Сделай Сам Свою Работу на 5

Сетевая ОС Windows server 2003





Лекция 1

Инф система – система, предназначенная для сбора, передачи, обраб, хранения и выдачи инфы потребителем. Обычно состоит из след осн компонентов: 1) ПО; 2) Инф обеспечение(инфа содержащаяся в БД инф сист); 3) Технические средства (сервера, компы, кабельные сети); 4) Обслуживающий персонал

Повседневные задачи администрирования

Сетевой админ обеспеч юзерам доступ к сети, контролирует доступ каждого из юзеров к сетевым ресурсам и выполняет задачи связанные с обслуживанием, создает учетные записи юзеров, назначает разрешения на доступ к таким ресурсам, как принтеры, приложения, данные.

Также управляет аппаратным и ПО установленном на компе и выполняет задачи, такие как обеспеч доступа к принтерам, администрирование серверов БД и почтовых серверов. Некоторые повседневные задачи, такие как архивирования инфы на серверах можно настроить чтобы архивирование происходило через определенные промежутки времени.

Администратор ИС выполняет задачи администрирования в след областях: юзеры и группы, принтеры, безопасность, контролирование сетевых событий и ресурсов, обеспеч целостности сист, обеспеч создание резервных копий и в случ необх восстановление из этих резервных копий, администрирование дисков, администрирование серверных приложений.



Администрирование юзеров и групп

Админ назначает пользовательские пароли от учетных записей и управляет ими. Пользовательские учетные записи мб локальными и доменные. Админ также создает и обслуживает группы юзеров (organization unit), определяет членство в них и назначает права членов этих групп. Объединение юзеров в группы упрощает администрирование.

Администрирование принтеров

Включает настройку локальных и сетевых принтеров и устранение осн проблем печати. Это должно гарантировать юзером простое управление принтеров.

Безопасность

Поддержание безопасности инф сети включ планирование, реализацию и обеспеч безопасности предназнач для защиты данных и общ сетевых ресурсов в т.ч папок, файлов, принтеров. Доступ к ресурсам контролируется путем назначения разрешений для юзеров. Администратор инф сети определяет кто имеет доступ к данным ресурсам и определяет параметры доступа.



Сетевые события и ресурсы

Наблюдение за работой сети явл чрезвычайно важной задачей. Непрерывный контроль позволяет выявить проблему и разрешить её прежде чем она вызовет сбой в работе сети.

Контроль сети включает оценку использования ресурсов, а так же планирование и реализацию политики для выявления недостатков в сист безопасности.

Целостность системы

Админ должен регулярно проверять комп на наличие комп вирусов. Админ должен обеспеч безопасность сети за счет регулярного обновления антивирусного ПО. Если сеть окажется заражена, то админ должен принять меры для удаления проблемы.

Архивация и восстановление

Одной из наиб важных задач явл архивирование данных. Эта задача включ планирование, подготовку расписания и выполнение регулярной архивации для защиты важных данных. Хорошая сист архивации позволяет быстро найти и восстановить важные данные в случ потери или порчи.

Администрирование серверных приложений

В сист может имеется множество серверных приложений, кот так же требуют администрирования. Некот инструментальные средства позволяют администрировать основанные на приложениях службы, позволяющие управлять почтовыми серверами и серверами БД.

Диски

Обслуживание дисков необх для обеспеч их оптимальной производительности и снижения потерь данных. В повседневной задачи администрирования входит проверка жестких дисков и их настройка.

 

Знакомство с сетями

Сеть– группа связанных между собой компов, в кот юзеры могут совместно работать с общ инфой. Сеть позволяет сразу нескольким юзерам обращаться к одним и тем же данным и подключаться к одному ресурсу. Если в организации насчитывается большое число сотрудников, то можно загрузить к каждому сотруднику копии данных, а можно установить централизованный сервер.



Возможности предоставляемые сетью

Объединение компов в сети дает преимущества в таких областях, как совместный доступ к инфе, оборудованию и программным средствам, а так же административная поддержка. Эти преимущества позволяют повысить производительность труда в организации.
Совместный доступ к инфе – возможность обеспечить по невысокой цене совместный быстрый доступ к инфе и данным.

Централизованное администрирование и поддержка.

Объединение компов в сеть упрощает задачи администрирования. Админ может находясь на своем рабочем месте выполнять административные процедуры на любом компе сети. Кроме того спецам поддержки удобно заниматься одной версией ОС или приложения чем контролировать множество индивидуальных сист и конфигураций.

Архитектура клиент - сервер

Компы в сети могут работать в качестве клиентов или серверов. Клиенты – компы юзеров. Клиенты выдают запросы на услуги или данные, предоставляемые компами другого типа, называемыми серверами

Серверы – компы, предоставляющие клиентам различные услуги и данные. Сетевые серверы могут выполнять множество задач разного уровня сложности. В крупных сетях расположены спец серверы, что позволяет качественно удовлетворять растущие потребности юзеров.

 

Типовые виды серверов

1) Файловые серверы и серверы печати – отвечают за централизованное выделение ресурсов в виде файлов и принтеров. Когда клиент обращается к данным то на его комп полностью загружается база данных или файл, например если юзер откроет текстовый редактор, это приложение запуститься на его компе, а в память компа сохранится документ, хранящийся на файловом сервере. После этого документ можно редактировать или иным образом использовать в локальной среде. Когда документ будет вновь сохранен на серве, любой юзер сети наделенный достаточными полномочиями доступа просто может посмотреть этот файл. Другими словами файловые серверы и серверы печати используются для централизованного хранения, предоставления юзеру содержимого файлов и данных

2) Сервер БД – могут централизованно хранить большие массивы данных и делать их доступными юзеру, чтобы юзерам не надо было загружать к себе БД целиком. В данном случае вся БД остается на серве, а на комп, пославший запрос загружаются только результаты соответствующие этому запросу.

3) Почтовый сервер – работает аналогично серверам БД в том отношении, что серверные и клиентские приложения существуют по отдельности, а данные загружаются в клиентскую среду выборочно. Почтовые сервера управляют внутренними действующими в сети службами электронной почты.

4) Факс серверы – управляет передачей факсимильных сообщений входящих в сеть и исходящих из неё, при этом совместно используются один или несколько факс модемов. В результате служба факсимильной связи становится доступной любому юзеру сети – ему не приходится для отправки факсов подключать к своему компу аппарат факсимильной связи.

5) Сервер службы каталогов – предназначен для централизованного хранения инфы о сети в том числе идентификационных данных юзеров сети, а так же имеющихся в ней ресурсов. Это делает возможным администрирование безопасности сети. Админ инф сист может определить некий ресурс, например принтер, и тип доступа, кот будет разрешен для него. После этого юзеры сами смогут сами обращаться к нему и использовать в соответствии с правами, им назначенных.

 

Типы комп сетей

В зависимости от того, какова конфигурация сети и как входящие в неё компы получают данные сети можно отнести к двум типам: одноранговые сети и сеть с архитектурой клиент – сервер. Различия между этими категориями имеет большое значение, поскольку каждому типу доступны разные возможности

Одноранговая сеть

В одноранговой сети нет строго определенных серверов, а все компы являются равноправными. Каждый комп выступает в качестве клиента и в качестве сервера. Админ отвечающий за сопровождение сети обычно не требуется. Безопасность обеспечивается с использованием локальной базы данных каталога, имеющейся на каждом компе. Юзер каждого компа сам определяет какие файлы могут использоваться в сети, а какие нет. Одноранговые сети так же называются рабочими группами. Под термином рабочая группа понимается небольшое объединение сотрудников, обычно не более 10, работающих вместе. Одноранговые сети удобно развертывать при след условиях: 1) число юзеров не превышает 10; 2) юзеры имеют общ доступ к ресурсам и принтерам, но специализированных серверов не существует; 3) проблема безопасности отсутствует; 4) организацию и сеть не предполагается существенно расширять в обозримом будущем.

Сеть клиент – сервер

На определенном этапе развития Одноранговая сеть перестает обеспечивать возросшие потребности в организации ресурсов. Чтобы удовлетворить этот спрос и обеспечить доп возможности в сети создаются выделенные серверы. Выделенный сервер функционирует исключительно как сервер, не имея никаких клиентских функций. Конфигурация таких серверов оптимизируется для обработки запросов сети. Сети типа клиент сервер стали стандартной моделью применяемой при организации сетей. По мере того как сеть расширяется в следствии увеличения числа подключенных компов, расстояния между ними и передаваемого трафика возникает необходимость в доп серверах. Распределение залач сетевой обработки с нескольких серверов гарантирует максимально эффективное выполнение задач. Кроме того если задачи сетевой обработки передаются серверам, снижается нагрузка рабочей станции.

Функции сетевой ОС

Основу сети составляет сетевая ОС. Подобно тому, как комп не может работать без ОС, комп сеть не в состоянии функционировать без сетевой ОС.

1) Сетевая ОС обеспеч работу компов в составе сети

2) Предоставляет компам сети базовые службы

3) Координирует работу различных устройств сети, обеспечивая своевременность и правильность обмена данными между ними

4) Предоставляет клиентам доступ к сетевым ресурсам

5) Обеспечивает безопасность данных и устройств

6) Поддерживает механизмы, позволяющие приложениям общаться друг с другом

7) Обеспеч интеграцию с другими распространенными ОС

Сетевая ОС должна поддерживать средства, обеспеч связь приложений друг с другом, например поддерживаются приложения, позволяющие организовать совместную работу нескольких компов над одной задачей, например над сложным мат расчетом

Сетевая ОС так же должна поддерживать работу нескольких процессоров, дисковых массивов, средств безопасности данных и она должна быть надежной и быстро возобновлять работу после сбоя.

В зависимости от конкретной ОС, сетевое ПО рабочей станции может быть либо частью его собственной ОС либо добавляться в неё в качестве доп компонентов. Программные средства сетевой ОС входят в состав многих распространенных ОС, включая Microsoft windows 2003, windows xp, apple macintosh, linux, windows 7.

 

Сетевая ОС Windows server 2003

Способна удовлетворить многие запросы предприятия, позволяет эффективно строить корпоративные сети с помощью новейших методов и службы каталогов active directory, Сеть windows server 2003 позволяет расшить возможности доступа к инфе, рационализировать выполняемые операции, создать эффективную инфраструктуру для обмена данными. В состав системы входят службы централизованного обеспечения безопасности информации, кроме того обеспеч взаимодействие с использованием средств управления на базе службы каталогов и соответствующие сетевые стандарты.

Домен – логическая группа компов сети совместно использующая область для хранения инфы. Домен организует централизованный подход к администрированию сетевых ресурсов. Юзер работающий на каком – либо компе может обращаться к общ ресурсам на других компах домена, если ему предоставлены соответствующие полномочия. Понятие домена сходно с понятием рабочей группы, но домены обладают рядом полезных свойств:

1) Однократный вход

2) Индивидуальная пользовательская учетная запись

3) Централизованное администрирование

4) Масштабируемость

5) Организационные объекты – объекты домена можно сформировать в подразделения. Организационное подразделение представляет собой некот совокупность объектов внутри домена. Объекты явл представлениями реальных отделений организаций объединенных в сеть. Могут содержать несколько доменов. Для примера возьмем какой – либо домен в сети организации . Чтобы упростить управление всеми ресурсами сети можно объединить ресурсы каждого отдела организации в подразделения. Управление подразделения может управляться одним сотрудником. Т.о администратор сети имеет возможность управлять группой подразделений.

6) Удобный поиск инфы – публикация ресурса означает что он включается в перечень домена, что облегчает юзерам поиск ресурса и работу с ним. Например, если опубликован принтер установленный в домене юзер сможет найти его по списку объектов домена и получить к нему доступ. Если принтер неопубликован, юзеры смогут обращаться к его услугам, но для этого им надо будет знать его местоположение.

7) Упрощенный доступ – к домену можно применить политику, кот определяет каким образом юзеры смогут обращаться к ресурсам домена, настраивать их конфигурацию и работать с ними, это позволяет консолидировать управление ресурсами и усилить безопасность.

8) Делегирование полномочий – система доменов позволяет наделять правами админов правами на управление объектами либо во всем домене, либо в одном или нескольких их подразделений. В результате появляется возможность обойтись без услуг рядов админов с слишком широкими административными полномочиями

Каждый домен управляется контроллером домена. Контроллер доменов управляет всеми операциями между юзерами и доменами.

 

Лекция 2

Доменная структура

Active directory – сердце логической структуры: домен, который представляет собой заданный админом семейство компом с общей базой (БК). Домен имеет уникальное имя и обеспеч доступ к централизованным учетным записям юзера или групп.

Админ может управлять сетью лишь в рамках своего домена если ему не предоставлены права в рамках другого домена. В сети Windows 2003 домен служен границей безопасности. Каждый домен управляется контроллером домена (КД, DC) управляет всеми относящимися к безопасности операциями, взаимодействуя между юзерами и доменами. Контроллер домена реплицирует между собой административную инфу и хранят для неё полную копию для своего домена. В пределах границ домена админ имеет необх разрешения и права на управление сетью, если эти права ему явно не предоставлены в др домене. Каждый домен имеет собственную политику безопасности и отношение безопасности к другим доменам. Контроллеры доменов имеют службу каталогов. Все контроллеры в определенном домене могут принимать изменения в active directory и реплицировать их на др контроллеры свого домена. Система доменов позволяет управлять либо всеми доменами либо какой то областью.

 

Контроллер домена

Доменом управляет компьютер, работающий под управлением системы Windows 2003 Server. Такой компьютер называется контроллером домена. Контроллер домена управляет всеми относящимися к обеспечению безопасности операциями взаимодействия между пользователями и доменом.

 

Дерево

Это иерархическая структура доменов системы Windows 2003, носящая общее имя. При добавлении домена в уже существующее дерево он становится поддоменом некоторого домена этого дерева. Такой поддомен называется дочерним доменом, а домен, в который он входит, - родительским доменом. Когда дочерний домен присоединяется к дереву к его имени присоединяется имя родительского домена. DNS имя формируется из комбинации дочернего и родительского домен. Каждый дочерний домен имеет доверительные двусторонние отношения со своим доменом

 

Лес

Лесом называется группа деревьев, не имеющих общего имени, но имеющих общую конфигурацию. По умолчанию лес обозначается по имени корневого дерева, то есть первого дерева, созданного в составе этого леса. Дерево не связанное с другими деревьями составляет лес из одного дерева, так что каждый корневой домен дерева имеет доверительные отношения с корневым доменом леса. Первый домен, кот мы создаем называется корневым. Дочерние домены добавляются к корневому чтобы сформировать структуру дерева или структуру леса в зависимости от доменного имени.

 

Двустороннее транзитивное доверие

Эти отношения стандартны в windows 2003. Транзитивное доверие означает, что отношение доверия распространенное на одном домене автоматически распространяется на другие домены, кот доверяют этому домену. Двустороннее доверие – означает что между двумя доменами существует взаимное доверие. Двустороннее доверие обеспечивает полное доверие между всеми доменами в active directory.

 

Организационное подразделение (ОП/OU)

Контейнерный объект, используемый для организации внутри домена. ОП может содержать такие сведения как учетные записи юзеров, группы, компы, принтеры и др организационные подразделения. Они создаются чаще всего для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. Организационные подразделения могут быть созданы несколькими путями. В соответствии с их функциями, местоположением, ресурсами и т.д. ОП можно использовать для группировки объектов логической иерархии, оптимальной для вашей организации, например создать иерархию ОП чтобы представить: 1) сетевую модель администрирования для разделения задач управления 2) Организационную структуру построенную с учетом ведомств и географических границ

 

Административное управление ОП

Разрешено делегировать административными объектами внутри ОП. Для этого назначаются определенные разрешения для ОП и объектов, кот содержат ОП, 1 или более юзерам и группам. Для ОП можно делегировать полное административное управление, например полное управление объектами в ОП или ограниченное управление.

 

Глобальный каталог

Это хранилище инфы, кот содержит подмножество атрибутов всех объектов в Active directory. По умолчанию в глобальном каталоге хранятся атрибуты наиб часто используемые в запросах, например имя и фамилия юзеров. ГК содержит инфу, необх для определения местоположения для любого объекта в каталоге. ГК позволяет юзерам выполнять две важные функции: 1) находить инфу active directory в целом лесе независимо от размещения данных 2) использовать информацию о членстве в универсальной группе для входа в сеть.

 

Сервер глобального каталога

Это контроллер домена, кот хранит копию запросов и обрабатывает их в глобальном каталоге. Первый контроллер домена, кот создается в active directory автоматически становится сервером ГК. Можно сконфигурировать доп серверы ГК для балансировки трафика на вход и аутентификации. ГК делает структуру каталога в пределах леса прозрачным для юзеров, кот выполняют поиск. ГК так же включ разрешение доступа для каждого хранимого в нем объекта и атрибута. Если вы ищите объект и у вас нет разрешения на его просмотр, вы не увидите этот объект в списке результатов поиска. Это гарантирует что юзеры найдут только те объекты, к кот у них есть доступ.

 

Пространство имен и разрешения имен в службе каталогов.

Пространство имен это область в кот может быть определено( преобразовано) конкретное имя. Active directory преобразует пространство имен, в кот имя каталога может быть разрешено в кот имя каталога может быть разрешено в сам объект. Разрешение имен – процесс преобразования имени в объект или инфу, кот предоставляет данное имя. Каждый элемент информации, описывающий конкретный элемент записи называется атрибутом, кот состоит из типа атрибута и одного или нескольких значений атрибуты. Объект – определенный набор атрибутов, представляющий что-то конкретное, например юзера, принтер, приложение. Атрибуты описывают данные, описывающие вещь, кот идентифицируется данным объектом каталога, например может относится имя, фамилия. Класс объекта определяет тип используемых атрибутов, например к атрибутам объекта класса юзеров могут относится имя, телефон, а к атрибутам объекта класса организация относятся название организации, тип организации. кажд атрибут может иметь 1 или несколько значений взависимости от своего значения.

 

Лекция 3

Объект

Каждый объект в active directory имеет уникальной идентификатор (identity). Объект может переименовываться и перемещаться, но уникальный идентификатор остается неизменным. Объекты внутри active directory однозначно идентифицируются по их уникальному идентификатору (GUID), а не по текущему имени.

Уникальный идентификатор объекта это уникальный универсальный идентификатор, который назначается агентом DSA при создании объекта. Этот GUID хранится в директории object GUID, который есть у каждого атрибута. object GUID не может быть изменен или удален. При сохранении ссылки Active directory в каком то внешнем хранилище, например в базе данных используйте атрибут object GUID, потому что в отличии от имени он не может измениться.

 

Контейнер

Похож на объект тем, что он тоже описывается атрибутами и является частью пространства имен в active directory, но в отличи от объекта, контейнер не представляет чего то конкретного. Он содержит объекты и другие контейнеры.

 

Схема

Термин, обычно используемый при описании работ БД. В контексте Active directory, схема это все элементы содержащиеся в active directory: объекты, атрибуты, контейнеры и т.д. Active directory имеет схему по умолчанию, кот определяет наиболее распространённые классы объектов., такие как юзеры, компы, группы, организационные единицы, политики безопасности и домены.

Схема active directory может динамически обновляться, это означает что любое приложение может дополнять схему нужными атрибутами и классами и использовать их сразу. Создание и изменение объектов, хранящихся в active directory вызывает изменение схемы. Списки управлением доступом (ACL-access control list) защищают объекты схемы, позволяя модифицировать её только авторизованным юзерам.

 

Архитектура active directory

Каждый объект в active directory характеризуется отличительным именем (DL – distinguished name). В данном контексте термин «отличительные» указывает на уникальность этого имени. Отличительное имя указывает домен в котором находится данный объект, а так же полный путь в иерархии контейнеров, используемый для достижения данного объекта. Типичным distinguished name может быть например последовательность:

CN = Vasiliy Petrov, OU=research, DC = university, DC = mami.

DN – идентифицирует юзера как объект Василий Петров в организационной единице Research в домене university mami.

CN – Common name, OU – organization unit, DC – domain controller.

В Active directory так же используется относительное имя – RDN (relative distinguished name), представляющее часть отличительного имени DN и являющееся атрибутом самого объекта.

В приведенном выше примере RDN объекта пользователя CN = Vasiliy Petrov, а RDN родительского объекта OU=research.

Часть отличительного имени «DC =» позволяет подключать каталоги active directory пространству имен DNS. Корнем глобального пространства имен для Active directory, является пространство имен DNS. Т.о доменные имена DNS объединяются со схемой именования active directory, например university. Mami – допустимое доменное имя DNS и оно же может быть именем домена active directory.

Такая интеграция с DNS означает что active directory естественно встраивается в среды интернет и интранет и серверы active directory могут напрямую подсоединятся к интернет, что существенно упрощает обмен инфой и электронную коммерцию с заказчиками и партнерами.

 

Форматы имен

Ivan P работает в отделе research, департамента products, организации organization university mami. Формат active directory поддерживает несколько форматов имен, чтобы можно было поддерживать не только юзеров, но и приложения.

Имена согласно RFC 822 знакомы большинству юзеров как адреса e-mail. Active directory поддерживает дружественное имя в формате RFC 822 для каждого из объектов. Т.о юзер может использовать дружественное имя как адрес e-mail так и для авторизации. Ivan p – префикс, после @ -суффикс

 

URL адреса

Типичный URL (Uniform resource location) имеет вид: Исходный протокол://домен/путь к странице, где домен это сервер на котором выполняются службы active directory, а путь к странице это путь к нужному объекту в иерархии active directory. URL для юзера Иван Петров имеет следующий вид: http://tula1.tula.university.mami/research/products/IvanP

 

Имена LDAP

Имеют более сложную структуру чем имена интернет и обычно скрыты внутри приложения. Для имен LDAP используется соглашение об именовании, принятые в X500. Адрес LDAP указывает сервер, содержащий службы active directory и атрибуты имени объекта, например: LDAP://tula1.tula.university.mami/CN=IVANP,OU=research,OU=products,O=universicy,C=mami

 

Имена UNC

Uniform naming conversion назначаются в соответствии с изначальным соглашением об именовании, используется в сетях Windows server 2003, Windows 2000, Windows NT для ссылки на разделяемые тома, принтеры и файлы, например \\university mami\product.reseach.volume\worldDoc\report.doc

 

Агент DSA это процесс, обеспечивающий доступ к физическому хранилищу информации глобального каталога на жестком диске. DSA является частью подсистемы Local System Authority (LSA) windows server 2003. Клиенты осуществляют доступ к каталогу используя один из следующих механизмов: Клиенты LDAP подсоединяются к DSA используя протокол LDAP, active directory поддерживает LDAP версии 3, определяемый спецификацией RFC 2251, и LDAP версии 2 определяемый спецификацией RFC 1777.

Клиенты MAPI (messaging application programing interface) например Microsoft exchange подсоединяются к интерфейсу DSA через MAPI.

 

 

 








Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.