Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Лекции - Windows Server 2003 (комп. сети) (укр. языке) - файл 10.doc


Лекции - Windows Server 2003 (комп. сети) (укр. языке)
скачать (10380.2 kb.)

Доступные файлы (12):

10.doc1954kb.14.07.2009 10:49скачать
11.doc64kb.14.07.2009 10:52скачать
12.doc1066kb.14.07.2009 10:58скачать
1.doc145kb.14.07.2009 09:47скачать
2.doc2167kb.14.07.2009 09:50скачать
3.doc42kb.14.07.2009 09:52скачать
4.doc1056kb.07.12.2009 23:34скачать
5.doc96kb.14.07.2009 10:11скачать
6.doc910kb.07.12.2009 23:36скачать
7.doc158kb.07.07.2009 13:43скачать
8.doc4136kb.14.07.2009 10:40скачать
9.doc128kb.14.07.2009 10:43скачать

содержание

10.doc

Тема 10. Огляд мережевих протоколів NETBEUI, IPX/SPX; служб DHCP, WINS, RRAS

Мережеві протоколи IPX/SPX, NETBEUI

Існує достатньо багато стеків протоколів, широко вживаних в мережах. Це і стеки, що є міжнародними і національними стандартами, і фірмові стеки, що набули поширення завдяки поширеності устаткування тієї або іншої фірми. Прикладами популярних стеків протоколів можуть служити: стік IPX/SPX фірми Novell, стік TCP/IP, використовуваний в мережі Internet і в багатьох мережах на основі операційної системи UNIX, стік OSI міжнародної організації по стандартизації і деякі інші.

Протокол NETBEUI

Протокол NETBEUI (NETBIOS Extended User Interface) веде свою історію від мережевого програмного інтерфейсу ^ NETBIOS (Network Basic Input/Output System), що з'явився в 1984 році як мережеве розширення стандартних функцій базової системи введення/виводу (BIOS) IBM РС для мережевої програми РС Network фірми IBM.

Протокол NETBEUI розроблявся як ефективний протокол, споживаючий трохи ресурсів, для використання в мережах, що налічують не більше 200 робочих станцій. Цей протокол містить багато корисних мережевих функцій, які можна віднести до мережевого, транспортного і сеансового рівнів моделі OSI, проте з його допомогою неможлива маршрутизація пакетів. Це обмежує застосування протоколу NETBEUI локальними мережами, не розділеними на підмережі, і робить неможливим його використання в складених мережах. Деякі обмеження NETBEUI знімаються реалізацією цього протоколу NBF (NETBEUI Frame), яка включена в операційну систему Microsoft Windows NT.

В даний час в операційних системах сімейства Windows 2000 даний протокол вже практично не використовується, а в системах Windows XP/2003 відсутній навіть можливість додавання даного протоколу у Властивостях мережевого підключення системи (хоча, якщо необхідна сумісність з якими-небудь застосуваннями, успадкованими від старих систем і що працюють тільки по протоколу NETBEUI, в дистрибутивах систем Windows XP/2003 є настановні файли для додавання даного протоколу).

^ Стек протоколів IPX/SPX

Цей стек є оригінальним стеком протоколів фірми Novell, розробленим для мережевої операційної системи NetWare ще в початку 80-х років. Протоколи мережевого і сеансового рівня Internetwork Packet Exchange (IPX) і Sequenced Packet Exchange (SPX), які дали назву стечу, є прямою адаптацією протоколів XNS фірми Xerox, поширених в набагато меншому ступені, чим стік IPX/SPX. Популярність стека IPX/SPX безпосередньо пов'язана з операційною системою Novell NetWare.

Багато особливостей стека IPX/SPX обумовлено орієнтацією ранніх версій ОС NetWare (до версії 4.0) на роботу в локальних мережах невеликих розмірів, що складаються з персональних комп'ютерів з скромними ресурсами. Зрозуміло, що для таких комп'ютерів Novell потрібні були протоколи, на реалізацію яких була б потрібна мінімальна кількість оперативної пам'яті і які б швидко працювали на процесорах невеликої обчислювальної потужності. В результаті протоколи стека IPX/SPX до недавнього часу добре працювали в локальних мережах і не дуже — у великих корпоративних мережах, оскільки вони дуже перенавантажували повільні глобальні зв'язки широкомовними пакетами, які інтенсивно використовуються декількома протоколами цього стека (наприклад, для встановлення зв'язку між клієнтами і серверами). Це обставина, а також той факт, що стік IPX/SPX є власністю фірми Novell, і на його реалізацію потрібно отримувати у неї ліцензію, довгий час обмежували поширеність його тільки мережами NetWare. З моменту випуску версії NetWare 4.0 Novell внесла і продовжує вносити до своїх протоколів серйозні зміни, направлені на пристосування їх для роботи в корпоративних мережах. Зараз стік IPX/SPX реалізований не тільки в NetWare, але і в декількох інших популярних мережевих ОС, наприклад, Microsoft Windows NT. Починаючи з версії 5.0 фірма Novell як основний протокол своєї серверної операційної системи почала використовувати протокол TCP/IP, і з тих пір практичне застосування IPX/SPX почало неухильно знижуватися.

Як вже мовилося вище, стек протоколів IPX/SPX є фірмовим запатентованим стеком компанії Novell. Реалізація даного протоколу в операційних системах Microsoft називається NWLink (або IPX/SPX-совместимый протокол). Додати даний протокол можна через Властивості "Підключення по локальній мережі" (кнопка "Встановити", вибрати "Протокол", кнопка "Додати", вибрати "NWLink", кнопка "ОК"; рис. 10.1).



Рисунок - 10.1.

Для того, щоб з мережі під управлінням систем сімейства Windows дістати доступ в мережу під управлінням служб каталогів Novell, окрім NWLink, необхідно встановити також клієнта мереж Novell (Властивості "Підключення по локальній мережі", кнопка "Встановити", вибрати "Клієнт", кнопка "Додати", вибрати "Клієнт для мереж NetWare", кнопка "ОК"; рис. 10.2).



Рисунок - 10.2.

У серверних системах Windows (до Windows 2000 включно) була також служба під назвою "Шлюз для мереж NetWare", що дозволяла клієнтам мереж Microsoft без установки клієнта мереж NetWare діставати доступ до ресурсів серверів під управлінням Novell NetWare (через шлюз, встановлений на сервері Windows NT/2000). У системі Windows 2003 служба шлюзу відсутня.

^ Служба DHCP

Служба DHCP (Dynamic Host Configuration Protocol) — це одна із служб підтримки протоколу TCP/IP, розроблена для спрощення адміністрування IP-сети за рахунок використання спеціально настроєного сервера для централізованого управління IP-адресами і іншими параметрами протоколу TCP/IP, необхідними мережевим вузлам. Сервер DHCP позбавляє мережевого адміністратора від необхідності ручного виконання таких операцій, як:

  • автоматичне призначення мережевим вузлам IP-адресов і інших параметрів протоколу TCP/IP (наприклад, маска підмережі, адреса основного шлюзу підмережі, адреси серверів DNS і WINS);

  • недопущення дублювання IP-адресов, що призначаються різним вузлам мережі;

  • звільнення IP-адресов вузлів, видалених з мережі;

  • ведення централізованої БД виданих IP-адресов.

Особливості служби DHCP в системах сімейства Windows Server:

  • Інтеграція з DNS — DHCP-серверы можуть здійснювати динамічну реєстрацію видаваних IP-адресов і FQDN-имен мережевих вузлів в базі даних DNS-сервера (це особливо актуально для мережевих клієнтів, які не підтримують динамічну реєстрацію на сервері DNS, наприклад, Windows 95/98/NT4);

  • ^ Авторизація сервера DHCP в Active Directory — якщо мережевий адміністратор встановить службу DHCP на сервері Windows 2000/2003, то сервер не функціонуватиме, поки не буде авторизований в AD (це забезпечує захист від установки несанкціонованих DHCP-серверов);

  • ^ Резервне копіювання бази даних DHCP — Створена резервна копія може використовуватися згодом для відновлення працездатності DHCP-сервера.

Визначимо основні терміни, що відносяться до служби DHCP

  • Клієнт DHCP — мережевий вузол з динамічною IP-адресом, отриманою від сервера DHCP;

  • Період оренди — термін, на який клієнтові надається IP-адрес;

  • Область — це повний послідовний діапазон допустимих IP-адресов в мережі (найчастіше області визначають окрему фізичну підмережу, для якої надаються послуги DHCP);

  • ^ Діапазон, що виключається, — це обмежена послідовність IP-адресов в області, яка виключається з числа адрес, пропонованих службою DHCP (діапазони, що виключаються, гарантують, що сервер не запропонує жодна адреса з цих діапазонів DHCP-клиентам в мережі);

  • ^ Доступний пул адрес в області — адреси, що залишилися після визначення області DHCP і діапазонів, що виключалися (адреси з пулу можуть бути динамічно призначені сервером DHCP-клиентам в мережі);

  • Резервування — призначення DHCP-сервером певному мережевому вузлу постійної IP-адреса (резервування гарантують, що вказаний мережевий вузол завжди використовуватиме одну і ту ж IP-адрес).

Розглянемо технологію надання IP-адресов DHCP-сервером DHCP-клиентам

При завантаженні комп'ютера, налаштованого на автоматичне отримання IP-адреса, або при зміні статичної настройки IP-конфигурации на динамічну, а також при оновленні IP-конфигурации мережевого вузла відбуваються наступні дії:

  1. комп'ютер посилає широкомовний запит на оренду IP-адреса (точніше, на виявлення доступного DHCP-сервера, DHCP Discover);

  2. DHCP-серверы, що отримали даний запит, посилають даному мережевому вузлу свої пропозиції IP-адреса (DHCP Offer);

  3. клієнт відповідає на пропозицію, отриману першим, відповідному серверу запитом на вибір IP-адреса, що орендується (DHCP Request);

  4. DHCP-сервер реєструє в своїй БД видану IP-конфигурацию (разом з ім'ям комп'ютера і фізичною адресою його мережевого адаптера) і посилає клієнтові підтвердження на оренду IP-адреса (DHCP Acknowledgement).

Даний процес зображений на рис. 10.3:



Рисунок - 10.3.

Планування серверів DHCP

При плануванні серверів DHCP необхідно враховувати в першу чергу вимоги продуктивності і відмовостійкої (доступності) даної служби. Тому основні рекомендації при розгортанні служби DHCP в корпоративній мережі будуть наступними:

  • бажано в кожній IP-сети встановити окремий DHCP-сервер;

  • якщо немає можливості встановити свій сервер в кожній IP-сети, необхідно на маршрутизаторах, об'єднуючих IP-сети, запустити і набудувати агент ретрансляції DHCP-запросов (DHCP Relay Agent) так, щоб він пересилав широкомовні запити DHCP з підмережі, в якій немає DHCP-сервера, на відповідний DHCP-сервер, а на самому DHCP-сервере створити області для всіх обслуговуваних IP-сетей;

  • для підвищення відмовостійкої слід встановити декілька серверів DHCP, при цьому на кожному DHCP-сервере, окрім областей для "своїх" IP-сетей, необхідно створити області для інших підмереж (при цьому діапазони IP-адресов в таких резервних областях не повинні перетинатися з основними областями, створеними на серверах DHCP в "своїх" підмережах);

  • у великих IP-сетях DHCP-серверы повинні мати могутні процесори, достатньо великі об'єми оперативної пам'яті і швидкодіючі дискові підсистеми, оскільки обслуговування великої кількості клієнтів вимагає інтенсивної роботи з базою даних DHCP-сервера.

^ Установка і авторизація сервера DHCP

Установка служби DHCP виконується так само, як і установка будь-який інший компоненти Windows Server: "Пуск" — "Панель управління" — "Установки і видалення програм" — "Установки компонентів Windows" — "Мережеві служби" — кнопка "Склад" — вибрати пункт "DHCP" — кнопки "ОК", "Далі" і "Готово" (якщо буде потрібно, то вказати шлях до дистрибутива системи).

Для авторизації сервера DHCP в БД Active Directory необхідно запустити що з'явилася в розділі "Адміністрування" консоль управління службою DHCP. Консоль обов'язково слід запустити з обліковим записом користувача, що є членом групи "Адміністратори підприємства". Якщо ваш поточний робочий обліковий запис не входить до цієї групи, то для запуску консолі з відповідними повноваженнями необхідно клацнути правою кнопкою миші на ярлику консолі і вибрати пункт меню "Запуск від імені." (рис. 10.4), після чого вказати ім'я користувача, що є членом групи "Адміністратори підприємства" і ввести його пароль (рис. 10.5).



Рисунок - 10.4.



Рисунок - 10.5.

Для авторизації сервера необхідно в до консолі DHCP вибрати сервер, клацнути на імені сервера правою кнопкою миші і вибрати пункт меню "Авторизувати" (рис. 10.6). Коли авторизація буде завершена, значок у імені сервера зміниться — замість червоної стрілки, направленої вниз, з'явиться зелена стрілка, направлена вгору.



Рисунок - 10.6.

Відмітимо, що подальші операції з DHCP-сервером не зажадають від адміністратора членства в групі "Адміністратори підприємства", досить бути локальним адміністратором даного сервера або членом групи "Адміністратори DHCP".

^ Настройка параметрів DHCP-сервера

Створення області і настройка її параметрів

Створити область можна, клацнувши правою кнопкою миші на імені сервера і вибравши пункт меню "^ Створити область" (або вибравши аналогічний пункт в меню "Дія" консолі DHCP). Консоль запустить "Майстер створення області", який дозволяє по кроках визначити всі необхідні параметри:

  1. Ім'я і опис області. У великих мережах іменування областей і завдання їх короткого опису полегшує роботу адміністратора за рахунок наочнішого відображення в консолі всіх створених областей (рис. 10.7).



Рисунок - 10.7.

  1. Визначення діапазону IP-адресов і маски підмережі (рис. 10.8):



Рисунок - 10.8.

  1. Додавання виключень. На даному кроці задаються діапазони IP-адресов, який будуть виключені з процесу видачі адрес клієнтам.

  2. Термін дії оренди. Стандартний термін дії — 8 днів. Якщо у вашій мережі рідко відбуваються зміни (додавання або видалення мережевих вузлів, переміщення мережевих вузлів з однієї підмережі в іншу), то термін дії можна збільшити, це скоротить кількість запитів на оновлення оренди. Якщо ж ваша мережа динамічніша, то термін оренди можна скоротити, це дозволить швидше повертати в пул вільних ті IP-адреса, які належали комп'ютерам, вже видаленим з даної підмережі.

  3. Далі майстер запропонує набудувати параметри, специфічні для вузлів IP-сети, що відносяться до даної області:

    • маршрутизатор (основний шлюз; рис. 10.9);



Рисунок - 10.9.

    • адреса DNS-сервера (можна призначити декілька адрес; рис. 10.10);



Рисунок - 10.10.

    • адреса WINS-сервера (аналогічно серверу DNS; можна також призначити декілька адрес);

  1. Запит на активацію області. IP-адреса, задані в створеній області, не видаватимуться клієнтам, поки область не буде активована. (рис. 10.11):



Рисунок - 10.11.

  1. Натискаємо кнопку "Готовий" і завершуємо роботу майстра. Область готова до використання.

Якщо які-небудь параметри (наприклад, адреси серверів DNS або WINS) є загальними для всіх областей, керованих даним DHCP-сервером, то такі параметри краще визначити не в розділі параметрів кожної області, а в розділі параметрів самого сервера (рис. 10.12).



Рисунок - 10.12.


Настройка DHCP-клиентов

Клієнтом DHCP може бути практично будь-який мережевий пристрій, налаштований на автоматичне отримання IP-адреса. З операційних систем корпорації Microsoft клієнтом DHCP можуть бути всі системи, що мають стік TCP/IP (аж до системи MS-DOS).

Клієнти посилають запит на оренду IP-адреса при своєму першому завантаженні, при зміні настройки отримання IP-адреса із статичною на динамічну, а також за допомогою команд ipconfig /release (звільнення орендованої IP-адреса) і ipconfig /renew (запит на нову оренду).

^ Увага! Сервер DHCP обов'язково повинен мати статичні IP-адреса на всіх встановлених в нім мережевих адаптерах.

Автори рекомендують взагалі на всіх серверах використовувати тільки статичні IP-адреса.

Зауваження. За відсутності в мережі DHCP-сервера клієнти, налаштовані на автоматичну настройку IP-адреса самостійно призначатимуть собі IP-адреса з підмережі класу B, — 169.254.0.0/16. Дана технологія називається автоматичною IP-адресацией (APIPA, Automatic Private IP Addressing) і підтримується операційними системами Microsoft, починаючи з Windows 98.

Агент ретрансляції DHCP-запросов

Як вже мовилося вище, один сервер DHCP може обслуговувати клієнтів, розташованих в різних IP-сетях. Щоб широкомовні запити на оренду IP-адреса досягали DHCP-сервер з будь-якої підмережі, необхідно на маршрутизаторах, об'єднуючих різні IP-сети в єдину мережу, встановити і набудувати агент ретрансляції DHCP (DHCP Relay Agent). Приклад такої конфігурації зображений на рис. 10.13.



Рисунок - 10.13.

У даному прикладі зображено дві IP-сети класу C — 192.168.0.0/24 і 192.168.1.0/24. DHCP-сервер (IP-адрес, що має, 192.168.0.121) встановлений в першій підмережі і містить 2 області — Scope-1 з діапазоном адрес 192.168.0.1–192.168.0.100 і Scope-2 з діапазоном адрес 192.168.1.1–192.168.1.100. Між двома підмережами встановлений маршрутизатор R, що має в першій підмережі мережевий інтерфейс з IP-адресом 192.168.0.101, а в другій підмережі мережевий інтерфейс з IP-адресом 192.168.1.101. На маршрутизаторі запушений агент ретрансляції DHCP-запросов, налаштований на перенаправлення широкомовних DHCP-запросов на сервер з IP-адресом 192.168.0.121.

Клієнти DHCP, що знаходяться в першій підмережі, посилають широкомовні запити на оренду IP-адреса, які безпосередньо потрапляють на DHCP-сервер.

Клієнти DHCP, що знаходяться в другій підмережі, також посилають широкомовні запити на оренду IP-адреса, які не можуть безпосередньо потрапити на DHCP-сервер, оскільки маршрутизатори не пропускають широкомовні пакети з однієї підмережі в іншу. Але якщо широкомовний пакет є запитом на оренду IP-адреса, то агент ретрансляції перехоплює даний пакет і пересилає його безпосередньо на DHCP-сервер. DHCP-сервер, бачивши від агента ретрансляції, що запит прийшов з другої підмережі, видає клієнтові IP-адрес з пулу адрес, заданих в другій області.

^ Служба WINS

Служба WINS (Windows Internet Name Service) виконує завдання, аналогічні завданням служби DNS, — динамічна реєстрація імен комп'ютерів і інших мережевих вузлів і їх IP-адресов в БД сервера WINS і дозвіл імен комп'ютерів в IP-адреса. Головна відмінність в тому, що WINS функціонує в абсолютно іншому просторі імен, т.з. просторі імен NETBIOS, яке ніяк не перетинається з простором FQDN-имен, в якому працює служба DNS. З цієї причини службу WINS ще інакше називають NETBIOS Name Service (NBNS). До появи системи Windows 2000 мережевий програмний інтерфейс NETBIOS був основним мережевим інтерфейсом для обміну даними між комп'ютерами в мережах на базі технологій Microsoft (технологія SMB — надання сумісного доступу до файлів і друку — працювала тільки за допомогою мережевого інтерфейсу NETBIOS), і тому служба WINS була основною службою дозволу імен комп'ютерів в IP-адреса. Після виходу Windows 2000 служба файлів і друку може працювати без NETBIOS, і основною технологією дозволу імен в IP-адреса стала служба DNS. Якщо у вашій мережі немає операційних систем Windows 95/98/ME/NT, то вам служба WINS може взагалі не потрібно.

^ Простір імен NETBIOS

Імена NETBIOS не утворюють ніякої ієрархії в своєму просторі, це простій лінійний список імен комп'ютерів, що точніше працюють на комп'ютері служб. Імена комп'ютерів складаються з 15 видимих символів плюс 16-й службовий символ. Якщо видимих символів менше 15, то символи, що залишилися, заповнюються нулями (не символ нуля, а байт, що складається з двійкових нулів). 16-й символ відповідає службі, що працює на комп'ютері з даним ім'ям.

Проглянути список імен простори NETBIOS, які є на даному комп'ютері, можна за допомогою команди "Nbtstat – n".

Розглянемо приклад на рис. 10.14. На малюнку зображено виведення команди "Nbtstat –n" на сервері dc1.world.ru, що є списком NetBIOS-имен, що згенерували даним сервером.



Рисунок - 10.14.

У кутових дужках вказаний шістнадцятковий код 16-го службового символу якого-небудь імені. Наприклад, ім'я DC1 і 16-й символ "00" відповідають службі "Робоча станція", яка виконує роль клієнта при підключенні до ресурсів файлів і друку, що надаються іншими комп'ютерами мережі. А то ж ім'я DC1 і символ з кодом "20" відповідають службі "Сервер", яка надає ресурси файлів і друку даного сервера для інших комп'ютерів мережі. Ім'я WORLD відповідає або Net-BIOS-имени домена world.ru (пригадаєте установку першого контроллера домена), або імені т.з. мережевої робочої групи, що відображається в Мережевому оточенні будь-якого Windows-компьютера.

Ім'я "..__MSBROWSE__." говорить про те, що даний комп'ютер є ^ Оглядачем мережевого оточення по протоколу TCP/IP. Тобто якщо на якому-небудь комп'ютері з системою Windows відкрити "Мережеве оточення", то даний комп'ютер запрошуватиме список комп'ютерів, згрупованих в мережевій робочій групі WORLD, саме з сервера DC1.

Всі ці імена, перераховані в даній таблиці, автоматично реєструватимуться в базі даних сервера WINS після того, як даний сервер буде встановлений в мережі і даний комп'ютер стане клієнтом сервера WINS.

^ Установка служби WINS

Установка служби WINS виконується по тій же схемі, що і установка служби DHCP: "Пуск" — "Панель управління" — "Установки і видалення програм" — "Установки компонентів Windows" — "Мережеві служби" — кнопка "Склад" — вибрати пункт "WINS" — кнопки "ОК", "Далі" і "Готово" (якщо буде потрібно, то вказати шлях до дистрибутива системи).

Настройка клієнта WINS

Для настройки мережевих комп'ютерів для використання ними сервера WINS необхідно у Властивостях протоколу TCP/IP на закладці "WINS" вказати IP-адреса використовуваних в мережі WINS-серверов (для вузлів із статичними IP-адресами; рис. 10.15) або додати необхідні параметри у властивостях відповідної області сервера DHCP (для вузлів з динамічними IP-адресами).



Рисунок - 10.15.

Клієнт після таких змін зробить спробу автоматичної реєстрації своїх даних на сервері WINS. Автоматична реєстрація клієнта на WINS-сервере здійснюється також в процесі завантаження системи на комп'ютері або командою "Nbtstat – RR".

^ Проглядання записів, зареєстрованих в БД сервера WINS

Для проглядання записів, що зберігаються в БД WINS-сервера, необхідно відкрити консоль управління WINS, розкрити в консолі вузол, що відноситься до даного сервера, клацнути правою кнопкою миші на розділі "Активні реєстрації" і вибрати "Відобразити записи" (рис. 10.15):



Рисунок - 10.16.

Потім натиснути кнопку "Знайти" (рис. 10.17):



Рисунок - 10.17.

На екрані консолі буде таблиця, зображена на рис. 10.18:



Рисунок - 10.18.

Якщо система, підтримуюча NETBIOS, при цьому не підтримує автоматичну реєстрацію в БД WINS-сервера, мережевий адміністратор може занести в БД сервера WINS статичні записи для таких комп'ютерів.

^ Процес дозволу імен в просторі NETBIOS

Коли один комп'ютер намагається використовувати ресурси, що надаються іншим комп'ютером через інтерфейс NETBIOS поверх протоколу TCP/IP, то перший комп'ютер, званий клієнтом, спочатку повинен визначити IP-адрес другого комп'ютера, званого сервером, по імені цього комп'ютера. Це може бути зроблено одним з трьох способів:

  • широкомовний запит;

  • звернення до локальної бази даних NetBIOS-имен, LMHOSTS, що зберігається у файлі (цей файл зберігається в тій же теці, що і файл hosts, що відображає FQDN-имена);

  • звернення до централізованої БД імен NETBIOS, що зберігається на сервері WINS.

Залежно від типу вузла NETBIOS, дозвіл імен здійснюється за допомогою різних комбінацій перерахованих способів:

  • b-узел (broadcast node, широкомовний вузол) — вирішує імена в IP-адреса за допомогою широкомовних повідомлень (комп'ютер, якому потрібно вирішити ім'я, розсилає по локальній мережі широкомовне повідомлення із запитом IP-адреса по імені комп'ютера);

  • p-узел (peer node, вузол "крапка — крапка") — вирішує імена в IP-адреса за допомогою WINS-сервера (коли клієнтові потрібно вирішити ім'я комп'ютера в IP-адрес, клієнт відправляє серверу ім'я, а той у відповідь посилає адресу);

  • m-узел (mixed node, змішаний вузол) — комбінує запити b- і р-узла (WINS-клиент змішаного типу спочатку намагається застосувати широкомовний запит, а у разі невдачі звертається до WlNS-серверу; оскільки дозвіл імені починається з широкомовного запиту, m-узел завантажує мережа широкомовним трафіком в тому ж ступені, що і b-узел);

  • h-узел (hybrid node, гібридний вузол) — також комбінує запити b-узла і р-узла, але при цьому спочатку використовується запит до WINS-серверу і лише у разі невдачі починається розсилка широкомовного повідомлення, тому в більшості мереж h-узлы працюють швидше і менше засмічують мережу широкомовними пакетами.

З погляду продуктивності, об'єму мережевого трафіку і надійності процесу дозволу NetBIOS-имен найефективнішим є h-узел.

Якщо у властивостях протоколу TCP/IP Windows-компьютера немає посилання на WINS-сервер, то даний комп'ютер є b-узлом. Якщо у властивостях протоколу TCP/IP є посилання хоч би на один WINS-сервер, то даний комп'ютер є h-узлом. Інші типи вузлів настроюються через реєстр системи Windows.

^ Реплікація WINS-серверов

У великих мережах для розподілу навантаження по реєстрації і дозволу NetBIOS-имен необхідно використовувати декілька серверів WINS (рекомендації Microsoft — один WINS-сервер на кожних 10000 мережевих вузлів). При цьому одна частина клієнтів буде налаштована на реєстрацію і звернення для дозволу імен на один WINS-сервер, інша частина — на другий сервер і так далі Для того, щоб всі сервери WINS мали повну інформацію про всі наявні в корпоративній мережі NetBIOS-узлах, необхідно набудувати реплікацію баз даних серверів WINS між собою. Після завершення реплікації кожен сервер WINS матиме повний список NetBIOS-узлов всієї мережі. І будь-який клієнт, реєструючись на "найближчому" до нього WINS-сервері, при цьому може послати запит "своєму" серверу на дозвіл імен NetBIOS-узлов, зареєстрованих не тільки на даному WINS-сервере, але і на решті всіх серверів WINS.

^ Важливе зауваження. Клієнти з системами Windows 2000/XP/2003 для дозволу імен завжди використовують в першу чергу запити до серверів DNS, навіть якщо мова йде про просторі імен NETBIOS.

^ Служба RRAS

Служба RRAS (Routing and Remote Access Service, Служба Маршрутизації і Видаленого Доступу) — служба системи Windows Server, що дозволяє вирішувати наступні завдання:

  • підключення мобільних (або домашніх) користувачів до корпоративної мережі через комутовані телефонні лінії і інші засоби комунікацій (наприклад, мережі Frame Relay, X.25);

  • підключення до мережі головного офісу компанії видалених офісів (через телефонні лінії і мережі Frame Relay, X.25);

  • організація захищених з'єднань (віртуальні приватні мережі) між мобільними користувачами, підключеними до мереж загального користування (наприклад, Інтернет), і корпоративною мережею;

  • організація захищених з'єднань між офісами компанії, підключеними до мереж загального користування;

  • маршрутизація мережевого трафіку між різними підмережами корпоративної мережі, сполученими як за допомогою технологій локальних мереж, так і за допомогою різних засобів видалених комунікацій (наприклад, по комутованих телефонних лініях).

Служба RRAS володіє багатим набором функцій і можливостей. В рамках даного курсу ми розглянемо базові функції і можливості даної служби, які в першу чергу необхідно знати будь-якому мережевому адміністраторові.

Служби видаленого доступу, реалізовані різними виробниками, використовують два основні комунікаційні протоколи, які утворюють рівень, проміжний між засобами комунікацій (комутовані телефонні лінії, Frame Relay, X.25) і мережевими протоколами (TCP/IP, IPX/SPX):

  • протокол ^ SLIP (Serial Line Interface Protocol) — достатньо старий протокол, реалізований переважно на серверах видаленого доступу, що функціонують в системах сімейства UNIX (розроблений спеціально для підключення користувачів до мережі Інтернет); системи сімейства Windows підтримують даний протокол тільки на клієнтській частині (SLIP дозволяє працювати тільки з мережевим стеком TCP/IP, вимагає написання спеціальних сценаріїв для підключення клієнта до сервера, не дозволяє створювати віртуальні приватні мережі);

  • протокол ^ PPP (Point-to-Point Protocol) — використовуваний повсюдно комунікаційний протокол (точніше, сімейство протоколів), що дозволяє користувачам прозоро підключатися до сервера видаленого доступу, використовувати різні мережеві протоколи (TCP/IP, IPX/SPX, NETBEUI, AplleTalk), створювати віртуальні приватні мережі (служба видаленого доступу серверів Windows використовує саме цей комунікаційний протокол).

Почнемо з прикладу, що показує процес установки початкової настройки служби, і обговоримо термінологію, технології, а також всі необхідні нам параметри, функції і можливості даної служби.

^ Установка і первинна настройка служби RRAS

Службу RRAS не потрібно додавати через вікно додавання Компонент Windows. Ця служба встановлюється при установці системи, але за умовчанням вона відключена. Її необхідно включити і набудувати.

Натиснемо кнопку "Пуск", виберемо "Всі програми" — "Адміністрування" — "Маршрутизація і видалений доступ". Відкриється консоль управління службою RRAS, виберемо у вікні консолі ім'я сервера, клацнемо правою кнопкою миші і виберемо пункт меню "Набудувати і включити маршрутизацію і видалений доступ". Запуститься Майстер установки сервера маршрутизації і видаленого доступу:

  1. Спочатку майстер просить вибрати один з сценаріїв використання служби RRAS (рис. 10.19). Для нашого учбового прикладу виберемо варіант "Особлива конфігурація" (щоб побачити всі можливості служби).



Рисунок - 10.19.

  1. Далі для варіанту "Особлива конфігурація" треба вибрати потрібні нам функції служби (відзначимо всі варіанти; рис. 10.20).



Рисунок - 10.20.

  1. Натиснемо кнопку "Готовий". Майстер запитає, чи запустити службу відразу після настройки, натиснемо кнопку "Так". Вікно консолі управління службою прийме вигляд, зображений на рис. 10.21.



Рисунок - 10.21.

Нам для вивчення служби RRAS буде потрібно не всі встановлені компоненти, тому ми частина компонент розглянемо оглядовий, а частину просто видалимо з консолі.

^ Настройка прав користувачів для підключення до сервера видаленого доступу

За відсутності сервера RADIUS (див. нижчий) дозволу на підключення користувача до серверів видаленого доступу визначаються комбінацією Властивостей користувача і Політик видаленого доступу, що настроюються індивідуально для кожного сервера видаленого доступу.

Якщо домен Active Directory працює в змішаному режимі, то дозволи на видалений доступ визначаються тільки у Властивостях користувача на закладці "Вхідні дзвінки" (Dial-In). При цьому є тільки два варіанти — вирішити або заборонити (рис. 10.22). за умовчанням для кожного нового користувача задається заборонне правило. Окрім дозволу/заборони можна також набудувати Зворотний виклик сервера (Call-back). Тут є три варіанти:

  • "^ У відповідь виклик не виконується" — при підключенні користувача до сервера видаленого доступу спочатку встановлюється телефонне з'єднання між модемом користувача і модемом клієнта, якщо доступ дозволений, то встановлюється мережевий з'єднання і користувач дістає можливість працювати в мережі;

  • "^ Встановлюється таким, що викликає" — в цьому варіанті після встановлення телефонного з'єднання між модемами і перевірки прав доступу система запитає у клієнта ввести номер телефону, з якого підключається даний клієнт, після цього сервер розриває зв'язок і вже самостійно проводить з'єднання з клієнтом по тому номеру телефону, який повідомив цей користувач (даний варіант зручний для мобільних користувачів — користувач економить на телефонному дзвінку і підвищується захищеність доступу, оскільки в ідеалі ніхто, окрім користувача, не повинен знати номер телефону, з якого користувач ініціював з'єднання);

  • "^ Завжди по цьому номеру" (з вказівкою номера телефону) — даний варіант схожий на попередній, тільки номер телефону вже введений в параметри користувача і сервер передзвонюватиме саме на даний номер (цей варіант буде цікавий домашнім користувачам — тут теж користувач економить на телефонному дзвінку і, крім того, додатковий захист — зловмисникові важко буде підключитися до сервера, навіть якщо йому відомі ім'я і пароль користувача).



Рисунок - 10.22.

Якщо домен працює в основному режимі Windows 2000 або Windows 2003, то можна або в явному вигляді вирішувати або забороняти доступ до серверів видаленого доступу, причому до всіх відразу, або настроювати дозволи Політики видаленого доступу (про Політиків буде розказано нижче; рис. 10.23). Відмітимо, що явне дозволи або явна заборона мають вищий пріоритет, ніж Політики видаленого доступу.

У основному режимі у Властивостях користувача стають доступні додаткові параметри:

  • "^ Перевіряти код що дзвонить" (Caller ID) — якщо оператор телефонного зв'язку передає модему номер телефону, з якого був проведений дзвінок, то сервер вирішуватиме підключення тільки при виклику з даного номера (це ще один рівень захисту від зловмисників);

  • "Статична IP-адрес користувача" — при встановленні з'єднання користувачеві призначається фіксована IP-адрес;

  • "Використовувати статичну маршрутизацію" — при встановленні з'єднання користувачеві пересилається вказаний список маршрутизаторів.



Рисунок - 10.23.

Настройка Властивостей сервера

Знову виберемо у вікні консолі ім'я сервера, клацнемо правою кнопкою миші і виберемо пункт меню "Властивості".

  1. 1. На закладці "Загальні" можна змінити сценарії використання служби:

    • тільки як маршрутизатор (або тільки для локальної мережі, або для локальної мережі і видалених мереж, підключений через засоби видалених комунікацій);

    • тільки як сервер видаленого доступу;

    • комбінація обох варіантів.

  2. На закладці "Безпека" настроюються використовувані методи перевірки достовірності (аутентифікації) користувачів, що підключаються до служби видаленого доступу. Служба RRAS системи Windows Server підтримує наступні методи аутентифікації (по ступеню зростання захищеності даної процедури):

    • без перевірки достовірності — при даному варіанті взагалі не перевіряються ім'я і пароль користувача, а також права доступу користувача до служби RRAS (у жодному випадку не рекомендуємо використовувати на практиці даний метод, оскільки відкриває можливість підключення до корпоративної мережі будь-якому охочому, такому, що має інформацію про точку підключення, наприклад, номера телефонів на модемному пулі);

    • протокол ^ PAP (Password Authentication Protocol) — найпростіший протокол, успадкований від старих версій служб видаленого доступу (реалізованих не тільки в системі Windows), при даному протоколі ім'я і пароль користувача передаються через засоби комунікацій відкритим текстом, за умовчанням даний метод аутентифікації відключений;

    • протокол ^ SPAP (Shiva Password Authentication Protocol) — використовує протокол шифрування паролів, розроблений компанією Shiva (у минулому — один з розробників засобів видаленого доступу), алгоритм шифрування паролів слабкіший, ніж в методах CHAP і MS CHAP, за умовчанням цей метод також відключений;

    • протокол ^ CHAP (Challenge Handshake Authentication Protocol) — для шифрування пароля використовується метод хешування MD-5 (по мережі передається значення хэш-функции пароля), даний протокол є одним з галузевих стандартів і реалізований в багатьох системах видаленого доступу, його рекомендується використовувати при підключенні клієнтів, що працюють не на платформі Windows, за умовчанням також відключений;

    • протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — версія протоколу CHAP, реалізована корпорацією Microsoft з хэш-функцией MD-4;

    • протокол MS-CHAP версії 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — посилена версія MS CHAP (довший ключ шифрування при передачі пароля, обчислення нового ключа при кожному новому сеансі підключення, взаємна аутентифікація користувача і сервера видаленого доступу);

    • протокол розширеної перевірки достовірності ЕАР (Extensible Authentication Protocol) — дозволяє використання смарт-карт при аутентифікації користувача (потрібні сертифікати як для сервера RRAS, так і для користувачів).

Клієнт видаленого доступу, наявні в системах Windows, при підключенні до сервера видаленого доступу завжди починають використовувати найзахищеніший метод аутентифікації. Якщо на сервері не реалізований запрошуваний протокол аутентифікації, клієнт пробує менш захищений протокол. І так до тих пір, поки не буде підібраний протокол, підтримуваний обома сторонами.

Окрім вказаних протоколів можна здійснювати підключення до служби RRAS за допомогою служби RADIUS (розглянемо нижче).

На цій же закладці настроюється використання служби обліку сеансів користувачів (служба обліку Windows, служба обліку RADIUS, або відсутність служби обліку), за умовчанням — служба обліку Windows.

І тут же задається загальний секрет при використанні протоколу L2TP для організації віртуальних приватний мереж (VPN). Можливість використання загального секрету для VPN на базі протоколу L2TP є тільки в Windows Server 2003, у версії Windows 2000 протокол L2TP можна було використовувати тільки за наявності сертифікатів для обох сторін приватної мережі.

  1. На закладці "IP" настроюється дозвіл маршрутизації IP-пакетов між комп'ютером клієнта і корпоративною мережею (за умовчанням) і задається спосіб формування пулу IP-адрес, що видаються RRAS-сервером клієнтам, що підключаються до нього.

Є два способи формування пулу — використання сервера DHCP, встановленого в корпоративній мережі, і завдання пулу IP-адресов на самому сервері видаленого доступу (при цьому способі 1-а IP-адрес з пулу буде призначена інтерфейсу "Внутрішній" на самому сервері RRAS, а адреси, що залишилися в кулі, призначатимуться RRAS-клиентам)

  1. Закладка "PPP". Тут вирішується або забороняється використання багатоканальних підключень протоколу PPP (multilink PPP). Протокол PPP дозволяє використовувати декілька комунікаційних каналів (наприклад, декілька комутованих телефонних ліній і, відповідно, одночасне використання декількох модемів на серверній і на клієнтській стороні) як одне підключення з відповідним збільшенням пропускної спроможності і призначенням по одній IP-адресу на стороні клієнта і сервера. При цьому можливе використання динамічного управління пропускною спроможністю (за допомогою протоколів BAP/BACP, Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), які дозволяють при зростанні трафіку активізувати додаткові телефонні лінії з наявного пулу телефонних ліній, а при зменшенні трафіку — відключати телефонні лінії.

  2. Закладка "^ Ведення журналу". На цій закладці настроюється рівень протоколювання подій, пов'язаних з сеансами роботи видалених користувачів.

Використання служби RADIUS

Служба RADIUS (Remote Authentication Dial-in User Service) є проміжною ланкою між сервером видаленого доступу (який в даному випадку називають клієнтом RADIUS) і службою каталогів корпоративній мережі. Сервер RADIUS дозволяє вирішити два основні завдання:

  • інтеграція в єдину систему серверів видаленого доступу від різних виробників;

  • централізоване управління доступом в корпоративну мережу (служба RRAS в системі Windows Server настроюється індивідуально для кожного сервера RRAS).

Служба RADIUS працює за наступною схемою:

  1. спочатку встановлюється телефонне (або інше) з'єднання між клієнтом і сервером видаленого доступу;

  2. користувач пересилає серверу RAS запит на аутентифікацію (свої ім'я і пароль);

  3. сервер видаленого доступу (що є клієнтом сервера RADIUS) пересилає даний запит серверу RADIUS;

  4. сервер RADIUS перевіряє запит на аутентифікацію в службі каталогів (наприклад, в службі Active Directory) і посилає у відповідь RAS-серверу дозвіл або заборона даному користувачеві на підключення до сервера видаленого доступу;

  5. сервер видаленого доступу або підключає користувача до корпоративної мережі, або видає відмову в підключенні.

Реалізація служби RADIUS в системі Windows Server називається службою ^ IAS (Internet Authentication Service).

Розділ "Інтерфейси мережі" консолі "Маршрутизація і видалений доступ"

У даному розділі консолі перераховуються всі мережеві інтерфейси, встановлені на сервері (мережеві адаптери, модеми). Нагадаємо, що інтерфейс "Внутрішній" — це інтерфейс, до якого підключаються всі клієнти видаленого доступу, незалежно від типу підключення (по комутованих телефонних лініях, через віртуальну приватну мережу і так далі).

Розділ "^ Клієнти видаленого доступу" консолі "Маршрутизація і видалений доступ"

У даному розділі здійснюється моніторинг в реальному часі клієнтів, що підключилися до сервера видаленого доступу.

Розділ "Порти" консолі "Маршрутизація і видалений доступ"

У розділі "Порти" перераховуються всі доступні точки підключення до служби видаленого доступу:

  • паралельний порт (для прямого з'єднання двох комп'ютерів через порт LPT);

  • модеми, доступні для служби видаленого доступу;

  • порти, доступні для підключень за допомогою віртуальних приватних мереж (якщо адміністратор при настройці сервера вказав, що використовуватимуться віртуальні приватні мережі, то на сервер автоматично додаються по 128 портів для кожного з протоколів PPTP і L2TP, надалі адміністратор може змінити кількість портів, доступних для того або іншого протоколу).

Розділ "IP-маршрутизация" консолі "Маршрутизація і видалений доступ"

У цьому розділі додаються, віддаляються і настроюються як статичні маршрути, так і необхідні динамічні протоколи маршрутизації:

  • ^ Агент ретрансляції DHCP-запросов (DHCP Relay Agent) — використання агента ретрансляції запитів DHCP детально обговорювалося в пункті, присвяченому службі DHCP, настройка даного агента проводиться саме в даному розділі служби RRAS;

  • Протокол IGMP — даний протокол призначений для маршрутизації multicast-пакетов протоколу TCP/IP (даний вид пакетів і адрес використовується в основному при передачі мультимедіа-інформація);

  • ^ Служба трансляції мережевих адрес (NAT, Network Address Translation) — дана служба дозволяє обмінюватися інформацією між мережами з внутрішніми IP-адресами і мережами з адресами, зареєстрованими в мережі Інтернет (спрощений варіант проксі-сервера);

  • Протокол ^ RIP версії 2 для IP — протокол динамічної маршрутизації IP-пакетов;

  • Протокол OSPF (Open Shortest Path First) — також протокол динамічної маршрутизації IP-пакетов, складніший в настройці в порівнянні з RIP, але ефективніший у великих мережах.

Докладне вивчення протоколів маршрутизації виходить за рамки даного курсу.

^ Віртуальні приватні мережі

Віртуальні приватні мережі (Virtual Private Networks) — технологія створення захищених підключень між комп'ютерами, підключеними до публічних мереж (наприклад, до мережі Інтернет).

Розглянемо приклад на рис. 10.24. Допустимо, якийсь мобільний користувач бажає підключитися до корпоративної мережі. Він може це зробити, підключившись до корпоративного сервера видаленого доступу по комутованій телефонній лінії. Проте, якщо користувач знаходиться в іншому місті або навіть іншій країні, такий дзвінок може обійтися дуже дорого. Може опинитися значно дешевше підключитися до мережі Інтернет через місцевого Інтернет-провайдера. Корпоративна мережа, у свою чергу, теж має своє підключення до Інтернет. В цьому випадку потрібно вирішити два завдання:

  • як дістати доступ в корпоративну мережу (у даному прикладі IP-адреса корпоративної мережі належать до діапазону внутрішніх адрес і пакети від мобільного користувача не зможуть потрапити в цю мережу);

  • як захистити дані, передавані через інтернет (всі мережеві пакети, передавані через інтернет, містять інформацію у відкритому тексті, і грамотний зловмисник може перехопити пакети і витягувати з них інформацію).

Обидві ці завдання вирішуються створенням VPN-подключений між видаленим користувачем і сервером видаленого доступу. У даному прикладі користувачеві необхідно створити ще одне підключення, але не через модем, а через "Підключення до віртуальної приватної мережі". При цьому як "телефонний номер" виступить IP-адрес зовнішнього інтерфейсу сервера видаленого доступу.



Рисунок - 10.24.

Процес створення підключення виглядає таким чином:

  1. Запускаємо Майстер нових підключень (кнопка "Пуск" — "Панель управління" — "Мережеві підключення" — "Майстер нових підключень")

  2. Вибираємо тип мережевого підключення — "Підключити до мережі на робочому місці" (рис. 10.25):



Рисунок - 10.25.

  1. Вибираємо спосіб мережевого підключення — "Підключення до віртуальної приватної мережі" (рис. 10.26):



Рисунок - 10.26.

  1. Задаємо ім'я підключення.

  2. Указуємо VPN-сервер (ім'я або IP-адрес; у даному прикладі — 217.15.1.2; рис. 10.27):



Рисунок - 10.27.

  1. Визначаємо доступність ярличка цього підключення (для даного користувача або для всіх користувачів).

  2. Натискаємо кнопку "Готовий".

  3. Вводимо ім'я і пароль користувача, натискаємо кнопку "Підключення" (рис. 10.28):



Рисунок - 10.28.

Якщо всі настройки зроблені правильно, то буде встановлено з'єднання з корпоративним сервером видаленого доступу. Мережева конфігурація буде така, як зображено на рис. 10.29:



Рисунок - 10.29.

Між ПК мобільного користувача і сервером видаленого доступу буде встановлений захищений "віртуальний" канал, клієнтський ПК отримає IP-адресу з пулу адрес сервера RRAS (таким чином буде вирішено завдання маршрутизації IP-пакетів між клієнтом і корпоративною мережею), всі пакети, передавані між клієнтом корпоративною мережею, шифруватимуться.

Аналогічно можна створити захищене віртуальне підключення між двома офісами корпоративної мережі, підключеними до різних Інтернет-провайдерів (рис. 10.30):



Рисунок - 10.30.


Технології віртуальних приватних мереж

Для створення віртуальних приватних мереж в системах сімейства Windows використовуються два різні протоколи — PPTP розробки корпорації Microsoft (Point-to-Point Tunneling Protocol) і L2TP, що об'єднав кращі риси протоколів PPTP і L2F компанії Cisco (Level 2 Tunneling Protocol). Основний принцип роботи обох протоколів полягає в тому, що вони створюють захищений "тунель" між користувачем і корпоративною мережею або між двома підмережами. Туннелірованіє полягає в тому, що пакети, передавані в захищеній мережі, забезпечуються спеціальними заголовками (у обох протоколів свої заголовки), вміст даних в цих пакетах шифрується (у PPTP — алгоритмом MPPE компанії Microsoft, в L2TP — технологією IPSec), а потім пакет, призначений для захищеної корпоративної мережі і заголовок, що має, з IP-адресами внутрішньої корпоративної мережі, інкапсулюється в пакет, передаваний по мережі Інтернет і відповідний заголовок, що має, і IP- адреси відправника і одержувача.

Відмінності між двома протоколами наступні:

  • алгоритми шифрування (MPPE для PPTP, IPSec для L2TP);

  • транспортне середовище (PPTP працює тільки поверх протоколу TCP/IP, L2TP може працювати також поверх протоколів X.25, Frame Relay, АТМ, хоча реалізація L2TP в системі Windows працює тільки поверх TCP/IP);

  • L2TP здійснює взаємну аутентифікацію обох сторін, що беруть участь в створенні захищеної мережі, для це використовуються сертифікати X.509 або загальний секрет (preshared key). Загальний секрет (попередній ключ) реалізований починаючи з версії Windows 2003, встановлюється у Властивостях служби RRAS на закладці "Безпека" (рис. 10.31).



Рисунок - 10.31.

Політики видаленого доступу


Як вже мовилося вище, в основному режимі домена Windows 2000/2003 дозволами на підключення до служби видаленого доступу можна управляти з допомогою політик видаленого доступу. Нагадаємо, що політики видаленого доступу застосовуються до облікового запису користувача при його спробі підключитися до служби видаленого доступу тільки в тому випадку, якщо у Властивостях цього облікового запису вказано "Управління на основі політики видаленого доступу". Якщо в явному вигляді вказаний дозвіл або заборона підключення, то політики не перевіряються.

Кожна політика складається з трьох компонент:

  • ^ Умови (Conditions) — визначаються умови підключення користувача (у мережах на базі MS Windows Server найцікавіші умови — день тижня і час, а також членство в певній групі);

  • Профіль (Profile) — визначаються якісь параметри підключення (наприклад, тип аутентифікації або вид комунікацій);

  • ^ Дозволи (Permissions) — вирішити або заборонити підключення.

На початку перевірки політики завжди перевіряються умови — якщо жодне з умов не співпадає з параметрами облікового запису користувача, то відбувається перехід до наступної політики. Якщо умови співпали, то перевіряються параметри профілю підключення, якщо параметри політики і користувача не співпадають, то також відбувається перехід до наступної політики. Якщо ж параметри профілю співпали і дана політика вирішує підключення, то користувачеві видається дозвіл на підключення до сервера видаленого доступу. Якщо ж політика забороняє підключення, то користувачеві видається відмова на підключення до сервера.


^ Узагальнення теми

Даний розділ присвячений ознайомленню з найчастіше використовуваними, окрім TCP/IP, мережевими протоколами і основними інфраструктурними мережевими службами — DHCP, WINS, RRAS.

Служба DHCP значно полегшує роботу мережевого адміністратора по управлінню конфігурацією протоколу TCP/IP на безлічі мережевих вузлів (переважно на робочих станціях користувачів), дозволяючи автоматично настроювати параметри TCP/IP на цих вузлах.

Завдання мережевого адміністратора:

  • планування простору IP-адресов для тих вузлів, які конфігуруватимуться автоматично службою DHCP;

  • планування установки серверів DHCP (кількість серверів, їх розміщення, які IP-діапазони вони обслуговуватимуть і так далі);

  • установка серверів DHCP, створення і настройка параметрів областей;

  • установка і настройка, при необхідності, агентів ретрансляції DHCP.

Служба WINS, хоча і втрачає поступово свою актуальність, ще повністю не вийшла з використання в корпоративних мережах.

Завдання мережевого адміністратора:

  • планування установки серверів WINS;

  • установка і настройка серверів WINS, встановлення партнерів реплікації;

  • настройка клієнтів WINS (статична або автоматична через службу DHCP).

Служба RRAS необхідна:

  • для підключення мобільних і домашніх користувачів до корпоративної мережі (переважно через модеми по комутованих телефонних лініях);

  • об'єднання в єдину мережу видалених сегментів корпоративної мережі (підключених один до одного по комутованих або виділених телефонних лініях);

  • створення захищених віртуальних приватних мереж між мобільними користувачами і корпоративною мережею або сегментами корпоративної мережі, підключеними до мереж загального користування (наприклад, до мережі Інтернет);

  • для маршрутизації пакетів між IP-сетями корпоративної мережі.

Завдання мережевого адміністратора:

  • планування серверів маршрутизації і видаленого доступу;

  • установка і настройка серверів;

  • планування роботи користувачів через службу видаленого доступу;

  • визначення дозволів користувачів на підключення до серверів видаленого доступу і настройка політик видаленого доступу;

  • планування і настройка маршрутизації в корпоративній мережі.



Скачать файл (10380.2 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации