Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

Автор работы: Пользователь скрыл имя, 17 Декабря 2010 в 20:56, аттестационная работа

Описание работы

Целью аттестационной работы является организация корпоративной компьютерной сети.

Для решения поставленной цели в работе решаются следующие задачи:

•выбор операционной системы;
•выбор способа управления сетью;
•управление сетевыми ресурсами и пользователями сети;
•рассмотрение вопросов безопасности сети;

Содержание работы

ВВЕДЕНИЕ 5
1. проектирования корпоративной сети 6
1.1. Особенности проектирования корпоративных сетей 6
1.2. Этапы проектирования корпоративных сетей 7
1.2.1. Анализ требований 8
1.2.2. Построение функциональной модели производства 9
1.2.3. Построение технической модели 9
2.1. Информационные потоки в ЛВС предприятия 11
3. Выбор операционной системы. 12
3.1 Обзор операционных систем 12
3.1.1 ОС Nowell NetWare 12
3.1.2. Семейство ОС Windows 2000. 15
3.1.2.1 Windows 2000 Server 15
3.1.2.2 Windows 2000 Advanced Server 16
3.1.2.3 Windows 2000 Datacenter Server 16
3.1.3. ОС Windows Server 2003. 16
3.1.4. ОС Unix, Linux 17
3.2. Обоснование выбора Операционной системы Windows 2000 Advanced Server . 19
4. Планирование структуры сети 24
4.1. Способ управления сетью 24
4.2. Размещение сервера 26
4.3. Сетевая архитектура 27
4.4. Сетевые ресурсы 30
5. Организация сети на основе Windows 2000. 33
5.1. Служба каталогов Windows 2000 33
5.1.1. Наименование объектов 33
5.1.2. Логическая структура Active Directory 35
5.1.2.1. Домены 35
5.1.2.2 Дерево 36
5.1.2.3 Лес 37
5.1.2.4 Организационные единицы 38
5.1.3. Физическая структура 39
5.1.3.1 Сайты 39
5.1.3.2 Контроллеры доменов 40
5.2. Служба DHCP. 44
5.2.1. Настройка службы DHCP. 47
5.2.2. Кластеризация 52
5.3. Служба DNS 53
5.3.1. Планирование внедрения DNS для Active Directory 57
5.3.2. Новые свойства DNS в Windows 2000 60
5.3.3 Настройка сервера DNS. 62
5.4. Служба WINS 63
5.4.1. Новые возможности WINS в Windows 2000 64
5.4.2. Компоненты службы WINS 65
5.4.3. Планирование сети с использованием WINS 66
5.4.4. Управление базой данных WINS 67
5.5. Конфигурирование сервера 69
5.5.1. Выбор сервера 69
5.5.2. Установка Windows 2000 Advanced Server 73
5.5.2.1. Запуск процедуры предварительного копирования файлов и текстового режима Windows 2000 Advanced Server 73
5.5.2.2. Графический режим установки и сбор информации 75
5.5.2.3. Завершение установки оборудования 77
5.5.3. Управление в среде Windows 2000 Advanced Server 78
5.5.4. Требования к домену 79
5.5.5. Выбор модели организации сети 80
5.6. Служба Routing and Remote Access 81
5.7. Измерение сетевого трафика 82
6. Защита информации в сети 84
6.1. Анализ возможностей системы разграничения доступа Windows 2000 Advanced Server 85
6.1.1. Слежение за деятельностью сети 85
6.1.2. Начало сеанса на рабочей станции 86
6.1.3. Учетные карточки пользователей 86
Logon hours 87
6.1.4. Журнал событий безопасности 88
6.1.5. Права пользователя 91
6.1.6. Установка пароля и политика учетных карточек 92
6.1.7. Шифрованная файловая система EFS 93
Заключение 95
Список использованной литературы 98

Файлы: 1 файл

Атт_работа_Админ_WS-2000.doc

— 792.50 Кб (Скачать файл)

      Первый домен, созданный в лесу, рассматривается как «корень» леса. Одна из самых важных особенностей леса – это то, что каждый отдельный домен поддерживает общую схему – определения для различных объектов и связанных с ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть создан из одного дерева, которое содержит всего один домен. Это будет маленький лес, но формально это будет лес. [4]

         5.1.2.4 Организационные единицы

      Организационные единицы (обычно называемые OU) – это  контейнеры внутри Active Directory которые  создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. OU могут быть созданы для организации объектов несколькими путями, в соответствии с их функциями, местоположением, ресурсами и так далее. Примером объектов, которые могут быть объединены в OU могут служить учетные записи пользователей, компьютеров, групп и т.д. Рисунок  5.1.3 показывает пример OU, основанной на местоположении пользователей и ресурсов:

 

Рис. 5.4. Организационные единицы.

      OU может содержать только объекты  из того домена, в котором они  расположены. Также заметьте, что  структура OU может широко варьироваться от компании к компании. Она разрабатывается с целью облегчить администрирование ресурсов и применения групповых политик. В то время как полный административный контроль может быть дан (делегирован) пользователю через OU, для больших организаций становиться возможным иметь только один домен, в котором каждая структура будет имеет собственный контроль только над своей OU. [1]

         5.1.3. Физическая структура

      Физическая  структура Active Directory связана с двумя  главными типами объектов – сайтами и контроллерами доменов.

         5.1.3.1 Сайты

      В отличии от NT 4, в Windows 2000 Active Directory предусматривает  концепцию физического местоположения внутри структуры. В Active Directory сайт –  это совокупность подсетей TCP/IP, между  которыми существует высокоскоростное соединение. Хотя «высокоскоростное» - это относительное понятие, обычно под этим подразумевается соединение на скоростях, соответствующих LAN – соединениям. Вы определяете сайт в Active Directory для контроля репликации, аутентификации и местоположения служб. Как только сайт будет создан, компьютеры клиентов будут пытаться аутентифицироваться на контроллере домена, который находится на данном сайте, вместо того, чтобы посылать запросы по WAN (глобальной сети).

      Сайты также позволяют вам контролировать, когда репликация может происходить между контроллерами доменов. Например, в NT 4, все BDC получают данные от PDC в процессе репликации, используя 5-минутный интервал уведомления об изменениях. Так как в NT не было предусмотрено простого пути для контроля репликации между физическими местоположениями (это можно сделать, используя специальные скрипты для регистра), трафик репликации может перегрузить линии и снизить производительность сети. Если же вы определите сайт в Active Directory, вы можете также определить время и дни, в которые репликация между сайтами должна происходить, как часто она должна происходить, и преимущественные пути для ее прохождения. Вы должны заметить, однако, что по умолчанию существует только один сайт, и пока вы не создадите другие, репликация будет происходить, как и раньше, каждый 5-минутный интервал уведомления об изменениях. Также важно отметить, что сайты – это другой элемент, который позволяет большим компаниям иметь только один домен. Так как не существует соотношения между логической и физической структурой Active Directory, вы можете иметь один домен и сотню сайтов. Возможность контролировать трафик репликации – одно из наибольших преимуществ управляемости Active Directory.

         5.1.3.2 Контроллеры доменов

      Домена не может существовать без по крайней мере одного контроллера домена, где храниться база данных Active Directory. В отличие от Windows NT, где была только одна копия базы, позволяющая делать запись (хранящаяся на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»), в Windows 2000 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Поэтому все контроллеры домена в среде Active Directory достаточно равноправны. Однако, это усложняет картину, так как теперь каждый контроллер домена может делать записи в базу данных. Как и в NT 4, должно быть как минимум два контроллера в домене для целей избыточности, а, как правило, и гораздо больше, в зависимости от размера организации. [4]

      Создаете контроллер домена в Windows 2000, при помощи Installation Wizard (мастер установки Active Directory) – dcpromo.exe. Этот инструмент не только позволяет создавать новые контроллеры домена, и новые домены, деревья и леса. Он позволяет также понижать контроллер домена до рядового сервера, если возникнет такая необходимость.

Рис. 5.5. Installation Wizard

      После того, как контроллер домена создан, он хранит копию базы данных Active Directory (ntds.dit) и может проводить аутентификацию пользователей домена. База данных Active Directory состоит из того, что принято называть тремя разделами, как показано на рисунке 5.1.5.

Рис. 5.6. База данных Active Directory.

      Раздел  «домен» реплицируется между  контроллерами только внутри одного домена, в то время как разделы  «конфигурация» и «схема» реплицируются в каждый из доменов, расположенных в лесу. Некоторые из контроллеров домена отличаются от других специальными ролями, которые они выполняют:

      Global Catalog Server (сервер Глобального Каталога) – сервер Глобального Каталога – это контроллер домена, который знает о каждом единичном объекте, который существует в Active Directory, в каждом из доменов. Однако, он сохраняет только часть атрибутов каждого объекта, которые считаются наиболее важными. По умолчанию только один контроллер домена во всем лесу выполняет эту роль – первый контроллер домена, созданный в лесу. Большее число серверов Глобального Каталога может (и должно) быть создано в лесу. Когда контроллер домена действует как сервер Глобального Каталога он хранит четвертый раздел, как часть базы данных Active Directory – раздел Глобального Каталога.

      Помимо  роли сервера Глобального Каталога, контроллеры домена могут выполнять еще пять специальных ролей, называемых Operations Masters (основные контроллеры операций). Они перечислены ниже:

      Schema Master (хозяин схемы) – в лесу только один контроллер домена может выполнять эту роль. Schema Master поддерживает схему Active Directory и поддерживает копию схемы, доступную для записи. По умолчанию первый контроллер домена, созданный в корневом домене леса, выполняет эту роль.

      Domain Naming Master (Хозяин именования доменов) – этот контроллер домена отслеживает домены, которые создаются и удаляются из леса, поддерживая целостность структуры леса, если какие-либо изменения имеют место. В лесу существует только один Domain Naming Master и, по умолчанию, эту роль выполняет первый контроллер, созданный в корневом домене леса.

      PDC Emulator (хозяин PDC) – эта роль существует по паре причин, одна из которых – обратная совместимость с NT 4 контроллерами. Когда домен повышается до Windows 2000, первая система, которая подвергается модернизации – это PDC (главный контроллер домена), и этот новый контроллер домена Windows 2000 эмулирует (имитирует) старый PDC для оставшихся BDC (резервных контроллеров домена), работающих под Windows NT. PDC Emulator отслеживает изменения паролей и выступает «арбитром» перед тем, как пароль может быть отвергнут системой. По умолчанию клиенты предыдущих Windows OS, таких как Windows 9x и NT продолжают изменять свои пароли на PDC Emulator (до тех пор, пока на систему не будет установлен клиент Active Directory). Один контроллер в каждом домене выполняет роль PDC Emulator, по умолчанию, это первый контроллер созданный в домене.

      Relative Identifier (RID) Master (Хозяин RID (relative identificator)) – в NT 4, PDC отвечает за создание всех SID (security identificator), то есть отвечает за создание всех объектов безопасности («пользователь», «группа», «компьютер»). В Windows 2000 каждый контроллер домена может создавать объекты безопасности. На самом деле SID состоит из двух частей - SID (который определяет домен) и RID (который определяет уникальный объект внутри домена).Для того, чтобы быть уверенным, что SID уникален, один контроллер в каждом домене выполняет роль RID Master, отвечающего за создание доменного пула RID, и размещения этих RID на других контроллерах в домене. Это позволяет быть уверенным, что не произойдет дублирования объектов SID. В каждом домене Active Directory действует один RID Master, по умолчанию, это первый контроллер, созданный в домене.

      Infrastructure Master (Хозяин инфраструктуры) - Infrastructure Master отслеживает информацию о том, какие пользователи (из других доменов) являются членами той или иной группы данного домена и все изменения, которые имеют место. Это позволяет быть уверенным в непротиворечивости участия пользователей в группах в Active Directory. Каждый домен в Active Directory имеет одного Infrastructure Master, по умолчанию, это первый контроллер, созданный в домене. [1]

         5.2. Служба DHCP.

      Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста) является базовой сетевой службой, предлагаемой Windows 2000 для динамического распределения IP-адресов и связанной с ними информации клиентам, использующим TCP/IP. Хотя функции, выполняемые DHCP в Windows 2000 во многом похожи на те, что были в Windows NT, некоторое количество несущественных отличий.

      DHCP — развитие протокола ВООТР (RFC 951 и 1084), позволявшего динамически назначать IP-адреса (в дополнение к удаленной загрузке бездисковых станций). При этом DHCP предоставляет все данные для настройки стека протоколов TCP/IP и дополнительные данные для функционирования определенных серверов (Приложение 2).

      Область DHCP. Область (scope) DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

      Пул адресов. Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.

      Диапазоны исключения. Диапазон исключения (exclusion range) — ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.

      Резервирование. Резервирование (reservation) позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.

      Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект — суперобласть (superscope). Суперобласти полезны для решения различных задач службы DHCP.

      Арендные  договоры. Арендный договор (lease) — отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу).

      Опции DHCP — дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции. [4]

       Служба DHCP в Windows 2000 состоит из трех основных компонентов.

       Серверы DHCP. В состав сервера DHCP входит оснастка DHCP — удобный в работе графический инструмент, который позволяет администратору настраивать конфигурации для клиентов DHCP. Сервер DHCP также содержит базу данных для назначения IP-адресов и других параметров настройки. Сервер DHCP поддерживает более 30 опций DHCP согласно RFC 2132. Параметры конфигурации TCP/IP, которые могут быть назначены сервером DHCP, включают: IP-адрес для каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы по умолчанию, дополнительные параметры конфигурации, например, IP-адрес сервера DNS или WINS. Один или более компьютеров в сети должны работать под управлением Windows 2000 Server с протоколом TCP/IP и установленным сервером DHCP. Если служба сервера DHCP установлена на компьютере, то сразу после задания и активизации областей автоматически создается база данных DHCP.

Информация о работе Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server