Реферат: Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server
1. Клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение),
2. DHCP-сервер предлагает адрес (DHCP Offer, предложение),
3. Клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение).
Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.
Протокол DHCP в Microsoft Windows 2000 Server был дополнен новыми функциями, что упростило развертывание, интеграцию и настройку сети.
Интеграция с DNS. Серверы DNS обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. В Windows 2000 серверы DHCP и клиенты DHCP могут регистрироваться в DNS.
Улучшенное управление и мониторинг. Новая возможность обеспечивает уведомление об уровне использования пула IP-адресов. Оповещение производится при помощи соответствующего значка либо при помощи передачи сообщения.
Распределение групповых адресов. Добавлена возможность назначения групповых адресов. Типичные приложения для групповой работы — конференции или радиотрансляция требуют специальной настройки групповых адресов.
Защита от появления неправомочных серверов DHCP. Наличие нескольких серверов DHCP в одном сегменте сети может привести к конфликту. Новые механизмы позволяют обнаружить конфликт такого рода и деактивизировать работу сервера, обеспечив правильную работу DHCP.
Защита от подмены серверов. Регистрация уполномоченных (авторизированных) серверов DHCP выполняется при помощи Active Directory. Если сервер не обнаружен в каталоге, то он не будет функционировать и отвечать на запросы пользователей.
5.2.2. Кластеризация
Кластерные службы, работающие на Windows 2000 Advanced Server и Datacenter поддерживают DHCP-сервер в качестве ресурса кластера, что позволяет повысить доступность DHCP-сервера.
Автоматическая настройка клиентов. Клиенты с поддержкой DHCP. начинающие работу в сети, могут конфигурироваться самостоятельно с использованием временной конфигурации IP (если сервер DHCP недоступен). Клиенты продолжают попытки связаться с сервером DHCP для получения арендного договора в фоновом режиме каждые 5 мин. Автоматическое назначение всегда прозрачно для пользователей. Адреса для такого рода клиентов выбираются из диапазона частных сетевых адресов TCP/IP и не используются в Интернете.
Новые специализированные опции и поддержка пользовательских классов. Сервер DHCP в Windows 2000 может назначать специализированные опции, сокращая время на получение одобрения новой стандартной опции в IETF. Механизм пользовательских классов позволяет применять DHCP в заказных приложениях для сетей масштаба предприятия. Оборудование большинства поставщиков сетевого аппаратного обеспечения также может использовать различные номера опций для различных функций. [3]
5.3. Служба DNSDomain Name System (система доменных имен) – это стандарт службы имен для Интернета, который используется Windows 2000 для помощи клиентам в разрешении имен узлов в их IP-адреса и для поиска служб в сети.
DNS – это распределенная система серверов имен. В этой системе группы серверов имен отвечают за записи, относящиеся к узлам, в доменах и поддоменах. Эти группы называются зонами. Зона является полномочной или ответственной для записей, относящихся к данному домену или группе доменов. Например, Microsoft может иметь несколько серверов, полномочных для домена microsoft.com и все связанные поддомены должны быть частью этого домена. Как следствие, если эти сервера не могут предоставить вам ответ на запрос IP-адреса для имени bluscreen.microsoft.com, то это означает, что его просто не существует.
Серверы имен хранят то, что принято называть записями ресурсов. Записи ресурсов сопоставляют имя узла его IP-адресу или отдельной службы и имени узла. Например, сервер DNS может содержать запись (называемую А записью) для сервера, называемого Cerver2, которому соответствует IP-адрес 147.2.3.45. Если клиент другого сервера DNS запросит связанный IP-адрес, он может быть найден и возвращен (послан) клиенту. Подобным образом, некоторый почтовый сервер может запросить сервер DNS найти почтовый сервер, действующий в домене mailfirma.ru. В данном случае DNS сервер запрашивается на наличие записи о системе обмена почтой (запись МХ), которая предоставляет FGDN (полностью определенное имя домена) почтового сервера, которое, в свою очередь, может быть разрешено в IP-адрес.
Cуществует еще один тип серверов имен, которые не являются полномочными для какой-либо зоны. Эти сервера называются caching-only (только кэширующими) – они просто перенаправляют запросы клиентов другим серверам имен и кэшируют их ответы.
DNS реализована как служба на сервере Windows 2000, а раз так, то она может быть запущена и остановлена, как любая другая служба. Она также может быть добавлена или удалена при помощи программы Add/Remove, вкладка Windows Components. DNS не устанавливается автоматически при установке Windows 2000, поэтому необходимо устанавливать ее вручную. Число серверов DNS, присутствующих в сети зависит от ряда факторов, таких, как потребность в отказоустойчивости, быстродействие и т.д. DNS требуется для установки Active Directory, поскольку домены Active Directory следуют соглашению об именовании DNS. Заметьте, что предыдущий пример рассказывал о DNS разрешении через Internet. Подобным образом DNS может быть использована для разрешения внутренних узлов или для комбинированных ситуаций, имейте это ввиду.
В традиционных конфигурациях DNS имеется как минимум 2 DNS сервера, которые являются полномочными в зоне. Зона – это административная единица DNS, представленная набором серверов DNS, которые ответственны за поддержку информации, относящейся к одному или более домену или поддомену. Один сервер выступает как основной сервер имен и это единственный сервер, который поддерживает перезаписываемую копию файла зоны. Периодически, основной сервер имен реплицирует файл зоны на другой сервер (или сервера), назначенные вторичными серверами имен. Этот сервер (сервера) тоже поддерживает файл зоны, но копию, предназначенную только для чтения. Процесс репликации часто называют передачей зон. Главная причина для того, чтобы иметь 2 или более сервера DNS – это уверенность, что если один из них выйдет из строя, другой может быть доступен для обработки запросов, относящихся к домену, содержащемуся в файле зоны.
Такой тип конфигурации продолжает поддерживаться и в Windows 2000 и на него ссылаются как на «стандартную» конфигурацию DNS. Однако Windows 2000 также поддерживает и другой вид конфигурации, являющийся новинкой в Windows 2000. Эта конфигурация называется «DNS, интегрированная в Active Directory». В данной конфигурации информация о зоне DNS храниться в Active Directory, а не в отдельном наборе файлов. Как следствие, DNS-информация реплицируется автоматически, как часть общей репликации Active Directory, и не требует создания дополнительной топологии репликации. Это не означает, однако, что каждый контроллер домена автоматически становиться сервером DNS. Это означает только, что каждый контроллер домена может стать сервером DNS, если служба DNS будет установлена на компьютер. DNS, интегрированная в Active Directory, также располагает рядом достоинств, таких как, например то, что каждый из серверов DNS может вносить изменения в зону и, в случае отказа одного из серверов, обновления зоны DNS не прекращаются. В стандартной конфигурации DNS обновления невозможны, если прекращает работу основной сервер имен.
Другое большое преимущество Windows 2000 DNS – это то, что она динамическая. Это означает, что узел может регистрировать и отменять регистрацию записей в DNS самостоятельно, включая запись соответствия имени и IP-адреса (А), а также записи служб (это мы обсудим позднее). Преимущество динамической DNS очевидны, так как в предыдущих реализациях DNS все записи требовалось создавать вручную, что отнимало много времени и порождало множество ошибок. Многие сравнивают динамическое обновление DNS с функционированием WINS. Так как эти идеи действительно схожи, помните, что цель WINS – разрешение имен NetBIOS в IP-адрес, в то время как DNS сопоставляет имена узлов их IP-адресам.
DNS используется Windows 2000 не только для разрешения имен узлов в их IP-адреса. Эта служба также помогает системе находить службы в сети, такие как службу аутентификации контроллера домена. Когда пользователь пытается войти в домен, его Windows 2000-система запрашивает DNS о наличии одного или более контроллеров домена на данном физическом сайте. Контроллеры домена автоматически регистрируются в DNS и также регистрируют записи, относящиеся к некоторым, работающим на них, службам. Точно также, клиенты Windows 2000 могут регистрировать себя в DNS самостоятельно, а могут и через сервер DHCP, который дает клиенту его IP-адрес. Оба эти механизма требуют пристального рассмотрения и мы вернемся к ним в нашей серии.
Хотя этот раздел только введение в DNS, хочу привести несколько дополнительных важных заметок о DNS:
- Windows 2000 DNS поддерживает IXFR или инкрементальный (добавочный) трансфер зоны. При этой настройке, если происходят изменения в файле зоны, только эти изменения реплицируются на другие сервера DNS. Если вы помните, в Windows NT DNS поддерживало только АXFR – полный трансфер зоны, при котором изменения в зоне вызывали необходимость репликации всего файла зоны на все дополнительные сервера имен.
- Если используется DNS, интегрированный в Active Directory, то можно активизировать функцию, называемую Secure Dynamic Updates (безопасные динамические обновления). При этом сервер DNS будет позволять обновления или регистрацию записей только с систем, которые имеют правомочные учетные записи в Active Directory. Если эта настройка не активизирована, то любая система может делать изменения в DNS, что представляет, конечно же, угрозу безопасности сети.
5.3.1. Планирование внедрения DNS для Active Directory
Прежде чем устанавливать Active Directory в среду Windows 2000, важно разработать реализацию DNS, которая бы соответствовала как вашей системе разрешения имен, так и требованиям Active Directory. DNS необходим Active Directory как для разрешения имен, так и для определения пространства имен, так как доменные имена в Windows 2000 базируются на соглашении об именовании DNS. Как следствие, любой сервер, на который устанавливается Active Directory, должен иметь в своих настройках протокола TCP/IP указание на сервер DNS, который необходимо установить и настроить предварительно. Если не сделаеть это заранее, то инсталляция Active Directory автоматически создаст структуру DNS, которая, возможно, не будет соответствовать вашим пожеланиям.
Первая концепция - это использование DNS для разрешения имен узлов (нахождение соответствующего узлу IP-адреса) или разрешения FQDN (Fully Qualified Domain Name – полностью определенное имя домена) в его IP-адрес. Чтобы напомнить вам, FQDN представляет имя узла в виде доменного имени системы. Например:
www.firma.ru
В этом примере имя узла – левая часть полного имени, а именно www. Имена узла также могут разрешаться при помощи файла HOSTS, который является статическим текстовым файлом и находится в папке %systemroot%\system32\drivers\etc на локальном компьютере. Не стоит путать DNS c WINS, которая ставит в соответствие Netbios имени соответствующий IP-адрес (также имеется текстовый эквивалент данной службы, файл LMHOSTS).
Служба DNS хранит большое число записей ресурсов различного типа, кроме простой записи хоста, т.н. «А» записи. Наиболее используемые типы записей, которые можно встретить в файле зоны, рассмотрены ниже:
SOA – представляет из себя запись ресурса начальной записи зоны, и предоставляет информацию о зоне, включая сведения о том, какой сервер является основным, кто отвечает за административный контакт, как часто файл базы данных проверяется на наличие изменений, серийный номер базы данных, значение времени жизни, и т.д.
A – представляет уникальный адрес узла в сети, сопоставляя его имя IP-адресу.
NS – обозначает доменное имя и связанное с ним FQDN сервера имен, который является полномочным для домена.
MX – обозначает, что данный узел является почтовой службой (сервером почты или сервером пересылки) для определенного домена.
PTR – предоставляет возможность для обратного просмотра (сопоставляет IP-адресу узла его FQDN). Это позволяет находить имя узла, связанное с IP-адресом. Записи PTR находятся в файле reverse lookup zone (зоны обратного просмотра).
SRV – сопоставляет отдельные службы одному или нескольким узлам и наоборот. Например, записи могут обозначать сервер как сервер Глобального Каталога, контроллер домена и т.д.
Вторая главная концепция – эта концепция Зоны. Зона – это область пространства имен DNS, которая функционирует как административная единица. То есть группа серверов ответственна (имеет полномочие) за записи, относящиеся к некоторому домену или поддомену. Главной причиной для того, чтобы иметь несколько зон, является разделение административной ответственности, так же как и задача пересылки зон.
Существует 5 основных типов серверов DNS. Это основные, вторичные, интегрированные в Active Directory, серверы пересылки и кэширующие сервера.
Основной сервер DNS – основным сервером DNS является сервер, который полномочен для зоны. По существу это означает, что в зоне есть только один сервер, на котором можно производить изменения в базе данных зоны.
Вторичный сервер DNS – вторичный сервер DNS содержит копии «только для чтения» информации, хранящейся на основном сервере DNS, и получают обновления в ходе передачи зоны. Один вторичный сервер является минимально необходимым, но и другие могут создаваться с целью выравнивания нагрузки и обеспечению отказоустойчивости.
Интегрированный в Active Directory сервер DNS – возможен только для серверов DNS на базе OS Windows 2000, в данной реализации DNS файл зоны хранится как объект в Active Directory, а не как несколько файлов на жестком диске. В данном сценарии каждый контроллер домена, на котором установлена DNS по существу действует как основной сервер DNS, допускает изменения в зоне и осуществляет синхронизацию файла зоны через репликацию Каталога. Как следствие, если какой-либо сервер DNS выйдет из строя, любой другой сервер, интегрированный в Active Directory может продолжать осуществлять изменения.
Кэширующий только – кэширующий сервер DNS не является полномочным для зоны. Как следствие, он только получает клиентские запросы, осуществляет запросы других серверов DNS, кэширует результаты и посылает ответы клиентам. По умолчанию кэширующий сервер DNS пересылает все запросы, ответы на которые не найдены в его кэше, корневому серверу DNS.
Сервер пересылки DNS – серверы DNS могут быть настроены так, что будут пересылать запросы, которые не могут разрешить к какому-либо определенному серверу. Такие серверы называются forwarder (сервер пересылки). Серверы пересылки могут впоследствии обрабатывать запросы, вместо других серверов DNS. Это позволяет уменьшить время обработки некоторых запросов по поиску узлов (в Интернете, например), т.к. сервер пересылки обрабатывает запросы и кэширует результат, который потом возвращается к компьютеру, сделавшему запрос. Это может улучшить и скорость и производительность.
5.3.2. Новые свойства DNS в Windows 2000
В реализации DNS в Windows 2000 есть ряд изменений по сравнению с NT 4. Наиболее важные из них это – поддержка записей служб, динамическая DNS, безопасное динамическое обновление, добавочная передача зоны и интегрирование с Active Directory.
Записи для служб – в реализации DNS в Windows 2000 поддерживаются записи для такого важного типа ресурсов, как записи служб (часто упоминаемые как SRV записи). Записи служб позволяют клиентам запрашивать DNS-поиск для систем, на которых запущены определенные службы, такие как Глобальный Каталог (который обозначается как GC-запись).
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9
