Администрирование сетей Windows

Краткое знакомство со службой каталогов Windows 2000

Служба каталогов используется для уникальной идентификации пользователей и ресурсов в сети. Для работы службы каталогов Win­dows 2000 применяет Active Directory. Важно понимать основную цель Active Directory и ее ключевые возможности.

Что такое служба каталогов

Каталог (Directory) - сохраненный набор информации об объектах, связанных друг с другом некоторым способом. Например, в телефон­ном справочнике хранятся имена объектов и соответствующие им телефонные номера. Телефонный справочник также может содержать адрес или другую информацию об объекте.

В распределенных компьютерных системах или глобальных сетях типа Интернета существует множество объектов, например файловые серверы, принтеры, службы факсов, приложения, базы данных и пользователи, которые находят и используют эти объекты.

Необхо­димо, чтобы администраторы имели возможность управлять этими объектами. Служба каталогов централизованно хранит всю информа­цию, требуемую для использования и управления этими объектами, упрощая процесс поиска и управления данными ресурсами.

В данном курсе термины каталог и служба каталогов относятся к каталогам, расположенным в глобальных и частных сетях.

Каталог предоставляет средство хранения информации, относящейся к сете­вым ресурсам, облегчая их поиск и управление ими.

Служба каталогов - сетевая служба, которая идентифицирует все ресурсы сети и де­лает их доступными пользователям. Служба каталогов отличается от каталога тем, что хотя они оба являются источниками информации, служба делает ее доступной для пользователей.

Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет идентификацией и отношениями между распределен­ными ресурсами и позволяет им работать вместе. Ввиду поддержки службой каталогов этих фундаментальных функций ОС, они должны быть тесно связаны с механизмами управления и безопасности ОС для обеспечения целостности и защищенности сети. Они также не­обходимы для определения и поддержания инфраструктуры сети организации, администрирования системы и контроля активности пользователей информационной службы компании.

Назначение службы каталогов

Служба каталога предоставляет средства организации и упрощения доступа к ресурсам сетевой компьютерной системы. Пользователи и администраторы могут не знать точное название необходимых им объектов. Им достаточно знать один или несколько атрибутов рас­сматриваемых объектов. Пользователи обращаются к службе катало­гов для запроса списка объектов, отвечающих известным атрибутам. Например, в ответ на запрос «Найти все цветные принте­ры на третьем этаже» каталог выдаст сведения обо всех объектах цвет­ных принтеров с атрибутами «цветной» и «третий этаж» (или у кото­рых атрибут местоположения равен «третий этаж»). Служба каталогов позволяет искать объект по одному или нескольким его атрибутам.

Служба каталогов выполняет и другие функции:

Назначение безопасности для защиты объектов БД от внешних вторжений или внутренних пользователей, не имеющих доступа к данным объектам;

Распространение каталога на множество компьютеров сети;

Дублирование каталога для предоставления доступа большему ко­личеству пользователей и отказоустойчивости;

Деление каталога на несколько хранилищ, расположенных на раз­ных компьютерах сети. Это увеличивает доступное для каталога пространство в целом и позволяет хранить больше объектов.

Служба каталогов является как инструментом администрирова­ния, так и инструментом пользователя. При расширении сети прихо­дится управлять все большим количеством объектов ресурсов, и на­личие службы каталога становится насущной необходимостью.

Возможности службы каталогов Windows 2000

Active Directory - это служба каталогов в Windows 2000 Server . Active Directory содержит каталог, в котором хранится информация о сете­вых ресурсах и службы, предоставляющие доступ к этой информации. Ресурсы, хранящиеся в каталоге, такие, как данные, сведения о прин­терах, серверах, базах данных, группах, службах, компьютерах, поли­тике безопасности, - называются объектами (object).

Active Directory встроена в Windows 2000 Server и обеспечивает:

Упрощенное администрирование;

Масштабируемость;

Поддержку открытых стандартов;

Поддержку стандартных форматов имен.

Упрощенное администрирование

Active Directory иерархически упорядочивает ресурсы в домене (domain) - логическом объединении серверов и других сетевых ресурсов в единое имя домена. Домен является основной единицей репликации и безопасности в сети Windows 2000.

Каждый домен включает один или несколько контроллеров домена. Контроллер домена (domain controller) - компьютер под управлением Windows 2000 Server, обеспечивающий доступ пользователей в сеть: вход в систему, проверку подлинности и доступ к каталогу и общим ресурсам. Для простоты администрирования все контроллеры домена равнозначны. Изменения, сделанные на любом из них, реплицируются на остальные контроллеры в домене.

Active Directory дополнительно упрощает администрирование, предоставляя единую точку администрирования всех объектов сети. Благодаря этому администратор может, войдя в систему на одном компьютере, управлять объектами, расположенными на любом компьютере в сети.

Масштабируемость

В Active Directory каталог помещает информацию в разделы, позво­ляющие хранить множество объектов. В результате каталог расширя­ется с ростом организации. Это позволяет переходить от небольших установок с несколькими сотнями объектов к большим с миллиона­ми объектов.

Поддержка открытых стандартов

Active Directory соответствует концепции пространства имен Интер­нета в части службы каталогов Windows 2000. Это позволяет унифи­цировать и управлять множеством пространств имен, существующих в настоящее время в разнородном программном и аппаратном окру­жении корпоративных сетей. В качестве системы именования Active Directory использует DNS и способен обмениваться информацией с любым приложением или каталогом, использующим LDAP или про­токол передачи гипертекста (HTTP).

DNS

Поскольку Active Directory для доменного именования и службы по­иска использует DNS, имена доменов Windows 2000 также являются именами DNS. Windows 2000 Server применяет динамическую DNS (DDNS), позволяющую клиентам с динамически назначенными ад­ресами напрямую регистрироваться на сервере с работающей служ­бой DNS и динамически обновлять таблицу DNS. В однородной среде DDNS устраняет потребность в других службах именования Ин­тернета, например в службе имен Интернета для Windows (Windows Internet Name Service, WINS).

Поддержка LDАР и HTTP

Active Directory отвечает стандартам Интернета и напрямую поддер­живает LDAP и HTTP. LDAP - версия протокола доступа к каталогу Х.500, разработан в качестве упрощенной альтернативы протокола доступа к каталогам (Directory Access Protocol, DAP). Active Directory поддерживает обе версии LDAP: 2 и 3. HTTP является стандартным протоколом для отображения страниц во всемирной сети Интернет. Пользователи могут просматривать каждый объект в Active Directory, как HTML-страницу в обозревателе Web, пользуясь при запросах и просмотре объектов Active Directory всеми преимуществами знакомой модели обозревателя Web.

Для обмена информацией между каталогами и прило­жениями Active Directory использует LDAP.

Active Directory поддерживает несколько общих форматов имен, сле­довательно, для обращения к Active Directory пользователи могут выб­рать наиболее привычный формат.

Active Directory работает в безопасной подсистеме в пользовательском режиме. Тесная взаимосвязь службы каталога и подсистемы безопасности является основой для работы распределенных систем Windows 2000. Доступ к любому объекту каталога требует сначала удостоверения личности (проверки подлинности), а затем и проверки разрешений Доступа (авторизации), которая выполняется компонентами подсистемы безопасности вместе с эталонным монитором безопасности.

Архитектура Active Directory

Функциональную структуру Active Directory можно представить в виде многоуровневой архитектуры, в которой уровни являются процесса­ми, предоставляющими клиентским приложениям доступ к службе каталога. Active Directory состоит из трех уровней служб и нескольких интерфейсов и протоколов, совместно работающих для предоставления доступа к службе каталога. Три уровня служб охватывают различные типы информации, необходимой для поиска записей в БД каталога. Выше уровней служб в этой архитектуре находятся протоколы и API-интерфейсы, осуществляющие связь между клиентами и службой каталога.

На рис. изображены уровни службы Active Directory и соответствующие им интерфейсы и протоколы. Стрелки показывают, как различные клиенты получают при помощи интерфейсов доступ к Active Directory.

· Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию родительско-дочерних отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу.

· Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняют­ся напрямую к БД, а только через уровень БД.

· Расширяемое ядро хранения. Напрямую взаимодействует с конк­ретными записями в хранилище каталога на основе атрибута от­носительного составного имени объекта.

· Хранилище данных (файл БД NTDS.DIT). Управляется при помо­щи расширяемого механизма хранения БД, расположенного в пап­ке WinntNTDS на контроллере домена.

· Клиенты получают доступ к Active Directory, используя механиз­мы, поддерживаемые DSA.

· LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2 (описан в RFC 1777). Клиенты Windows 2000, Windows 98 и Win­dows 95 с установленными клиентскими компонентами Active Directory для связи с DSA используют LDAP версии 3.

· API- интерфейс обмена сообщениями (Messaging API, MAPI, Messaging Application Programming Interface ). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC(Remote Procedure Call)

· Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Клиенты Windows NT версии 4.0 или более ран­ней используют интерфейс SAM для связи с DSA. Репликация с резервных контроллеров в домене смешанного режима также вы­полняется через интерфейс SAM.

· Репликация (REPL). При репликации каталога, агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC.

Active Directory

Средства Active Directory позволят вам спроектировать структуру каталога так, как это нужно вашей организации.

Объекты Active Directory

Active Directory хранит информацию о сетевых ресурсах. Как уже было сказано эти ресурсы, например данные пользователей, описания принтеров, серверов, баз данных, групп, компьютеров и политик безопасности, и называются объектами (object).

Объект - это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс. Атрибуты (attribute) объекта являются его характеристиками в каталоге. Например, атрибуты учетной записи пользователя (user account) могут включать в себя его имя и фамилию, отдел, а также адрес электронной почты

В Active Directory объекты могут быть организованы в классы, то есть в логические группы. Примером класса является объединение объектов, представляющих учетные записи пользователей, группы, компьютеры, домены или организационные подразделения (ОП).

Примечание Объекты, которые способны содержать другие объекты, называются контейнерами (container). Например, домен - это контейнерный объект, который может содержать пользователей, компьютеры и другие объекты.

Какие именно объекты могут храниться в Active Directory, определяется ее схемой.

Схема Active Directory

Схема Active Directory - это список определений (definitions), задающих виды объектов, которые могут храниться в Active Directory, и типы сведений о них. Сами эти определения также хранятся в виде объектов, так что Active Directory управляем ими посредством тех же операций, которые используются и для остальных объектов в Active Directory.

В схеме существуют два типа определений : атрибуты и классы . Также они называются объектами схемы (schema objects) или мета­данными (metadata).

Атрибуты определяются отдельно от классов. Каждый атрибут оп­ределяется только один раз, при этом его разрешается применять в нескольких классах. Например, атрибут Description используется во многих классах, однако определен он в схеме только однажды, что обеспечивает ее целостность.

Классы , также называемые классами объектов (object classes), опи­сывают, какие объекты Active Directory можно создавать. Каждый класс является совокупностью атрибутов. При создании объекта ат­рибуты сохраняют описывающую его информацию. Например, в чис­ло атрибутов класса User входят Network Address, Home Directory и пр. Каждый объект в Active Directory - это экземпляр класса объектов.

В Windows 2000 Server встроен набор базовых классов и атрибутов.

Определяя новые классы и новые атрибуты для уже существующих классов, опытные разработчики и сетевые администраторы могут динамически расширить схему. Например, если Вам нужно хранить информацию о пользователях, не определенную в схеме, можно расширить схему для класса Users. Однако такое расширение схемы - достаточно сложная операция с возможными серьезными последствиями.

Компоненты Active Directory

Active Directory использует компоненты для построения структуры каталога, отвечающей требованиям вашей организации. Логическую структуру организации представляют домены, организационные подразделения, деревья, леса. Физическая структура организации представлена узлами (физически­ми подсетями) и контроллерами доменов. В Active Directory логическая структура полностью отделена от физической.

Логическая структура

В Active Directory ресурсы организованы в логическую структуру, от­ражающую структуру вашей организации. Это позволяет находить ресурс по его имени, а не физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая 1 структура сети не важна для пользователей.

Домен

Основным элементом логической структуры в Active Directory являет­ся домен, способный содержать миллионы объектов. В домене хранят­ся объекты, которые считаются «интересными» для сети. «Интересные» объекты - это то, в чем члены сетевого сообщества нуждаются для сво­ей работы: принтеры, документы, адреса электронной почты, базы дан­ных, пользователи, распределенные компоненты и прочие ресурсы. Active Directory может состоять из одного или более доменов.

Объединение объектов в один или более доменов позволяет отра­зить в сети организационную структуру компании. Общие характе­ристики доменов таковы:

Все сетевые объекты существуют в пределах домена, а каждый до­мен хранит информацию только о тех объектах, которые содер­жит. Теоретически каталог домена может содержать до 10 милли­онов объектов, но фактически - это около 1 миллиона объектов на домен;

Домен обеспечивает безопасность. В списках управления доступом(access control lists, ACL) определяется доступ к объектам домена. В них заданы разрешения для пользователей, которые могут полу­чить доступ к объекту, и указан тип этого доступа. В Windows 2000 объекты включают файлы, папки, общие ресурсы, принтеры и другие объекты Active Directory. В разных доменах никакие пара­метры безопасности, например административные права, полити­ки безопасности, списки управления доступом, не пересекаются между собой. Администратор домена имеет абсолютное право ус­танавливать политики только внутри данного домена.

Организационное подразделение (ОП) - это контейнер, используе­мый для объединения объектов домена в логические административ­ные группы, отражающие деятельность или бизнес-структуру органи­зации. Организационное подразделение (ОП) может содержать объек­ты, например учетные записи пользователей, группы, компьютеры, принтеры, приложения, совместно используемые файловые ресурсы, а также другие ОП из того же домена. Иерархия ОП одного домена не зависит от иерархической структуры другого домена, а каждый домен может иметь свою собственную структуру ОП.

ОП представляют собой средства выполнения административных задач, поскольку являются объектами наименьшего масштаба, которым разрешается делегировать административные полномочия, то есть администрирование пользователей и ресурсов.

Дерево (tree) - это группа, или иерархически упорядоченная сово­купность из одного или более доменов Windows 2000, созданная пу­тем добавления одного или более дочерних доменов к уже существу­ющему родительскому домену. Все домены в дереве используют свя­занное пространство имен и иерархическую структуру именования.

Харак­теристики деревьев таковы:

Согласно стандартам доменной системы имен (Domain Name System, DNS), доменным именем дочернего домена будет объединение его относительного имени и имени родительского домена.

Все домены в пределах одного дерева совместно используют об­щую схему, которая служит формальным определением всех ти­пов объектов, находящихся в Вашем распоряжении при разверты­вании Active Directory;

Все домены в пределах одного дерева совместно используют об­щий глобальный каталог, который служит центральным хранили­щем информации об объектах в дереве.

Лес (forest) - это группа, или иерархически упорядоченная совокуп­ность, из одного или более отдельных и полностью независимых до­менных деревьев. Деревья обладают следующими характеристиками:

У всех деревьев в лесе общая схема;

У всех деревьев в лесе разные структуры именования, соответствующие своим доменам;

Все домены в лесе используют общий глобальный каталог;

Домены в лесе функционируют независимо друг от друга, однако лес допускает обмен данными в масштабе всей организации;

Между доменами и деревьями доменов существуют двусторонние доверительные отношения.

Физическая структура

Физические компоненты Active Directory - это узлы и контроллеры домена. Эти компоненты применяются для разработки структуры ка­талога, отражающей физическую структуру вашей организации.

Сайт

Сайт (site) - это объединение одной или более подсетей IP для со­здания максимально возможного ограничения сетевого трафика, вы­соконадежным каналом связи с высокой пропускной способностью. Как правило, границы узла совпадают с границами ЛВС. Когда Вы группируете подсети, следует объединять только те из них, которые между собой связаны быстрыми, дешевыми и надежными сетевыми соединениями. В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры и пользователи сгруппированы в домены и ОП, а не в сайты. Сайты содержат лишь объекты компьютеров и соединений, нужные для настройки межсайтовой репликации.

Контроллеры домена

Контроллер домена - это компьютер с Windows 2000 Server, хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену.

Концепции работы Active Directory

Вместе с Active Directory введено несколько новых понятий, например, глобальный каталог, репликация, доверительные отношения, пространство имен DNS и правила наименования. Важно понимать их значение применительно к Active Directory.

Глобальный каталог (global catalog) - это центральное хранилище ин­формации об объектах в дереве или лесе (рис. 2-6). По умолчанию глобальный каталог автоматически создается на первом контроллере домена в лесе, и этот контроллер становится сервером глобального каталога (global catalog server). Он хранит полную реплику атрибутов всех объектов в своем домене, а также частичную реплику атрибутов всех объектов для каждого домена в лесе. Эта частичная реплика хранит те атрибуты, которые чаще других нужны при поиске (например, по имени или фамилии пользователя, по регистрационному имени пользователя и т. д.). Атрибуты объекта в глобальном каталоге наследуют исходные разрешения доступа из тех доменов, откуда они были реплицированы, и таким образом, в глобальном каталоге обеспечивается безопасность данных.

Глобальный каталог выполняет две важные функции: 1.обеспечивает регистрацию в сети, предоставляя контроллеру домена информацию о членстве в группах;

2.обеспечивает поиск информации в каталоге независимо от расположения данных.

Когда пользователь регистрируется в сети, глобальный каталог предоставляет контроллеру домена, который обрабатывает информацию о процессе регистрации в сети, полные данные о членстве учетной записи в группах. Если в домене только один контроллер, сервер глобального каталога и контроллер домена - это один и тот же сер­вер. Если же в сети несколько контроллеров домена, то глобальный каталог располагается на том из них, который сконфигурирован для этой роли. Если при попытке регистрации в сети глобальный каталог недоступен, то пользователю разрешается зарегистрироваться, лишь на локальном компьютере.

Глобальный каталог позволяет максимально быстро и с минимальным сетевым трафиком отвечать на запросы программ и пользователей об объектах, расположенных в любом месте леса или дерева доменов. Глобальный каталог может разрешить запрос в том же домене, в котором этот запрос был инициирован, так как информация обо всех объектах всех доменов в лесе содержится в едином глобальном каталоге. Поэтому поиск информации в каталоге не вызывает лишнего трафика между доменами.

В качестве сервера глобального каталога вы можете по своему выбору настроить любой контроллер домена либо дополнительно назначить на эту роль другие контроллеры домена. Выбирая сервер глобального каталога, надо учесть, справится ли сеть с трафиком репликации и запросов. Впрочем, дополнительные серверы позволят ускорить время отклика на запросы пользователей. Рекомендуется, чтобы каждый крупный сайт предприятия имел собственный сервер глобального каталога.

Репликация

Необходимо, чтобы с любого компьютера в дереве доменов или лесе пользователи и службы могли все время получать доступ к информации в каталоге. Репликация позволяет отражать изменения в одном контроллере домена на остальных контроллерах в домене. Информация каталога реплицируется на контроллеры домена как в пределах узлов, так и между ними.

Виды реплицируемой информации

Хранимая в каталоге информация делится на три категории, которые называются разделами каталога (directory partition). Раздел каталога служит объектом репликации. В каждом каталоге содержится следующая информация:

информация о схеме - определяет, какие объекты разрешается создавать в каталоге и какие у них могут быть атрибуты;

информация о конфигурации - описывает логическую структуру развернутой сети, например структуру домена или топологию репликации. Эта информация является общей для всех доменов в де­реве или лесе;

данные домена - описывают все объекты в домене. Эти данные относятся только к одному определенному домену. Подмножество свойств всех объектов во всех доменах хранится в глобальном каталоге для поиска информации в дереве доменов или лесе.

Схема и конфигурация реплицируются на все контроллеры домена в дереве или лесе. Все данные определенного домена реплицируются на каждый контроллер именно этого домена. Все объекты каждого домена, а также часть свойств всех объектов в лесе реплицируются в глобальный каталог.

Контроллер домена хранит и реплицирует: информацию о схеме дерева доменов или леса; информацию о конфигурации всех доменов в дереве или лесе; все объекты и их свойства для своего домена. Эти данные реплицируются на все дополнительные контроллеры в домене. Часть всех свойств объектов домена реплицируется в глобальный ката­лог для организации поиска информации. Глобальный каталог хранит и реплицирует:

Информацию о схеме в лесе;

Информацию о конфигурации всех доменов в лесе;

Часть свойств всех объектов каталога в лесе (реплицируется только между серверами глобального каталога);

Все объекты каталога и все их свойства для того домена, в котором расположен глобальный каталог.

Внимание! Из-за полной синхронизации всех данных в домене расширение схемы может пагубно влиять на большие сети.

Как работает репликация

Active Directory реплицирует информацию в пределах сайта чаще, чем между сайтами, сопоставляя необходимость в обновленной информации каталога с ограничениями по пропускной способности сети.

В пределах сайта Active Directory автоматически создает топологию репликации между контроллерами одного домена с использованием кольцевой структуры. Топология определяет путь передачи обновлений каталога между контроллерами домена до тех пор, пока обновле­ния не будут переданы на все контроллеры домена.

Кольцевая структура обеспечивает существование минимум двух путей репликации от одного контроллера домена до другого, и если один контроллер домена временно становится недоступен, то репликация на остальные контроллеры домена все равно продолжится.

Дабы убедиться, что топология репликации все еще эффективна, Active Directory периодически ее анализирует. Если вы добавите или уберете контроллер домена из сети или узла, то Active Directory соответственно изменит топологию.

Репликация между сайтами

Для обеспечения репликации между узлами нужно представить сетевые соединения в виде связей сайтов (site link). Active Directory использует информацию о сетевых соединениях для создания объектов-соединений, что обеспечивает эффективную репликацию и отказоустойчивость.

Вы должны предоставить информацию о применяемом для репликации протоколе, стоимости связи сайтов, о времени доступности связи и о том, как часто она будет использоваться. Исходя из этого, Active Directory определит, как связать сайты для репликации. Лучше выполнять репликацию в то время, когда сетевой трафик минимален.

Доверительные отношения

Доверительное отношение (trust realtionship) - это такая связь между двумя доменами, при которой доверяющий домен признает регистрацию в сети в доверяемом домене. Active Directory поддерживает две формы доверительных отношений.

Неявные двусторонние транзитивные доверительные отношения (implicit two-way transitive trust). Это отношения между родительским и дочерним доменами в дереве и между доменами верхнего Уровня в лесе. Они определены по умолчанию, то есть доверительные отношения между доменами в дереве устанавливаются и поддерживаются неявно (автоматически). Транзитивные доверительные отношения - это функция протокола идентификации Кегberos, по которому в Windows 2000 проводится авторизация и ре­гистрация в сети.

Как показано на рис. 2-8, транзитивные доверительные отношения означают следующее: если Домен А доверяет Домену В, а До­мен В доверяет Домену С, то Домен А доверяет Домену С. В результате присоединенный к дереву домен устанавливает доверительные отношения с каждым доменом в дереве. Эти доверитель­ные отношения делают все объекты в доменах дерева доступными Для всех других доменов в дереве.

Транзитивные доверительные отношения между доменами устраняют необходимость в междоменных доверительных учетных записях. Домены одного дерева автоматически устанавливают с родительским доменом двусторонние транзитивные доверительные отношения. Благодаря этому пользователи из одного домена могут получить доступ к ресурсам любого другого домена в дереве (при условии, что им разрешен доступ к этим ресурсам).

Явные односторонние нетранзитивные доверительные отношения (explicit one-way nontransitive trust). Это отношения между доменами, которые не являются частью одного дерева. Нетранзитивные доверительные отношения ограничены отношениями двух доменов и не распространяются ни на какие другие домены в лесе. В большинстве случаев вы сами можете явно (вручную) создать нетранзитивные доверительные отношения. Так, на рис. 2-8 показаны односторонние транзитивные доверительные отношения, в ко­торых Домен С доверяет Домену 1, так что пользователи в Домене 1 могут получить доступ к ресурсам в Домене С. Явные односторон­ние нетранзитивные доверительные отношения - это единственно возможные отношения между:

Доменом Windows 2000 и доменом Windows NT;

Доменом Windows 2000 в одном лесе и доменом Windows 2000 в другом лесе;

Доменом Windows 2000 и сферой (realm) MIT Kerberos V5, что позволяет клиентам из сферы Kerberos регистрироваться в домене Active Directory для получения доступа к сетевым ресурсам.

администратор сети – специалист, отвечающий за нормальное функционирование и использование ресурсов сети. Если более детально, то администрирование информационных систем включает следующие цели:

• Установка и настройка сети. Поддержка её дальнейшей работоспособности.
• Мониторинг. Планирование системы.
• Установка и конфигурация аппаратных устройств.
• Установка программного обеспечения.
• Архивирование (резервное копирование) информации.
• Создание и управление пользователями.
• Установка и контроль защиты.

Вот выписка должностных обязанностей администратора сети:

1. Устанавливает на серверы и рабочие станции сетевое программное обеспечение.
2. Конфигурирует систему на сервере.
3. Обеспечивает интегрирование программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.
4. Поддерживает рабочее состояние программного обеспечения сервера.
5. Регистрирует пользователей, назначает идентификаторы и пароли.
6. Обучает пользователей работе в сети, ведению архивов; отвечает на вопросы пользователей, связанные с работой в сети; составляет инструкции по работе с сетевым программным обеспечением и доводит их до сведения пользователей.
7. Контролирует использование сетевых ресурсов.
8. Организует доступ к локальной и глобальной сетям.
9. Устанавливает ограничения для пользователей по:
   • использованию рабочей станции или сервера;
   • времени;
   • степени использования ресурсов.
10. Обеспечивает своевременное копирование и резервирование данных.
11. Обращается к техническому персоналу при выявлении неисправностей сетевого оборудования.
12. Участвует в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.
13. Выявляет ошибки пользователей и сетевого программного обеспечения и восстанавливает работоспособность системы.
14. Проводит мониторинг сети, разрабатывает предложения по развитию инфраструктуры сети.
15. Обеспечивает:
    • сетевую безопасность (защиту от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных);
    • безопасность межсетевого взаимодействия.
16. Готовит предложения по модернизации и приобретению сетевого оборудования.
17. Осуществляет контроль за монтажом оборудования специалистами сторонних организаций.
18. Сообщает своему непосредственному руководителю о случаях злоупотребления сетью и принятых мерах.
19. Ведет журнал системной информации, иную техническую документацию.
20. ………………………………………………………………………………………………

Группы пользователей - что это и зачем?

Все пользователи сети разделяются по своим полномочиям на группы. Каждая группа может отвечать за выполнение тех или иных задач. Возможно такое определение прав групп пользователей, при котором пользователи имеют все права , необходимые им для выполнения своих функций, но не более того. Полностью все права должны быть только у одного пользователя - администратора (супервизора) сети. Он имеет все права , в том числе может создавать группы пользователей и определять права , которыми они обладают.

Пользователи могут быть членами одновременно нескольких групп. Можно, например, создать новый каталог и разрешить к нему доступ сразу для всех пользователей сети. При этом вам придется изменять права доступа не для всех пользователей (их может быть несколько десятков), а только для одной группы, что существенно легче. Для каждой лаборатории или отдела имеет смысл создать свою группу пользователей. Если у вас есть пользователи, которым требуются дополнительные права (например, права доступа к каким-либо каталогам или сетевым принтерам), создайте соответствующие группы пользователей и предоставьте им эти права .

Если в сети много рабочих станций, которые находятся в разных помещениях и принадлежат разным отделам или лабораториям, имеет смысл создать группу администраторов сети. Права нескольких администраторов сети определяются системным администратором. Не следует предоставлять администраторам сети всех прав системного администратора. Вполне достаточно, если в каждом отделе или лаборатории будет Один-два администратора, которые обладают правами управления, только работающими в данном отделе или лаборатории пользователями. Если в отделе или лаборатории имеется сетевой принтер или какие-либо другие сетевые ресурсы, у администратора должны быть права на управление этими устройствами. Однако вовсе ни к чему, чтобы администратор одной лаборатории мог управлять сетевым принтером, принадлежащим другой лаборатории. При этом пользователи должны иметь минимально необходимые им для нормальной работы права доступа к дискам сервера.

Таким образом, очевидно, что создание групп пользователей актуально только в больших компьютерных сетях. Если сеть небольшая, то и один человек справится с такими вопросами, как добавление новых пользователей, разграничение доступа к дискам сервера, сетевым принтерам и другим сетевым ресурсам и в создании групп администраторов и обычных пользователей смысла нет.

Создание группы пользователей

Запускаем на виртуальной машине сервер . Наберем команду mmc и добавим в консоль оснастки, с которыми будем работать - DNS, DHCP, AD-пользователи и компьютеры . Для этого потребуется команда Консоль-Добавить или удалить оснастку-Добавить ( рис. 55.1 .

Рис. 55.1.

Теперь в AD щелкните правой кнопкой мыши и выполните команду Создать-Группа ( рис. 55.2 и ( рис. 55.3).

Рис. 55.2.

Группа безопасности назначает права доступа к ресурсам сети (администрирует). Группа распространения не может заниматься администрированием, она занимается рассылкой сообщений. Локальная в домене может содержать в себе пользователя любого домена в лесу, но администрировать эта группа может только в том домене, в котором группа создавалась. Глобальная может содержать в себе пользователей из того домена, в котором она была создана, но администрировать они могут любой

Привет, хабрахабр! Эта моя первая статья и посвящена она удаленному администрированию. Надеюсь, что она будет интересна не только системным администраторам, но и просто продвинутым юзерам, так как использование некоторых компонентов может вам пригодиться.

В основном речь пойдет об администрировании компьютеров до загрузки операционной системы. Когда количество компьютеров невелико, на поддержку их работоспособности не требуется много человеческих ресурсов. С расширением парка компьютеров, их обслуживание становится более затратным. В моем случае, организация обладает около 100 компьютеров. Переустановка операционных систем, восстановление образов операционных систем занимает много времени. Мне приходилось обслуживать каждую единицу техники отдельно. Поэтому, встала задача разработать систему, которая упростит жизнь администратора и увеличит количество свободного времени, которое можно потрать на более интересные вещи.

Существует множество софта, который умеет делать подобные вещи, тем не менее, каждый из них обладает недостатками, которые я постарался убрать и разработать такую систему, которая удовлетворяет моим требованиям.

Что для этого нужно?
Клиентская машина должна обладать сетевой картой, которая поддерживает стандарт PXE (есть практически в каждой сетевой карте). Не буду описывать принцип работы данного стандарта, в интернете есть много информации для ознакомления. Скажу лишь, что он позволяет загружать файлы по сети. Ну и в BIOS нужно включить загрузку по сети. Настройка клиентской части на этом закончена.

Сервер должен включать DHCP и TFTP. Чтобы не заморачиваться с настройками, я использовал программу TFTPD32, которая уже включает все нужные компоненты. Программа находится в свободно доступе с открытым исходным кодом.

Для настройки DHCP пришлось побегать и снять MAC адреса с каждого компьютера. Это нужно для идентификации компьютеров в сети. В TFTP сервере нужно было указать только папку выгрузки файлов и поместить в нее все необходимое. Загрузчик, который будет выполнять все операции - grub4dos. Был выбран именно этот загрузчик, так как опыта по созданию загрузочных USB-накопителей с ним достаточно, да и информации куча в интернете.

Теперь о принципе действия.

1. При включении, компьютер обращается к DHCP серверу за IP адресом.

2. DHCP сервер, согласно своей настройке, выдает нужный IP клиенту, так же IP адрес TFTP сервера и имя загрузочного файла. В моем случае файл загрузчика grub4dos - grldr.

3. Клиентский компьютер, приняв запрос, устанавливает себе IP и обращается к TFTP серверу с запросом загрузочного файла.

4. TFTP сервер отдает запрашиваемый файл. Выглядит это так:

Ответ сервера

5. Загрузив файл, PXE запускает загрузчик и заканчивает свою работу. Дальнейшая работа выполняется загрузчиком. После запуска загрузчик запрашивает файл menu.lst. В этом файле содержаться инструкции для установки ОС или запуска утилит.

6. Сервер передает файл menu.lst

7. Программа-загрузчик на клиенте «читает» инструкции и выполняет их, загружая с TFTP сервера требуемые файлы.

Суть в том, что программа TFTPD32 всегда выдает один и тот же файл инструкций menu.lst. То есть, без изменений нельзя было назначать разным компьютерам разные задачи. Раз программа с открытыми исходниками, я нашел в коде то место, где программа отправляет файл menu.lst и изменил его.

В итоге, как только клиентская машина запрашивает у сервера файл menu.lst, программа, посредством http протокола отправляет GET запрос на веб-сервер (http://localhost/getmenulst.php?ip=IP) для запроса файла инструкций для конкретного IP. Файлы инструкции хранятся в базе.

Для наглядности, приведу новую схему.

Далее стояла задача подготовить образы для установки ОС систем и загрузки утилит, а так же написать файлы инструкций menu.lst.
Например, menu.lst для установки windows 7 выглядит так:

Install Windows 7

color blue/green yellow/red white/magenta white/magenta timeout 0 default 0 title Install Windows 7 pxe keep chainloader --raw (pd)/pxeboot.n12

Для загрузки Acronis True Image:

color blue/green yellow/red white/magenta white/magenta timeout 0 default 0 title boot acronis #root (hd0,0) kernel /kernel.dat vga=788 ramdisk_size=32768 acpi=off quiet noapicmbrcrcs on initrd /ramdisk.dat boot

Не буду приводить все опции, чтобы не нагружать статью.

Очень много времени ушло на сборку образов с требуемым софтом и подготовки их для установки по сети, так как это не просто копирование файл в каталог. Из ОС систем я собрал только Windows 7 и Windows XP. Пришлось влезать в Acronis True Image, чтоб сделать автоматическое восстановление системы из образа. Так же закачал ISO образы нескольких нужных утилит.

Для управления всем этим «чудом» написал небольшую панель администрирования на PHP+MySQL. Она позволяет добавлять/удалять компьютеры, добавлять/удалять опции, а так же устанавливать опции загрузки. Так же мы можем увидеть время последнего включения компьютера и опцию, которая ему установлена. По умолчанию устанавливается «Загрузка с жесткого диска».

Не обращайте внимания на первую часть панели администрирования. Там реализована возможность удаленного управления установкой программ с помощью программы uTorrnet, о чем я напишу в следующей статье, если это кого-то заинтересует.

Подведу итоги. Данная система работает в реальном времени. Порой я нахожу баги и исправляю их, добавляю новые опции.

Порядок работы такой: мне звонят и говорят, что не загружается система на компьютере «Имя». Я захожу в панель администрирования, ставлю опцию «Загрузка Acronis» и прошу человека на том конце провода перезагрузить компьютер. Дальше система восстановит сама все из образа и сообщит пользователю, что он может работать. Если устанавливается новый компьютер, его MAC вносится в базу данных, в панели ставится опции установки ОС и Windows устанавливается сама без какого-либо участия.

Это очень удобно, потому что часто мне приходится уезжать, а так я могу исправлять проблемы, находясь где угодно. Стоит отметить, что нет финансов на приобретение качественного оборудования. Живем, как можем.

Конечно, до полной автоматизации еще много работы, но поверьте, жить мне стало легче.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ

«СЫКТЫВКАРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИМ. ПИТИРИМА СОРОКИНА»

КОЛЛЕДЖ ЭКОНОМИКИ, ПРАВА И ИНФОРМАТИКИ

о прохождении производственной практики по

профессиональному модулю

«Организация сетевого администрирования »

студента 2 курса группы № 25

специальности 09.02.02 «Компьютерные сети»

Виноградова Александра Владимировича

Сыктывкар 2017

Введение

1.1 Структура предприятия

Заключение

Введение

Производственная практика была пройдена в период с 11.05.2017 по 28.06.2017 под руководством директора МЦТЭТ ЛТУ г. Емва Коми филиала ПАО «Ростелеком» Лебедева В.В, находящегося по адресу: г.Емва, улица Коммунистическая, д. 18

Цель производственной практики:

Целями производственной практики являются:

Закрепление и совершенствование приобретенных в процессе обучения профессиональных умений обучающихся по изучаемой профессии;

Развитие общих и профессиональных компетенций;

Освоение современных производственных процессов;

Адаптация обучающихся к конкретным условиям деятельности организаций.

Задачи практики:

Задачами производственной практики являются:

1. Получение первичных профессиональных умений и навыков;

2. Подготовка студентов к осознанному и углубленному изучению общепрофессиональных и специальных дисциплин;

3. Привитие практических профессиональных умений и навыков по избранной специальности.

Раздел 1. Характеристика объекта практики

ПАО Ростелеком занимается:

1. ПАО Ростелеком - телекоммуникационная компания с государственным участием. Предоставляет услуги местной и дальней телефонной связи, широкополосного доступа в Интернет, интерактивного телевидения, сотовой связи и др.

2. Основные задачи ПАО «Ростелеком» по городу Емва:

1) разработка, сопровождение и обслуживание местной и дальней телефонной связи, Интернета, интерактивного телевидения

2) разработка и реализация технологий внутреннего и внешнего электронного документооборота;

3) обеспечение целостности, защищенности и отказоустойчивости региональной сети г. Емва и Княжпогостского р-на;

4) внедрение передовых технологий, призванных повысить уровень функционирования региональной сети и защищенности передаваемых данных;

5) осуществление единой политики приобретения, разработки и использования технических и программных средств для решения перечисленных выше задач.

1.1 Структура предприятия

1. Структура организации представлена в виде схемы (смотреть в приложении)

2. Непосредственное руководство осуществляет директор, решение о назначении на должность и освобождение от должности которого производится приказом с республиканского отделения.

3. Директор подчиняется непосредственно вышестоящему руководству и несет персональную ответственность за состояние и результаты выполняемых работ.

4. Руководство отделами осуществляется заведующими отделов. Заведующие отделами назначаются на должность и освобождаются от должности приказом республиканского отделения по представлению директора.

Раздел 2. Содержание практики

2.1 Знакомство с местом практики

Был проведен инструктаж по технике безопасности и противопожарной безопасности. Изучен распорядок дня

2.2 Изучение локальной нормативной документации и структуры предприятия

Ознакомился с документацией по охране труда и внутреннему распорядку. Так же ознакомление с принципами предстоящих работ.

2.3 Знакомство с занимаемой (замещаемой) должности

Был проведен инструктаж по занимаемой (замещаемой) должности, т.е должности инсталяторщик. Были изучены задачи этой должности и ее работа

2.4 Знакомство с монтажом сетевого кабеля

Был проведен монтаж сетевого кабеля. Были проведены заменены на оптоволоконные кабели. Ознакомление и изучение монтажа оптоволоконного кабеля.

2.5 Изучение установки роутера и интерактивного телевидения

Ознакомление с роутерами и интерактивным телевидением. Изучение, настройка и проверка работы.

2.6 Организация устранения неполадок в локально-вычислительных сетях

Обнаружение неполадок в локально-вычислительных сетях. Помощь в их устранение.

Заключение

компания телекоммуникационный роутер телевидение

На основании пройденной производственной практики можно сделать следующие выводы:

1. Приобретены навыки по организации собственной деятельности, выбора типовых методов и способов выражения профессиональных задач, оценки их эффективность и качества.

2. Улучшились качества работы в коллективе и в команде.

3. Приобретены навыки по систематизации и автоматизации процессов и обработки документации.

Общее впечатление от пройденной производственной практики - положительное. Практика помогла научиться самостоятельно решать круг задач, возникающих в ходе работы инсталяторщика. Так же практика помогла научиться проводить грамотный анализ собранных данных, проявлять инициативу в устранении выявляемых проблем.

Программа практики выполнена в полном объеме, поэтому цель и задачи практики можно считать достигнутыми, а практику успешно пройденной.

Список использованной литературы

Основная литература

1. Максимов, Н. В. Компьютерные сети: учеб, пособие для студ. учрежд, среднего проф. образования, обуч, по спец. информатики и вычислит, техники. Доп. МО РФ / Н. В. Максимов, И. И. Попов. - 5-е изд., перераб. и доп. - М.: ФОРУМ, 2012 .- 464 с.

2. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей: учеб. пос. для студ. учреждений среднего проф. образования, обуч. по спец. "Информатика и вычислительная техника". Рек. Минобрнауки РФ / В. Ф. Шаньгин.- М. : ИД "ФОРУМ" : ИНФРА-М, 2013 .- 416 с.

3. Партыка, Т. Л. Информационная безопасность: учебное пособие для студентов учреждений среднего профессионального образования. Доп. Минобрнауки РФ / Т. Л. Партыка, И. И. Попов.- 5-изд., перераб. и доп. - М. : Форум, 2012 .- 432 с.

Дополнительная литература

1. Александров Д.В. Инструментальные средства информационного менеджмента. CASE-технологии и распределенные информационные системы: электронный ресурс: учебное пособие. - М.: Финансы и статистика, 2011. - 225 с.

2. Диков А.В. WEB-технологии HTML и CSS: электронный ресурс: учебное пособие. - М.: Директ Медиа, 2012.

3. Максимов Н.В. Архитектура ЭВМ и вычислительных систем: учебник для студентов учреждений среднего профессионального образования, обучающихся по специальности «Информатика и вычислительная техника». Рек. Минобрнауки РФ/Н.В. Максимов, Т.Л. Партыка, И.И. Попов.- 4-е изд.., перераб. И доп.-М.: ФОРУМ, 2012.-511 с.

Размещено на Allbest.ru

...

Подобные документы

Понятие цифрового интерактивного телевидения. Классификация интерактивного телевидения по архитектуре построения сети, по способу организации обратного канала, по скорости передачи данных, по степени интерактивности. Мировой рынок платного телевидения.

курсовая работа , добавлен 06.02.2015


Принципы подбора размера и структуры сети, кабельной подсистемы, сетевого оборудования, программного обеспечения и способов администрирования. Особенности разработки локальной сети для регистрационного отдела ГИБДД, стоимостная оценка ее реализации.

курсовая работа , добавлен 13.11.2009


Характеристика профессиональной деятельности ОАО "Ростелеком" - национальной телекоммуникационной компании. Схема организации сети в Астраханской области. Структура телекоммуникационной системы, ее установка и монтаж. Обслуживание системы управления.

отчет по практике , добавлен 18.01.2015


Необходимость создания и применения средств и систем диагностики сетей. Общая модель решения проблемы поиска неисправностей. Организация диагностики компьютерной сети. Некоторые частные примеры устранения неполадок сети. Методика упреждающей диагностики.

курсовая работа , добавлен 19.01.2015


Особенности развития современных систем телевизионного вещания. Понятие цифрового телевидения. Рассмотрение принципов организации работы цифрового телевидения. Характеристика коммутационного HDMI-оборудования. Анализ спутникового телевидения НТВ Плюс.

курсовая работа , добавлен 14.09.2012


Краткая характеристика компании и ее деятельности. Выбор топологии локальной вычислительной сети для подразделений предприятия. Организация ЛВС в офисах. Обоснование сетевой технологии. Сводная ведомость оборудования. Расчет времени доступа к станции.

курсовая работа , добавлен 11.02.2011


Понятие локальной сети, ее сущность, виды, назначение, цели использования, определение ее размеров, структуры и стоимости. Основные принципы выбора сетевого оборудования и его программного обеспечения. Обеспечение информационной безопасности в сети.

курсовая работа , добавлен 13.11.2009


Характеристика ATSC, ISDB и DVB стандартов цифрового телевидения. Этапы преобразования аналогового сигнала в цифровую форму: дискретизация, квантование, кодирование. Изучение стандарта сжатия аудио- и видеоинформации MPEG. Развитие интернет-телевидения.

реферат , добавлен 02.11.2011


Технология интерактивного цифрового телевидения в сетях передачи данных. Контроль транспортной сети IPTV, ее архитектура, система условного доступа. Аппаратное решение для кодирования и транскодирования видеопотоков. Протоколы IPTV; мобильное телевидение.

дипломная работа , добавлен 15.11.2014


Функции администрирования сетей. Управление отказами и конфигурацией. Учет работы сети. Управление производительностью. Обязанности системного администратора. Программы для удаленного администрирования. Механизмы передачи данных, обеспечение их защиты.

Современные корпоративные информационные системы по своей природе всегда являются распределенными системами. Рабочие станции пользователей, серверы приложений, серверы баз данных и прочие сетевые узлы распределены по большой территории. В крупной компании офисы и площадки соединены различными видами коммуникаций, использующих различные технологии и сетевые устройства. Главная задача сетевого администратора - обеспечить надежную, бесперебойную, производительную и безопасную работу всей этой сложной системы.

Будем рассматривать сеть как совокупность программных, аппаратных и коммуникационных средств, обеспечивающих эффективное распределение вычислительных ресурсов. Все сети можно условно разделить на 3 категории:

• локальные сети (LAN, Local Area Network);
• глобальные сети (WAN, Wide Area Network);
• городские сети (MAN, Metropolitan Area Network ).

Глобальные сети позволяют организовать взаимодействие между абонентами на больших расстояниях. Эти сети работают на относительно низких скоростях и могут вносить значительные задержки в передачу информации. Протяженность глобальных сетей может составлять тысячи километров. Поэтому они так или иначе интегрированы с сетями масштаба страны.

Городские сети позволяют взаимодействовать на территориальных образованиях меньших размеров и работают на скоростях от средних до высоких. Они меньше замедляют передачу данных, чем глобальные, но не могут обеспечить высокоскоростное взаимодействие на больших расстояниях. Протяженность городских сетей находится в пределах от нескольких километров до десятков и сотен километров.

Локальные сети обеспечивают наивысшую скорость обмена информацией между компьютерами. Типичная локальная сеть занимает пространство в одно здание. Протяженность локальных сетей составляет около одного километра. Их основное назначение состоит в объединении пользователей (как правило, одной компании или организации) для совместной работы.

Механизмы передачи данных в локальных и глобальных сетях существенно отличаются. Глобальные сети ориентированы на соединение - до начала передачи данных между абонентами устанавливается соединение ( сеанс ). В локальных сетях используются методы, не требующие предварительной установки соединения, - пакет с данными посылается без подтверждения готовности получателя к обмену.

Кроме разницы в скорости передачи данных, между этими категориями сетей существуют и другие отличия. В локальных сетях каждый компьютер имеет сетевой адаптер , который соединяет его со средой передачи. Городские сети содержат активные коммутирующие устройства, а глобальные сети обычно состоят из групп мощных маршрутизаторов пакетов, объединенных каналами связи. Кроме того, сети могут быть частными или сетями общего пользования.

Сетевая инфраструктура строится из различных компонентов, которые условно можно разнести по следующим уровням:

• кабельная система и средства коммуникаций;
• активное сетевое оборудование;
• сетевые протоколы;
• сетевые службы;
• сетевые приложения.

Каждый из этих уровней может состоять из различных подуровней и компонентов. Например, кабельные системы могут быть построены на основе коаксиального кабеля ("толстого" или тонкого"), витой пары (экранированной и неэкранированной), оптоволокна. Активное сетевое оборудование включает в себя такие виды устройств, как повторители ( репитеры ), мосты, концентраторы , коммутаторы, маршрутизаторы. В корпоративной сети может быть использован богатый набор сетевых протоколов: TCP/IP , SPX/IPX, NetBEUI, AppleTalk и др.

Основу работы сети составляют так называемые сетевые службы (или сервисы). Базовый набор сетевых служб любой корпоративной сети состоит из следующих служб:

1. службы сетевой инфраструктуры DNS, DHCP, WINS;
2. службы файлов и печати;
3. службы каталогов (например, Novell NDS , MS Active Directory);
4. службы обмена сообщениями;
5. службы доступа к базам данных.

Самый верхний уровень функционирования сети - сетевые приложения .

Сеть позволяет легко взаимодействовать друг с другом самым различным видам компьютерных систем благодаря стандартизованным методам передачи данных , которые позволяют скрыть от пользователя все многообразие сетей и машин.

Все устройства, работающие в одной сети, должны общаться на одном языке – передавать данные в соответствии с общеизвестным алгоритмом в формате, который будет понят другими устройствами. Стандарты – ключевой фактор при объединении сетей.

Для более строгого описания работы сети разработаны специальные модели. В настоящее время общепринятыми моделями являются модель OSI ( Open System Interconnection ) и модель TCP/IP (или модель DARPA ). Обе модели будут рассмотрены в данном разделе ниже.

Прежде чем определить задачи сетевого администрирования в сложной распределенной корпоративной сети, сформулируем определение термина " корпоративная сеть " (КС). Слово " корпорация " означает объединение предприятий, работающих под централизованным управлением и решающих общие задачи. Корпорация является сложной, многопрофильной структурой и вследствие этого имеет распределенную иерархическую систему управления. Кроме того, предприятия, отделения и административные офисы, входящие в корпорацию, как правило, расположены на достаточном удалении друг от друга. Для централизованного управления таким объединением предприятий используется корпоративная сеть .

Основная задача КС заключается в обеспечении передачи информации между различными приложениями, используемыми в организации. Под приложением понимается программное обеспечение , которое непосредственно нужно пользователю, например, бухгалтерская программа , программа обработки текстов, электронная почта и т.д. Корпоративная сеть позволяет взаимодействовать приложениям, зачастую расположенным в географически различных областях, и обеспечивает доступ к ним удаленных пользователей. На рис. 1.1 показана обобщенная функциональная схема корпоративной сети.

Обязательным компонентом корпоративной сети являются локальные сети , связанные между собой.

В общем случае КС состоит из различных отделений, объединенных сетями связи. Они могут быть глобальными ( WAN ) или городскими ( MAN ).

Рис. 1.1.

Итак, сформулируем задачи сетевого администрирования в сложной распределенной КС :

1. Планирование сети.

   Несмотря на то, что планированием и монтажом больших сетей обычно занимаются специализированные компании-интеграторы, сетевому администратору часто приходится планировать определенные изменения в структуре сети - добавление новых рабочих мест, добавление или удаление сетевых протоколов, добавление или удаление сетевых служб, установка серверов, разбиение сети на сегменты и т.д. Данные работы должны быть тщательно спланированы, чтобы новые устройства, узлы или протоколы включались в сеть или исключались из нее без нарушения целостности сети, без снижения производительности, без нарушения инфраструктуры сетевых протоколов, служб и приложений.

2. Установка и настройка сетевых узлов (устройств активного сетевого оборудования, персональных компьютеров, серверов, средств коммуникаций).

   Данные работы могут включать в себя - замену сетевого адаптера в ПК с соответствующими настройками компьютера, перенос сетевого узла (ПК, сервера, активного оборудования) в другую подсеть с соответствующим изменениями сетевых параметров узла, добавление или замена сетевого принтера с соответствующей настройкой рабочих мест.

3. Установка и настройка сетевых протоколов.

   Данная задача включает в себя выполнение таких работ - планирование и настройка базовых сетевых протоколов корпоративной сети, тестирование работы сетевых протоколов, определение оптимальных конфигураций протоколов.

4. Установка и настройка сетевых служб.

   Корпоративная сеть может содержать большой набор сетевых служб. Кратко перечислим основные задачи администрирования сетевых служб:

   • установка и настройка служб сетевой инфраструктуры (службы DNS, DHCP, WINS, службы маршрутизации, удаленного доступа и виртуальных частных сетей);
   • установка и настройка служб файлов и печати, которые в настоящее время составляют значительную часть всех сетевых служб;
   • администрирование служб каталогов (Novell NDS , Microsoft Active Directory), составляющих основу корпоративной системы безопасности и управления доступом к сетевым ресурсам;
   • администрирование служб обмена сообщениями (системы электронной почты);
   • администрирование служб доступа к базам данных.
5. Поиск неисправностей.

   Сетевой администратор должен уметь обнаруживать широкий спектр неисправностей - от неисправного сетевого адаптера на рабочей станции пользователя до сбоев отдельных портов коммутаторов и маршрутизаторов, а также неправильные настройки сетевых протоколов и служб.

6. Поиск узких мест сети и повышения эффективности работы сети.

   В задачу сетевого администрирования входит анализ работы сети и определение наиболее узких мест, требующих либо замены сетевого оборудования, либо модернизации рабочих мест, либо изменения конфигурации отдельных сегментов сети.

7. Мониторинг сетевых узлов.

   Мониторинг сетевых узлов включает в себя наблюдение за функционированием сетевых узлов и корректностью выполнения возложенных на данные узлы функций.

8. Мониторинг сетевого трафика.

   Мониторинг сетевого трафика позволяет обнаружить и ликвидировать различные виды проблем: высокую загруженность отдельных сетевых сегментов, чрезмерную загруженность отдельных сетевых устройств, сбои в работе сетевых адаптеров или портов сетевых устройств, нежелательную активность или атаки злоумышленников (распространение вирусов, атаки хакеров и др.).

9. Обеспечение защиты данных.

   Защита данных включает в себя большой набор различных задач: резервное копирование и восстановление данных, разработка и осуществление политик безопасности учетных записей пользователей и сетевых служб (требования к сложности паролей, частота смены паролей), построение защищенных коммуникаций (применение протокола IPSec, построение виртуальных частных сетей, защита беспроводных сетей), планирование, внедрение и обслуживание инфраструктуры открытых ключей (PKI).