на вкладке «Доступ», есть кнопка «Разрешения»). При этом более тонкую настройку прав доступа необходимо совершать на вкладке «Безопасность» в свойствах папки. Именно для тонкой, удобной, легкой и прозрачной настройки прав доступа нам и потребуются группы пользователей, которые были созданы на предыдущем шаге.

Данную операцию (расшаривание сетевых папок и определение необходимого уровня доступа для каждого пользователя или группы пользователей) необходимо провести на каждом сервере для каждой папки, которая должна быть доступна по сети пользователям (всем или только части пользователей).

Теперь можно приступать к подключению сетевых дисков пользователей. Рассмотрим как эту процедуру можно автоматизировать для группы пользователей. Ранее было сказано, что Сервер №2 будет исполнять роль сервера базы данных для внутреннего программного обеспечения. Особенность этого программного обеспечения такова, что для его работы необходим расшаренный каталог, находящийся на сервере. На предыдущем шаге был расшарен соответствующий каталог на сервере. Теперь можно руками подключить этот каталог в качестве сетевого диска на каждом компьютере абонентской группы. А можно этот процесс автоматизировать. Для этого необходимо воспользоваться групповыми политиками. Для более точной и удобной работы с групповыми политиками необходимо скачать с сервера компании Microsoft и установить на Сервер №1 приложение, называемое Group Policy Management Console (GPMC). С его помощью необходимо создать новую групповую политику и в ней, в разделе «Конфигурация пользователя; Конфигурация Windows; Сценарии (вход/выход из системы)» в параметре «Вход в систему» указать путь к исполняемому cmd-файлу (который должен быть доступен для целевых пользователей). А в сам cmd-файл внести строку следующего вида:

«net use X: \\Server_Name\Folder_Name» (без кавычек)

где:

1 net use - стандартная команда для работы с сетевыми дисками;

2 X - буква, под которой сетевой диск будет отображаться на целевом клиенте;

3 Server_Name - имя сервера, на котором находится требуемая расшаренная папка;

4 Folder_Name - сетевое имя расшаренной папки.

Затем, в разделе «Конфигурация пользователя; Конфигурация Windows; Сценарии (вход/выход из системы)» в параметре «Выход из системы» указать путь к другому исполняемому cmd-файлу (который должен быть доступен для целевых пользователей). А в сам cmd-файл внести строку следующего вида:

«net use X: /DELETE /Y» (без кавычек)

где:

1 net use - стандартная команда для работы с сетевыми дисками;

2 X - буква, под которой сетевой диск отображается на целевом клиенте;

3 /DELETE - ключ, указывающий, что указанный сетевой диск необходимо отключить;

4 /Y - ключ, указывающий, что не надо ожидать от пользователя ответа на запрос об отключении сетевого диска, т.е. удаление без подтверждения со стороны пользователя.

Затем необходимо вновь созданную групповую политику слинковать с существующей целевой OU. После этого, когда пользователь совершит вход на компьютере под своей ученой записью, будет произведено автоматическое подключение требуемого расшаренного каталога как сетевого диска, а когда произведет завершение сеанса (или выключение/перезагрузку компьютера), то смонтированный ранее сетевой диск будет автоматически отключен.

Антивирусная защита.

В соответствии с корпоративной политикой используется антивирус Symantec Endpoint Protection 11.0. Его центральный сервер управления должен быть установлен на Сервер №1. Одной из отличительных особенностей данного антивируса является то, что его консоль управления позволяет устанавливать антивирусную защиту на клиентов удаленно - т.е. непосредственно с самого сервера управления антивирусом. При этом наличие административных прав на целевом компьютере обязательно. В процессе установки и настройки сервера управления SEPM (Symantec Endpoint Protection Manager) необходимо также позаботиться о своевременном обновлении антивирусных баз на сервере SEPM (клиентские компьютеры подцепят антивирусные базы с головного сервера SEPM автоматически). Это можно делать вручную - периодически качать файлы описаний антивирусных баз с Internet-сервера компании Symantec, либо автоматически - используя встроенные средства самого SEPM или используя LiveUpdate Administrator. SEPM также позволяет управлять доступам к съемным носителям, поэтому, в целях снижения вирусных угроз и повышения безопасности сети, необходимо в SEPM создать соответствующую политику управления приложениями и устройствами, и определить в ней следующие параметры: