В сложном мире компьютерных систем современным организациям требуется серверная операционная система, которая может обеспечить одновременно и простоту в использовании, и высокую производительность, и возможность запуска серверных приложений, и телекоммуникационные службы. Операционная система Windows 2000 Server отвечает всем этим требованиям и является надежной платформой для построения информационной системы любого масштаба: от простейшей сети из нескольких персональных компьютеров до сложной гетерогенной системы на сотни тысяч пользователей.
Система безопасности Windows 2000 Server обеспечивает защиту информации и системных служб от несанкционированного доступа и от неквалифицированных действий пользователей. Операционные системы Windows 2000 Server и Windows NT® WorkStation сертифицированы на соответствие уровню безопасности 02 (США).
Традиционная функция сервера в локальной сети -- это организация централизованного хранилища большого количества коллективно используемых файлов. Для организации сервера файлов средствами Windows 2000 Server не требуется никаких дополнительных операций. Все файловые ресурсы, независимо от того, на каком диске они расположены (жестком или CD-ROM), сразу могут быть предоставлены для совместного использования.
Одним из основных преимуществ Windows 2000 Server является возможность использовать его и как сервер файлов, и как мощный сервер приложений, например для организации систем обмена сообщениями или управления большими базами данных. Следовательно, всю информационную систему предприятия можно построить на единой платформе, что в итоге позволит существенно снизить затраты на разворачивание системы, ее поддержку и обучение персонала.
Windows 2000 Server позволяет подключать и предоставлять в совместное пользование неограниченное число принтеров. Они могут быть подключены локально и по сети с помощью протоколов TCP/IP или DLC.
Windows 2000 Server работает на разных аппаратных платформах, на компьютерах с несколькими процессорами. При этом общая производительность системы повышается пропорционально увеличению мощности аппаратного обеспечения.
Для российских пользователей поставляется версия Windows 2000 Server, поддерживающая русский язык. Документация полностью переведена на русский язык.
Цель работы рассмотреть сетевую ОС Windows 2000 Server. Для этого решим следующие задачи:
- рассмотрим семейство операционных систем Windows 2000 - Server, Advanced Server, Datacenter Server, а так же ОС Windows Server 2003;
- рассмотри организацию сети на основе Windows 2000 Server.
1. СЕМЕЙСТВО ОС WINDOWS 2000
1.1 Windows 2000 Server
Включает основанные на открытых стандартах службы каталогов, Web, приложений, коммуникаций, файлов и печати, отличается высокой надежностью и простотой управления, поддерживает новейшее сетевое оборудование для интеграции с Интернетом. В Windows 2000 Server реализованы:
- службы Internet Information Services 5.0 (IIS);
- среда программирования Active Server Pages (ASP);
- XML-интерпретатор;
- архитектура DNA;
- модель СОМ +;
- мультимедийные возможности;
- поддержка приложений, взаимодействующих со службой каталогов;
- Web-папки;
- печать через Интернет.
Минимальные аппаратные требования Windows 2000 Server:
Pentium-совместимый процессор с тактовой частотой не ниже 133 МГц -- Windows 2000 Server поддерживает до 4 процессоров:
128 Мб ОЗУ (рекомендуется 256 Мб). Большее количество памяти значительно увеличивает быстродействие системы. Windows 2000 Server поддерживает ОЗУ объемом до 4 Гб;
2 Гб свободного дискового пространства -- для установки Windows 2000 Server требуется около 1 Гб. Дополнительное место на диске необходимо для установки сетевых компонентов.
1.2 Windows 2000 Advanced Server
Эта ОС, по сути, представляет собой новую версию Windows NT Server 4.0 Enterprise Edition. Windows 2000 Advanced Server -- идеальная система для работы с требовательными к ресурсам научными приложениями и приложениями электронной коммерции, где очень важны масштабируемость и высокая производительность. Аппаратные требования для Windows 2000 Advanced Server не отличаются от требований для Windows 2000 Server, однако эта более мощная ОС включает дополнительные возможности:
- балансировку сетевой нагрузки;
- поддерживает ОЗУ объемом до 8 Гб на системах с Intel Page Address Extension (РАЕ);
- поддерживает до 8 процессоров.
1.3 Windows 2000 Datacenter Server
Это серверная ОС, еще больше расширяющая возможности Windows 2000 Advanced Server. Поддерживает до 32 процессоров и больший объем ОЗУ, чем любая другая ОС Windows 2000:
- до 32 Гб для компьютеров с процессорами Alpha;
- до 64 Гб для компьютеров с процессорами Intel.
Вопрос об установке Windows 2000 Datacenter Server следует рассматривать только в том случае, если вам требуется поддерживать системы оперативной обработки транзакций (online transaction processing, OLTP), крупные хранилища данных или предоставлять услуги Интернета.
1.4 ОС WindowsServer 2003.
Семейство продуктов Windows Server 2003 берет все самое лучшее от технологии ОС Windows 2000 Server, упрощая при этом развертывание, управление и использование. В результате пользователь получает инфраструктуру высокой производительности, помогающую превратить сеть в стратегические активы организации.
Технология Windows Server 2003 содержит все функции, ожидаемые пользователями от серверной ОС Windows, используемой для выполнения ответственных задач, такие как безопасность, надежность, доступность и масштабируемость. Кроме того, корпорация Microsoft усовершенствовала и расширила серверную ОС Windows для того, чтобы организация могла оценить преимущества технологии Microsoft .NET, разработанной для связи людей, систем, устройств и обмена данными.
Windows Server 2003 является многозадачной операционной системой, способной централизовано или распределено управлять различными наборами ролей, в зависимости от потребностей пользователей. Некоторые из ролей сервера:
- файловый сервер и сервер печати;
- веб-сервер и веб-сервер приложений;
- почтовый сервер;
- сервер терминалов;
- сервер удаленного доступа/сервер виртуальной частной сети (VPN);
- служба каталогов, система доменных имен (DNS), сервер протокола динамической настройки узлов (DHCP) и служба Windows Internet Naming Service (WINS);
- сервер потокового мультимедиа-вещания.
2. ОРГАНИЗАЦИЯ СЕТИ НА ОСНОВЕ WINDOWS 2000.
2.1. Служба каталогов Windows 2000
Безусловно, наиболее значимое изменение, по сравнению с Windows NT 4, это включение в Windows 2000 важной новой службы - Active Directory. Active Directory - это «родная» служба каталогов для Windows 2000. В NT 4 домен был очень похож на удаленный остров, с которым мы могли соединиться только используя механизм доверительных отношений. Active Directory - полнофункциональная служба каталогов.
Каталог может хранить различную информацию, относящуюся к пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее - все это называется объектами.
Каталог хранит также информацию о самом объекте, или его свойства - атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит и многое другое.
Active Directory использует Lightweight Directory Access Protocol (LDAP) - простой протокол доступа к каталогам, как главный протокол доступа. LDAP действует поверх TCP/IP и определяет способы обращения и доступа к объектам между клиентом и сервером Active Directory. В LDAP каждый объект имеет свое особенное Distinguished Name (отличительное имя), и это имя отличает его от других объектов Active Directory, а также подсказывает нам, где данный объект расположен. Два главных составных части отличительного имени - это CN (common name) - общее имя и DC (domain component) - доменная составляющая. Общее имя определяет объект или контейнер, в котором этот объект находится, в то время как доменный компонент определяет домен, в котором объект находится. Например, отличительное имя может быть следующим:
CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru
В этом примере у нас есть пользователь Peter Ivanoff, который находится внутри контейнера, называемого Users, в домене firma, который является поддоменом .ru. Отличительное имя объекта должно быть уникальным внутри леса Active Directory.
В то время как отличительное имя дает нам полную информацию о расположении объекта, relative distinguished name (относительное отличительное имя) определяет объект внутри его родительского контейнера. Например, если я осуществляю поиск внутри контейнера Users, относительное отличительное имя объекта, который я ищу, может быть Peter Ivanoff.
Когда пользователь входит в домен, расположенный в Active Directory, у него может быть два типа имени. Первое из них - традиционное NetBIOS -имя. В Windows 2000 на него ссылаются как на downlevel logon name (имя регистрации в ранних версиях Windows). Этот тип имени существует для совместимости с ранними версиями Windows, процесс входа в которые был основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так далее). Когда вы используете downlevel logon name (на вкладке свойств -«имя входа пользователя пред-Windows 2000») для входа, пользователь должен ввести имя пользователя, пароль и выбрать соответствующий домен, в который он собирается входить. Второе имя - и это новинка в Windows 2000 - это возможность входа в систему с использованием того, что называется User Principal Name (основное имя пользователя) или UPN. Основное имя пользователя имеет следующий формат - user@domain.com (на вкладке свойств пользователя это называется - User logon name (имя входа пользователя)). Если это соглашение действует, то пользователю не нужно определять домен, в который он хочет войти. Фактически, когда для входа в Windows 2000используется UPN, доменная часть окна имени для входа в систему закрашена серым. Пример этих двух типов имен показан на вкладке свойств учетной записи пользователя Active Directory:
Рис. 2.1. Active Directory
Логическая структура Active Directory зависит от нужд вашей организации. Логические элементы Active Directory это леса, деревья, домены и OU.
Домен в Windows 2000 очень напоминает домен в Windows NT. Для различных намерений и целей, домен является логической группой пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации. Прежде всего домен - это административная единица. Следовательно, администратор этого домена может его администрировать и для этого не нужен никто другой. Кроме того, все контроллеры одного домена должны осуществлять репликацию друг с другом.
В Windows 2000 домены именуются в соответствии с соглашением об именовании DNS, а не именовании NetBIOS. Примером имени домена в Active Directory может быть 2000trainers.com. В Windows NT имели ограничения по величине, до которой они могли увеличиваться и этот размер ограничивался допустимым размером базы данных SAM (40 Мб или около того). Поэтому приходилось создавать множества доменов в компании, в которой действовали тысячи пользователей и компьютеров. Теперь же множество доменов не являются необходимостью в подобном сценарии под Windows 2000, так как Active Directory может вместить в себя многие миллионы объектов. Учетные записи пользователей в Windows 2000 существуют так же как и в Windows NT. Active Directory также позволяет иметь множество доменов, формируя структуры, которые называются деревьями и лесами.
В Windows 2000, несколько доменов может все же потребоваться, особенно в больших организациях, которые продолжают требовать надежного контроля над их средой, их индивидуальностью (как в случае различных организационных единиц для ведения бизнеса) и особого административного контроля. В Active Directory набор доменов может создаваться в порядке, напоминающем структуру дерева. В этом случае «дочерний» домен наследует свое имя от «родительского» домена:
44
Рис. 2.2. Домены
Каждый домен в дереве является отдельной и явно выраженной административной единицей, так же как и границей для целей репликации. То есть, если вы создали учетную запись пользователя в домене filial1.firma.ru, то эта учетная запись, существующая на контроллере домена, будет реплицирована на все контроллеры домена filial2.firma.ru.
Каждый новый «дочерний» домен имеет transitive (транзитивные) двунаправленные доверительные отношения с «родительским» доменом. Это достигается автоматически в Active Directory и позволяет пользователям из одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых доверительных отношений, пользователи в filial1 могут получать доступ к ресурсам (для чего у них должны быть соответствующие разрешения) в filial2 и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет своему «родительскому» домену firma , который в свою очередь «доверяет» filial2 - таким образом filial1 доверяет filial2 и наоборот).
Дерево, в общих чертах, можно определить как набор доменов, которые связаны отношениями «дочерний»/«родительский» и поддерживают связанное пространство имен.
2.2. Служба DHCP
Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста) является базовой сетевой службой, предлагаемой Windows 2000 для динамического распределения IP-адресов и связанной с ними информации клиентам, использующим TCP/IP. Хотя функции, выполняемые DHCP в Windows 2000 во многом похожи на те, что были в Windows NT, некоторое количество несущественных отличий.
DHCP -- развитие протокола ВООТР (RFC 951 и 1084), позволявшего динамически назначать IP-адреса (в дополнение к удаленной загрузке бездисковых станций). При этом DHCP предоставляет все данные для настройки стека протоколов TCP/IP и дополнительные данные для функционирования определенных серверов.
Область DHCP. Область (scope) DHCP -- административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.
Пул адресов. Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.
Диапазоны исключения. Диапазон исключения (exclusion range) -- ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.
Резервирование. Резервирование (reservation) позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.
Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект -- суперобласть (superscope). Суперобласти полезны для решения различных задач службы DHCP.
Арендные договоры. Арендный договор (lease) -- отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу).
Опции DHCP -- дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.
Служба DHCP в Windows 2000 состоит из трех основных компонентов.
Серверы DHCP. В состав сервера DHCP входит оснастка DHCP -- удобный в работе графический инструмент, который позволяет администратору настраивать конфигурации для клиентов DHCP. Сервер DHCP также содержит базу данных для назначения IP-адресов и других параметров настройки. Сервер DHCP поддерживает более 30 опций DHCP согласно RFC 2132. Параметры конфигурации TCP/IP, которые могут быть назначены сервером DHCP, включают: IP-адрес для каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы по умолчанию, дополнительные параметры конфигурации, например, IP-адрес сервера DNS или WINS. Один или более компьютеров в сети должны работать под управлением Windows 2000 Server с протоколом TCP/IP и установленным сервером DHCP. Если служба сервера DHCP установлена на компьютере, то сразу после задания и активизации областей автоматически создается база данных DHCP.
Клиенты DHCP. Клиентами сервера DHCP из состава Windows 2000 могут быть компьютеры, работающие на любой платформе. Компьютеры под управлением ОС производства Microsoft могут действовать как клиенты DHCP: Windows NT Server/Workstation (все версии), Windows 98/95, Windows for Workgroups 3.11 (с установленным 32-разрядным протоколом TCP/IP), Microsoft Network Client 3.0 for MS-DOS (с установленным драйвером реального режима), LAN Manager версии 2.2с.
Работа протоколов ВООТР и DHCP основана на механизмах широковещания. Маршрутизаторы обычно по умолчанию не ретранслируют широковещательные посылки, поэтому передача таких посылок выполняется агентом ретрансляции. Агент ретрансляции DHCP -- это маршрутизатор, либо хост, который слушает широковещательные сообщения DHCP/BOOTP и переадресовывает их на заданный сервер (серверы) DHCP. Использование агентов ретрансляции избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на удаленные серверы DHCP, но также возвращает ответы удаленных серверов DHCP клиентам DHCP.
Администратор может отменить параметры динамической настройки, настроив их вручную. Любая информация, вручную введенная на клиенте, отменяет параметры динамической настройки.
Служба сервера DHCP устанавливается автоматически на сервер Windows 2000, но не является сконфигурированной (и даже может быть отключена) без дополнительной настройки. Она может быть удалена и добавлена в случае необходимости, посредством использования вкладки Add/Remove Windows Components программы Add/Remove Programs в Control Panel (в разделе Networking Services). После установки, сервер DHCP настраивается при помощи оснастки DHCP ММС, которая находится в Administrative Tools. Если сервер Windows 2000 является частью рабочей группы или домена, основанного на Windows 2000, то сервер DHCP будет запущен по умолчанию, но необходимо будет вручную настроить области используемых IP-адресов для распределения их службой DHCP. Если DHCP установлена на систему, являющуюся частью домена Windows 2000, то служба DHCP не сможет быть запущена до тех пор, пока сервер DHCP не будет авторизован в Active Directory. Авторизация сервера DHCP в Active Directory может быть осуществлена только членом группы Enterprise Admins. Эта особенность используется как контрольный механизм, позволяющий избежать такой проблемы, как установка незарегистрированных серверов DHCP (пользователями с административными привилегиями), могущих создать проблемы с настройкой TCP/IP сетей (так как клиент получает IP-адрес от первого же сервера DHCP, который отвечает на его запрос).
В Active Directory домене (Windows 2000), только авторизованные Windows 2000 сервера DHCP могут выполнять распределение IP-адресов. В Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не попадет под действие авторизации. Однако если другой администратор попытается установить Windows 2000 сервер DHCP и запустить службу без предварительной авторизации, то сервер осуществит запрос AD и не запустит службу, если не найдет подтверждения ее авторизации в сети. Неавторизованный сервер DHCP появляется в консоли DHCP с указывающей вниз красной стрелкой (которая может обозначать также, что служба не запущена или область адресов не настроена), как показано на рисунке 2.3.
Рис. 2.3. Консоль DHCP.
Для авторизации DHCP сервер, нужно щелкнуть правой кнопкой мыши на значке сервера и выбрать опцию Authorize (авторизовать) из появившегося меню. Для управления авторизованным DHCP сервером (включая добавление или удаление авторизованных серверов), щелкните правой кнопкой мыши на иконке DHCP и выберите Manage Authorized Servers (управление авторизованными серверами), как показано на рисунке 2.4:
Рис. 2.4. Управление авторизованными серверами
Заметьте, что сервер DHCP не будет выполнять никаких функций, до тех пор, пока вы не сконфигурируете область адресов - набор настроек, которые будут распределяться группе клиентов. Как и большинство других вещей в Windows 2000, процесс создания области осуществляется с применением соответствующего мастера. Для создания области адресов, щелкните правой кнопкой мыши на значке сервера DHCP и выберите опцию New Score (новая область). Мастер проведет вас через длинный процесс, включающий в себя настройку допустимого диапазона IP-адресов, маски подсети и таких опций, как адрес шлюза по умолчанию (маршрутизатора), используемых серверов DNS и так далее. После того, как область будет настроена, она будет продолжать нуждаться в активизации (правый щелчок мыши и выбор Activate (активизировать)). Каждая область включает в себя: набор адресов, активные выделенные адреса, резервирование и свойства области, как показано на рисунке 2.5 (свойства области выделены):
Рис. 2.5. Консоль DHCP.
После того, как сервер авторизован и область настроена, стрелка на иконке сервера меняется на зеленую и теперь указывает вверх.
Области в Windows 2000 Advanced Server:
- Области могут быть собраны или объединены для создания суперобластей. Они позволяют распределять диапазоны IP-адресов, которые не примыкают друг к другу, но расположены на одной подсети.
- Для изменения маски подсети, связанной с областью, необходимо будет удалить область и создать ее заново.
- Время аренды адреса по умолчанию для области - 8 дней, что отличается от значения в Windows NT, где оно составляло 72 часа. Это значение может быть изменено в зависимости от потребностей сети.
- Каждый диапазон IP-адресов может быть представлен только в одной из областей. Если серверы DHCP не будут скоординированы и два сервера будут иметь одинаковые диапазоны адресов в своих областях, тогда один и тот же адрес может быть назначен разным клиентам в одной сети. Также надо быть уверенным, что исключены все статически назначенные IP-адреса из областей.
- Для создания отказоустойчивых областей необходимо настроить 2 (или более) сервера DHCP и разделить диапазоны адресов из каждой области между ними. При такой конфигурации, если один из серверов выйдет из строя, другой будет продолжать распределять допустимые адреса между клиентами.
- Настройки DHCP могут быть осуществлены на 4 различных уровнях: на уровне Server (сервера) (установки влияют на все области), Score (область) (установки влияют только на область), Client (клиент) (установки для зарезервированного клиента) Class (класс) (для компьютеров, которые входят в различные, заранее определенные, классы).
Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, on запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов, Этот процесс состоит из четырех шагов:
2. DHCP-сервер предлагает адрес (DHCP Offer, предложение),
3. Клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение).
Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.
Протокол DHCP в Microsoft Windows 2000 Server был дополнен новыми функциями, что упростило развертывание, интеграцию и настройку сети.
Интеграция с DNS. Серверы DNS обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. В Windows 2000 серверы DHCP и клиенты DHCP могут регистрироваться в DNS.
Улучшенное управление и мониторинг. Новая возможность обеспечивает уведомление об уровне использования пула IP-адресов. Оповещение производится при помощи соответствующего значка либо при помощи передачи сообщения.
Распределение групповых адресов. Добавлена возможность назначения групповых адресов. Типичные приложения для групповой работы -- конференции или радиотрансляция требуют специальной настройки групповых адресов.
Защита от появления неправомочных серверов DHCP. Наличие нескольких серверов DHCP в одном сегменте сети может привести к конфликту. Новые механизмы позволяют обнаружить конфликт такого рода и деактивизировать работу сервера, обеспечив правильную работу DHCP.
Защита от подмены серверов. Регистрация уполномоченных (авторизированных) серверов DHCP выполняется при помощи Active Directory. Если сервер не обнаружен в каталоге, то он не будет функционировать и отвечать на запросы пользователей.
Кластерные службы, работающие на Windows 2000 Advanced Server и Datacenter поддерживают DHCP-сервер в качестве ресурса кластера, что позволяет повысить доступность DHCP-сервера.
Автоматическая настройка клиентов. Клиенты с поддержкой DHCP. начинающие работу в сети, могут конфигурироваться самостоятельно с использованием временной конфигурации IP (если сервер DHCP недоступен). Клиенты продолжают попытки связаться с сервером DHCP для получения арендного договора в фоновом режиме каждые 5 мин. Автоматическое назначение всегда прозрачно для пользователей. Адреса для такого рода клиентов выбираются из диапазона частных сетевых адресов TCP/IP и не используются в Интернете.
Новые специализированные опции и поддержка пользовательских классов. Сервер DHCP в Windows 2000 может назначать специализированные опции, сокращая время на получение одобрения новой стандартной опции в IETF. Механизм пользовательских классов позволяет применять DHCP в заказных приложениях для сетей масштаба предприятия. Оборудование большинства поставщиков сетевого аппаратного обеспечения также может использовать различные номера опций для различных функций.
2.3. Служба DNS
Domain Name System (система доменных имен) - это стандарт службы имен для Интернета, который используется Windows 2000 для помощи клиентам в разрешении имен узлов в их IP-адреса и для поиска служб в сети.
DNS - это распределенная система серверов имен. В этой системе группы серверов имен отвечают за записи, относящиеся к узлам, в доменах и поддоменах. Эти группы называются зонами. Зона является полномочной или ответственной для записей, относящихся к данному домену или группе доменов. Например, Microsoft может иметь несколько серверов, полномочных для домена microsoft.com и все связанные поддомены должны быть частью этого домена. Как следствие, если эти сервера не могут предоставить вам ответ на запрос IP-адреса для имени bluscreen.microsoft.com, то это означает, что его просто не существует.
Серверы имен хранят то, что принято называть записями ресурсов. Записи ресурсов сопоставляют имя узла его IP-адресу или отдельной службы и имени узла. Например, сервер DNS может содержать запись (называемую А записью) для сервера, называемого Cerver2, которому соответствует IP-адрес 147.2.3.45. Если клиент другого сервера DNS запросит связанный IP-адрес, он может быть найден и возвращен (послан) клиенту. Подобным образом, некоторый почтовый сервер может запросить сервер DNS найти почтовый сервер, действующий в домене mailfirma.ru. В данном случае DNS сервер запрашивается на наличие записи о системе обмена почтой (запись МХ), которая предоставляет FGDN (полностью определенное имя домена) почтового сервера, которое, в свою очередь, может быть разрешено в IP-адрес.
Cуществует еще один тип серверов имен, которые не являются полномочными для какой-либо зоны. Эти сервера называются caching-only (только кэширующими) - они просто перенаправляют запросы клиентов другим серверам имен и кэшируют их ответы.
DNS реализована как служба на сервере Windows 2000, а раз так, то она может быть запущена и остановлена, как любая другая служба. Она также может быть добавлена или удалена при помощи программы Add/Remove, вкладка Windows Components. DNS не устанавливается автоматически при установке Windows 2000, поэтому необходимо устанавливать ее вручную. Число серверов DNS, присутствующих в сети зависит от ряда факторов, таких, как потребность в отказоустойчивости, быстродействие и т.д. DNS требуется для установки Active Directory, поскольку домены Active Directory следуют соглашению об именовании DNS. Заметьте, что предыдущий пример рассказывал о DNS разрешении через Internet. Подобным образом DNS может быть использована для разрешения внутренних узлов или для комбинированных ситуаций, имейте это ввиду.
В традиционных конфигурациях DNS имеется как минимум 2 DNS сервера, которые являются полномочными в зоне. Зона - это административная единица DNS, представленная набором серверов DNS, которые ответственны за поддержку информации, относящейся к одному или более домену или поддомену. Один сервер выступает как основной сервер имен и это единственный сервер, который поддерживает перезаписываемую копию файла зоны. Периодически, основной сервер имен реплицирует файл зоны на другой сервер (или сервера), назначенные вторичными серверами имен. Этот сервер (сервера) тоже поддерживает файл зоны, но копию, предназначенную только для чтения. Процесс репликации часто называют передачей зон. Главная причина для того, чтобы иметь 2 или более сервера DNS - это уверенность, что если один из них выйдет из строя, другой может быть доступен для обработки запросов, относящихся к домену, содержащемуся в файле зоны.
Такой тип конфигурации продолжает поддерживаться и в Windows 2000 и на него ссылаются как на «стандартную» конфигурацию DNS. Однако Windows 2000 также поддерживает и другой вид конфигурации, являющийся новинкой в Windows 2000. Эта конфигурация называется «DNS, интегрированная в Active Directory». В данной конфигурации информация о зоне DNS храниться в Active Directory, а не в отдельном наборе файлов. Как следствие, DNS-информация реплицируется автоматически, как часть общей репликации Active Directory, и не требует создания дополнительной топологии репликации. Это не означает, однако, что каждый контроллер домена автоматически становиться сервером DNS. Это означает только, что каждый контроллер домена может стать сервером DNS, если служба DNS будет установлена на компьютер. DNS, интегрированная в Active Directory, также располагает рядом достоинств, таких как, например то, что каждый из серверов DNS может вносить изменения в зону и, в случае отказа одного из серверов, обновления зоны DNS не прекращаются. В стандартной конфигурации DNS обновления невозможны, если прекращает работу основной сервер имен.
Другое большое преимущество Windows 2000 DNS - это то, что она динамическая. Это означает, что узел может регистрировать и отменять регистрацию записей в DNS самостоятельно, включая запись соответствия имени и IP-адреса (А), а также записи служб (это мы обсудим позднее). Преимущество динамической DNS очевидны, так как в предыдущих реализациях DNS все записи требовалось создавать вручную, что отнимало много времени и порождало множество ошибок. Многие сравнивают динамическое обновление DNS с функционированием WINS. Так как эти идеи действительно схожи, помните, что цель WINS - разрешение имен NetBIOS в IP-адрес, в то время как DNS сопоставляет имена узлов их IP-адресам.
DNS используется Windows 2000 не только для разрешения имен узлов в их IP-адреса. Эта служба также помогает системе находить службы в сети, такие как службу аутентификации контроллера домена. Когда пользователь пытается войти в домен, его Windows 2000-система запрашивает DNS о наличии одного или более контроллеров домена на данном физическом сайте. Контроллеры домена автоматически регистрируются в DNS и также регистрируют записи, относящиеся к некоторым, работающим на них, службам. Точно также, клиенты Windows 2000 могут регистрировать себя в DNS самостоятельно, а могут и через сервер DHCP, который дает клиенту его IP-адрес. Оба эти механизма требуют пристального рассмотрения и мы вернемся к ним в нашей серии.
Хотя этот раздел только введение в DNS, хочу привести несколько дополнительных важных заметок о DNS:
- Windows 2000 DNS поддерживает IXFR или инкрементальный (добавочный) трансфер зоны. При этой настройке, если происходят изменения в файле зоны, только эти изменения реплицируются на другие сервера DNS. Если вы помните, в Windows NT DNS поддерживало только АXFR - полный трансфер зоны, при котором изменения в зоне вызывали необходимость репликации всего файла зоны на все дополнительные сервера имен.
- Если используется DNS, интегрированный в Active Directory, то можно активизировать функцию, называемую Secure Dynamic Updates (безопасные динамические обновления). При этом сервер DNS будет позволять обновления или регистрацию записей только с систем, которые имеют правомочные учетные записи в Active Directory. Если эта настройка не активизирована, то любая система может делать изменения в DNS, что представляет, конечно же, угрозу безопасности сети.
Прежде чем устанавливать Active Directory в среду Windows 2000, важно разработать реализацию DNS, которая бы соответствовала как вашей системе разрешения имен, так и требованиям Active Directory. DNS необходим Active Directory как для разрешения имен, так и для определения пространства имен, так как доменные имена в Windows 2000 базируются на соглашении об именовании DNS. Как следствие, любой сервер, на который устанавливается Active Directory, должен иметь в своих настройках протокола TCP/IP указание на сервер DNS, который необходимо установить и настроить предварительно. Если не сделаеть это заранее, то инсталляция Active Directory автоматически создаст структуру DNS, которая, возможно, не будет соответствовать вашим пожеланиям.
Первая концепция - это использование DNS для разрешения имен узлов (нахождение соответствующего узлу IP-адреса) или разрешения FQDN (Fully Qualified Domain Name - полностью определенное имя домена) в его IP-адрес. Чтобы напомнить вам, FQDN представляет имя узла в виде доменного имени системы. Например:
www.firma.ru
В этом примере имя узла - левая часть полного имени, а именно www. Имена узла также могут разрешаться при помощи файла HOSTS, который является статическим текстовым файлом и находится в папке %systemroot%\system32\drivers\etc на локальном компьютере. Не стоит путать DNS c WINS, которая ставит в соответствие Netbios имени соответствующий IP-адрес (также имеется текстовый эквивалент данной службы, файл LMHOSTS).
Служба DNS хранит большое число записей ресурсов различного типа, кроме простой записи хоста, т.н. «А» записи. Наиболее используемые типы записей, которые можно встретить в файле зоны, рассмотрены ниже:
SOA - представляет из себя запись ресурса начальной записи зоны, и предоставляет информацию о зоне, включая сведения о том, какой сервер является основным, кто отвечает за административный контакт, как часто файл базы данных проверяется на наличие изменений, серийный номер базы данных, значение времени жизни, и т.д.
A - представляет уникальный адрес узла в сети, сопоставляя его имя IP-адресу.
NS - обозначает доменное имя и связанное с ним FQDN сервера имен, который является полномочным для домена.