Лекции по "Администрированию сетей"

Клиенты посылают запрос на аренду IP-адреса при своей первой загрузке, при смене настройки  получения IP-адреса со статической  на динамическую, а также с помощью  команд ipconfig /release (освобождение арендованного IP-адреса) и ipconfig /renew (запрос на новую  аренду).

Сервер DHCP обязательно должен иметь статические IP-адреса на всех установленных в нем сетевых  адаптерах.

Рекомендуется вообще на всех серверах использовать только статические IP-адреса.

При отсутствии в сети DHCP-сервера  клиенты, настроенные на автоматическую настройку IP-адреса будут самостоятельно назначать себе IP-адреса из подсети  класса B — 169.254.0.0/16. Данная технология называется автоматической IP-адресацией (APIPA, Automatic Private IP Addressing) и поддерживается операционными системами Microsoft, начиная  с Windows 98.

Агент ретрансляции DHCP-запросов

Один сервер DHCP может обслуживать  клиентов, расположенных в различных IP-сетях. Чтобы широковещательные  запросы на аренду IP-адреса достигали DHCP-сервер из любой подсети, необходимо на маршрутизаторах, объединяющих разные IP-сети в единую сеть, установить и  настроить агент ретрансляции DHCP (DHCP Relay Agent).

В данном примере изображены две IP-сети класса C — 192.168.0.0/24 и 192.168.1.0/24. DHCP-сервер (имеющий IP-адрес 192.168.0.121) установлен в первой подсети и содержит 2 области — Scope-1 с диапазоном адресов 192.168.0.1–192.168.0.100 и Scope-2 с диапазоном адресов 192.168.1.1–192.168.1.100. Между двумя  подсетями установлен маршрутизатор R, имеющий в первой подсети сетевой  интерфейс с IP-адресом 192.168.0.101, а  во второй подсети сетевой интерфейс  с IP-адресом 192.168.1.101. На маршрутизаторе запущен агент ретрансляции DHCP-запросов, настроенный на перенаправление  широковещательных DHCP-запросов на сервер с IP-адресом 192.168.0.121.

Клиенты DHCP, находящиеся в  первой подсети, посылают широковещательные  запросы на аренду IP-адреса, которые  напрямую попадают на DHCP-сервер.

Клиенты DHCP, находящиеся во второй подсети, также посылают широковещательные  запросы на аренду IP-адреса, которые  не могут напрямую попасть на DHCP-сервер, т.к. маршрутизаторы не пропускают широковещательные  пакеты из одной подсети в другую. Но если широковещательный пакет  является запросом на аренду IP-адреса, то агент ретрансляции перехватывает  данный пакет и пересылает его  напрямую на DHCP-сервер. DHCP-сервер, видя от агента ретрансляции, что запрос пришел из второй подсети, выдает клиенту IP-адрес из пула адресов, заданных во второй области.

Служба WINS

Служба WINS ( Windows Internet Name Service ) выполняет задачи, аналогичные задачам службы DNS, — динамическая регистрация имен компьютеров и других сетевых узлов и их IP-адресов в БД сервера WINS и разрешение имен компьютеров в IP-адреса. Главное отличие в том, что WINS функционирует в совершенно ином пространстве имен, т.н. пространстве имен NetBIOS, которое никак не пересекается с пространством FQDN-имен, в котором работает служба DNS. По этой причине службу WINS еще иначе называют NetBIOS Name Service ( NBNS ). До появления системы Windows 2000 сетевой программный интерфейс NetBIOS был основным сетевым интерфейсом для обмена данными между компьютерами в сетях на базе технологий Microsoft (технология SMB — предоставление совместного доступа к файлам и печати — работала только с помощью сетевого интерфейса NetBIOS), и поэтому служба WINS была основной службой разрешения имен компьютеров в IP-адреса. После выхода Windows 2000 служба файлов и печати может работать без NetBIOS, и основной технологией разрешения имен в IP-адреса стала служба DNS. Если в вашей сети нет операционных систем Windows 95/98/ME/NT, то вам служба WINS может вообще не потребоваться.

Пространство имен NetBIOS

Имена NetBIOS не образуют никакой  иерархии в своем пространстве, это  простой линейный список имен компьютеров, точнее работающих на компьютере служб. Имена компьютеров состоят из 15 видимых символов плюс 16-й служебный  символ. Если видимых символов меньше 15, то оставшиеся символы заполняются  нулями (не символ нуля, а байт, состоящий  из двоичных нулей). 16-й символ соответствует  службе, работающей на компьютере с  данным именем.

Просмотреть список имен пространства NetBIOS, которые имеются на данном компьютере, можно с помощью команды " nbtstat –n ".

В угловых  скобках указан шестнадцатеричный  код 16-го служебного символа какого-либо имени. Например, имя DC1 и 16-й символ " 00 " соответствуют службе " Рабочая станция ", которая выполняет  роль клиента при подключении  к ресурсам файлов и печати, предоставляемых  другими компьютерами сети. А то же имя DC1 и символ с кодом " 20 " соответствуют службе " Сервер ", которая предоставляет ресурсы  файлов и печати данного сервера  для других компьютеров сети. Имя WORLD соответствует либо Net-BIOS-имени  домена world.ru (вспомните установку  первого контроллера домена), либо имени т.н. сетевой рабочей группы, отображаемой в Сетевом окружении  любого Windows-компьютера.

Имя " ..__MSBROWSE__." говорит о том, что данный компьютер  является Обозревателем сетевого окружения  по протоколу TCP/IP. Т.е. если на каком-либо компьютере с системой Windows открыть " Сетевое окружение ", то данный компьютер будет запрашивать  список компьютеров, сгруппированных  в сетевой рабочей группе WORLD, именно с сервера DC1.

Все эти имена, перечисленные в данной таблице, будут автоматически регистрироваться в базе данных сервера WINS после того, как данный сервер будет установлен в сети и данный компьютер станет клиентом сервера WINS.

Процесс разрешения имен в пространстве NetBIOS

Когда один компьютер  пытается использовать ресурсы, предоставляемые  другим компьютером через интерфейс NetBIOS поверх протокола TCP/IP, то первый компьютер, называемый клиентом, вначале должен определить IP-адрес второго компьютера, называемого сервером, по имени этого  компьютера. Это может быть сделано  одним из трех способов:

• широковещательный запрос;
• обращение к локальной базе данных NetBIOS-имен, хранящейся в файле LMHOSTS (этот файл хранится в той же папке, что и файл hosts, отображающий FQDN-имена);
• обращение к централизованной БД имен NetBIOS, хранящейся на сервере WINS.

В зависимости  от типа узла NetBIOS, разрешение имен осуществляется с помощью различных комбинаций перечисленных способов:

• b-узел ( broadcast node, широковещательный узел ) — разрешает имена в IP-адреса посредством широковещательных сообщений (компьютер, которому нужно разрешить имя, рассылает по локальной сети широковещательное сообщение с запросом IP-адреса по имени компьютера);
• p-узел ( peer node, узел "точка — точка" ) — разрешает имена в IP-адреса с помощью WINS-сервера (когда клиенту нужно разрешить имя компьютера в IP-адрес, клиент отправляет серверу имя, а тот в ответ посылает адрес);
• m-узел ( mixed node, смешанный узел ) — комбинирует запросы b- и р-узла (WINS-клиент смешанного типа сначала пытается применить широковещательный запрос, а в случае неудачи обращается к WlNS-серверу; поскольку разрешение имени начинается с широковещательного запроса, m-узел загружает сеть широковещательным трафиком в той же степени, что и b-узел);
• h-узел ( hybrid node, гибридный узел ) — также комбинирует запросы b-узла и р-узла, но при этом сначала используется запрос к WINS-серверу и лишь в случае неудачи начинается рассылка широковещательного сообщения, поэтому в большинстве сетей h-узлы работают быстрее и меньше засоряют сеть широковещательными пакетами.

С точки зрения производительности, объема сетевого трафика и надежности процесса разрешения NetBIOS-имен самым эффективным является h-узел.

Если в  свойствах протокола TCP/IP Windows-компьютера нет ссылки на WINS-сервер, то данный компьютер  является b-узлом. Если в свойствах  протокола TCP/IP имеется ссылка хотя бы на один WINS-сервер, то данный компьютер  является h-узлом. Другие типы узлов  настраиваются через реестр системы Windows.

Репликация WINS-серверов

В больших  сетях для распределения нагрузки по регистрации и разрешению NetBIOS-имен необходимо использовать несколько  серверов WINS (рекомендации Microsoft — один WINS-сервер на каждые 10000 сетевых узлов). При этом одна часть клиентов будет  настроена на регистрацию и обращение  для разрешения имен на один WINS-сервер, другая часть — на второй сервер и т.д. Для того, чтобы все серверы WINS имели полную информацию обо всех имеющихся в корпоративной сети NetBIOS-узлах, необходимо настроить репликацию баз данных серверов WINS между собой. После завершения репликации каждый сервер WINS будет иметь полный список NetBIOS-узлов всей сети. Любой клиент, регистрируясь на "ближайшем" к нему WINS-сервере, при этом может  послать запрос "своему" серверу  на разрешение имен NetBIOS-узлов, зарегистрированных не только на данном WINS-сервере, но и  на всех остальных серверах WINS.

Клиенты с  системами Windows 2000/XP/2003 для разрешения имен всегда используют в первую очередь  запросы к серверам DNS, даже если речь идет о пространстве имен NetBIOS.

Служба RRAS

Служба RRAS (Routing and Remote Access Service, Служба Маршрутизации и Удаленного Доступа) — служба системы Windows Server, позволяющая решать следующие задачи:

• подключение мобильных (или домашних) пользователей к корпоративной сети через коммутируемые телефонные линии и другие средства коммуникаций (например, сети Frame Relay, X.25);
• подключение к сети главного офиса компании удаленных офисов (через телефонные линии и сети Frame Relay, X.25);
• организация защищенных соединений (виртуальные частные сети) между мобильными пользователями, подключенными к сетям общего пользования (например, Интернет), и корпоративной сетью;
• организация защищенных соединений между офисами компании, подключенными к сетям общего пользования;
• маршрутизация сетевого трафика между различными подсетями корпоративной сети, соединенными как с помощью технологий локальных сетей, так и с помощью различных средств удаленных коммуникаций (например, по коммутируемым телефонным линиям).

Служба RRAS обладает богатым набором функций и  возможностей. В рамках данного курса  мы рассмотрим базовые функции и  возможности данной службы, которые  в первую очередь необходимо знать  любому сетевому администратору.

Службы удаленного доступа, реализованные различными производителями, используют два основных коммуникационных протокола, которые  образуют уровень, промежуточный между  средствами коммуникаций (коммутируемые  телефонные линии, Frame Relay, X.25) и сетевыми протоколами (TCP/IP, IPX/SPX):

• протокол SLIP (Serial Line Interface Protocol) — достаточно старый протокол, реализованный преимущественно на серверах удаленного доступа, функционирующих в системах семейства UNIX (разработан специально для подключения пользователей к сети Интернет); системы семейства Windows поддерживают данный протокол только на клиентской части (SLIP позволяет работать только с сетевым стеком TCP/IP, требует написания специальных сценариев для подключения клиента к серверу, не позволяет создавать виртуальные частные сети);
• протокол PPP (Point-to-Point Protocol) — используемый повсеместно коммуникационный протокол (точнее, семейство протоколов), позволяющий пользователям прозрачно подключаться к серверу удаленного доступа, использовать различные сетевые протоколы (TCP/IP, IPX/SPX, NetBEUI, AplleTalk), создавать виртуальные частные сети (служба удаленного доступа серверов Windows использует именно этот коммуникационный протокол).

Начнем с  примера, показывающего процесс  установки начальной настройки  службы, и обсудим терминологию, технологии, а также все необходимые  нам параметры, функции и возможности  данной службы.

Настройка прав пользователей  для подключения к серверу  удаленного доступа

При отсутствии сервера RADIUS разрешения на подключение  пользователя к серверам удаленного доступа определяются комбинацией  Свойств пользователя и Политик  удаленного доступа, настраиваемых  индивидуально для каждого сервера  удаленного доступа.

Если домен Active Directory работает в смешанном режиме, то разрешения на удаленный доступ определяются только в Свойствах  пользователя на закладке "Входящие звонки" ( Dial-In ). При этом есть только два варианта — разрешить или  запретить. По умолчанию для каждого  нового пользователя задается запрещающее  правило. Кроме разрешения/запрета  можно также настроить Обратный вызов сервера (Call-back). Здесь имеются  три варианта:

• "Ответный вызов не выполняется" — при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом клиента, если доступ разрешен, то устанавливается сетевое соединение и пользователь получает возможность работать в сети;
• "Устанавливается вызывающим" — в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей — пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
• "Всегда по этому номеру" (с указанием номера телефона) — данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям — здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита — злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).

Если домен работает в  основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать  или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через  Политики удаленного доступа. Явное  разрешение или явный запрет имеют  более высокий приоритет, чем  Политики удаленного доступа.

В основном режиме в Свойствах  пользователя становятся доступны дополнительные параметры: