Операционные системы, среды и оболочки: Учебное пособие [А. И. Вяткин] (doc) читать онлайн

Книга в формате doc! Изображения и текст могут не отображаться!


 [Настройки текста]  [Cбросить фильтры]

РОССИЙСКАЯ ФЕДЕРАЦИЯ
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОУ ВПО ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ИНСТИТУТ ДОПОЛНИТЕЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ









А.И. Вяткин

ОПЕРАЦИОННЫЕ СИСТЕМЫ, СРЕДЫ И ОБОЛОЧКИ


Учебное пособие


















Издательство
Тюменского государственного университета
2009




А.И.Вяткин. ОПЕРАЦИОННЫЕ СИСТЕМЫ, СРЕДЫ И ОБОЛОЧКИ: Учебное пособие. Тюмень: Издательство Тюменского государственного университета, 2009. 302с.

В состав учебного пособия по дисциплинам «Операционные системы, среды и оболочки» входят: методические и теоретические материалы, задания для контроля, справочно-информационные материалы. Пособие предназначено для студентов, обучающихся по специальности «Прикладная информатика» института дополнительного профессионального образования. В учебном пособии даются основные понятия, определения, основные концепции, определяющие современное состояние и тенденции развития операционных систем.








Рецензенты: О.В. Тарханова, к.п.н., доцент;
Ю.В. Бидуля, ст. преподаватель кафедры информационных систем ТюмГУ




Ответственный за выпуск: А.И.Вяткин, доцент кафедры информационных систем, ТюмГУ









©Тюменский государственный университет, 2009
©А.И. Вяткин, 2009
СОДЕРЖАНИЕ

Предисловие. 6
МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ
Рабочая программа дисциплины 7
Пояснительная записка 7
Содержание дисциплины 9
Рекомендации по самостоятельной работе студента 15
Календарно-тематический план 17
Методические рекомендации по отдельным видам
самостоятельной работы 19
ТЕОРЕТИЧЕСКИЕ МАТЕРИАЛЫ
Глава 1. Введение в операционные системы. 21
§ 1.1. Определение, назначение и классификация ОС. Требования
к современным операционным системам. 21
§ 1.2. Состав и функции операционных систем. Архитектура ОС. 25
§ 1.3. Процессы и потоки. Управление памятью. 29
§ 1.4. Система ввода-вывода. 33
§ 1.5. Файловые системы. 39
Резюме 50
Вопросы для самопроверки 51
Глава 2. Инсталляция и конфигурирование операционной системы. 52
§ 2.1. Инсталляция и конфигурирование ОС. 52
§ 2.2. Начальная загрузка. 56
§ 2.3. Реестр. 60
Резюме 63
Вопросы для самопроверки 64
Глава 3. Тенденции и перспективы развития распределенных операционных сред. 64
§ 3.1. Концепции распределенной обработки в сетевых ОС. 66
§ 3.2. Сетевые модели. 72
Резюме 77
Вопросы для самопроверки. 78
Глава 4. Основные концепции компьютерных сетей и их проектирование. 79
§ 4.1. Классификация компьютерных сетей. 79
§ 4.2. Локальные сети. Сети Ethernet, Token Ring, FDDI. 88
§ 4.3. Глобальные сети. 92
Резюме. 95
Вопросы для самопроверки. 96
Глава 5. Протоколы и основы работы в сети. 96
§ 5.1. Сетевой протокол TCP/IP. 96
§ 5.2. Утилиты TCP/IP. 99
§ 5.3. IP адресация. 109
§ 5.4. Подсети. 113
Резюме. 119
Вопросы для самопроверки. 119
Глава 6. Администрирование операционных систем. 121
§ 6.1. Типовые задачи администрирования. 121
§ 6.2. Средства мониторинга. 125
Резюме. 129
Вопросы для самопроверки. 130
Глава 7. Сетевые службы. 131
§ 7.1. Служба DNS (Windows) и BIND (Unix). 131
§ 7.2. Служба DHCP. 137
§ 7.3. Служба Samba. 145
§ 7.4. Терминальные службы и удаленный доступ. 146
§ 7.5. Службы Интернета. 148
Резюме. 151
Вопросы для самопроверки. 152
Глава 8. Службы каталогов. 153
§ 8.1. Проектирование доменов и развертывание Active Directory. 153
§ 8.2. Администрирование доменов. 157
Резюме. 165
Вопросы для самопроверки. 165
Глава 9. Межсетевое взаимодействие, маршрутизация. 167
§ 9.1. Обзор одноадресной маршрутизации. 167
§ 9.2. Протоколы динамической маршрутизации RIP и OSPF. 172
§ 9.3. Служба маршрутизации и удаленного доступа RRAS. 177
Резюме. 179
Вопросы для самопроверки. 180
Глава 10. Безопасность информационных систем и компьютерных
сетей. 181
§ 10.1. Основные понятия безопасности. Классификация угроз. 181
§ 10.2. Проектирование безопасности, стратегии брандмауэра. 183
Резюме. 184
Вопросы для самопроверки. 185
Заключение. 187
ПРАКТИКУМ. 188
ЗАДАНИЯ ДЛЯ КОНТРОЛЯ. 278
Тесты для самоконтроля. 278
Ключи к тестам для самоконтроля. 289
Задания для контрольных работ. 293
Вопросы для подготовки к зачету. 297
ГЛОССАРИЙ. 299
СПИСОК ИСТОЧНИКОВ ИНФОРМАЦИИ. 302





Предисловие.

В данном учебном пособии изложены основные понятия операционных систем, принципы их построения и использования. Проводится обзор по настройке, использованию и администрированию операционных систем (ОС) Microsoft Windows Server 2003 и Linux на примере дистрибутива Fedora. Рассматриваются основные вопросы, связанные с выполнением стандартных задач администрирования сервера и домена Microsoft Windows Server 2003, в том числе управление службой каталогов Active Directory, основными сетевыми службами (DHCP, DNS, удаленный доступ, Web и FTP), учетными записями пользователей и групп, файловыми системами Windows и Unix. Рассмотрены основные возможности Linux по управлению межсетевым взаимодействием в сетях Unix и в смешанных сетях Unix и Windows.
Учебное пособие разработано для студентов института дополнительного профессионального образования специальности прикладная информатика в экономике для изучения дисциплины «Операционные системы, среды и оболочки».













Методические материалы

Рабочая программа дисциплины.
Пояснительная записка.

Учебное пособие составлено в соответствии с учебными планами и образовательными стандартами специальности «Прикладная информатика в экономике». Учебная дисциплина «Операционные системы, среды и оболочки» является теоретическим и практическим курсом, углубляющим знания и умения в области использования и администрирования операционных систем Windows и Linux.
Цель курса
Получение студентами теоретических знаний и практических навыков при работе с современными операционными системами, средами и оболочками на примере операционных систем Windows и Linux.
Дисциплина «Операционные системы, среды и оболочки» имеет целью изучение теоретических основ операционных систем, их структурной организации, характеристик, принципов работы, глобальными и локальными сетевыми технологиями, обучить студентов общим принципам построения компьютерных сетей и их функционирования под управлением операционных систем.

Задачи курса
Дать основы:
• принципов построения и работы операционных систем;
• проектирования и построения компьютерных сетей;
• администрирования и сопровождения компьютерных сетей под управлением операционных систем.


Требования к уровню освоения курса

В результате изучения дисциплины студенты должны:
иметь представление:
• о принципах построения компьютерных сетей и их управлении; о межсетевом взаимодействии и сервисных службах Internet;
• об архитектуре операционных систем;
знать:
• назначение, функции, состав и основные принципы работы операционных систем;
• основы проектирования и построения компьютерных сетей;
уметь:
• работать в современных операционных системах, локальных и глобальных вычислительных сетях.
















Содержание дисциплины
Тематический план курса
№ Главы и темы
Наименование глав и тем
Распределение часов


Лекции
Практ.
Занятия
Самост.
Работа
Всего
1
Введение в операционные системы.
1

4
5
1.1
Определение, назначение и классификация ОС. Требо-вания к современным опера-ционным системам.
0,2


0,2
1.2
Состав и функции опера-ционных систем. Архи-тектура ОС.
0,2

1
1,2
1.3
Процессы и потоки. Управление памятью.
0,2

1
1,2
1.4
Операции ввода-вывода.
0,2

1
1,2
1.5
Файловые системы.
0,2

1
1,2
2
Инсталляция и конфигури-рование операционной системы.
1

4
5
2.1
Инсталляция и конфигури-рование ОС.
0,2

1
1,2
2.2
Начальная загрузка.
0,3

1
1,3
2.3
Реестр.
0,5

2
2,5
3
Тенденции и перспективы развития распределенных операционных сред.
1

4
5
3.1
Концепции распределенной обработки в сетевых ОС.
0,5

2
2,5
3.2
Сетевые модели.
0,5

2
2,5
4
Основные концепции компьютерных сетей и их проектирование.
1

4
5
4.1
Классификация компьютерных сетей
0,2

1
1,2
4.2
Локальные сети. Сети Ethernet, Token Ring, FDDI.
0,3

1
1,3
4.3
Глобальные сети.
0,3

1
1,3
4.4
Физические компоненты сетей.
0,2

1
1,2
5
Протоколы и основы работы в сети.
1

4
5
5.1
Сетевые протоколы и протокол TCP/IP.
0,2

1
1,2
5.2
Утилиты TCP/IP.
0,1

1
1,1
5.3
IP адресация.
0,3

1
1,3
5.4
Подсети.
0,4

1
1,4
6
Администрирование операционных систем.
1
1
3
5
6.1
Типовые задачи администрирования.
0,4
1
1
2,4
6.2
Средства мониторинга.
0,3

1
1,3
6.3
Мониторинг сетевой активности.
0,3

1
1,3
7
Сетевые службы.
1
4
11
16
7.1
Служба DNS и BIND.
0,2
1
4
5,2
7.2
Служба DHCP.
0,2
1
3
4,2
7.3
Служба Samba.
0,2
1
2
3,2
7.4
Терминальные службы и удаленный доступ.
0,2
1
1
2,2
7.5
Электронная почта.
0,2

1
1,2
8
Службы каталогов.
1
1
5
7
8.1
Проектирование доменов и развертывание Active Directory.
0,5
1
3
4,5
8.2
Администрирование доменов.
0,5

2
2,5
9
Межсетевое взаимодействие, маршрутизация.
1
1
4
6
9.1
Обзор одноадресной маршрутизации.
0,3

1
1,3
9.2
Протоколы динамической маршрутизации RIP и OSPF.
0,4

1
1,4
9.3
Служба маршрутизации и удаленного доступа RRAS.
0,3
1
2
3,3
10
Безопасность компьютерных сетей.
1
1
4
6
10.1
Основные понятия безопас-ности. Классификация угроз.
0,5

1
1,5
10.2
Проектирование безопасности, стратегии брандмауэра.
0,5
1
3
4,5

Всего
10
8
47
65

Содержание лекционного курса и практических занятий
Содержание лекций:

Глава 1. Введение в операционные системы.
Определение, назначение и классификация ОС. Требования к современным операционным системам. Состав и функции операционных систем, архитектура ОС. Процессы и потоки, управление памятью. Операции ввода-вывода. Файловые системы.
Глава 2. Инсталляция и конфигурирование операционной системы.
Инсталляция и конфигурирование ОС. Начальная загрузка. Реестр.
Глава 3. Тенденции и перспективы развития распределенных операционных сред.
Сетевые модели. Концепции распределенной обработки в сетевых ОС.
Глава 4. Основные концепции компьютерных сетей и их проектирование.
Классификация компьютерных сетей. Локальные сети. Сети Ethernet, Token Ring, FDDI. Глобальные сети. Физические компоненты сетей.
Глава 5. Протоколы и основы работы в сети.
Сетевые протоколы и протокол TCP/IP. Утилиты TCP/IP. IP адресация. Подсети.
Глава 6. Администрирование операционных систем.
Типовые задачи администрирования. Средства мониторинга. Мониторинг сетевой активности.
Глава 7. Сетевые службы.
Служба DNS и BIND. Служба DHCP. Служба Samba. Терминальные службы и удаленный доступ. Электронная почта.
Глава 8. Службы каталогов.
Проектирование доменов и развертывание Active Directory. Администрирование доменов.
Глава 9. Межсетевое взаимодействие, маршрутизация.
Обзор одноадресной маршрутизации. Протоколы динамической маршрутизации RIP и OSPF. Служба маршрутизации и удаленного доступа RRAS.
Глава 10. Безопасность компьютерных сетей.
Основные понятия безопасности. Классификация угроз. Проектирование безопасности, стратегии брандмауэра.


Содержание практических занятий

В приобретении практических навыков главная роль отводится практическим занятиям. Работа на практическом занятии заключается в том, что студенты выполняют учебные задания индивидуально. Каждая практическая работа содержит детальные инструкции по ее проведению.

Практическая работа № 1. Типовые задачи администрирования.
Ознакомление с основными задачами администрирования операционных систем на примере Windows 2003 Server. Рассматриваются задачи управления учетными записями и группами, мониторинг и настройка аудита системы.
Практическая работа № 2. Администрирование доменов.
Задание №1. Установка простого домена.
Общее знакомство со службой Active Directory. Получение навыков в настройке простого домена, установке резервного контроллера, настройке репликации и распределении ролей между контроллерами домена с сети.
Задание №2. Установка дочернего домена.
Знакомство с методикой развертывания леса доменов в корпоративной сети. Получение навыков в настройке дочернего домена и обеспечения взаимодействия клиентов в разных доменах.
Практическая работа № 3. Маршрутизация.
Задание №1. Настройка программного маршрутизатора.
Знакомство со статической и динамической маршрутизацией. Получение навыков в настройке статического маршрутизатора под управлением операционных систем Windows и знакомство с установкой и настройкой протокола динамической маршрутизации RIP.
Практическая работа № 4. Безопасность компьютерных сетей.
Задание №1. Настройка Firewalls.
Знакомство с методами защиты компьютерных сетей на примере использования брандмауэра масштаба предприятия Microsoft ISA Server. Получение навыков в проектировании защиты локальных компьютерных сетей, имеющих выход в Интернет.
Практическая работа № 5 Сетевые службы.
Задание №1. Настройка DHCP сервера Windows.
Ознакомление со службой раздачи IP адресов в компьютерных сетях на базе DHCP сервера Windows
Задание №2. Установка службы DNS.
Знакомство со службой доменных имен. Получение навыков в работе с настройкой и тестированием DNS сервера в составе серверных операционных систем Windows.
Задание №3. Управление DNS сервером.
Знакомство с основными настройками сервера доменных имен DNS в серверных операционных системах Windows. Получение навыков в настройке прямой и обратной зонах DNS, знакомство с ресурсными записями.
Задание №4. Настройка Web и FTP служб.
знакомство с Интернет сервисами службы IIS под управлением операционных систем Windows. Получение навыков в настройке WWW и FTP серверов.
Задание №5. Настройка терминальных служб.
Знакомство с концепцией удаленного администрирования операционных систем на примере использования сервера терминальных служб под управлением операционных систем Windows.
Задание №6. Общие настройки Linux.
Знакомство с предварительными настройками операционных систем Linux сразу после установки операционной системы. Получение навыков в настройке общих параметров операционных систем Linux.
Задание №7. Настройка сервера Samba.
Знакомство с организацией межсетевого взаимодействия в разнородных средах Unix и Windows. Получение навыков настройки сервера Samba, позволяющего организовать совместную работу клиентов сетей Windows и Linux.
Задание №8. Конфигурирование службы DHCP в операционных системах UNIX. Рассматривается конфигурирование службы DHCP в операционных системах UNIX.
Задание №9. Настройка DNS сервера в операционных системах UNIX.
Знакомство со службой доменных имен BIND операционных систем Unix. Получение навыков в установке и настройке сервера BIND с помощью конфигурационных файлов и графических оснасток.
Задание №10. Настройка Web сервера Apache.
Знакомство Web службами операционных систем Unix. Получение навыков в установке и настройке Web сервера Apache с помощью конфигурационных файлов и графических оснасток.


РЕКОМЕНДАЦИИ ПО САМОСТОЯТЕЛЬНОЙ РАБОТЕ СТУДЕНТА

Самостоятельное изучение дисциплины предлагается осуществлять по следующей схеме:
1. Ознакомьтесь с содержанием учебного пособия, обратите внимание на структурные элементы «Методические материалы», «Теоретические материалы», «Практикум», «Задания для контроля», «Глоссарий».
2. Изучите часть «Методические материалы», где сформулированы цель и задачи дисциплины, ее содержание и требования к уровню освоения курса. Ознакомьтесь с тематическим планом, рекомендованным временем на изучение глав и параграфов. Более детально распределение времени по видам самостоятельной работы отражено календарно-тематическом плане работы.
3. Внимательно изучите в предложенной последовательности разделы лекционного курса части «Теоретические материалы».
4. Проработайте глоссарий по изучаемому разделу.
5. Изучите доступные, рекомендованные в учебном пособии источники информации.
6. Ответьте на сформулированные в конце каждой главы вопросы для самопроверки, используя учебные материалы главы.
7. Выполните лабораторные работы, предложенные в разделе «Практикум». Перед выполнением лабораторной работы внимательно изучите теоретический материал, предваряющий практический задания.
8. Проведите самотестирование, сверьте результаты тестирования с приведенными в учебном пособии ответами.
9. Выполните контрольную работу.



















Календарно-тематический план

№ те-мы
Название темы
Время, отводи-мое на изуче-ние темы (ч)
Виды учебной работы, рекомендуемое время на выполнение (ч)
Зачетные мероприятия
Сроки представления заданий на проверку
1
Введение в операционные системы.
5
Изучение теоретического материала
1
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2


2
Инсталляция и конфигури-рование операционной системы.
5
Изучение теоретического материала
1
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2


3
Тенденции и перспективы развития распределенных операционных сред.
5
Изучение теоретического материала
1
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2


4
Основные концепции компьютерных сетей и их проектирование.
5
Изучение теоретического материала
1
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2


5
Протоколы и основы работы в сети.
5
Изучение теоретического материала
1
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2


6
Администрирование операционных систем.
4
Изучение теоретического материала
1
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
1





Самотестирование
2


7
Сетевые службы.
16
Изучение теоретического материала
5
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
5





Самотестирование
6


8
Службы каталогов.
8
Изучение теоретического материала
3
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
3





Самотестирование
2


9
Межсетевое взаимодействие, маршрутизация.
6
Изучение теоретического материала
2
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2


10
Безопасность компьютерных сетей.
6
Изучение теоретического материала
2
Тестиро-вание
В соответствии с графиком учебного процесса



Ответы на контрольные вопросы
2





Самотестирование
2




Методические рекомендации по отдельным видам самостоятельной работы

Самостоятельное изучение дисциплины предполагает ознакомление с теоретическим материалом, выполнением лабораторных работ и проведение самотестирования.

Указания по самостоятельному изучению теоретической части дисциплины
Лекционный материал позволяет достаточно полно изучить основные концепции, определяющие современное состояние и тенденции развития компьютерных сетей. Курс содержит восемь глав. Для лучшего восприятия теоретического материала в тексте жирным шрифтом и курсивом выделены основные понятия и определения, а также используются таблицы и рисунки. Краткие выводы по каждой главе представлены в виде резюме. В конце каждой главы приводятся вопросы для самопроверки.
Учебное пособие содержит список использованной и рекомендованной к изучению литературы.

Указания по подготовке выполнения лабораторных работ, контролю знаний
Цель лабораторных работ – приобретение начальных навыков администрирования локальных сетей средствами Microsoft Windows 2003 Server.
Для успешного выполнения лабораторных работ необходимо изучить лекционный материал, рекомендованную литературу, ответить на вопросы самопроверки, а также теоретический материал, предваряющий лабораторные работы.
С целью контроля самостоятельной работы студентов пособие включает перечень вопросов для самопроверки знаний, а также тесты с ответами. Кроме того, в части «Задания для контроля» сформулированы экзаменационные вопросы.


Указания к промежуточной аттестации с применением
балльно-рейтинговой системы оценки знаний

Критерии аттестации с применением балльно-рейтинговой системы оценки знаний
Оценка выполненных заданий и активности студента в баллах
Соответствие оценок
Название работы
Максимальный балл
Возможный итоговый балл
Итоговая оценка
Контрольная работа
50
50
Допуск к зачету
Итоговая аттестация (тестирование)
По 10 баллов за тестовое задание
5% ошибок
«Отлично»


15% ошибок
«Хорошо»


25 % ошибок
«Удовлетворительно»


40% ошибок
«Неудовлетворительно»



ТЕОРЕТИЧЕСКИЕ МАТЕРИАЛЫ

Глава 1. Введение в операционные системы.

§ 1.1. Определение, назначение и классификация ОС. Требования к современным операционным системам.

Классификация операционных систем.
Операционные системы могут различаться особенностями реализации внутренних алгоритмов управления ресурсами компьютеров (процессор, память, устройства и т.д.), особенностями использования методов проектирования, типами аппаратных платформ, областями использования.
1. Особенности алгоритмов управления ресурсами.
В зависимости от управления процессором операционные системы делят на:
◦ однозадачные и многозадачные,
◦ однопользовательские и многопользовательские,
◦ однопроцессорные и многопроцессорные системы.
a) Многозадачные операционные системы управляют разделением совместно используемых ресурсов (процессор, оперативная память, файлы, внешние устройства).
b) Поддержка многопользовательского режима: главным отличием многопользовательских систем является наличие средств защиты информации каждого пользователя от несанкционированного доступа.
c) Вытесняющая (невытесняющая) многозадачность:
В вытесняющую относятся – Windows, Unix,
в невытесняющую – Net Ware, старые версии Windows.
Основные различия – степень централизации механизмов планирования процессов. При вытесняющей многозадачности весь механизм планирования сосредоточен в операционной системе, а во втором случае – в операционной системе и пользовательских приложениях.
d) Поддержка многонитиевости:
позволяет распараллеливать вычисления в рамках одной задачи.
e) Многопроцессорная обработка:
Поддержка нескольких процессоров в разных реализациях ОС, например:
Windows 2003 Server – 4 процессора
Windows Advanced Server – 8 процессоров
Windows Data Center Server – 32 процессора
Unix:
Solaris – 64 процессора
FREE BSD – 32 процессора.
2. Особенности аппаратных платформ.
Использование ОС на разных платформах - персональные компьютеры, мини – компьютеры, майнфреймы.
3. Особенности областей использования.
• Системы пакетной обработки (устаревшие комплексы ЕС).
• Системы разделения времени (Unix).
• Системы реального времени (специальные комплексы, например, космические).
Перечисленные системы отличаются алгоритмами управления процессорным временем.

Требования к современным операционным системам.
Главным требованием, предъявляемым к операционной системе, является выполнение ею основных функций эффективного управления ресурсами и обеспечение удобного интерфейса для пользователя и прикладных программ.
Современная ОС, как правило, должна поддерживать мультипрограммную обработку, виртуальную память, свопинг, многооконный графический интерфейс пользователя, а также выполнять многие другие необходимые функции и услуги.
Кроме этих требований функциональной полноты к операционным системам предъявляются не менее важные эксплуатационные требования, которые перечислены ниже.
• Расширяелюсть. В то время как аппаратная часть компьютера устаревает за несколько лет, полезная жизнь операционных систем может измеряться десятилетиями. Примером может служить ОС UNIX. Поэтому операционные системы всегда изменяются со временем эволюционно, и эти изменения более значимы, чем изменения аппаратных средств. Изменения ОС обычно заключаются в приобретении ею новых свойств, например поддержке новых
типов внешних устройств или новых сетевых технологий. Если код ОС написан таким образом, что дополнения и изменения могут вноситься без нарушения целостности системы, то такую ОС называют расширяемой. Расширяемость достигается за счет модульной структуры ОС, при которой программы строятся из набора отдельных модулей, взаимодействующих только через функциональный интерфейс.
• Переносимость. В идеале код ОС должен легко переноситься с процессора одного типа на процессор другого типа и с аппаратной платформы (которые различаются не только типом процессора, но и способом организации всей аппаратуры компьютера) одного типа на аппаратную платформу другого типа. Переносимые ОС имеют несколько вариантов реализации для разных платформ, такое свойство ОС называют также миогоплатформетюстью.
• Совместимость. Существует несколько «долгоживущих» популярных операционных систем (разновидности UNIX, MS-DOS, Windows 3.x, Windows NT, OS/2), для которых наработана широкая номенклатура приложений. Некоторые из них пользуются широкой популярностью. Поэтому для пользователя, переходящего по тем или иным причинам с одной ОС на другую, очень привлекательна возможность запуска в новой операционной системе привычного приложения. Если ОС имеет средства для выполнения прикладных программ, написанных для других операционных систем, то про нее говорят, что она обладает совместимостью с этими ОС. Следует различать совместимость на уровне двоичных кодов и совместимость на уровне исходных текстов. Понятие совместимости включает также поддержку пользовательских интерфейсов других ОС.
• Надежность и отказоустойчивость. Система должна быть защищена как от внутренних, так и от внешних ошибок, сбоев и отказов. Ее действия должны быть всегда предсказуемыми, а приложения не должны иметь возможности наносить вред ОС. Надежность и отказоустойчивость ОС прежде всего определяются архитектурными решениями, положенными в ее основу, а также качеством ее реализации (отлаженностью кода). Кроме того, важно, включает ли ОС программную поддержку аппаратных средств обеспечения отказоустойчивости, таких, например, как дисковые массивы или источники бесперебойного питания.
• Безопасность. Современная ОС должна защищать данные и другие ресурсы вычислительной системы от несанкционированного доступа. Чтобы ОС обладала свойством безопасности, она должна как минимум иметь в своем составе средства аутентификации — определения легальности пользователей, авторизации — предоставления легальным пользователям дифференцированных прав доступа к ресурсам, аудита — фиксации всех «подозрительных» для безопасности системы событий. Свойство безопасности особенно важно для сетевых ОС. Б таких ОС к задаче контроля доступа добавляется задача защиты данных, передаваемых по сети.
• Производительность. Операционная система должна обладать настолько хорошим быстродействием и временем реакции, насколько это позволяет аппаратная платформа. На производительность ОС влияет много факторов, среди которых основными являются архитектура ОС, многообразие функций, качество программирования кода, возможность исполнения ОС на высокопроизводительной (многопроцессорной) платформе.

§ 1.2. Состав и функции операционных систем. Архитектура ОС.
Функции ОС обычно группируются либо в соответствии с типами локальных ресурсов, которыми управляет ОС, либо в соответствии со специфическими задачами, применимыми ко всем ресурсам. Иногда такие группы функций называют подсистемами.
Наиболее важными подсистемами управления ресурсами являются:
• подсистемы управления процессами;
• подсистемы управления памятью;
• подсистемы управления внешними устройствами;
• подсистемы управления файлами.
К подсистемам, относящимся ко всем ресурсам относятся:
• подсистемы пользовательского интерфейса;
• подсистемы защиты данных;
• подсистемы администрирования.

Простейшая структуризация ОС состоит в разделении всех компонентов ОС на модули, выполняющие основные функции ОС (ядро), и модули, выполняющие вспомогательные функции ОС. Вспомогательные модули ОС оформляются либо в виде приложений (утилиты и системные обрабатывающие программы), либо в виде библиотек процедур. Вспомогательные модули загружаются в оперативную память только на время выполнения своих функций, то есть являются транзитными. Модули ядра постоянно находятся в оперативной памяти, то есть являются резидентными.
При наличии аппаратной поддержки режимов с разными уровнями полномочий устойчивость ОС может быть повышена путем выполнения функций ядра в привилегированном режиме, а вспомогательных модулей ОС и приложений — в пользовательском. Это дает возможность защитить коды и данные ОС и приложений от несанкционированного доступа. ОС может выступать в роли арбитра в спорах приложений за ресурсы.
Ядро, являясь структурным элементом QC, в свою очередь, может быть логически разложено на следующие слои (начиная с самого нижнего):
- машинно-зависимые компоненты ОС;
- базовые механизмы ядра;
- менеджеры ресурсов;
- интерфейс системных вызовов.
В многослойной системе каждый слой обслуживает вышележащий слой, выполняя для него некоторый набор функций, которые образуют межслойный интерфейс. На основе функций нижележащего слоя следующий вверх по иерархии слой строит свои функции — более сложные и более мощные, которые, в свою очередь, оказываются примитивами для создания еще более мощных функций вышележащего слоя. Многослойная организация ОС существенно упрощает разработку и модернизацию системы.
Любая ОС для решения своих задач взаимодействует с аппаратными средствами компьютера, а именно: средствами поддержки привилегированного режима и трансляции адресов, средствами переключения процессов и защиты областей памяти, системой прерываний и системным таймером. Это делает ОС машинно-зависимой, привязанной к определенной аппаратной платформе.
Переносимость ОС может быть достигнута при соблюдении следующих правил. Во-первых, большая часть кода должна быть написана на языке, трансляторы которого имеются на всех компьютерах, куда предполагается переносить систему. Во-вторых, объем машинно-зависимых частей кода, которые непосредственно взаимодействуют с аппаратными средствами, должен быть по возможности минимизирован. В-третьих, аппаратно-зависимый код должен быть надежно локализован в нескольких модулях.
Микроядерная архитектура является альтернативой классическому способу построения операционной системы, в соответствии с которым все основные функции операционной системы, составляющие многослойное ядро, выполняются в привилегированном режиме. В микроядерных ОС в привилегированном режиме остается работать только очень небольшая часть ОС, называемая микроядром. Все остальные высокоуровневые функции ядра оформляются в виде приложений, работающих в пользовательском режиме.
Микроядерные ОС удовлетворяют большинству требований, предъявляемых к современным ОС, обладая переносимостью, расширяемостью, надежностью и создавая хорошие предпосылки для поддержки распределенных приложений. За эти достоинства приходится платить снижением производительности, что является основным недостатком микроядерной архитектуры.
Прикладная программная среда — совокупность средств ОС, предназначенная для организации выполнения приложений, использующих определенную систему машинных команд, определенный тип API и определенный формат исполняемой программы. Каждая ОС создает как минимум одну прикладную программную среду. Проблема состоит в обеспечении совместимости нескольких программных сред в рамках одной ОС. При построении множественных прикладных сред используются различные архитектурные решения, концепции эмуляции двоичного кода, трансляции API.

Ядро и вспомогательные модули операционных систем.
Традиционно все модули операционных систем делятся на:
1. Ядро операционных систем
1.1. модули, выполняющие основные функции операционных систем.
2. Модули, выполняющие вспомогательные функции.
Модули ядра управляют процессорами, памятью, аппаратными частями компьютера и всеми выполняющимися процессами.
Большой класс функций ядра отводится под управление приложениями. Эти функции образуют интерфейс прикладного программирования (API). Для обеспечения высокой скорости работы операционной системы все модули постоянно находятся в оперативной памяти, то есть являются резидентными. Вспомогательные модули оформляются в виде приложений или библиотек процедур.
Вспомогательные модули операционной системы:
1. Утилиты – программы, решающие отдельные задачи управления (например, дефрагментация, архивирование).
2. Системные обрабатывающие программы – текстовые и графические редакторы, компиляторы, компоновщики, отладчики.
3. Программы, предоставляющие дополнительные услуги (игры, калькулятор и т.п.).
4. Библиотеки процедур – упрощают разработку приложений и автоматизируют работу.
Все эти группы для выполнения своих задач обращаются к ядру посредством системных вызовов. Эти компоненты загружаются в оперативную память только на время выполнения, то есть являются транзитными.
Для надежного управления ходом выполнения приложений операционная система должна иметь определенные привилегии перед обычными приложениями. Это достигается за счет того, что ни одно приложение не имеет права без ведома операционной системы получать под себя какую‑то область памяти. Ядро выделяет для работы и приложения, и своих компонентов 32 привилегии (для Windows - с 1-16 привилегии – процессы, управляющие работой операционной системы, остальные – для приложений).



Многослойная структура операционных систем.
Вычислительные системы состоят из следующих слоев:
Нижний слой - аппаратура.
Средний слой - ядро.
Верхний слой - утилиты, обрабатывающие программы и приложения.
Каждый слой обслуживает вышележащий слой, выполняя некоторый набор функций.
Такая структура упрощает разработку операционных систем, что позволяет сначала определить функции слоев, установить межслойные интерфейсы и проводить детальную реализацию функционирования слоев.
Слои, составляющие ядро:
1. Средства аппаратной поддержки.
Непосредственно участвуют в вычислительном процессе (защита памяти, система прерывания, поддержка привилегированного режима).
2. Машинозависимые компоненты – программные модули, отражающие специфику аппаратной платформы.
3. Базовый механизм ядра.
Отрабатывают решения двух предыдущих слоев.
4. Менеджеры ресурсов.
Управляют основными ресурсами компьютера (файловая система, память, процессы ввода – вывода).
5. Интерфейс системных вызовов – связь с приложениями.

§ 1.3. Процессы и потоки. Управление памятью.
Управление процессами.
Важнейшей частью операционной системы, непосредственно влияющей на функционирование вычислительной машины, является подсистема управления процессами.
Для каждого вновь создаваемого процесса ОС генерирует системные информационные структуры, которые содержат данные о потребностях процесса в ресурсах вычислительной системы, а также о фактически выделенных ему ресурсах. Таким образом, процесс можно также определить как некоторую заявку на потребление системных ресурсов.
Чтобы процесс мог быть выполнен, операционная система должна назначить ему область оперативной памяти, в которой будут размещены коды и данные процесса, а также предоставить ему необходимое количество процессорного времени. Кроме того, процессу может понадобиться доступ к таким ресурсам, как файлы и устройства ввода-вывода.
В информационные структуры процесса часто включаются вспомогательные данные, характеризующие историю пребывания процесса в системе (например, какую долю времени процесс потратил на операции ввода-вывода, а какую на вычисления), его текущее состояние (активное или заблокированное), степень привилегированности процесса (значение приоритета). Данные такого рода могут учитываться операционной системой при принятии решения о предоставлении ресурсов процессу.
В мультипрограммной операционной системе одновременно может существовать несколько процессов. Часть процессов порождается по инициативе пользователей и их приложений, такие процессы обычно называют пользовательскими. Другие процессы, называемые системными, инициализируются самой операционной системой для выполнения своих функций.
Поскольку процессы часто одновременно претендуют на одни и те же ресурсы, то в обязанности ОС входит поддержание очередей заявок процессов на ресурсы, например очереди к процессору, к принтеру, к последовательному порту.
Важной задачей операционной системы является защита ресурсов, выделенных данному процессу, от остальных процессов. Одним из наиболее тщательно защищаемых ресурсов процесса являются области оперативной памяти, в которой хранятся коды и данные процесса. Совокупность всех областей оперативной памяти, выделенных операционной системой процессу, называется его адресным пространством. Говорят, что каждый процесс работает в своем адресном пространстве, имея в виду защиту адресных пространств, осуществляемую ОС. Защищаются и другие типы ресурсов, такие как файлы, внешние устройства и т. д. Операционная система может не только защищать ресурсы, выделенные одному процессу, но и организовывать их совместное использование, например, разрешать доступ к некоторой области памяти нескольким процессам.
На протяжении периода существования процесса его выполнение может быть многократно прервано и продолжено. Для того чтобы возобновить выполнение процесса, необходимо восстановить состояние его операционной среды. Состояние операционной среды идентифицируется состоянием регистров и программного счетчика, режимом работы процессора, указателями на открытые файлы, информацией о незавершенных операциях ввода-вывода, кодами ошибок выполняемых данным процессом системных вызовов и т. д. Эта информация называется контекстом процесса. Говорят, что при смене процесса происходит переключение контекстов.
Операционная система берет на себя также функции синхронизации процессов, позволяющие процессу приостанавливать свое выполнение до наступления какого-либо события в системе, например завершения операции ввода-вывода, осуществляемой по его запросу операционной системой.
В операционной системе нет однозначного соответствия между процессами и программами. Один и тот же программный файл может породить несколько параллельно выполняемых процессов, а процесс может в ходе своего выполнения сменить программный файл и начать выполнять другую программу.
Для реализации сложных программных комплексов полезно бывает организовать их работу в виде нескольких параллельных процессов, которые периодически взаимодействуют друг с другом и обмениваются некоторыми данными. Так как операционная система защищает ресурсы процессов и не позволяет одному процессу писать или читать из памяти другого процесса, то для оперативного взаимодействия процессов ОС должна предоставлять особые средства, которые называют средствами межпроцессного взаимодействия.
Таким образом, подсистема управления процессами планирует выполнение процессов, то есть распределяет процессорное время между несколькими одновременно существующими в системе процессами, занимается созданием и уничтожением процессов, обеспечивает процессы необходимыми системными ресурсами, поддерживает синхронизацию процессов, а также обеспечивает взаимодействие между процессами.

Управление памятью.
Память является для процесса таким же важным ресурсом, как и процессор, так как процесс может выполняться процессором только в том случае, если его коды и данные (не обязательно все) находятся в оперативной памяти.
Управление памятью включает распределение имеющейся физической памяти между всеми существующими в системе в данный момент процессами, загрузку кодов и данных процессов в отведенные им области памяти, настройку адресно-зависимых частей кодов процесса на физические адреса выделенной области, а также защиту областей памяти каждого процесса.
Существует большое разнообразие "алгоритмов распределения памяти. Они могут отличаться, например, количеством выделяемых процессу областей памяти (в одних случаях память выделяется процессу в виде одной непрерывной области, а в других — в виде нескольких несмежных областей), степенью свободы границы областей (она может быть жестко зафиксирована на все время существования процесса или же динамически перемещаться при выделении процессу дополнительных объемов памяти). В некоторых системах распределение памяти выполняется страницами фиксированного размера, а в других — сегментами переменной длины.
Одним из наиболее популярных способов управления памятью в современных операционных системах является так называемая виртуальная память. Наличие в ОС механизма виртуальной памяти позволяет программисту писать программу так, как будто в его распоряжении имеется однородная оперативная памятьбольшого объема, часто существенно превышающего объем имеющейся физической памяти. В действительности все данные, используемые программой, хранятся на диске и при необходимости частями (сегментами или страницами) отображаются в физическую память. При перемещении кодов и данных между оперативной памятью и диском подсистема виртуальной памяти выполняет трансляцию виртуальных адресов, полученных в результате компиляции и компоновки программы, в физические адреса ячеек оперативной памяти. Очень важно, что все операции по перемещению кодов и данных между оперативной памятью и дисками, а также трансляция адресов выполняются ОС прозрачно для программиста.
Защита памяти — это избирательная способность предохранять выполняемую задачу от записи или чтения памяти, назначенной другой задаче. Правильно написанные программы не пытаются обращаться к памяти, назначенной другим. Однако реальные программы часто содержат ошибки, в результате которых такие попытки иногда предпринимаются. Средства защиты памяти, реализованные в операционной системе, должны пресекать несанкционированный доступ процессов к чужим областям памяти.
Таким образом, функциями ОС по управлению памятью являются отслеживание свободной и занятой памяти; выделение памяти процессам и освобождение памяти при завершении процессов; защита памяти; вытеснение процессов из оперативной памяти на диск, когда размеры основной памяти недостаточны для размещения в ней всех процессов, и возвращение их в оперативную память, когда в ней освобождается .место, а также настройка адресов программы на конкретную область физической памяти.

§ 1.4. Система ввода-вывода.
Подсистема управления внешними устройствами, называемая также подсистемой ввода-вывода, исполняет роль интерфейса ко всем устройствам, подключенным к компьютеру. Спектр этих устройств очень обширен. Номенклатура выпускаемых накопителей на жестких, гибких и оптических дисках, принтеров, сканеров, мониторов, плоттеров, модемов, сетевых адаптеров и более специальных устройств ввода-вывода, таких как, например, аналого-цифровые преобразователи, может насчитывать сотни моделей. Эти модели могут существенно отличаться набором и последовательностью команд, с помощью которых осуще­ствляется обмен информацией с процессором и памятью компьютера, скоростью работы, кодировкой передаваемых данных, возможностью совместного использования и множеством других деталей.
Программа, управляющая конкретной моделью внешнего устройства и учитывающая все его особенности, обычно называется драйвером этого устройства (от английского drive — управлять, вести). Драйвер может управлять единственной моделью устройства, например модемом U-1496E компании ZyXEL, или же группой устройств определенного типа, например любыми Hayes-совместимыми модемами. Для пользователя очень важно, чтобы операционная система включала как можно больше разнообразных драйверов, так как это гарантирует возможность подключения к компьютеру большого числа внешних устройств различных производителей. От наличия подходящих драйверов во многом зависит успех операционной системы на рынке (например, отсутствие многих необходимых драйверов внешних устройств было одной из причин низкой популярности OS/2).
Созданием драйверов устройств занимаются как разработчики конкретной ОС, так и специалисты компаний, выпускающих внешние устройства. Операционная система должна поддерживать хорошо определенный интерфейс между драйверами и остальной частью ОС, чтобы разработчики из компаний-производителей устройств ввода-вывода могли поставлять вместе со своими устройствами драйверы для данной операционной системы.
Прикладные программисты могут пользоваться интерфейсом драйверов при разработке своих программ, но это не очень удобно — такой интерфейс обычно представляет собой низкоуровневые операции, обремененные большим количеством деталей.
Поддержание высокоуровневого унифицированного интерфейса прикладного программирования к разнородным устройствам ввода-вывода является одной из наиболее важных задач ОС. Со времени появления ОС UNIX такой унифицированный интерфейс в большинстве операционных систем строится на основе концепции файлового доступа. Эта концепция заключается в том, что обмен с любым внешним устройством выглядит как обмен с файлом.

Основными задачами подсистемы ввода-вывода являются:
- организация параллельной работы процессора и устройств ввода-вывода при обеспечении приемлемого уровня реакции каждого драйвера и минимизации общей загрузки процессора;
- согласование скоростей работы процессора, оперативной памяти и устройств ввода-вывода;
- разделение устройств ввода-вывода между процессами;
- обеспечение удобного логического интерфейса к устройствам ввода-вывода.
Подсистема ввода-вывода обычно имеет ярко выраженную многослойную структуру, которая помогает объединить большое количество разнотипных драйверов в систему с общим интерфейсом.
Драйверы делятся на низкоуровневые, непосредственно управляющие работой контроллеров внешних устройств, и высокоуровневые, обеспечивающие логический интерфейс к устройствам, например драйверы файловых систем.
Для координации работы драйверов в подсистеме ввода-вывода может выделяться особый модуль, называемый менеджером ввода-вывода.
Аппаратные драйверы делятся на блок-ориентированные, обеспечивающие доступ к устройствам с поблочной непосредственной адресацией, и байт-ориентированные, управляющие устройствами, поддерживающими побайтный не адресуемый обмен.

Типовые средства аппаратной поддержки ОС.
Четкой границы между программной и аппаратной реализацией функций ОС не существует — решение о том, какие функции ОС будут выполняться программно, а какие аппаратно, принимается разработчиками аппаратного и программного обеспечения компьютера. Тем не менее практически все современные аппаратные платформы имеют некоторый типичный набор средств аппаратной поддержки ОС, в который входят следующие компоненты:
- средства поддержки привилегированного режима;
- средства трансляции адресов;
- средства переключения процессов;
- система прерываний;
- системный таймер;
- средства защиты областей памяти.
Средства поддержки привилегированного режима обычно основаны на системном регистре процессора, часто называемом «словом состояния» машины или процессора. Этот регистр содержит некоторые признаки, определяющие режимы работы процессора, в том числе и признак текущего режима привилегий.
Смена режима привилегий выполняется за счет изменения слова состояния машины в результате прерывания или выполнения привилегированной команды. Число градаций привилегированности может быть разным у разных типов процессоров, наиболее часто используются два уровня (ядро-пользователь) или четыре (например, ядро-супервизор-выполнение-пользователь у платформы VAX или (М-2-3 у процессоров Intel x86/Pentium). В обязанности средств поддержки привилегированного режима входит выполнение проверки допустимости выполнения активной программой инструкций процессора при текущем уровне привилегированности.
Средства трансляции адресов выполняют операции преобразования виртуальных адресов, которые содержатся в кодах процесса, в адреса физической памяти. Таблицы, предназначенные при трансляции адресов, обычно имеют большой объем, поэтому для их хранения используются области оперативной памяти, а аппаратура процессора содержит только указатели на эти области.
Средства трансляции адресов используют данные указатели для доступа к элементам таблиц и аппаратного выполнения алгоритма преобразования адреса, что значительно ускоряет процедуру трансляции по сравнению с ее чисто программной реализацией.
Средства переключения процессов предназначены для быстрого сохранения контекста приостанавливаемого процесса и восстановления контекста процесса, который становится активным. Содержимое контекста обычно включает содержимое всех регистров общего назначения процессора, регистра флагов операций (то есть флагов нуля, переноса, переполнения и т. п.), а также тех системных регистров и указателей, которые связаны с отдельным процессом, а не операционной системой, например указателя на таблицу трансляции адресов процесса. Для хранения контекстов приостановленных процессов обычно используются области оперативной памяти, которые поддерживаются указателями процессора.
Переключение контекста выполняется по определенным командам процессора, например по команде перехода на новую задачу. Такая команда вызывает автоматическую загрузку данных из сохраненного контекста в регистры процессора, после чего процесс продолжается с прерванного ранее места.
Система прерываний позволяет компьютеру реагировать на внешние события, синхронизировать выполнение процессов и работу устройств ввода-вывода, быстро переходить с одной программы на другую. Механизм прерываний нужен для того, чтобы оповестить процессор о возникновении в вычислительной системе некоторого непредсказуемого события или события, которое не синхронизировано с циклом работы процессора. Примерами таких событий могут служить завершение операции ввода-вывода внешним устройством (например, запись блока данных контроллером диска), некорректное завершение арифметической операции (например, переполнение регистра), истечение интервала астрономического времени. При возникновении условий прерывания его источник (контроллер внешнего устройства, таймер, арифметический блок процессора и т. п.) выставляет определенный электрический сигнал. Этот сигнал прерывает выполнение процессором последовательности команд, задаваемой исполняемым кодом, и вызывает автоматический переход на заранее определенную процедуру, называемую процедурой обработки прерываний. В большинстве моделей процессоров отрабатываемый аппаратурой переход на процедуру обработки прерываний сопровождается заменой слова состояния машины (или даже всего контекста процесса), что позволяет одновременно с переходом по нужному адресу выполнить переход в привилегированный режим. После завершения обработки прерывания обычно происходит возврат к исполнению прерванного кода.
Прерывания играют важнейшую роль в работе любой операционной системы, являясь ее движущей силой. Действительно большая часть действий ОС инициируется прерываниями различного типа. Даже системные вызовы от приложений выполняются на многих аппаратных платформах с помощью специальной инструкции прерывания, вызывающей переход к выполнению соответствующих процедур ядра (например, инструкция int в процессорах Intel или SVC о мэйнфреймах IBM).
Системный таймер, часто реализуемый в виде быстродействующего регистра-счетчика, необходим операционной системе для выдержки интервалов времени. Для этого в регистр таймера программно загружается значение требуемого интервала в условных единицах, из которого затем автоматически с определенной частотой начинает вычитаться по единице. Частота «тиков» таймера, как правило, тесно связана с частотой тактового генератора процессора. (Не следует путать таймер ни с тактовым генератором, который вырабатывает сигналы, синхронизирующие все операции в компьютере, ни с системными часами — работающей на батареях электронной схеме, — которые ведут независимый отсчет времени и календарной даты.) При достижении нулевого значения счетчика таймер инициирует прерывание, которое обрабатывается процедурой операционной системы. Прерывания от системного таймера используются ОС в первую очередь для слежения за тем, как отдельные процессы расходуют время процессора. Например, в системе разделения времени при обработке очередного прерывания от таймера планировщик процессов может принудительно передать управление другому процессу, если данный процесс исчерпал выделенный ему квант времени.
Средства защиты областей памяти обеспечивают на аппаратном уровне проверку возможности программного кода осуществлять с данными определенной области памяти такие операции, как чтение, запись или выполнение (при передачах управления). Если аппаратура компьютера поддерживает механизм трансляции адресов, то средства защиты областей памяти встраиваются в этот механизм. Функции аппаратуры по защите памяти обычно состоят в сравнении уровней привилегий текущего кода процессора и сегмента памяти, к которому производится обращение.

§ 1.5. Файловые системы.

Управление файлами и внешними устройствами.
Способность ОС к «экранированию» сложностей реальной аппаратуры очень ярко проявляется в одной из основных подсистем ОС — файловой системе. Операционная система виртуализирует отдельный набор данных, хранящихся на внешнем накопителе, в виде файла — простой неструктурированной последовательности байтов, имеющей символьное имя. Для удобства работы с данными файлы группируются в каталоги, которые, в свою очередь, образуют группы — каталоги более высокого уровня. Пользователь может с помощью ОС выполнять над файлами и каталогами такие действия, как поиск по имени, удаление, выеод содержимого на внешнее устройство (например, на дисплей), изменение и сохранение содержимого.
Чтобы представить большое количество наборов данных, разбросанных случайным образом по цилиндрам и поверхностям дисков различных типов, в виде хорошо всем знакомой и удобной иерархической структуры файлов и каталогов, операционная система должна решить множество задач. Файловая система ОС выполняет преобразование символьных имен файлов, с которыми работает пользователь или прикладной программист, в физические адреса данных на диске, организует совместный доступ к файлам, защищает их от несанкционированного доступа.
При выполнении своих функций файловая система тесно взаимодействует с подсистемой управления внешними устройствами, которая по запросам файловой системы осуществляет передачу данных между дисками и оперативной памятью.
Файловая система представляет собой комплекс системных программных средств, реализующих различные операции с файлами, таких как создание, уничтожение, чтение, запись, именование и поиск файлов. Под файловой системой понимают также набор всех файлов и служебных структур данных, хранящихся на внешнем устройстве.
Кроме обычных файлов ОС, как правило, поддерживает такие типы файлов, как каталоги, символьные связи, именованные конвейеры и специальные файлы. Специальный файл является универсальной моделью устройства ввода-вывода, представляя его для остальной части операционной системы и прикладных процессов в виде неструктурированного набора байт, то есть в виде обычного файла.
Современные файловые системы имеют иерархическую структуру, упрощающую именование файлов и их поиск.
Физическая организация файловой системы подразумевает способы размещения и адресации отдельных частей файлов в разделах и секторах дисковой памяти, а также способы организации служебной информации, описывающей размещение файлов и их атрибуты.
Для синхронизации совместно работающих процессов, пытающихся использовать один и тот же файл одновременно, в файловых системах реализуется механизм блокировки файлов и отдельных записей в файлах.
Механизм контроля доступа к файлам позволяет администраторам многопользовательских ОС задавать для отдельных пользователей и групп пользователей набор операций, которые им разрешается выполнять над отдельным файлом или группой файлов, объединенных в каталог.
Управление доступом в ОС осуществляется на основе одного из двух базовых подходов: избирательного доступа, когда владелец файла самостоятельно может определить права доступа к файлу и мандатного доступа, при котором права доступа определяются членством пользователя в определенной группе, и пользователь не может их произвольно изменять или делегировать.
Права доступа к файлу могут присваиваться явно, а могут наследоваться у родительского каталога, что сокращает количество ручных операций и упрощает логику доступа.
Любая операционная система поддерживает несколько файловых систем, например, Windows поддерживает файловые системы FAT, FAT32, NTFS, ISO9660, UDF и др., а в Linux применяются такие файловые системы, как ext, ext2, ext3, ext4, ReiserFS, JFS, XFS.
Однако следует различать файловые системы, которые могут использоваться в качестве корневой файловой системы (куда в том числе может быть установлена сама ОС), и файловые системы, которые просто поддерживает ОС, но которые не используются для установки самих ОС.
Рассмотрим особенности некоторых файловых систем.

Файловые системы Linux.
ext – первая файловая система Linux, использовалась в ранних версиях Linux.
ext2 – стандартная, но уже устаревшая файловая система Linux. Долгое время использовалась практически во всех дистрибутивах Linux по умолчанию, но была заменена файловой системой ext3.
ext3 – модифицированная файловая система ext2, но с поддержкой журнала событий, существенно повышающая надежность файловой системы. Максимальный размер раздела с файловой системой ext3 – 4 Тбайт, хотя ядро Linux версии 2.6 поддерживает максимальный размер файла до 16 Тбайт. Максимальный размер файла – 1 Тбайт.
ext4 – новейшая файловая система Linux. Поддержка ext4 появилась в ядре Linux версии 2.6.28. Если сравнивать эту файловую систему с ext3, то производительность и надежность файловой системы значительно увеличилась, а максимальный размер раздела теперь равен 1024 Пбайт (1 Пбайт = 1024 Тбайт). Максимальный размер файла больше 2 Тбайт. Ресурс Phoronix (www.phoronix.com) провел тестирование новой файловой системы на SSD накопителе (устанавливаются на современные нетбуки). Результат представлен на рис.1.1.










Рис.1.1. Производительность файловых систем.

ReiserFS – основная особенность файловой системы заключается в хранении в одном блоке нескольких маленьких файлов. Например, если у вас размер блока 4 Кбайт, то в него поместится до четырех файлов по одному килобайту каждый. Если у вас много маленьких файлов, то такая файловая система самая оптимальная, поскольку позволяет экономить дисковое пространство. Однако с большими файлами эта файловая система работает медленно. Кроме того она чувствительна к сбоям и ее нужно регулярно дефрагментировать.
JFS – разработка IBM, обладает высокой производительностью, но оптимизирована под сервер баз данных, поскольку размер блока небольшой – от 512 байт до 4 Кбайт. Если вам приходится работать с большими файлами, например с видео, то данная файовая система – это не очень удачный выбор.
XFS – обладает относительно высокой производительностью и является самой быстрой после ext4. Устанавливает большой размер блока – до 64 Кбайт, что позволяет ее использовать на графических станциях для обработки видео.
Файловые системы Windows.
Рассмотрим основные файловые системы Windows.
Файловая система FAT.
FAT представляет собой простую файловую систему, разработанную для небольших дисков и простых структур каталогов. Ее название происходит от названия метода, применяемого для организации файлов — таблица размещения файлов (File Allocation Table, FAT).
FAT 16 использовалась в операционных системах DOS и ранних версиях Windows.
32-разрядная файловая система FAT32 была введена с выпуском Windows 95 OSR2. Она обеспечивает оптимальный доступ к жестким дискам, CD-ROM и сетевым ресурсам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт.
Том, отформатированный для использования FAT32, как и том FAT16, размечается по кластерам. Размер кластера по умолчанию определяется размером тома. В табл. 1.1 приведено сравнение размеров кластеров для FAT16 и FAT32 в зависимости от размера диска.
Таблица 1.1. Размеры кластеров по умолчанию для FAT 16 и FAT32
Размер диска
Размер кластера FAT16
Размер кластера FAT32
До 32 Мбайт
512 байт
Не поддерживается
32-63 Мбайт
1 Кбайт
Не поддерживается
64-127 Мбайт
2 Кбайт
Не поддерживается
128-255 Мбайт
4 Кбайт
Не поддерживается
256-511 Мбайт
8 Кбайт
Не поддерживается
512-1023 Мбайт
16 Кбайт
4 Кбайт
1024-2047 Мбайт (2 Гбайт)
32 Кбайт
4 Кбайт
2048-8191 Мбайт (8 Гбайт)
Не поддерживается
4 Кбайт
8192-16383 Мбайт (16 Гбайт)
Не поддерживается
8 Кбайт
16384-32767 Мбайт (32 Гбайт)
Не поддерживается
16 Кбайт
От 32 Гбайт
Не поддерживается
32 Кбайт

Для обеспечения максимальной совместимости с существующими прикладными программами, сетями и драйверами устройств, FAT32 была реализована с минимумом возможных изменений в архитектуре и внутренних структурах данных. Все утилиты Microsoft, предназначенные для работы с дисками (Format, FDISK, Defrag и ScanDisk), были переработаны для обеспечения поддержки FAT32. Кроме того, Microsoft проводит большую работу по поддержке ведущих фирм-производителей драйверов устройств и утилит для работы с диском, чтобы помочь и в обеспечении поддержки FAT32 в их продуктах. В табл. 1.2 сделана попытка сравнения характеристик FAT16 и FAT32.
Таблица 1.2. Сравнение характеристик FAT16 и FAT32
FAT16
FAT32
Поддерживается ранними версиями операционных систем, в числе которых MS-DOS, Windows 98, Windows NT, OS/2 и UNIX
На текущий момент поддерживается только операционными системами Windows 98 и выше.
Эффективна только на логических дисках, размер которых не превышает 256 Мбайт
Не поддерживаются диски, размер которых менее 512 Мбайт
Поддерживает сжатие диска с помощью таких утилит, как Drvspace
Не поддерживает сжатие диска
Ограничена по размеру до 65525 кластеров. Каждый кластер имеет фиксированный размер в зависимости от размера логического диска. Ограничения по количеству кластеров, и их размеру (32 Кбайт) приводят к общему ограничению по размеру диска (не более 2 Гбайт). Помимо этого, FAT12/16 обычно имеет ограничения по количеству файлов и папок, которые могут содержаться в корневом каталоге (в зависимости от диска максимальное значение колеблется от 200 до 400)
Максимальный размер кластера — 32 Кбайт, максимальный размер диска — 2 Тбайт
Поскольку с увеличением размера диска размер кластера FAT16 увеличивается, хранение файлов на таких дисках становится неэффективным. Например, если файл размером 10 Кбайт хранится в кластере размером 32 Кбайт, то 22 Кбайт дискового пространства не используются
Для дисков размером менее 8 Гбайт размер кластера — 4 Кбайт

FAT32 обеспечивает следующие преимущества по сравнению с прежними реализациями FAT:
Поддержка дисков размером до 2 Тбайт. Следует, правда, отметить, что команда format, включенная в ОС Windows, не позволяет форматировать для использования FAT32 тома, размер которых превышает 32 Гбайт. Поэтому при форматировании томов объемом более 32 Гбайт следует использовать файловую систему NTFS. Однако драйвер FASTFAT, имеющийся в составе ОС Windows, позволяет монтировать и поддерживать любые тома FAT32, в том числе и такие, объем которых превышает 32 Гбайт. За исключением упомянутого выше ограничения FAT32 в Windows 2003 работает точно так же, как в Windows 95 OSR2 и Windows 98. Более эффективное расходование дискового пространства. FAT32 использует более мелкие кластеры (см. табл. 1.1), что позволяет повысить эффективность использования дискового пространства на 10—15% по сравнению с FAT.

Использование NTFS
NTFS предлагает мощные средства для работы с файлами и папками. Существуют две версии NTFS.
• NTFS 4.0 - использовалась начиная с версии Windows NT 4.0. Полностью поддерживает управление локальным и удаленным доступом к файлам и папкам, а также технологии сжатия Windows.
Не поддерживает большую часть возможностей файловой, системы Windows 2000 и Windows Server 2003.
NTFS 5.0 применяется начиная с версии Windows 2000 и выше. Полностью поддерживает такие возможности, как служба каталогов Active Directory, дисковые квоты, сжатие, шифрование и др. Эта система поддерживается полностью в Windows 2000 и Windows Server 2003 и частично — в Windows
NT 4.0 SP4 или более поздних выпусках.

Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках.
NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS — единственная файловая система в Windows NT/2000, которая позволяет назначать права доступа к отдельным файлам. Однако, если файл будет скопирован из раздела или тома NTFS в раздел или на том FAT, все права доступа и другие уникальные атрибуты, присущие NTFS, будут утрачены.
NTFS — наилучший выбор для работы с томами большого объема. При этом следует учесть, что если к системе предъявляются повышенные требования (к числу которых относятся обеспечение безопасности и использование эффективного алгоритма сжатия), то часть из них можно реализовать только с помощью NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших томах.

Особенности файловых систем Linux.
Как правило все файлы в ОС Unix и Linux хранятся в своих каталогах.
Основные каталоги:
1.-/bin содержание стандартной программы Linux
2.-/sbin каталог системы утилит
3.-/boot каталог загрузчика
4.-/home содержание домашних каталогов пользователя
5.-/dev файлы устройств
6.-/etc файлы конфигурации системы
7.-/lib различные библиотеки и модули
8.-/lost содержит файлы, установленные после некорректного размонтирования
9.-/media мультимедийная информация
10.-/mnt указывает точки монтирования для устройства компьютера
11.-/opt файлы конфигурации
12.-/proc файлы с информацией о процессах
13.-/root каталог суперпользователя/ сис.админ.
14.-/tmp временные файлы
15.-/var постоянно изменяющиеся данные системы
16.-/usr пользование программы и документации.
Все системные устройства компьютера рассматриваются ОС как файлы и имеют свои названия.
Стандартные имена устройств.
1. TtyN-консоль
2. mouse - мышь
3. audio-звуковая карта
4. modem –модели
5. ttySN –последовательный порт
6. Ipn –параллельный порт
7. cuaN- другое обозначение последовательного порта
8. hdxN,sdxN ID и скази-венчестеры
9. fdo- первый дисковод
10. stN- стример
11. nrtfN- стример
12. ethN-сетевая карта
13. null - пустое устройство.

Для работы из командной строки используются следующие ссылки:
/
Корневой каталог
.
Текущий каталог
..
Родительский каталог
~
Домашний каталог


Основные команды для работы с каталогами:
mkdir <каталог>
Создание каталога
cd <каталог>
Изменение каталога
ls <каталог>
Вывод содержимого каталога
rmdir <каталог>
Удаление пустого каталога
rm <каталог>
Удаление каталога с файлами

Основные команды для работы с файлами:

touch <имя файла> - создание пустого файла;
cat <имя файла> - просмотр текстов файла;
tac <имя файла> - вывод текстов файла в обратном порядке;
cp <имя файла 1> <имя файла 2> - копирование 1-го файла во второй. Если 2-ой существует, то перезаписать;
mv <имя файла 1> <имя файла 2> - перемещение первого файла во второй;
rm <имя файла> - удаление файла;
which <программа> - выводит каталог, в котором находится нужная программа;
less <имя файла> - просмотр файла;
locate <имя файла> - быстрый поиск файла.

Права доступа.

Доступ к файлу в ОС Linux определяется правами доступа.
Существует три категории прав доступа:
r – Чтение
w – Запись
x – выполнение
При назначении доступа используются данные категории:
1 - владелец – пользователь, создавший данный файл;
2 - группа, в какую входит владелец;
3 - все остальные пользователи.
Владельцам создаваемого файла является текущая запись пользователя.
Учетная запись root позволяет, переопределяет права владельца.
Просмотр текущих прав доступа:
ls – l <имя файла или каталога>
Ниже приведена реакция на команду просмотра
ls – l file.txt
введенную в терминальном режиме:
- r - - r- - - - -
Если первая позиция пустая (как в данном примере) – определяются права доступа файла, если нет – каталога.
Далее (по три позиции) определяются права доступа для владельца, группы и всех остальных пользователей.
В данном примере возможно только чтение файла для владельца и группы.

Резюме.
Операционная система (ОС) – это комплекс взаимосвязанных программ, предназначенный для повышения эффективности аппаратуры компьютера путем рационального управления его ресурсами, а так же для обеспечения удобств пользователю путем предоставления ему расширенной виртуальной машины.
К числу основных ресурсов, управление которыми осуществляет ОС, относятся процессоры, основная память, таймеры, наборы данных, диски, накопители на магнитных лентах, принтеры и сетевые устройства. Все ресурсы распределяются между процессами. Для решения задач управления ресурсами разные ОС используют различные алгоритмы, особенности которых в конечном счете и определяют облик ОС.
Наиболее важными подсистемами ОС являются подсистемы управления процессами, памятью, файлами и внешними устройствами, а так же подсистемы пользовательского интерфейса, защиты данных и администрирования.
Прикладному программисту возможности ОС доступны в виде набора функций, составляющих интерфейс прикладного программирования (API).


Вопросы для самопроверки.
1. Что такое операционная система? Перечислите основные функции операционных систем.
2. Что означает термин «авторизация»? Что означает термин «аутентификация». Какая из этих операций выполняется раньше и почему?
3. Что такое операционная среда? Какие основные, наиболее известные операционные среды вы можете перечислить?
4. Что такое прерывание? Какие шаги выполняет система прерываний при возникновении запроса на прерывание? Какие бывают прерывания?
5. Перечислите известные дисциплины обслуживания прерываний; объясните, как можно реализовать каждую из этих дисциплин.
6. С какой целью в операционные системы вводится специальный системный модуль, иногда называемый супервизором прерываний?
7. Как можно и как следует толковать процесс — одно из основных понятий операционных систем? Объясните, в чем заключается различие между такими понятиями, как «процесс» и «задача»?
8. Изобразите диаграмму состояний процесса, поясните все возможные переходы из одного состояния в другое.
9. Объясните значения терминов «задача», «процесс», «поток выполнения»? Как они между собой соотносятся?
10. Для чего каждая задача получает соответствующий дескриптор? Какие поля, как правило, содержатся в дескрипторе процесса (задачи)? Что такое «контекст задачи»?
11. Объясните понятие ресурса. Почему понятие ресурса является одним из фундаментальных при рассмотрении операционных систем? Какие виды и типы ресурсов вы знаете?
12. Как вы считаете, сколько и каких списков дескрипторов задач может быть в системе? От чего должно зависеть это число?
13. В чем заключается различие между повторно входимыми и реентерабельны ми программными модулями? Как они реализуются?
14. Что такое привилегированный программный модуль? Почему нельзя создать мультипрограммную операционную систему, в которой бы не было привилегированных программных модулей?


Глава 2. Инсталляция и конфигурирование операционной системы.

§ 2.1. Инсталляция и конфигурирование ОС.
При инсталляции ОС Linux установка проходит по определенному сценарию, в соответствии с которым необходимо указать разделы установки и состав программного и системного обеспечения. Установка разных дистрибутивов Linux мало отличается друг от друга.
Установку операционных систем Windows ведется по двум разным сценариям: для клиентских ОС (Windows XP или Vista) и для серверных ОС (Windows 2003, 2008 Server). При установке серверных платформ необходимо выбрать соответствующий режим лицензирования.
Существует два основных режима лицензирования:
• Лицензия для рабочего места. В этом случае приобретаются лицензии для клиентов, которые позволяют им подключаться к любому серверу. Такой тип лицензии — наилучший вариант для больших предприятий, в сетях которых клиенты подключаются к нескольким серверам.
• Лицензия для сервера. Для каждого конкурирующего соединения с сервером необходимо наличие лицензии. В этой модели лицензирования, если в сети установлено 100 настольных компьютеров и только 25 из них могут одновременно требовать доступ к серверу, достаточно приобрести всего 25 лицензий на доступ клиентов. Эта модель — наилучший вариант для небольших предприятий, в сетях которых клиенты, как правило, взаимодействуют только с одним сервером Windows Server.
Схема лицензирования Per Server (Для сервера) предпочтительнее и для серверов удаленного доступа, а также обеспечения доступа *с серверу, находящемуся где-то в Internet. Выбрав схему лицензирования Per Server (Для сервера), вы определяете количество конкурирующих соединений и входов в сеть. Зная о том, что трудно предсказать, какое количество соединений с Internet будет установлено, компания Micmsoft намерена разработать новую модель лицензирования, предназначенную исключительно для соединений с Internet. Так что нам остается только ждать.I
Во время установки вас попросят выбрать одну из двух моделей лицензирования и указать число лицензий. Если вы работаете в фирме среднего размера и не уверены, какую модель выбрать, установите переключатель Per Server (Для сервера). Компания Microsoft позволяет один раз совершенно бесплатно сменить модель лицензирования с 1 Per Server (Для сервера) на Per Seat (Для рабочего места). Обратный вариант невозможен. Чтобы сменить модель лицензирования с Per Server (Для сервера) на Per I Seat (Для рабочего места), воспользуйтесь утилитой Licensing (Лицензирование).
Приобретаемые вами лицензии для Windows 2000 Server дают вашим клиентам права на использование служб файлов и печати, сетевых служб и принтеров, а также общих папок и файлов. Наличие лицензий необязательно для использования следующих служб:
• Доступ службы Microsoft Internet Information Server к любому Web-серверу с помощью протокола HTTP
• Передача данных с помощью протокола FTP
Никогда не забывайте о том, что, если вы установите какие-то дополнительные приложения для Windows 2003 Server, вам понадобится приобрести дополнительные лицензии для серверов или клиентов, чтобы иметь право Использовать эти приложения. Например, для того, чтобы использовать такие компоненты BackOffice, как SQL 1 Server или Exchange, вам нужно приобрести лицензии для сервера и клиента. Чтобы узнать лицензионные требования для того или иного программного продукта, проконсультируйтесь с его производителем.

Установка программ в ОС Linux

Дистрибутивы и программа Linux поставляет в виде набора пакетов существующих 2 вида пакетов:
1) RPM пакет;
2) DEB пакет.
Для дистрибутив Red Hat и его клонов используется rpm пакет, для Debian и его производных - dib пакет.
Примеры дистрибутивов, где используются соответствующие пакеты:
RPM – пакеты (Fedora, ASP Linux, ALT Linux, Mandriva );
DEB – пакеты (Ubuntu, Kubuntu и др. ).

Пакет это:
1) архив, который содержит программы
2) список, указанный менеджера пакетов о том, как устанавливает программу
3) сведение в зависимости, т.е. сведение о пакетах, от которых зависит данный пакет, а также список пакетов, данный пакет конфликтует
Большинство необходимых пакетов входит в состав дистрибутива, а все остальные хранятся в репозитарии (хранилище пакетов).
Репозитарий – это обычный каталог, содержащий пакеты и служебные программы, которые описываются формулы репозитария. Как правило, репозитарии расположен в Интернете, но с поле коды создаются собственные репозитарии и напомним его по своему усмотрению.
При попытке устанавливает пакет менеджер пакета подключения к репозитарию и устанавливается пакет.
В дистрибутиве 1 –ой группы (Fedora, Linux) управляется пакетами и можно ввести двумя программами RPM. Еще используется график приложении в меню установка и удаление программ.

Возможности rpm пакета
- позволяет модернизировать отдельные компьютерные системы;
- получает информацию об используемых пакетом файлов;
- получает информацию о зависимости пакета;
- проводить проверку пакета;
- проводить автоматическое обновление.

Именование пакетов
Имя пакета характеризует сам пакет, версию, releace/ версия сборки исполн. файлов и архитектуру.

Достоинства пакетов rpm:
- удобная установка программы;
- возможность инсталляции по ftp;
- проверка системы на наличие компонентов необходимых для установки пакетов;
- просмотр информации о пакете (что делает пакет? Где взять необходимые файлы?)
- комплексная проверка состояния пакета: что изменилось в системе, что испортилось, что удалили;
- после установки перезагружать компьютер не надо;
- не для всех программ существует rpm пакеты.
Информация в пакете.
RPM содержит стандартный набор полей, который характеризует его содержание.
Наиболее важные: краткий список изменений в программе по сравнению с предыдущими версиями; описание пакета; группа программ, которым принадлежит пакет; имя и версия программы.

Информация содержащаяся в DEB пакете:
-само приложение;
-описание приложения;
- список зависимости;
- скрипты для установки;
- пользовательская документация.


Установка программы RPM

Установка: # rpm - i <имя пакета>
Удаление: # rpm - е <имя пакета>
Обновление: # rpm - v <имя пакета>
Информация о пакете: # rpm - gi <имя пакета>
Состав пакета: # rpm- да <


§ 2.2. Начальная загрузка.
В случае ОС систем, построенных на процессорах архитектуры Intel, загрузка компьютера разбита на следующие пять стадий.
1. Предварительная загрузка. На этой стадии проводится проверка аппаратных средств, а также загружаются необходимые команды.
2. Процесс загрузки. На этой стадии операционная система определяет конфигурацию аппаратных средств, в память загружаются необходимые драйверы.
На случай того, что файлы на жестком диске вашего компьютера окажутся поврежденными, обязательно заранее подготовьте загрузочную дискету, а лучше сделайте это сразу по завершении установки Windows.
Скопируйте на отформатированную дискету необходимые системные файлы. Для систем, построенных на базе архитектуры х86 компании Intel, это следующие файлы: NTLDR, NTDETECT.COM, NTBOOTDD.SYS (необходим для SCSI-контроллеров без собственной BIOS), а также файл BOOT.INI. Если файл NTOSKRLN.EXE поврежден и операционную систему нельзя загрузить с жесткого диска, просмотрите материал справоч­ной системы об автоматическом восстановлении системы ASR (Automatic-System Recovery).
3. Загрузка ядра. На этой стадии программа-загрузчик NTLDR загружает в память ядро операционной системы, также загружается уровень аппаратных абстракций и выбирается профиль оборудования.
4. Инициализация ядра. Файл NTOSKRNL.EXE инициализирует ядро, которое
записывает в реестр информацию о конфигурации аппаратных средств и загружает драйверы низкого уровня. В этом момент завершается "текстовая" часть процесса загрузки и начинается его "графическая" часть.
5. Вход в систему. На этой стадии осуществляется аутентификация пользователя, загружаются службы, обеспечивается доступ к ресурсам. После удачного входа в систему операционная система сохраняет информацию о конфигурации аппаратных средств в реестре.



Самотестирование при включении и последовательность загрузки в ОС Windows.
На стадии предварительной загрузки компьютер проходит стадию самотестирования POST — Power-on self test), во время которой проверяются количество и состояние установленной памяти, а также все установленные устройства, включая устройства, поддерживающие стандарт Plug and Play, после чего BIOS конфигурирует все устройства. 1атем BIOS обнаруживает загрузочный диск и загружает с этого диска главную загрузочную запись (MBR — Mater Boot Record). Код главной загрузочной записи просматривает таблицу разделов в поиске активного раздела, содержащего системные файлы. Затем загрузочный (нулевой) сектор активного раздела загружается в память, после его исполняются содержащиеся в нем инструкции. Стадия предварительной загрузки завершается, как только в память загружается загрузчик системы NTLDR.
Первое, что делает загрузчик в процессе загрузки, это переключает процессор в «жим использования 32-разрядной одноуровневой модели памяти. Затем загрузчик загружает драйверы файловой системы, которые позволяют Windows 2000 загружаться с различных типов файловых систем, с помощью которых можно отформа­тировать системный раздел: FAT, FAT32, NTFS.
Возможно, самым заметным в последовательности загрузки является появление меню Boot Loader Operating System, позволяющего выбрать загружаемую систему. Информация о меню считывается из файла BOOT.INI. Файл BOOT.INI — это обычный текстовый файл, в котором перечисляются все операционные системы, которые могут загружаться на компьютере, а также файлы, отвечающие за загрузку ой или иной операционной системы. Один из пунктов меню соответствует операционной системе, которая загружается по умолчанию. Для загрузки этой операционной :системы не нужно предпринимать никаких действий. Если файл BOOT.INI на жестком диске отсутствует, загрузчик NTLDR попытается загрузить Windows из корневого (где установлена сама ОС) каталога, в первом разделе первого жесткого диска.
Файл BOOT.INI размещен в корневой папке системного раздела жесткого диска. ) как скрытый файл, поэтому вы не увидите его до тех пор, пока не сбросите флажок -tide protected operation system files (Скрыть защищенные системные файлы) на кладке View (Вид) диалогового окна Folder Options (Свойства папки). Если файл BOOT.INI не отображается в папке, его нельзя найти и стандартными средствами поиска файлов Windows. Если на Компьютере установлена только операционная система Windows, разделы файла BOOT.INI имеют следующий вид:
[boot loader]
timeout=30. ..
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Server"
/fastdetect
Раздел [boot loader] определяет, какие пункты будут представлены в меню Boot Loader Operating System Selection; редактирование текста этого раздела позволяет добавлять новые или удалять ненужные варианты загрузки.
В разделе (operating systems] в форме ARC (Advanced Reduced Set Computing — Вычисления в среде усовершенствованных RISC-компьютеров) перечислены пути, указывающие на загрузочные разделы для всех установленных на компьютере операционных систем. Как правило, пути в форме ARC выглядят так: multi(0)disk(0)rdisk(l)partition(l), где параметр multi (или scsi) иденти­фицирует контроллер диска, параметр disk соответствует номеру диска (для scsi значение этого параметра может принимать значения от 0 до 7, для multi — только 0); параметр rdisk идентифицирует сам диск (для варианта scsi этот параметр не используется), значение параметра partition определяет номер раздела.
За командами загрузки в тексте файлаBOOT.INI может следовать целый ряд переключателей, влияющих на процесс загрузки операционной системы. Наиболее распространенными являются следующие:
• параметр /basevideo, который позволяет загрузить стандартный VGA-драйвер видеокарты;
• параметр /fastdetect=[com xlcom x,y,z], отключающий поиск манипулятора мышь для последовательного порта;
• параметр /maxmem:#, определяющий максимальный объем оперативной памяти, доступный для использования Windows 2000;
• параметр noguiboot, позволяющий загрузить операционную систему в режиме командной строки;
• параметр /sos, отображающий информацию о каждом загружаемом драйвере.
Для внесения изменений в файл BOOT.INI или изменения значений каких-то параметров необходимо изменить свойства файла. Вам следует снять с него атрибуты системного файла и файла только для чтения. Сделать это можно как из командной строки, так и в диалоговом окне Properties (Свойства) для этого файла. Внесите из­менения в файл в текстовом редакторе и сохраните его на жестком диске. Отредактировать файл BOOT.INI можно и в графическом режиме.
Нажав клавишу во время отображения меню загрузчика, вы увидите на экране список дополнительных вариантов загрузки.

§ 2.3. Реестр.
В ОС Windows реестр содержит описание всех объектов (например, пользователи, группы), всю информацию об аппаратной платформе.
Назначение: облегчение управления системой, тестирование оборудования при включении.
Реестр — это база данных, которую можно просматривать и изменять с помощью программы, называемой Registry Editor. В Registry Editor используется иерархическая структура для отображения поддеревьев, позволяющих обращаться к содержимому базы данных. На первый взгляд, иерархическая структура, отображенная в Registry Editor, похожа на иерархическую структуру каталогов в Explorer. Отличие состоит в том, что в реестре представлен другой вид информации, а изменения в реестре иначе воздействуют на систему.
Когда вы загружаете компьютер, подключаетесь к сети или запускаете приложение в старых версиях Windows, ОС производила поиск и чтение нескольких файлов конфигурации, чтобы настроить рабочую среду. В современных версиях ОС Windows, наоборот, ОС хранит и просматривает конфигурационные данные только в одном месте — в системном реестре. Там хранятся следующие виды конфигурационной информации:
■.AUTOEXEC.BAT, CONFIG.SYS, WIN.INI, SYSTEM.INI, CONTROL.INI и другие INI-файлы;
• данные драйверов устройств;
• параметры сетевых протоколов и сетевых адаптеров.
Используют реестр следующие компоненты и приложения:
• Программа установки. При установке Windows 2000, приложений или аппаратных
средств программа установки заносит в реестр новые данные о конфигурации.
• Hardware Detector. Каждый раз при запуске W2K программа Hardware Detector, распознающая аппаратные средства, заносит в реестр данные о конфигурации оборудования, в том числе перечень аппаратных средств, обнаруженных на компьютере при запуске.
• Ядро Windows 2000. При запуске ОС ядро Windows 2000 извлекает из реестра сведения о том, какие драйверы устройств и в какой последовательности нужно загружать. Кроме того, программа NTOSKRNL.EXE передает в реестр некоторые сведения о себе, такие как номер версии.
• Драйверы устройств. Драйверы устройств передают в реестр и получают оттуда параметры загрузки и данные о конфигурации. Эти данные похожи на те, что присутствуют в строках DEVICE= файлов CONFIG.SYS в MS DOS. Драйвер устройства должен сообщить, какие системные ресурсы, в том числе аппаратные прерывания и Каналы DMA, он использует, чтобы ОС могла занести эту информацию в реестр. Приложения и драйверы устройств получают эту информацию из реестра, что позволяет создавать простые с точки зрения пользователя программы установки и настройки.
• Средства администрирования. Изменять данные о конфигурации можно с помощью средств администрирования, которые находятся на панели управления
Реестр состоит из 5 основных компонент (поддеревьев). Каждое поддерево содержит ключи, в которых хранятся конфигурационные данные. Основная часть системного реестра хранится в наборе файлов, называемых ульями. Улья – двойные файлы. Каждый ключ имеет имя, которое начинается с HKEY (т.е. ссылка на ключ).
Основные ключи:
1. HKEY_Local_Machine
2. HKEY_CLASSES_ROOT
3. HKEY_USERS
4. HKEY_CURRENT_USER
5. HKEY_CURRENT_CONFIG
HKEY_Local_Machine – самый важный в реестре. Содержит абсолютно все сведения о компьютере. Он состоит из 5 подключей:
• HARDWARE
• SAM
• SECURITY
• SOFTWARE
• SYSTEM
При обновлении реестра приоритет у ключей 2-5.
HKEY_Local_Machine / HARDWARE.
Здесь описаны установленные аппаратные средства компьютера, способ их использования драйверами.
Эти данные не хранятся, а формируются при каждой загрузке операционной системы, и удаляются при выключении.
SAM, SECURITY.
Содержат данные о политике безопасности, права конкретных пользователей, информацию об учетных записях, группах, доменах.
Если установлен контроллер домена, то значение в ключах формируется с помощью Active Directory.
SOFTWARE.
Содержит всю базу по программному обеспечению, которое установлено на данном компьютере.
SYSTEM.
Управляет запуском операционной системы, загрузкой драйверов и устройств.
HKEY_CLASSES_ROOT.
Содержит информацию о привязках в файлах и данные, которые необходимы для связывания и внедрения файловых объектов.
HKEY_USERS.
Содержит все активные профили пользователей и профиль, используемый по умолчанию.
В случае удаленного доступа текущий профиль загружается из реестра удаленного компьютера.
HKEY_CURRENT_USER.
Содержит профиль того пользователя, который зарегистрировался в системе в данный момент, параметры его среды, параметры рабочего стола, сетевые соединения, принтеры и параметры запущенных приложений.
HKEY_CURRENT_CONFIG.
Обнуляется при выключении машины, а формируется при включении.
Содержит аппаратную конфигурацию компьютера.


Резюме
Процесс загрузки ОС Windows — это последовательность операций обнаружения аппаратных средств, а также конфигурировании параметров работы операционной системы с ними. Windows спокойно сосуществует с другими операционными системами, любую из которых можно выбрать в процессе загрузки. Были рассмотрены все стадии процесса загрузки, а также все файлы и модули, которые отвечают за выполнение тех или иных действий.
Реестр ОС Windows содержит описание всех объектов (например, пользователи, группы), всю информацию об аппаратной платформе. Реестр предназначен для облегчения управления системой, тестирование оборудования при включении.


Вопросы для самопроверки
1. Какие операционные системы можно обновить программой установки?
2. Что такое список HLC?
3. Какие файловые системы можно выбрать во время установки операционной
системы Windows 2000 Server,?
4. Установленная служба DHCP по каким-то причинам не работает. Почему?
5. Во время установки я не могу обнаружить домен, хотя я точно знаю, что он существует, а с сетевыми соединениями все в порядке. Как это объяснить?
6. Какие сведения сохраняются при обновлении операционной системы? ; 7. Какой программный файл используется во время установки?
8. Каким образом установить терминальные службы WTS?
9. Каковы лицензионные требования Windows 2000 Server?


Глава 3. Тенденции и перспективы развития распределенных операционных сред.

Сетевые и распределенные ОС.
В зависимости от того, какой виртуальный образ создает операционная система для того, чтобы подменить им реальную аппаратуру компьютерной сети, различают сетевые ОС и распределенные ОС.
Сетевая ОС предоставляет пользователю некую виртуальную вычислительную систему, работать с которой гораздо проще, чем с реальной сетевой аппаратурой. В то же время эта виртуальная система не полностью скрывает распределенную природу своего реального прототипа, то есть является виртуальной сетью.
При использовании ресурсов компьютеров сети пользователь сетевой ОС всегда помнит, что он имеет дело с сетевыми ресурсами и что для доступа к ним нужно выполнить некоторые особые операции, например отобразить удаленный разделяемый каталог на вымышленную локальную букву дисковода или поставить перед именем каталога еще и имя компьютера, на котором тот расположен. Пользователи сетевой ОС обычно должны быть в курсе того, где хранятся их файлы, и должны использовать явные команды передачи файлов для перемещения файлов с одной машины на другую.
Работая в среде сетевой ОС, пользователь хотя и может запустить задание на любой машине компьютерной сети, всегда знает, на какой машине выполняется его задание. По умолчанию пользовательское задание выполняется на той машине, на которой пользователь сделал логический вход. Если же он хочет выполнить задание на другой машине, то ему нужно либо выполнить логический вход в эту машину, используя команду типа remote login, либо ввести специальную команду удаленного выполнения, в которой он должен указать информацию, идентифицирующую удаленный компьютер.
Магистральным направлением развития сетевых операционных систем является достижение как можно более высокой степени прозрачности сетевых ресурсов. В идеальном случае сетевая ОС должна представить пользователю сетевые ресурсы в виде ресурсов единой централизованной виртуальной машины. Для такой операционной системы используют специальное название — распределенная ОС, или истинно распределенная ОС.
Распределенная ОС, динамически и автоматически распределяя работы по различным машинам системы для обработки, заставляет набор сетевых машин работать как виртуальный унипроцессор. Пользователь распределенной ОС, вообще говоря, не имеет сведений о том, на какой машине выполняется его работа.
Распределенная ОС существует как единая операционная система в масштабах вычислительной системы. Каждый компьютер сети, работающей под управлением распределенной ОС, выполняет часть функций этой глобальной ОС. Распределенная ОС объединяет все компьютеры сети в том смысле, что они работают в тесной кооперации друг с другом для эффективного использования всех ресурсов компьютерной сети.

§ 3.1. Концепции распределенной обработки в сетевых ОС.

Объединение компьютеров в сеть предоставляет возможность программам, работающим на отдельных компьютерах, оперативно взаимодействовать и сообща решать задачи пользователей. Связь между некоторыми программами может быть настолько тесной, что их удобно рассматривать в качестве частей одного приложения, которое называют в этом случае распределенным, или сетевым. Распределенные приложения обладают рядом потенциальных преимуществ по сравнению с локальными. Среди этих преимуществ — более высокая производительность, отказоустойчивость, масштабируемость и приближение к пользователю.

Модели сетевых служб и распределенных приложений.
Значительная часть приложений, работающих в компьютерах сети, являются сетевыми. Действительно, ничто не мешает пользователю запустить на своем компьютере полностью локальное приложение, не использующее имеющиеся сетевые коммуникационные возможности. Достаточно типичным является сетевое приложение, состоящее из двух частей. Например, одна часть приложения работает на компьютере, хранящем базу данных большого объема, а вторая — на компьютере пользователя, который хочет видеть на экране некоторые статистические характеристики данных, хранящихся в базе. Первая часть приложения выполняет поиск в базе записей, отвечающих определенным критериям, а вторая занимается статистической обработкой этих данных, представлением их в графической форме на экране, а также поддерживает диалог с пользователем, принимая от него новые запросы на вычисление тех или иных статистических характеристик. Можно представить себе случаи, когда приложение распределено и между большим числом компьютеров. Распределенным в сетях может быть не только прикладное, но и системное программное обеспечение — компоненты операционных систем. Как и в случае локальных служб, программы, которые выполняют некоторые общие и часто встречающиеся в распределенных системах функции, обычно становятся частями операционных систем и называются сетевыми службами. Целесообразно выделить три основных параметра организации работы приложений в сети. К ним- относятся:
- способ разделения приложения на части, выполняющиеся на разных компьютерах сети;
- выделение специализированных серверов в сети, на которых выполняются некоторые общие для всех приложений функции;
- способ взаимодействия между частями приложений, работающих на разных компьютерах.
Существуют типовые модели распределенных приложеий. При этом приложения делятся на следующие функциональные части:
1 – средства представления данных на экране, например средства графического пользовательского интерфейса;
2 – логика представления данных на экранеописывает правила и возможные сценарии взаимодействия пользователей с приложением: выбор из систнмы меню, выбор элемента из списка т. п.
3 – прикладная логика – набор правил для принятия решений, вычислительные процедуры и операции;
4 – логика данных – операции с данными, хранящимися в некоторой базе, которые нужно выполнить лля реализации прикладной логики;
5 – внутренние операции базы данных – действия СУБД, вызываемые в ответ на выполнение запросов логики данных, такие как поиск записи по определенным признакам;
6 – файловые операции – стандартные операции над файлами и файловой системой, которые обычно являются функциями операционной систмемы.
На основе такой модели можно построить несколько схем распределения частей приложения между компьютерами сети. Распределение приложения между большим числом компьютеров может повысить качество его выполнения (скорость, количество одновременно обслуживаемых пользователей и т. д.), но при этомсущественно усложняется организация самого приложения, что может просто не позволить воспользоваться потенциальными преимуществами распределенной обработки. Поэтому на практике приложение обычно разделяют на две или три части и достаточно редко – на большее число частей. В настоящий момент в основном используются двухзвенные и трехзвенные схемы.

Двухзвенные схемы.
Наиболее распространенной является двухзвенная схема, распределяющая приложение между двумя компьютерами. Перечисленные выше типовые функциональные части приложения можно разделить между двумя компьютерами различными способами (рис.3.1.1-3.1.3).
В централизованной схеме, представленной на рис.3.1.1 компьютер пользователя работает как терминал, выполняющий лишь функции представления данных, тогда как все остальные функции передаются центральному компьютеру.


Рис.3.1.1. Централизованная схема.

Ресурсы компьютера пользователя используются в данной схеме в незначительной степени, загруженными оказываются только графические средства подсистемы ввода вывода ОС, отображающие на экране окна и графику по командам центрального компьютера, а так же сетевые средства ОС,
принимающие из сети команды центрального компьютера и возвращающие данные о нажатии клавиш и координатах мыши. Программа, работающая на компьютере пользователя, называется эмулятором терминала – графическим или текстовым. Главным недостатко централизованной схемы является ее недостаточная масштабируемость и отсутствие отказоустойчивости. Производительность центрального компьютера всегда будет ограничителем количества пользователей, работающих с данным приложением, а отказ центрального компьютера приводит к прекращению работы всех пользователей.
Именно из-за этих недостатков централизованные вычислительные системы, представленные манфреймами, уступили место сетям, состоящих из мини-компьютеров.
В схеме «файловый сервер» (рис.3.1.2) на клиентской машине выполняются все части приложения, кроме файловых операций.


Рис.3.1.2. Схема «файловый сервер».
В сети имеется достаточно мощный компьютер, имеющий дисковую подсистему большого объема, который хранит файлы, доступ к которым необходим большому числу пользователей. Этот компьютер играет роль файлового сервера, представляя собой центализованное хранилище данных, находящихся в разделяемом доступе. Распределенное приложение в этой схеме мало отличается от полностью локального приложения. Единственным отличием является обращение к удаленным файлам вместо локальных. Файловый сервер представляет собой компонент наиболее популярной сетевой службы – сетевой файловой системы, которая лежит в основе многих распределенных приложений и некоторых других сетевых служб. Первые сетевые ОС (Net Ware компании Novell, IBM PC LAN Program, Microsoft MS-Net) обычно поддерживали две сетевые службы – файловую службу и службу печати, оставляя реализацию остальных функций разработчикам рапределенных приложений.
Такая схема обладает хорошей масштабируемостью, так как дополнительные пользователи и приложения добавляют лишь незначительную нагрузку на центральный сервер. Однако эта архитектура имеет свои недостатки:
- во многих случаях резко возрастает сетевая нагрузка, что приводит к увеличению времени реакции приложения;
- компьютер клиента должен обладать высокой вычислительной мощностью, чтобы справляться с представлением данных, логикой приложения, логикой данных и поддержкой операций базы данных.
Другие варианты двухзвенной модели более равномерно распределяют функции между клиентской и серверной частями системы. Наиболее часто используется схема, в которой на серверный компьютер возлагаются функции проведения внутренних операций базы данных и файловых операций (рис.3.1.3).

Рис.3.1.3. Смешанная схема.
Клиентский компьютер при этом выполняет все функции, специфические для данного приложения, а сервер – функйии, реализация которых не зависит от специфики приложения, из-за чего эти функции могут быть оформлены в виде сетевых служб. Система управления базами данных (СУБД) является одним из наиболее часто применяемых в сетях распределенных приложений.
Сам термин клиент-сервер справедлив для любой двухзвенной схемы.

Трехзвенные схемы.
Трехзвенная архитектура позволяет еще лучше сбалансировать нагрузку на различные компьютеры сети, а также способствует дальнейшей специализации серверов и средств разработки распределенных приложений.
Примером трехзвенной архитектуры может служить такая организация приложения, при которой на клиентской машине выполняются средства представления и логика представления, а также поддерживается программный интерфейс для вызова частей приложения второго звена – промежуточного сервера (рис.3.1.3).

Рис.3.1.4. Трехзвенная схема.

Промежуточный сервер называют в этом варианте сервером приложений, так как на нем выполняется прикладная логика обработки данных. Слой логики обработки данных вызывает внутренние операции базы данных, которые реализуются третьим звеном – сервером баз данных.
Примером такой схемы может служить неоднородная архитектура, включающая клиентские компьютеры под управлением Windows 95/98, сервер приложений с монитором тразакций TUXEDO в среде Solaris на компьютере компании Sun Microsystems и сервер баз данных Oracle в среде Windows 2003.
Централизованная реализация логики приложений решает проблему недостаточной вычислительной мощности клиентских компьютеров для сложных приложений, а также упрощает администрирование и сопровождение. В том случае, когда сервер приложений сам становится узким местом, в сети можно применить несколько серверов приложений, распределив запросы пользователей между ними. Упрощается и разработка крупных приложений, так как в этом случае четко разделяются платформы и инструменты для реализации интерфейса и прикладной логики.


§ 3.2. Сетевые модели.
В рапределенных системах не существует памяти, непосредственно доступной процессам, работающих на разных компьютерах. Поэтому взаимодествие процессов на разных компьютерах в сети может осуществлятся только путем передачи сообщений через сеть. На основе механизма передачи сообщений работают все сетевые службы. В сообщениях переносятся запросы от клиентов некоторй службы к соответствующим серверам. Сервер возвращает ответ.
В любой сетевой ОС имеется подсистема передачи сообщений, называемая транспортной подсистемой, позволяющая процессам на разных компьютерах взаимодействовать между собой. Транспортная подсистема сетевой ОС имеет сложную структуру, отражающую структуру семиуровневой модели взаимодействия открытых систем (Open System Interconection, OSI).

Сетевая модель OSI.
Процесс сетевой коммуникации разбит на отдельные этапы. На каждом этапе выполняется определенная задача. Протоколы, которые управляют процессом коммуникации, работают на определенном уровне сетевой модели. Все они в совокупности составляют общий стек протоколов.
Стандарт OSI состоит из 7 уровней, каждый из которых представляет определенный этап процесса коммуникации:
Прикладной
Представления
Сеансовый
Транспортный
Сетевой
Канальный
Физический

Отправляющий компьютер запускает приложение, которое создает данные. Когда данные проходят по каждому уровню сетевой модели, то каждый уровень добавляет в них заголовочную информацию. На принимающем компьютере из кадра извлекается заголовочная информация в каждом соответствующем уровне.

Прикладной уровень.
Обеспечивает взаимодействие между приложением и сетью. Решаются задачи:
• передача файлов,
• доступ к принтеру,
• служба сообщений.
При этом происходит подключение протокола, работающего с данным приложением, например:
a) FTP (для передачи файлов между компьютерами) – при передаче файлов.
b) Telnet (для чтения и выполнения приложений на удаленном узле, используется для эмуляции терминала и представления доступа приложениям на другом компьютере).
c) SMTP (используется для передачи почтовых сообщений).
d) При открытии сайта в браузере клиента подключаются протоколы DNS (Domain Name System) и HTTP.

Уровень представления.
Принимает данные прикладного уровня и решает задачи, связанные с формированием пакета:
• сжатие данных,
• шифрование данных,
• трансляция протоколов.

Сеансовый уровень.
Отвечает за установления сеанса связи между двумя компьютерами. В случае сбоя связи автоматически возобновляет сеанс соединения компьютеров.
Запускаются два сервиса:
• Net Bios (соединение компьютеров)
• Win Sock (формирование сокетов).
Благодаря созданию сокетов ОС понимает, какой приходящий поток данных направлять тому или иному приложению. Сокет состоит из трех параметров: транспортного протокола (TCP или UDP), IP адреса клиента и номера порта. Современные ОС поддерживают 65534 порта. Каждое вновь запущенное пользователем приложение открывается под своим номером порта. Первые 1024 номера зарезервированы за основными службами, отвечающими за работу ОС. Например служба DNS подключается по 53 порту, FTP – 20,21 порт, Telnet -22 порт, Web сервер – 80 порт и т. д.

Транспортный уровень.
Решаются задачи формирования пакетов, обеспечение контроля ошибок при передаче и транспортировка данных. Отслеживается целостность и последовательность пакетов данных.
Пакеты или порции, на которые разбиваются данные, называются кадрами. Каждый кадр состоит из заголовка, данных и трейлера (рис.3.1.5).
Существует 4 разных типа кадров Ethernet:
• Ethernet 802.2
• Ethernet 802.3
• Ethernet II
• Ethernet SNAP
На рисунке 3.1.5 представлена структура кадра Ethernet II, где приведены некоторые параметры, хранящиеся в пакете.

Рис. 3.1.5. Структура кадра Ethernet II
В первом блоке (преамбула) содержатся данные, помещаемые из каждого уровня модели OSI. Во втором – данные отправляющего информацию компьютера (например IP адрес, MAK адрес и другая техническая информация). В третьем блоке размещаются данные принимающего информацию компьютера. В четвертом блоке указываются маршрутизируемые протоколы, с помощиь которых идет передача пакета в сеть. Пятый блок – передаваемые данные. Шестой – код CRC – контрольная сумма пакета.

На данном уровне работают два протокола: TCP и UDP
Протокол UDP используется для передачи пакетов небольшого размера. При этом не отслеживается конечная доставка пакета.
Протокол TCP проверяет целосность доставки каждого пакета.


Канальный уровень.
Состоит из двух подуровней:
1. MAC – уровень: осуществляет управление доступом к сети на уровне мас-адресов (физический адрес сетевой карты).
2. LLC – уровень: осуществляет управление логическими связями (определяет физическую топологию сети).
MAK адрес сетевой карты состоит из шести пар шеснадцатиричных чисел:
первые три пары - фирма – изготовитель сетевой карты, следующие три пары чисел - номер сетевой карты в партии.

Физический уровень.
Преобразует поток двоичных данных в один из трех видов сигнала (в зависимости от вида сетевой карты):
• электрические импульсы
• световые импульсы
• радио – Ethernet.
После этого данные передаются в среду передачи.

Резюме.
Организация взаимодействия между устройствами в сети является сложной проблемой, включающей в себя много аспектов, начиная с согласования уровня электрических сигналов, формирования кадров и кончая вопросами аутентификации приложений. Для ее решения используется универсальный прием – разбиение сложной задачи на несколько частных, более простых задач. Средства решения отдельных задач упорядочены в виде иерархии уровней сетевой модели OSI.
Задача каждого уровня модели OSI - предоставление услуг вышележащему уровню, «маскируя» детали реализации этих услуг. При этом каждый уровень на одном компьютере работает так, будто он напрямую связан с таким же уровнем на другом компьютере. Эта логическая, или виртуальная, связь между одинаковыми уровнями показана на рисунке ниже. Однако в действительности связь осуществляется между смежными уровнями одного компьютера — программное обеспечение, работающее на каждом уровне, реализует определенные сетевые функции в соответствии с набором протоколов.
Перед подачей в сеть данные разбиваются на пакеты. Пакет (packet) — это единица информации, передаваемая между устройствами сети как единое целое. Пакет проходит последовательно через все уровни программного обеспечения. На каждом уровне к пакету добавляется некоторая информация, форматирующая или адресная, которая необходима для успешной передачи данных по сети.
На принимающей стороне пакет проходит через все уровни в обратном порядке. Программное обеспечение на каждом уровне читает информацию пакета, затем удаляет информацию, добавленную к пакету на этом же уровне отправляющей стороной, и передает пакет следующему уровню. Когда пакет дойдет до Прикладного уровня, вся адресная информация будет удалена и данные примут свой первоначальный вид.
Таким образом, за исключением самого нижнего уровня сетевой модели, никакой иной уровень не может непосредственно послать информацию соответствующему уровню другого компьютера. Информация на компьютере-отправителе должна пройти через все уровни. Затем она передается по сетевому кабелю на компьютер-получатель и опять проходит сквозь все слои, пока не достигнет того же уровня, с которого она была послана на компьютере-отправителе. Например, если Сетевой уровень передает информацию с компьютера А, она спускается через Канальный и Физический уровни в сетевой кабель, далее по нему попадает в компьютер В, где поднимается через Физический и Канальный уровни и достигает Сетевого уровня.
В клиент-серверной среде примером информации, переданной Сетевым уровнем компьютера А Сетевому уровню компьютера В, мог бы служить адрес и, очевидно, информация контроля ошибок, добавленные к пакету.
Взаимодействие смежных уровней осуществляется через интерфейс. Интерфейс определяет услуги, которые нижний уровень предоставляет верхнему, и способ доступа к ним. Поэтому каждому уровню одного компьютера «кажется», что он непосредственно взаимодействует с таким же уровнем другого компьютера.

Вопросы для самопроверки.
1. Что такое пакет данных?
2. Сколько уровней в сетевой модели OSI?
3. На каком уровне сетевой модели OSI работают приложения?
4. Какие задачи решаются на сеансовом уровне сетевой модели OSI?
5. Какие задачи решаются на сеансовом уровне сетевой модели?
6. Какие задачи решаются на сетевом уровне сетевой модели OSI?
7. Какие задачи решаются на транспортном уровне сетевой модели?
8. Какие задачи решаются на канальном уровне сетевой модели?
9. Какие задачи решаются на физическом уровне сетевой модели OSI?
10. Какие задачи решаются на прикладном уровне сетевой модели?

Глава 4. Основные концепции компьютерных сетей и их проектирование.
§ 4.1. Классификация компьютерных сетей
Признаки классификации компьютерных сетей:
1. Область действия.
2. Способы формирования.
3. Сетевые операционные системы.
4. Протоколы.
5. Топология.
6. Архитектура.

1. Область действия.
Учет географического региона, который охватывает сеть:
1) Локальные сети.
2) Городские сети.
3) Глобальные сети.
(1) Чтобы облегчить управление большими локальными сетями их иногда разделяют на рабочие группы. В такую группу входят пользователи, имеющие доступ к одним и тем же ресурсам.
(2) Городские сети состоят из двух и более локальных сетей, расстояние между сетями  80 км.
(3) Глобальные сети:
• Internet,
• корпоративные
Интранет (внутрисетевой) – частные сети компаний, которые используют технологию Internet.
Экстранет (экстрасеть) – объединение компьютерных сетей больших компаний, взаимодействующих друг с другом посредством Internet; при этом такие сети подразделяются на:
а) распределенные (например, Internet),
б) централизованные (содержит главный сервер).

2. Способы администрирования.
В зависимости от того, кто и как управляет ресурсами сети, сеть может быть построена:
1) Как одноранговая рабочая группа, где каждый компьютер выполняет функции и клиента, и сервера.
2) Как сеть клиент-сервер, здесь функции администрирования сосредоточены на сервере.
Преимущества одноранговых сетей:
1) Меньшая стоимость реализации.
2) Не требуется специальной сетевой операционной системы.
Недостатки одноранговых сетей:
1) Каждый пользователь должен выполнять функции администратора.
2) Меньшая безопасность.
3) Снижается производительность при совместном использовании ресурсов.
Преимущества сетей клиент-сервер:
1) Безопасность.
2) Высокая скорость.
3) Возможность резервного копирования.
Преимущества сетей клиент-сервер:
1) Дорогое программное обеспечение.
Выделенные серверы
1 - Файловые серверы (хранят какие‑то данные).
2 - Серверы печати.
3 - Сервер приложений (компьютер, на котором установлены сетевые приложения).
4 - Контроллеры доменов (хранят информацию об учетных записях пользователя).
5 - Web-серверы (выполняют программное обеспечение Web‑узлов).
Для Windows – Internet Information Server (IIS),
Для Unix – Apache.
6 - Серверы электронной почты.
7 - Серверы удаленного доступа.
8 - Proxy-сервер (служат промежуточными звеньями между рабочими станциями пользователей и Internet, повышают безопасность компьютерной сети и управляют потоком пересылаемых в Internet данных и наоборот).
9 - DHCP-сервера (присваивают IP-адреса к компьютерам локальной сети).
10 - Сервера DNS (Domain Net System) – сервера разрешения имен.

3. Сетевые операционные системы
1) Семейство Windows.
2) Семейство Unix.
3) Семейство Netware.
Все современные предприятия работают на всех трех операционных системах.
Преимущества Unix:
1) Самая надежная операционная система.
2) Открытость операционной системы.
Варианты Unix:
Серверные платформы Unix, например ОС Solaris (фирмы Sun);
Linux – свободно распространяемые ОС.
Большинство современных сетей можно рассматривать как смешанные, состоящие из Unix, Windows и Netware.
Для взаимодействия разных операционных систем в рамках одной сети используются специальные шлюзы, конвертирующие данные одной файловой системы в другую.
Например:
1) Для взаимодействия Windows с Netware используются шлюзы:
CSNW
GSNW
2) Windows и Unix:
SAMBA
4. Протоколы.
Сетевой протокол – набор правил, которых придерживаются связанные в сети компьютеры.
Протоколы бывают:
1) Маршрутизируемые (позволяют отсылать пакеты в разные сети).
2) Немаршрутизируемые (работают в локальных сетях).
Протоколы: TCP/IP, TPX/SPX – маршрутизируемые.
Протоколы TCP/IP:
Недостатки:
1. Низкое быстродействие.
2. Наибольшая сложность конфигурации.
Преимущества:
1 - этот протокол самый широко используемый, так как имеет очень гибкую схему адресации, которая идеально подходит для маршрутизации.
2. Протокол поддерживается всеми ведущими операционными системами.
3. Разработано большое количество утилит по обслуживанию протокола.
4. TCP/IP – стандарт Интернета.

5. Топологии.
Разделяют физическую и логическую топологию.
Физическая топология обусловливает форму сети и путь прокладки кабеля. Логическая топология – логический путь прохождения пакета.
Наиболее распространенные физические топологии:
1. Шинная.
2. Кольцевая.
3. Звездообразная.
4. Ячеистая.
5. Смешанная.

Шинная топология
Контур сети не замкнутый. Сеть строится на коаксильном кабеле. Один из компьютеров должен быть заземлен. В таких сетях используется как толстый, так и тонкий коаксильный кабель.
Используемые стандарты:
• 10 Base 2 (длина сегмента – 185 метров);
• 10 Base 5 (длина сегмента – 500 метров).



Рис.4.1.1. Шинная топология.
Сообщение, посылаемое каждым компьютером, поступает на все компьютеры. Сетевая карта каждого компьютера по заголовкам пакета определяет, предназначено ли ему это сообщение.
Преимущества:
- простота реализации.
Недостатки:
- используется для небольших локальных сетей, так как сигнал сильно подвержен затуханию.
- при разрыве кабеля вся сеть становится неработоспособной.
В настоящий момент данная топология в силу свих недостатков уже практически не используется.
Кольцевая топология.
Используется в логической топологии Token Ring.


Рис. 4.1.2. Кольцевая топология.
Принцип работы:
Сигнал проходит по кольцу в одном направлении - против часовой стрелки. Перед передачей формируется последовательность пакетов, в начале которой устанавливается маркер с MAK адресом принимающего компьютера. Каждый компьютер принимает сообщение от верхнего соседа и проверяет состояние маркера. Если МАК адрес совпадает, пакеты забираются, если нет - вновь производится передача по кольцу.
Эта топология активна, так как каждый компьютер восстанавливает силу сигнала.
Преимущества:
- простата реализации.
Недостатки:
- при разрыве кабеля сеть становится неработоспособной.
- затруднительно добавить компьютер в сеть.

Звездообразная топология.
Самая распространенная топология локальных сетей: все компьютеры подсоединяются к концентраторам (хаб или свич).
Концентратор может быть двух видов:
1) активный (Swich) – принимает пакет и направляет его в порт принимающего компьютера. Обладает функцией повторителя (усилитель сигнала),
2) пассивный (Hub) - принимает пакет и направляет его во все свои порты.
Используются витые пары и провода 10 Base T, 100 Base T, 1000 Base T.
Принцип работы:
Сигнал от сетевой карты передается на Hub, усиливается и передается на все порты (если используется Swich, то сигнал поступает на конкретный порт).
Преимущества:
1. Устойчив в сбоях.
2. Легко меняется конфигурация сети простым подключением компьютера к свободному порту.


Рис. 4.1.3. Звездообразная топология.



Ячеистая топология.
Все компьютеры соединены между собой. Самая надежная из всех перечисленных (рис. 4.1.4.).









Рис. 4.1.4. Ячеистая топология.

Недостатки: большая трудоемкость по созданию соединений компьютеров.
Смешанная топология.
Получается путем объединения двух топологий: звезды и шины.








Рис. 4.1.5. Смешанная топология.
6. Классификация по архитектуре.
Архитектура определяется набором спецификаций, определяющих топологию, типы кабелей для связи разных сегментов в сети, ограничения на расстояние, методы сетевого доступа, структуру и размер пакетов.
Все это называется протоколами канального уровня.
Самая распространенная архитектура локальных сетей: Ethernet. Она разработана в 60-х годах для организации сетей типа «звезда» и «шина».
Пропускная способность:
стандартный Ethernet – 10 Мбит/с,
Fast Ethernet – 100 Мбит/с,
Gigabit Ethernet – 1 Гбит/с.
В зависимости от используемого типа кабеля выделяются следующие архитектуры Ethernet:
1. 10 Base 5
2. 10 Base 2
Варианты 1 и 2 - используются для соединения локальных сетей через коаксильный кабель.
3. 10 Base T
4. 100 Base T
5. 1000 Base T
Варианты 3,4,5- используются для организации локальных сетей на витой паре
6. 10 Base FL для оптоволоконной связи.
7. 100 Base FL

Стандарт 10 Base 5.
Максимальная длина сегмента - 500м, скорость - 10 Мбит. Кабель – толстый коаксильный. Используется только на шинной топологии. Используется для построения общей магистрали для создания локальных сетей.
Стандарт 10 Base 2.
Длина – 185м, скорость – 10 Мбит, кабель – тонкий коаксильный.
Категории кабеля, используемые в витой паре:
1. cat1 – телефонные провода (используется только для голосового сигнала),
2. cat2 – скорость передачи - 4 Мбит/с. передается, телефонные провода,
3. cat3 – скорость передачи - 16 Мбит/с.,
4. cat4 – для соединения сетей, 20 Мбит/с., для Ethernet с пропускной способностью 10 Мбит/с.,
5. cat5 – 100 Мбит/с – 1 Гбит/с, для Fast Ethernet и Gigabit Ethernet,
6. cat5е – 155 Мбит/с – 1 Гбит/с, аналогично cat5,
7. cat6, cat7 - больше 1 Гбит/с, для гигабитных карт.

Правила установки Ethernet
Чтобы сеть правильно функционировала, при ее установке необходимо придерживаться определенных правил, устанавливаемых стандартами Ethernet.
Правило 5-4-3:
5 – максимальное количество сегментов кабелей,
4 – максимальное количество повторителей, соединяющих эти сегменты,
3 – максимальное количество заселенных сегментов.


§ 4.2. Локальные сети. Сети Ethernet, Token Ring, FDDI.

Стандарт Ethernet.

Ethernet — это протокол Канального уровня, используемый подавляющим большинством современных локальных вычислительных сетей. В течение более чем 20 лет было создано несколько различных версий стандартов Ethеrnet, наиболее новые из них обеспечивают впечатляющую скорость работы по сравнению с оригинальным протоколом. Так как все вариации Ethernet функционируют, используя одни и те же базовые принципы, и из-за того, чтo высокоскоростные технологии Ethernet разрабатывались с учетом обратной совместимости, обновление традиционной 10 Мбит/с сети до 100 Мбит/с или более является сравнительно легкой задачей. Эта гибкость являет разительный контраст по сравнению с другими высокоскоростными технологиями, например FDDI или ATM, которые могут требовать значительных изменений инфраструктуры, таких как замена старой кабельной системы на новую, а также подготовки персонала, обслуживающего новую технологию.
Протокол Ethernet обеспечивает унифицированный интерфейс к сетевой среде передачи, который позволяет операционной системе использовать для приема и передачи данных несколько протоколов Сетевого уровня одновременно. Подобно большинству протоколов Канального уровня, Ethernet, в .технических терминах, является протоколом без установления соединения и соответственно ненадежным. Ethernet предпринимает большие усилия для передачи данных в назначенное место, но нет никакого механизма, гарантирующего успешную доставку. Обеспечение этого типа услуг оставляется протоколам, работающим на верхних уровнях модели OSI, в зависимости от того, требуют ли данные гарантии доставки или нет.
Спецификации Ethernet определяют протокол как совокупность из трех необходимых компонентов:
1 - набора правил Физического уровня, задающих типы кабеля и ограничения кабельной системы для сетей Ethernet;
2 - формата кадра, задающего порядок и назначение битов, передаваемых в пакете Ethernet;
3 - механизма управления доступом к среде, называемого множественным доступом с контролем несущей и обнаружением коллизий.
С точки зрения готового изделия, протокол Ethernet реализован в виде cледующих составляющих: плат сетевых адаптеров, которые вставляются в компьютеры, драйверов сетевых адаптеров, позволяющих операционной системе взаимодействовать с адаптерами и концентраторов, соединяющих компьютеры друг с другом. Во время приобретения сетевых адаптеров и концентраторов для того, чтобы они могли работать вместе, необходимо удостовериться, что все они поддерживают одни и те же стандарты Ethernet.
В самых ранних Ethernet-реализациях, датируемых 1970-ми годами, данные передавались через узкополосные соединения, при этом использовался коаксиальный кабель, работающий со скоростью 10 Мбит/с, и манчестерское кодирование сигналов. В дальнейшем данный метод получил название "толстый Ethernet", так как сам кабель был приблизительно один сантиметр в диаметре и напоминал садовый шланг (действительно, цвет и жесткость этого кабеля привели к тому, что его стали называть "замороженным желтым садовым шлангом"). Первый стандарт Ethernet был опубликован в 1980 году консорциумом компаний, включающим фирмы Dec, Intel, и Xerox, получившим сокращенное название DIX.
Стандарт DIX Ethernet 2 был опубликован в 1982 году и расширил возможности Физического уровня, добавив другой тип коаксиального кабеля, который, соответственно своей толщине, получил название "тонкий Ethernet", наиболее распространенный сегодня.
Стандарт Fast Ethernet был предложен в 1995-м году под именем IEEE 802.3u. Он увеличивает пропускную способность сети в десять раз до 100 Мбит/с и использует витую пару или оптоволоконный кабель. Новейшая разновидность Ethernet, названная Gigabit Ethernet, определена в IEEE 802.3z. Она увеличивает быстродействие сети еще в десять раз до уровня 1000 Мбит/с или 1 Гбит/с.
Механизм управления доступом к среде CSMA/CD
Наиболее характерная особенность сети Ethernet — это механизм управления доступом к среде, который называется множественным доступом с контролем несущей и обнаружением коллизий (CSMA/CD, Carrier Sense Multiple Access with Collision Detection). Подобно любому методу MAC,.CSMA/CD позволяет компьютерам в сети совместно разделять единую узкополосную среду передачи без потери данных. В сети Ethernet нет приоритетов, поскольку на этом основан метод доступа к среде. Протокол разработан таким образом, что каждый узел имеет равные права на доступ к сетевой среде передачи.
Когда узел в сети Ethernet хочет передать данные, сначала он "прослушивает" сетевую среду, пытаясь определить, используется ли она. Это — фаза контроля несущей. Если узел выявляет в сети трафик, он выдерживает корот­кую паузу и снова прослушивает сеть.Если сеть свободна, то любой узел в сети может осуществить через нее передачу своих данных. Это — фаза множественного доступа. Описанный механизм сам управляет доступом к среде передачи, но не без ошибок.
Вполне возможно для двух (или более) систем установить, что сеть свободна, и начать передавать свои данные примерно в один и тот же момент. Это приводит к спорной ситуации, которая в спецификациях IEEE называется ошибкой качества сигнала (SQE, signal quality error) или коллизией (collision). Коллизии возникают, когда одна система передает данные, а другая система выполняет контроль несущей в течение короткого промежутка времени до того момента, как первый бит переданного пакета достигнет ее (рис. 8.1). Этот интервал известен как время состязания (contention time) или временной зазор (slot time), так как каждая вовлеченная в процесс система полагает, что она начала передавать данные первой. Таким образом, каждый узел в сети всегда находится в одном из тpex возможных состояний: передаче, соревновании или ожидании.
Если узел А начал передавать свои данные, но пока начало пакета еще не достигло узла В, узел В полагает, что сеть свободна. Если узел начнет передачу в этот момент, то возникнет коллизия.
Когда сталкиваются пакеты от двух различных узлов, сигналы, посланные от сетевых карт компьютеров обнуляются и посланная информация теряется. В коаксиальной сети уровень напряжения стремится к точке, в которой он равен или больше, чем объединенные уровни двух трансмиттеров (+/-0,85 В). В сети из оптоволоконного кабеля или витой пары отклонения имеют форму одновременной активности сигнала в принимающей и передающей цепи.
Когда каждая передающая система выявляет ненормальную ситуацию, она осознает, что имеет место коллизия, немедленно прекращает посылать данные и предпринимает действия, чтобы исправить эту ситуацию. Это — стадия обнаружения коллизии. Из-за того, что столкнувшиеся пакеты считаются поврежденными, обе задействованные системы передают в остальную сеть сигнал задержки (jam pattern), который устанавливает во всем кабеле напряжение, информирующее другие системы в сети о столкновении и предотвращающее возможную передачу ими данных.

Сети Token Ring и FDDI.
FDDI (Fiber Distributed Date Interface) – это стандарт, ориентированный на передачу данных по волоконно-оптическому кабелю со скоростью 100 М/с. Технология FDDI во многом основывается на технологии Token Ring, развивая и совершенствуя ее основные идеи. Тем не менее основные отличия протоколов следующие:
1 – в Token Ring (рис. 4.1.2) станция, передающая кадры, удерживает маркер до тех пор, пока не получит все отправленные пакеты. В FDDI станция выпускает маркер непосредственно за окончанием передачи кадра.
2 – FDDI не использует приоритет и поля резервирования, которые Token Ring использует для выделения системных ресурсов.

Принцип действия.
Классический вариант сети FDDI строится на основе двух колец (двойного кольца), световой сигнал по которым распространяется в противоположных направлениях. Каждый узел подключается на прием и передачу к обоим кольцам. В нормальном режиме работы данные идут от станции к станции только по одному из колец против часовой стрелки, которое называется первичным. Все станции, кроме передающей и принимающей, осуществляют ретрансляцию данных и являются сквозными. Вторичное кольцо является резервным и в нормальном режиме работы сети для передачи данных не используется. В случае отказа сети, когда часть первичного кольца не в состоянии передавать данные, для передачи активизируется вторичное кольцо.

§ 4.3. Глобальные сети.
Существующие сети принято в настоящее время делить в первую очередь по территориальному признаку.
1. Локальные сети. Локальные сети – это компьютерная сеть, в которой ЭВМ расположены на небольшом расстоянии друг от друга (до двух километров), не использующая средство связи общего назначения (типа телефонных сетей). Обычно такие сети действуют в пределах одного учреждения. Применение локальных сетей дает возможность существенно повысить производительность труда сотрудников учреждений и организаций в целом.
Не менее чем в два раза можно повысить эффективность работы учреждений за счет внедрения локальных сетей.
2. Глобальные сети. Такая сеть охватывает, как правило, большие территории (территорию страны или нескольких стран). ЭВМ располагаются друг от друга на расстоянии до нескольких сотен километров.
3. Региональные сети. Они существую в пределах города, района. В настоящее время каждая такая сеть является частью некоторой глобальной сети и особой спецификой, по отношению к глобальным, не отличается.
При соединении двух или более сетей между собой, возникает межсетевое объединение и образуется глобальная компьютерная сеть. Глобальная сеть может охватывать город, область, страну, континент и весь земной шар, а может охватывать географически всю страну, но не всех ее граждан. Например, Министерство обороны может иметь свою национальную сеть, а Министерство образования – свою. Эти сети могут охватывать всю страну, но нигде не пересекаться.
Примером глобальной сети может служить широко известная сеть интернет, разветвленная практически по всему миру. В узком смысле слова интернет обозначает сеть, состоящую из двух или более взаимосвязанных сетей.
Однако, есть более широкий смысл слова Интернет. В настоящее время в мире насчитываются сотни тысяч больших и малых сетей. Так постепенно образовалось единое информационное поле, состоящее из миллионов взаимосвязанных компьютеров. Это единое информационное пространство и называют Интернет. Самое простое определение Интернета такое: – это сеть сетей.
Возможности сети Интернет определяются ее тремя основными функциями:
- электронная почта, которая позволяет отправлять сообщения одному или нескольким лицам, получать информацию от любого лица и от компьютерных программ;
- передача файлов. Процедура определяется «протоколом передачи файлов», позволяет входит в удаленные ПЭВМ и обращаться к их каталогам, открытым для общего пользования;
- удаленный доступ. Иначе называется Telnet, позволяет подключиться к удаленной ПЭВМ и работать с ней в режиме диалога. С помощью процедуры Telnet можно входить в любые ЭВМ, которые включены в состав Internet, находить информацию о чем угодно, работать с этой удаленной ПЭВМ как с собственной.
Наличие трех указанных функций (базовых видов услуг) дает возможность организовать в Интернет и предоставить пользователю все мыслимые виды сетевых услуг.
Среди множества услуг, предоставляемых сетью Internet, самый популярный сервис в настоящее время – WWW (Word Wide Web – всемирная паутина). WWW – удобное средство непосредственного доступа к информации, расположенной на Интернет.
WWW работает с мультимедийным документом, то есть с документом, который включает информацию, предоставленную в виде текста, звука, трехмерных изображений и так далее. Такой документ называется Web-страницей, он составляется по определенным правилам.
Вся информация, с которой работает WWW, предоставляется в виде Web-страниц. Каждая страница имеет адрес.
Страницы хранятся на ЭВМ, называемых Web-серверами, которые «вооружены» специальным комплексом программ и являются частью Интернет.
В условиях России подключение пользователей к Internet осуществляется через региональные или национальные (то есть охватывающие территорию всей страны) сети, действующие на территории России и имеющие связь с Интернет.

Резюме
Компьютерная сеть – это вид связи и информационного сервиса, превращающий компьютер в нечто среднее между телевизором и библиотекой, доступной по телефону. Родоначальниками таких связей можно считать большие ЭВМ (Большие Вычислительные Комплексы и суперЭВМ), обслуживающие одновременно значительное число пользователей с помощью удаленных терминалов (дисплеев). Последние связывались с ЭВМ с помощью специальных кабелей.
Компьютерные сети создаются для того, чтобы пользователи могли получить доступ к ресурсам сети, которые находятся на других ПК. К ресурсам сети относят файлы, принтеры и модемы.
Каждый ПК в сети оснащается сетевой платой. Сетевые платы с помощью сетевых кабелей объединяют ПК в единую сеть. ПК подключенный к сети называется или рабочей станцией, или сервером в зависимости от выполняемых функций.
Компьютерные сети (сети ЭВМ) обычно называют совокупность взаимосвязанных и распределенных на некоторой территории ЭВМ.
В сегодняшнем понимании компьютерные сети это сложная структура, основанная на трех основных принципах.
Первый из них – наличие единого центра, ведающего координацией деятельности и развитием сети.
Второй – использование системы маршрутизации, позволяющий сообщению двигать по цепочке узлов сети без дополнительного вмешательства человека.
Третий – применение единой стандартной адресации, делающей сеть «прозрачной» для внешних сетей, а последнее – доступным для любой абонентской точки системы.


Вопросы для самопроверки.
1. Что такое локальные компьютерные сети?
2. Что такое глобальные компьютерные сети?
3. Принцип действия стандарта Ethernet.
4. Принцип действия стандарта FDDI.
5. Принцип действия стандартаToken Ring.

Глава 5. Протоколы и основы работы в сети.
§ 5.1. Сетевой протокол TCP/IP.
Сетевая модель TCP/IP состоит из 4 уровней (рис.5.1). Основные протоколы, входящие в стек протокола TCP/IP – это протоколы TCP, UDP, IP, ARP, ICMP, IGMP.


Рис.5.1. Сравнение спротокола TCP/IP и сетевой модели OSI.
Протокол TCP.
Прежде чем начать передавать данные, TCP устанавливает связь с помощью сообщений, уведомлений и ответов.
Протокол TCP – надежный протокол передачи с проверкой и подтверждением прихода пакетов. Применяется в основном для передачи данных, работает медленно.
Протокол UDP работает быстро, поскольку не ведет проверку правильности передачи и в основном используется для технических целей (например, для широковещания).
Схема работы протокола TCP представлена на рис. 5.2.


Рис. 5.2. Схема работы протокола TCP.
Алгоритм работы протокола TCP/IP:
1. пересылка первого пакета узлу В с запросом на установку соединения
2. выделение памяти под передаваемые данные и подтверждение приема пакета от узла А
3. подтверждение приема начального значения последовательности от узла В, установка соединения и начало обмена данными
Функции TCP-протокола:
1. Создает и упорядочивает пакеты
2. Передает и проверяет на ошибки пришедшие пакеты

UDP.
Не ориентирован на установку соединения. Не выполняет нумерацию пакетов данных. Так как нет проверки на ошибки, то работает быстрее, чем TCP. UDP используется при передаче данных, например, по протоколу RIP (при динамической маршрутизации).

Работа протокола IP.
Решаемые задачи:
1. Определяет, куда переправлять пакет (в локальную сеть или на маршрутизатор).
2. Регулирует объем передаваемых данных в пакете.
Схема работы протокола IP
1. Определяется , направить ли пакет на маршрутизатор или в локальную сеть по алгоритму:
для обоих адресов (компьютеров) делается перемножение IP-адреса и маски, если результат одинаковый, значит компьютеры в одной сети, и пакет идет широковещанием в локальную сеть, если нет, то пакет уходит на шлюз по умолчанию;
2. маршрутизатор, получив пакет, просматривает свою таблицу маршрутизации и отправляет пакет в сеть назначения. Если же пути в таблице нет, то пакет уходит на шлюз маршрутизатора на второй маршрутизатор, если и там пути нет, то выдается сообщение «Сеть не доступна».
Схема работы протокола ARP
Если пакет отправляется на широковещание, то включается ARP-протокол. Его задача – определить MAC-адрес второго компьютера. Для этого ARP-протокол имеет кэш.
Команда arp –a просмотр кэша.
При выключении компьютера кэш обнуляется, а при включении кэш снова формируется либо вручную, либо через ARP- сервер, либо автоматически широковещательными сообщениями компьютерам сети.
Протокол ICMP
Это протокол сообщений, который используется некоторыми утилитами (например, ping). Используется как локальными компьютерами, так и маршрутизаторами.
Протокол IGMP
Предназначен для групповой рассылки, например среди маршрутизаторов

§ 5.2. Утилиты TCP/IP.
Диагностические утилиты.

Для проверки работоспособности стека TCP/IP Windows XP и Linux содержат ряд утилит командной строки, каждая из которых отвечает за проверку работоспособности определенной части стека TCP/IP.
Утилита
Описание
Ipconfig
Отображает текущую конфигурацию TCP/IP, позволяет управлять выделением и освобождением динамического адреса
Ping
Проверяет возможность связи с другим хостом сети
Arp
Просмотр и управление кэшем ARP
Nbtstat
Отображает информацию о NetBIOS-соединениях, использующих TCP/IP
Netstat
Отображает информацию о TCP- и UDP-соединениях
Route
Управляет локальной таблицей маршрутизации
Hostname
Выводит имя хоста
Tracert
Отображает маршрут до удаленного хоста
Nslookup
Осуществляет разрешение имени с использованием DNS сервера

Утилита ipconfig.
Утилита ipconfig предназначена для отображения параметров настройки TCP/IP и управления получением параметров от DHCP-сервера. Она имеет следующий синтаксис:

ipconfig [/all | /renew [adapter] | /release [adapter] | /flushdns | /displaydns | /registerdns | /showclassid adapter | /setclassid adapter [classid]]

Описание ключей утилиты ipconfig приведено в таблице:
Ключ
Описание
/all
Отображает подробную информацию о параметрах настройки протокола TCP/IP для всех соединений компьютера
/renew [adapter]
Обновляет аренду IP-адреса на DHCP-сервере для указанного соединения. Если соединение не указано, то обновляются IP-адреса для всех соединений, настроенных на использование DHCP
/release [adapter]
Освобождает выделенный IP-адрес для указанного соединения. Если соединение не указано, то освобождаются IP-адреса для всех соединений, настроенных на использование DHCP
/flushdns
Очищает кэш DNS-клиента
/displaydns
Отображает содержимое кэша DNS-клиента
/registerdns
Обновляет аренду всех полученных динамических адресов и заново регистрирует адреса всех соединений на DNS-сервере
/showclassid adapter
Отображает все идентификаторы классов, допустимых для указанного адаптера
/setclassid adapter [classid]
Устанавливает новый идентификатор класса DHCP для адаптера. Если идентификатор класса опущен, то идентификатор класса для данного адаптера сбрасывается

При вызове утилиты ipconfig без параметров отображается краткая информация обо всех соединениях, сконфигурированных на использование протокола TCP/IP. Отображаются: IP-адрес, маска подсети и основной шлюз. В качестве параметра adapter указывается имя соединения. Вы можете использовать маски при задании имен соединений. При задании маски выводится информация относительно всех соединений, удовлетворяющих маске.
Утилита ping.
Утилита ping предназначена для отправки эхо-запроса на удаленный хост и получение от него ответа. Она имеет следующий синтаксис:
ping [-t] [-a] [-n кол-во] [-l размер] [-f] [-i TTL] [-v TOS] [-r кол-во] [-s кол-во] [[-j список_хостов] | [-k список_хостов]] [-w тайм_аут] имя_хоста
Описание ключей утилиты ping приведено в таблице.

Ключ
Описание
-t
Посылает пакеты на указанный адрес до тех пор, пока операция не будет прервана вручную. Прерывание осуществляется клавишами Ctrl+Break или Ctrl+C
-a
Разрешает IP-адреса в DNS-имена
-n кол-во
Определяет количество посылаемых пакетов. По умолчанию - 4
-l размер
Определяет размер посылаемого пакета. По умолчанию - 32 байта. Максимальный размер пакета - 65500 байт
-f
Запрещает фрагментацию пакетов
-i TTL
Определяет время жизни пакета (значение от 1 до 255)
-v TOS
Определяет тип службы (значение от 0 до 255)
-r кол-во
Отображает записи маршрута для указанного числа шагов. Максимальное число шагов - 9
-s кол-во
Отображает штамп времени для указанного числа шагов. Максимальное число шагов - 4
-j список_хостов
Задает список хостов, по которому должен быть осуществлен свободный выбор маршрута
-k список_хостов
Задает список хостов, по которому должен быть осуществлен жесткий выбор маршрута
-w таймаут
Задает время ожидания в миллисекундах при отправке каждого пакета
имя_хоста
Задает имя или IP-адрес хоста, связь с которым должна быть проверена. При указании имени используется служба DNS для получения соответствующего IP-адреса, поэтому для проверки работоспособности протокола TCP/IP лучше указывать IP-адреса

Утилита ping выводит информацию по каждому запросу, отправленному на указанный хост. Ниже приведен типичный пример ответа утилиты ping.
Утилита выводит IP-адрес и имя проверяемого хоста (IP-адрес выводится всегда, имя - только при указании параметра -a). Для каждого отправленного пакета выводится информация о размере, времени отклика и времени жизни. После этого выводится статистика: количество отправленных, полученных и утерянных пакетов, процент потерь, минимальное, максимальное и среднее время отклика. При использовании достаточно больших пакетов и отправке большого количества запросов вы сможете приблизительно оценить качество канала связи.
В случае невозможности проверить доступность хоста утилита выводит информацию об ошибке. Ниже приведен пример ответа утилиты ping при попытке послать запрос на несуществующий хост.
Утилита сообщает не об отсутствии хоста, а о том, что за отведенное время не был получен ответ на посланный запрос. Причиной этого не обязательно является отсутствие хоста в сети. Проблема может крыться в сбоях связи, перегрузке или неправильной настройке маршрутизаторов и т. п.
Утилита tracert.
Утилита tracert предназначена для исследования маршрута до удаленного хоста. Она имеет следующий синтаксис:
tracert [-d] [-h кол-во_узлов] [-j список_узлов] [-w тайм_аут] имя_хоста
Описание ключей утилиты tracert приведено в таблице:
Ключ
Описание
-d
Отключает разрешение IP-адресов хостов в DNS-имена. Позволяет значительно ускорить процедуру проверки
-h кол-во_узлов
Ограничивает количество узлов до исследуемого хоста. По умолчанию - 30
-j список_хостов
Свободный выбор маршрута по указанному списку хостов
-w таймаут
Время ожидания в миллисекундах при отправке каждого пакета
имя_хоста
Имя или IP-адрес хоста, маршрут до которого должен быть исследован. При указании имени используется служба DNS для получения соответствующего IP-адреса, поэтому для проверки работоспособности протокола TCP/IP лучше указывать IP-адреса

Утилита tracert отображает информацию обо всех маршрутизаторах, через которые проходят пакеты, направляемые на указанный хост. Утилита tracert использует тот же протокол (ICMP), что и ping, посылая по 3 запроса на каждый маршрутизатор. Информация о маршруте выводится в виде, аналогичном утилите ping. Ниже приведен типичный пример ответа утилиты tracert.
Утилита выводит имя и IP-адрес исследуемого хоста. Для каждого маршрутизатора выводится номер шага, скорость ответа на все три отправленных запроса, имя и IP-адрес маршрутизатора. Если один из ping-запросов остался без ответа, вместо времени ответа в соответствующей колонке выводится звездочка. Если указан параметр -d или утилите не удалось получить имя хоста, в таблице выводится только IP-адрес соответствующего маршрутизатора. Данная утилита позволяет определить проблемное место на пути до исследуемого хоста (как место обрыва, так и место ухудшения качества соединения). Первое определяется по отсутствию ответа после определенного маршрутизатора, второе - по значительно возросшему времени отклика.
При сбое на одном из узлов маршрута утилита tracert , также как и ping, сообщает об отсутствии ответа от хоста:
Отсутствие ответа от хоста в глобальной сети еще не говорит о его недоступности. Сейчас многие крупные компании блокируют отправку ICMP-ответов на полученные запросы, что приводит к результату, показанному выше. По этой причине для проверки маршрутов и доступа к глобальной сети следует использовать адреса хостов, не блокирующих ICMP-запросы.

Утилита arp
Утилита arp предназначена для просмотра таблицы соответствия IP-адресов MAC-адресам и внесения изменений в эту таблицу. Она имеет следующий синтаксис:
arp -s ip_адрес mac_адрес [адрес_интерфейса]
arp -d ip_адрес [адрес_интерфейса]
arp -a [-N адрес_интерфейса]
Описание ключей утилиты arp приведено в таблице:
Ключ
Описание
-a
Отображает локальную таблицу соответствия IP-адресов MAC-адресам. Если указан IP-адрес, то выводится информация из таблицы только для соответствующего компьютера. Если в системе установлено более одного сетевого адаптера, то выводится информация из таблицы ARP для всех сетевых адаптеров
-g
То же, что и -a
ip_адрес
IP-адрес
-N адрес_ин-терфейса
Указывает, что выводятся данные из таблицы ARP только указанного адаптера
-d
Удаляет указанный хост из таблицы ARP. При задании IP-адреса допустимо использование символа * для удаления нескольких адресов. Если адрес интерфейса не указан, то соответствующие записи будут удалены из таблиц всех интерфейсов
-s
Добавляет в таблицу ARP статическую запись. Если не указан адрес интерфейса, то запись будет добавлена в таблицы всех интерфейсов. Статические записи сохраняются только на время работы компьютера - после перезагрузки статические записи требуют повторного добавления
mac_адрес
MAC-адрес. Указывается в виде 6 шестнадцатеричных чисел, разделенных дефисами
адрес_ин-терфейса
IP-адрес интерфейса. Если адрес интерфейса не указан, то используется первый доступный интерфейс


Утилита hostname.
Утилита hostname предназначена для отображения имени локального компьютера. Она не имеет параметров и выводит на экран только имя локального компьютера. С помощью этой утилиты можно быстро узнать имя компьютера, не прибегая к Панели управления.


Утилита route.
Утилита route предназначена для работы с локальной таблицей маршрутизации. Она имеет следующий синтаксис:
route [-f] [-p] [команда [узел] [MASK маска] [шлюз] [METRIC метрика] [IF интерфейс]]
Описание ключей утилиты route приведено в таблице.
Ключ
Описание
-f
Очистка таблицы маршрутизации. Если этот ключ указан вместе с какой-либо командой, то очистка производится перед выполнением команды
-p
При указании совместно с командой ADD создает постоянную запись, которая сохраняется после перезагрузки компьютера. По умолчанию записи таблицы маршрутов не сохраняются при перезагрузке
команда
Одна из четырех команд:

PRINT - вывод информации о маршруте;

ADD - добавление маршрута;

DELETE - удаление маршрута;

CHANGE - изменение маршрута.
узел
Адресуемый узел
MASK маска
Если указывается ключевое слово MASK, то следующий за ним параметр является маской подсети. По умолчанию используется маска 255.255.255.255
шлюз
Адрес шлюза
METRIC метрика
Если указывается ключевое слово METRIC, то следующий за ним параметр является метрикой маршрута
IF интерфейс
Если указывается ключевое слово IF, то следующий за ним параметр является идентификатором интерфейса, который будет использован для пересылки пакета
узел
Адресуемый узел
MASK маска
Если указывается ключевое слово MASK, то следующий за ним параметр является маской подсети. По умолчанию используется маска 255.255.255.255
шлюз
Адрес шлюза
METRIC метрика
Если указывается ключевое слово METRIC, то следующий за ним параметр является метрикой маршрута
IF интерфейс
Если указывается ключевое слово IF, то следующий за ним параметр является идентификатором интерфейса, который будет использован для пересылки пакета

Для команд PRINT и DELETE возможно использование символов подстановки при указании адресуемого узла или шлюза. Параметр шлюза для этих команд может быть опущен.

Утилита nslookup.
Утилита nslookup предназначена для выполнения запросов на разрешение имен в IP-адреса к DNS-серверам. Утилита достаточно сложна и содержит свой собственный командный интерпретатор. Ниже будет рассмотрен только простейший способ вызова nslookup, достаточный для проверки работы DNS.
В простейшем случае утилита nslookup имеет следующий синтаксис:
nslookup [хост [сервер]] Описание ключей утилиты nslookup приведено в таблице.
Ключ
Описание
хост
DNS-имя хоста, которое должно быть преобразовано в IP-адрес
сервер
Адрес DNS-сервера, который будет использоваться для разрешения имени. Если этот параметр опущен, то будут последовательно использованы адреса DNS-серверов из параметров настройки протокола TCP/IP

Например, при вводе команды nslookup center.fio.ru
утилита выдает следующую информацию о хосте:
Server: net-server.net.fio.ru
Address: 213.128.193.114
Name: msk-server-ext2.msk.net.fio.ru
Address: 213.128.193.116
Aliases: center.fio.ru, www.center.fio.ru, www.msk.net.fio.ru
Первые две строки ответа содержат имя и IP-адрес DNS-сервера, который был использован для разрешения имени. Следующая строка содержит реальное DNS-имя хоста и его IP-адрес. Также может присутствовать строка Aliases, которая содержит альтернативные имена того же хоста.
Любой хост имеет запись типа A на одном или нескольких DNS-серверах. Для удобства пользователей и упрощения администрирования DNS-зоны очень часто используются записи CNAME, являющиеся ссылками на A-записи. Это позволяет давать одному хосту несколько символических имен, но при изменении IP-адреса хоста нужно изменить только одну запись (A). Утилита nslookup в качестве основного имени хоста указывает именно его A-запись, а все имена, присвоенные хосту через записи CNAME, указываются в строке Aliases.
Если в качестве первого параметра утилите nslookup задать не имя хоста, а имя домена, то утилита просто проверит существование такого домена:
Server: net-server.net.fio.ru
Address: 213.128.193.114
Name: fio.ru
При невозможности преобразовать имя в IP-адрес утилита nslookup сообщает о том, что указанный домен не обнаружен.
Чтобы познакомиться с командным режимом утилиты nslookup, введите в командной строке команду nslookup без параметров. После того как появится приглашение для ввода команд nslookup, введите help и нажмите Enter.

§ 5.3. IP адресация.
Любой компьютер, работающий в сети, имеет три уникальных параметра: MAK адрес сетевой карты, имя компьютера в сетевом окружении и IP адрес. Все три параметра используются при организации межсетевого взаимодействия.
IP адрес определяет два параметра: координаты сети в которой находится компьютер и координаты самого компьютера в данной сети (рис.5.3.1)


Рис.5.3.1. IP адрес.

IP адрес состоит из четырех октетов:
IP адрес = X.Y.Z.T , где X,Y,Z,T = 0…255

Пример IP адреса показан в таблице 5.3.1.
Таблица 5.3.1.
Идентификатор сети
Идентификатор узла
X
Y
Z
T
IP адрес 135.108.50.5
Координаты сет - 135.108.0.0
Координаты компьютера - 50.5

Чтобы определить, какя часть IP адреса задает координаты сети, а какая координаты компьютера в данной сети используется маска подсети, которая задается так же четырмя октетами. Если значение октета равно нулю, то он задает координаты компьютера, если равно значению 255 – координаты сети, если равно одному из следующих значений: 192, 224, 240, 248, 252, 254 – то в октете одновременно задаются и координаты сети и координаты компьютера (таблица 5.3.2).
Таблица 5.3.2. Маски стандартных сетей.
Класс сети
Маска подсети
A
255.0.0.0
B
255.255.0.0
C
255.255.255.0

Классы IP-адресов.

Все пространство IP адресов (протокол TCP/IP четвертой версии задает около 3 млд. 800 млн. IP адресов) разбито на пять классов, характеристики которых приведены в таблице 5.3.3. Принадлежность к классу определяется по значению первого октета.

Таблица 5.3.3. Характеристики классов подсетей.
Класс сети
Координаты сети
Координаты компьютера
1 октет
A
X
Y.Z.T
1-126
B
X.Y
Z.T
128-191
C
X.Y.Z
T
192-223
D
X.Y.Z
T
224-239
E
X.Y.Z
T
240-247


Количество компьютеров и сетей в каждом классе приведено в таблице 5.3.4.

Таблица 5.3.4.
Класс сети
Количество сетей
Количество узлов в сети
A
126
16 777 214
B
16 384
65 534
C
2 097 152
254

Адрес 127 не входит ни в один класс и используется для тестирования сетевых сервисов на локальной машине, если в протоколе выставлено значение 127.0.0.1, то моделирутся ситуация прихода пакетов на данный компьютер извне.
Все IP-адреса можно разделить на 2 группы:
Основные адреса - адреса, используемые в Интернете;
Частные адреса - адреса, используемые для задания адресов в локальных сетях.

Корректные идентификаторы узлов в основной адресации:

Класс адресов
Начало диапазона
Конец диапазона
Класс А
X.0.0.1
X.255.255.254
Класс В
X.Y.0.1
X.Y.255.254
Класс С
X.Y.Z.1
X.Y.Z.254

Зарезервированные диапазоны узлов в частной адресации:
Класс адресов
Начало диапазона
Конец диапазона
Класс А
10.0.0.1
10.255.255.254
Класс В
172.16.0.1
172.31.255.254
Класс С
192.168.0.1
192.168.255.254
Адрес 192.168.X.Y является исключением класса С и имеет маску 255.255.0.0, При установки маски 255.255.255.0, мы получаем 255 подсетей, например 192.168.0.0 – одна сеть, а 192.168.0.1 – другая сеть.
Распределение адресов ведется с привязкой к регионам. Пример такого распределения показан в таблице 5.3.5.
Таблица 5.3.5.
Диапазон адресов
Регион
192.0.0 – 193.255.255
Внерегиональные адреса. Диапазон включает адреса, использовавшиеся до появления схемы регионального назначения адресов
194.0.0 – 195.255.255
Европа
196.0.0 – 197.255.255
Используется при назначении IP-адресов независимо от региона
198.0.0 – 199.255.255
Северная Америка
200.0.0 – 201.255.255
Центральная и Южная Африка
202.0.0 – 203.255.255
Побережье Тихого океана
204.0.0 – 223.255.255
Используется при назначении IP-адресов независимо от региона

§ 5.4. Подсети.
Пользовательские маски позволяют настраивать параметры сети более точно, что позволяет задавать для каждой подсети различное число компьютеров.
Подсеть – физический сегмент, в котором используются IP – адреса с одним идентификатором сети. Механизм назначения IP – адресов для подсетей называется делением на подсети.
Количество бит, отводимых для маски подсети, определяет максимальное число подсетей и узлов.
Для того чтобы разбить сеть на несколько подсетей, необходимо использовать различные идентификаторы сети для каждого сегмента. Уникальные идентификаторы подсети создаются путем разбиения идентификатора узла на две группы бит.

Преимущества использования подсети:
1. Можно использовать совместно различные сетевые технологии (например, Ethernet и Token Ring).
2. Можно преодолеть ограничения на количество узлов в сегменте.
3. Уменьшается трафик по сравнению с использованием общей сети.
Рекомендации:
Перед началом работы с подсетью необходимо определить:
1. Количество физических сегментов сети (количество подсетей).
2. Количество хостов в каждой подсети.
3. В соответствии с пунктами (1) и (2) определить маску подсети, диапазон IP – адресов каждой подсети.

Расчет подсетей.
Подсети нужны для экономии IP-адресов и более точного проектирования топологии сети.
При создании подсети есть возможность варьировать количеством создаваемых подсетей и количеством узлов в каждой подсети за счет изменения маски подсети.
В классе А изменяется 2 октет.
В классе В изменяется 3 октет.
В классе С изменяется 4 октет.
Количество узлов в сети определяется по формуле , где n – количество нулевых битов в маске, представленной в двоичном формате.


Алгоритм расчета характеристик подсети:
1. Определяется маска подсети.
2. Определяются идентификаторы подсетей – координаты подсетей в таблице маршрутизации, идентификатор подсети задает диапазоны адресов к каждой подсети.
3. Определяется диапазон IР-адресов в каждой подсети
1. Определение маски подсети состоит из следующих четырех этапов.
a. Исходя из условий проектирования топологии сети, определяется количество необходимых подсетей.
b. Полученное десятичное значение переводится в двоичный формат и подсчитывается количество бит, необходимых для его записи данного числа в двоичном формате.
c. Производится модификация маски подсети. Полученные биты выставляются в начало нулевого байта и дополняются справа нулями.
d. Производится перевод маски в десятичное значение.
На рисунке 5.3.2 показаны все четыре этапа определения маски подсети.







Рис.5.3.2. Определение маски подсети.
Исходя из условий проектирования корпоративной сети было решено создать шесть подсетей. Для записи числа шесть в двоичном формате необходимо три бита (110). В третьем октете маски подсети первые три бита замещаем единицами и подсчитываем маску подсети в десятичном формате. На рисунке 5.3.2 показано соответствие восьми разрядов двоичной системы десятичной системе исчисления. Первый единичный бит в десятичной системе это 128, второй – 64 и третий 32. Складываем эти три значения и получаем 224, следовательно маска подсети в нашем примере 255.255.224.0.
2. Определение идентификаторов подсетей.
Идентификаторы подсетей определяют координаты подсети и используются для определения диапазонов IP адресов в каждой подсети.
Таблица 5.3.6.
00000000 = 0
НЕ ИСПОЛЬЗУЕТСЯ
00100000 = 32
X.Y.33.1 – X.Y.63.254
01000000 = 64
X.Y.65.1 – X.Y.95.254
01100000 = 96
X.Y.97.1 – X.Y.127.254
10000000 = 128
X.Y.129.1 – X.Y.159.254
10100000 = 160
X.Y.161.1 – X.Y.191.254
11000000 = 192
X.Y.193.1 – X.Y.223.254
11100000 = 224
НЕ ИСПОЛЬЗУЕТСЯ

Для определения идентификаторов из маски выписываются все возможные комбинации бит, из которых исключаются комбинации, представленные только нулями или только единицами. Полученные значения переводятся в десятичный формат. Самый последний единичный бит в маске – всегда идентификатор первой подсети и он же шаг изменения идентификаторов (см. рис.5.3.2 – последний единичный бит в третьем октете это 32).
Получаем следующие координаты подсетей (X,Y – координаты сети класса В, которая разбивается на подсети):
Подсеть 1 - X.Y.32.0
Подсеть 2 - X.Y.64.0
Подсеть 3 - X.Y.96.0
Подсеть 4 - X.Y.128.0
Подсеть 5 - X.Y.160.0
Подсеть 6 - X.Y.192.0

3. Определение диапазонов IP-адресов
Начало диапазона = текущий идентификатор + 1 и наименьшее значение IP адреса. Конец диапазона - следующий идентификатор - 1 и наибольшее значение IP адреса (таблица 5.3.6.).
Для удобства определения параметров подсетей можно использовать переводные таблицы, представленные для каждого класса на рис. 5.3.3-5.3.5.




Рис. 5.3.3. Таблица преобразования. Сеть класса А.

Рис.5.3.4. Таблица преобразования. Сеть класса B.


Рис.5.3.5. Таблица преобразования. Сеть класса C.

Примеры расчета подсетей.
Задание 1:
Определите маску подсети, соответствующую указанному диапазону IР-адресов: диапазон адресов от 61.9.0.1 до 61.15.255.254.
Решение:
Первый октет – 61, следовательно это сеть класса А (таблица 5.3.3). Маска сети класса А - 255.0.0.0 (таблица 5.3.2.). Для получения маски подсети необходимо модифицировать второй октет. Из приведенного диапазона ясно, что шаг изменения идентификаторов – 8, следовательно координаты первой подсети - 61.8.0.0, второй подсети - 61.16.0.0. Число 8 – это пятый бит слева (рис.5.3.2). Складываем 128+64+32+16+8 и получаем 248. Значит маска подсети 255.248.0.0.

Задание 2:
Определите диапазон идентификаторов узлов для каждой из перечисленных подсетей. Идентификаторы сетей — 107.16.0.0 и 107.32.0.0, маска подсети 255.240.0.0, две подсети.
Решение:
Представленные подсети придадлежет к классу А (таблица 5.3.3). Из маски подсети видно, что во втором октете маски четыре единичных бита (240=128+64+32+16, рис.5.3.2). Следовательно, шаг изменения идентификаторов подсетей равен 16 и в задании представлены первая и вторая подсети. Тогда получам следующие диапазоны IP адресов:
1 подсеть: 107.17.0.1 – 107.31.255.254.
2 подсеть: 107.33.0.1 – 107.47.255.254.


Резюме.
Протокол TCP/IP используется Windows 2003 чаще других, однако при этом существуют и другие протоколы. Протокол NWLink используется для установления соединений с сетями NetWare, протокол DLC — для взаимодействия с серверами печати, протокол AppleTalk — для взаимодействия с сетями Macintosh, а протокол Net-BEUI — для взаимодействия с устаревшими сетями Microsoft LAN. Используйте частную адресацию для того, чтобы минимизировать влияние Internet на локальную сеть вашей организации. Если вы хотите получить собственный адрес TCP/IP, обратитесь к своему Internet-провайдеру.



Вопросы для самопроверки
1. Что должно быть общим у компьютеров, чтобы они могли взаимодействовать?
2. Назовите четыре основных уровня протокола.
3. Какие протоколы используются в сетях, в которых применяется маршрутизация?
4. Когда следует использовать протокол DLC?
5. Что такое адрес обратной связи?
6. Как определить "работоспособность" протокола TCP/IP?
7. Как определить краткую форму маски подсети?
8. Какая команда позволяет очень просто определить IP-адрес вашего компьютера?
9. Какая утилита позволяет перемещать файлы с одного компьютера на другой?
10. Какая утилита позволяет проверить соединение между компьютерами?
11. Зачем нужны пользовательские маски подсети?






















Глава 6. Администрирование операционных систем.
§ 6.1 Типовые задачи администрирования.

К типовым задачам администрирования относится управление учетными записями и группами, профилями пользователей, настройка рабочей среды пользователя при помощи сценариев входа, аудит локальной системы.

Управление учетными записями и группами.
Сразу после установки системы Windows 2003 (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows 2003. Ниже даны описания свойств обеих встроенных учетных записей:
Администратор — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать.
Гость — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию блокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Гости (Guests). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
После установки системы Windows 2003 (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит следующие основные встроенные группы, которые создаются автоматически при установке операционной системы:
Администраторы (Administrators) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав.
Операторы архива (Backup Operators) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.
Гости (Guests) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы.
Опытные пользователи (Power Users) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.
Репликатор (Replicator) — членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.
Пользователи (Users) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.

Управление рабочей средой пользователя.
Для управления средой пользователя предназначены следующие средства Windows 2003:
Сценарий входа в сеть (сценарий регистрации) представляет собой командный файл, имеющий расширение bat, или исполняемый файл с расширением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.
Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды компьютера, на котором работает Windows 2003, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в файле, путь к которому выглядит следующим образом: Имя_устройства\корневой_каталог\.... Как правило, корневым является каталог \winnt.
Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или на консоли команд. При этом сценарии не надо встраивать в документ HTML.
Аудит локальной системы
Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
После включения аудита операционная система Windows 2003 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить; кто предпринял попытку выполнения неразрешенного емудействия.
Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он снижает производительность системы.) После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.
Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Auditing) снять флажок. Переносить наследуемый от родительского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

§ 6.2. Средства мониторинга.
[
Все многообразие средств, применяемых для мониторинга и анализа вычислительных сетей, можно разделить на несколько крупных классов:
Системы управления сетью (NetworkManagementSystems) - централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также данные о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.
Средства управления системой (SystemManagement). Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. Вместе с тем, некоторые функции этих двух видов систем управления могут дублироваться, например, средства управления системой могут выполнять простейший анализ сетевого трафика.
Встроенные системы диагностики и управления (Embeddedsystems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Как правило, встроенные модули управления "по совместительству" выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.
Анализаторы протоколов (Protocolanalyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.
Оборудование для диагностики и сертификации кабельных систем. Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры).
◦ Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирования кабелей различных категорий. Следует различать сетевые мониторы и анализаторы протоколов. Сетевые мониторы собирают данные только о статистических показателях трафика - средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т.п.
◦ Назначение устройств для сертификации кабельных систем, непосредственно следует из их названия. Сертификация выполняется в соответствии с требованиями одного из международных стандартов на кабельные системы.
◦ Кабельные сканеры используются для диагностики медных кабельных систем.
◦ Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.
Экспертные системы. Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.
Многофункциональные устройства анализа и диагностики. В последние годы, в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и, даже, некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании MicrotestInc. или 675 LANMeterкомпании FlukeCorp.

Системы управления
В соответствии с рекомендациями ISO можно выделить следующие функции средств управления сетью:
• Управление конфигурацией сети и именованием - состоит в конфигурировании компонентов сети, включая их местоположение, сетевые адреса и идентификаторы, управление параметрами сетевых операционных систем, поддержание схемы сети: также эти функции используются для именования объектов.
• Обработка ошибок - это выявление, определение и устранение последствий сбоев и отказов в работе сети.
• Анализ производительности - помогает на основе накопленной статистической информации оценивать время ответа системы и величину трафика, а также планировать развитие сети.
• Управление безопасностью - включает в себя контроль доступа и сохранение целостности данных. В функции входит процедура аутентификации, проверки привилегий, поддержка ключей шифрования, управления полномочиями. К этой же группе можно отнести важные механизмы управления паролями, внешним доступом, соединения с другими сетями.
• Учет работы сети - включает регистрацию и управление используемыми ресурсами и устройствами. Эта функция оперирует такими понятиями как время использования и плата за ресурсы.
Из приведенного списка видно, что системы управления выполняют не только функции мониторинга и анализа работы сети, необходимые для получения исходных данных для настройки сети, но и включают функции активного воздействия на сеть - управления конфигурацией и безопасностью, которые нужны для отработки выработанного плана настройки и оптимизации сети. Сам этап создания плана настройки сети обычно остается за пределами функций системы управления, хотя некоторые системы управления имеют в своем составе экспертные подсистемы, помогающие администратору или интегратору определить необходимые меры по настройке сети.
Средства управления сетью (NetworkManagement), не следует путать со средствами управления компьютерами и их операционными системами (SystemManagement).
Средства управления системой обычно выполняют следующие функции:
• Учет используемых аппаратных и программных средств. Система автоматически собирает информацию об обследованных компьютерах и создает записи в базе данных об аппаратных и программных ресурсах. После этого администратор может быстро выяснить, чем он располагает и где это находится. Например, узнать о том, на каких компьютерах нужно обновить драйверы принтеров, какие ПК обладают достаточным количеством памяти и дискового пространства и т. п.
• Распределение и установка программного обеспечения. После завершения обследования администратор может создать пакеты рассылки программного обеспечения - очень эффективный способ для уменьшения стоимости такой процедуры. Система может также позволять централизованно устанавливать и администрировать приложения, которые запускаются с файловых серверов, а также дать возможность конечным пользователям запускать такие приложения с любой рабочей станции сети.
• Удаленный анализ производительности и возникающих проблем. Администратор может удаленно управлять мышью, клавиатурой и видеть экран любого ПК, работающего в сети под управлением той или иной сетевой операционной системы. База данных системы управления обычно хранит детальную информацию о конфигурации всех компьютеров в сети для того, чтобы можно было выполнять удаленный анализ возникающих проблем.

Резюме.
Термином мониторинг сети называют работу системы, которая выполняет постоянное наблюдение за компьютерной сетью в поисках медленных или неисправных систем и которая при обнаружении сбоев сообщает о них сетевому администратору с помощью почты, пейджера или других средств оповещения. Эти задачи являются подмножеством задач управления сетью.
В то время как система обнаружения вторжений следит за появлением угроз извне, система мониторинга сети выполняет наблюдение за сетью в поисках проблем, вызванных перегруженными и/или отказавшими серверами, другими устройствами или сетевыми соединениями.
Например, для того, чтобы определить состояние веб-сервера, программа, выполняющая мониторинг, может периодически отправлять запрос HTTP на получение страницы; для почтовых серверов можно отправить тестовое сообщение по SMTP и получить по IMAP или POP3.
Неудавшиеся запросы (например, в том случае, когда соединение не может быть установлено, оно завершается по таймауту, или когда сообщение не было доставлено) обычно вызывают реакцию со стороны системы мониторинга. В качестве реакции может быть:
• отправлен сигнал тревоги системному администратору;
• автоматически активирована система защиты от сбоев, которая временно выведет проблемный сервер из эксплуатации, до тех пор, пока проблема не будет решена,
и так далее.


Вопросы для самопроверки
1. Что такое группы в Windows 2003 Server и как они используются?
2. Чем заданные по умолчанию права доступа в Windows 2003 Server отличаются от таковых в более ранних версиях Windows?
3. Чем отличаются файловые системы FAT и NTFS?
4. Можно ли удалять учетную запись Guest?
5. Могут ли пользователи совместно использовать одну учетную запись?
6. Когда нужно использовать учетную запись Administrator?
7. Что должны представлять собой имена пользователей?
8. Как с гарантией исключить пользователя из группы домена?
9. Можно ли отключить всех пользователей от сервера в конкретное время?
10. Какова оптимальная длина пароля?





Глава 7. Сетевые службы.
§ 7.1. Служба DNS и BIND.
Служба DNS работает на прикладном уровне, используя два транспортных протокола: TCP и UDP.
Задача DNS – транслировать имена компьютеров в IP – адреса.
В работе DNS участвуют три основных компонента:
1. Клиенты DNS.
2. Серверы имен.
3. Пространство имен доменов.
DNS – клиенты посылают серверам запросы по протоколам UDP, но при потере информации могут переключаться на протокол TCP. Серверы имен принимают сообщения от DNS – клиентов и преобразуют имена компьютеров в IP – адреса. Серверы сгруппированы по разным уровням – доменам. Домены определяют различные уровни иерархии.
Зона ответственности – часть пространства имен домена, за которую отвечает DNS‑сервер. Один DNS‑сервер может управлять несколькими зонами.
DNS‑серверы могут выполнять разные задачи. Они хранят и поддерживают базы данных разными способами.
Роли DNS‑серверов.
3. Основной сервер имен.
Извлекает информацию из локальных файлов. Изменения в параметрах зоны (например, добавление узла (домена)) выполняются на основном сервере имен.
4. Резервный сервер имен.
Получает информацию о своей зоне от других серверов имен.
5. Кэширующий сервер.
Не содержит базы, а только перенаправляет запросы.



Настройка DNS сервера Windows 2003 Server

Служба разрешения имен DNS предназначена для определения IP-адреса компьютера по его имени. Она позволяет использовать вместо трудно запоминаемых IP-адресов понятные имена, например, http://www.rambler.ru или http://www.microsoft.com. DNS является основной службой имен для Windows Server 2003 и Интернета. Посредством DNS группы компьютеров организуются в домены, которые в свою очередь выстроены в иерархическую структуру. Эта структура может охватывать как сеть предприятия, так и глобальную сеть — Интернет. Разные уровни иерархии соответствуют индивидуальным компьютерам, доменам организаций и доменам верхнего уровня. В полном имени узла omega.microsoft.com, omega представляет собой имя индивидуального компьютера, microsoft — домен организации, а сот — домен верхнего уровня. Домены верхнего уровня располагаются в основании иерархии DNS и поэтому называются корневыми (root domains). Их назначают по географическому расположению, по типу организации или по се назначению. Обычные домены типа microsoft.com также называют родительскими (parent). Родительские домены разделяются на дочерина (child) подломены, соответствующие группам или отделам в пределах организации. Например, полное доменное имя компьютера в отделе кадров может выглядеть так — jacob.hr.microsoft.com, где jacob — имя узла, hr — дочерний домен, а microsoft.com — родительский.

Установка DNS-серверов.

Система Microsoft Windows Server 2003 способна исполнять функции DNS-сервера одного из нескольких типов.
Основной интегрированный с Active Directory (Active Directory - integrated primary) — DNS-сервер, полностью интегрированный с Active Directory. Все данные DNS хранятся в каталоге.
• Основной (primary) — главный DNS-сервер домена, частично интегрированный с Active Directory. Оригинал записей DNS и файлы конфигурации домена хранятся в текстовых файлах с расширением DNS.
• Дополнительный (secondary) — резервный DNS-сервер, который хранит копию записей DNS, полученных от основного сервера, и выполняет обновления тем зонных передач. Дополнительный сервер получает данные DNS от основного сервера при запуске и использует их, пока они не устареют или не будут обновлены. Ограниченный сервер пересылки (forwarding-only) — передает DNS-информацию, полученную и результате поиска, и передает дальше запросы другим серверам. Данные DNS хранятся на нем, пока не устареют или не будут обновлены. В отличие от дополнительного, ограниченный сервер пересылки не запрашивает полные копии файлов БД зоны. Когда вы запускаете этот сервер, его база пуста.

Управление ресурсными записями DNS

Ресурсные записи DNS необходимы для того, чтобы вести базу данных DNS серверов. Типов записей DNS множество, но большинство обычно не используют, так что мы рассмотрим те из них, которые вам действительно понадобятся:
• A (address) — сопоставляет имя узла с IP-адресом. Количество этих записей должно совпадать с количеством сетевых адаптеров или IP-адресов у компьютера;
• CNAME (canonical name) — задает псевдоним для имени узла.
Например, запись этого типа позволит узлу 2eta.microsoft.com получить псевдоним www.microsoft.com, видном пользователям в Интернете.
• MX (mail exchange) - определяет сервер почтового обмена для домена;
• NS (name server) — указывает сервер имен для домена, обеспечивающий поиск DNS в разных зонах. Такой записью должны объявляться все основные и дополнительные серверы имен;
• PTR (pointer) — создает указатель, сопоставляющий IР-адрес с именем узла для выполнения обратного просмотра;
SOA (start of authority) — описывает предпочтительный полномочный узел зоны, являющийся наиболее достоверным источником данных DNS. Запись SOA создается автоматически при добавлении зоны и должна содержаться в каждом файле зоны.

Настройка сервера BIND в Linux.

BIND, Berkeley Internet Name Domain, который является наиболее популярной реализацией спецификаций DNS.
Программы, владеющие информацией о пространстве доменных имен, называются DNS-серверами. DNS-серверы обычно обладают полной информацией по определенным сегментам (или зонам) пространства доменных имен, которая загружается из файла либо может быть получена от других серверов имен. В таких случаях говорят, что сервер имен является авторитативным для конкретной зоны. DNS-серверы могут быть авторитативными также и для нескольких зон.
База данных DNS сервера состоит из двух частей: прямой и обратной зоны.
Файлы данных зоны
Большинство записей в файлах данных зоны называются RR-записями DNS. При поиске DNS не обращает внимания на регистр символов, так что имена в файлах данных зоны можно набирать в произвольном регистре, даже в смешанном. Мы практически всегда используем строчные буквы. Несмотря на то, что поиск нечувствителен к регистру символов, регистр сохраняется при возвращении результатов. Таким образом, если добавить к файлам данных зоны записи с именем Tootsie.movie.edu, результаты поиска для tootsie.movie.edu будут содержать эти записи, но с заглавной буквой «Т» в имени домена. RR-записи должны начинаться с первой позиции строки. RR-записи в примерах, приводимых в этой книге, начинаются с первой позиции, а видимые отступы появляются из-за своеобразного форматирования книги. В RFC-документах по DNS RR-записи в примерах приводятся в определенном порядке. Многие люди следуют этому порядку (и мы не исключение), но такой порядок следования записей не является обязательным. Итак, выбранный порядок следования записей:
SOA-записъ
Указывает на авторитативностъ для зоны
NS-запись
Перечисляет DNS-серверы зоны
Прочие записи
Данные об узлах зоны
Из прочих записей в данной главе рассмотрены:
А
Отображение имен узлов в адреса
PTR
Отображение адресов в имена узлов
CNAME
Каноническое имя (для псевдонимов)

2.1. Настройка основных сетевых параметров.

Основные файлы, отвечающие за конфигурацию сети в ОС Linux:
- /etc/host.conf;
- /etc/hosts;
- /etc/resolv.conf

Конфигурирование файла /etc/host.conf
Этот файл предназначен для того, чтобы система могла определить, каким образом она будет получать информацию об именах и IP-адресах.
В файле должна содержаться запись:
order hosts, bind
Это означает, что при поиске хостов система сначала просмотрит файл hosts.

Файл /etc/hosts
В этом файле должны находиться пары «IP адрес - имя»:
127.0.0.1 localhost localhost.localdomain
192.168.0.1 server1.kt.ru
192.168.0.2 server2.kt.ru
Этот файл позволяет делать преобразование «Имя хоста – IP адрес» без обращений к DNS серверу. Обычно используется в небольшой локальной сети, когда нет необходимости в установке и настройке DNS сервера.

Файл /etc/resolv.conf
В этом файле должны находится строки:
search bins.ru
nameserver 212.165.195.22
В первой строке указывается, какое доменное имя будет принято по умолчанию. В следующей строке будут писаться имена DNS серверов, к которым будет обращаться Ваша машина.
Контрольные вопросы по теме.

1. Для чего используется служба DNS?
2. Что такое прямая и обратная зона DNS?
3. Что такое ресурсные записи DNS?
4. Что делает служба DNS и каким образом?
5. Нужно ли в сети создавать собственный сервер DNS?
6. Какие виды DNS серверов существуют и их задачи?
7. Что такое корневой сервер имен и его задачи?
8. Опешите схему рекурсивного запроса доменного имени?
9. Можно ли обойтись при настройке сети без сервера DNS?
10. Назовите три основных компонента DNS?
11. Объясните разницу между основным, резервным и главным серверами DNS?
12. Опишите различие между доменом и зоной?
Чем отличаются рекурсивный и итеративный запрос?

13. Назовите основные конфигурационные файлы DNS сервера Linux.
14. Опишите схемы работы DNS сервера.
15. Назовите функции демона named.
16. Назовите средства конфигурирования Bind.
17. Опишите, как производится управление безопасностью Bind.
18. Как производится тестирование Bind.
19. Перечислите основные ресурсные записи DNS сервера.
20. Как настраивается прямая зона Bind.
21. Как настраивается обратная зона Bind.
22. Как производится поиск ошибок в конфигурации Bind.


§ 7.2. Служба DHCP.
Настройка DHCP сервера Windows 2003 Server

В операционной системе Microsoft Windows 2003 Server поддерживается широко известный протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Это — открытый промышленный стандарт, который упрощает управление сетями на базе TCP/IP. Каждому хосту (компьютеру), подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP освобождает сетевых администраторов от необходимости настраивать все компьютеры вручную.
DHCP может автоматически конфигурировать настройки TCP/IP во время загрузки компьютера. Это позволяет хранить все доступные IP-адреса в центральной базе данных вместе с соответствующей информацией о конфигурации, такой как маска подсети, адрес шлюза и адреса серверов DNS и WINS. DHCP упрощает работу системных администраторов. При этом, чем больше сеть, тем выгоднее применять протокол DHCP. Без динамического назначения адресов администратору пришлось бы настраивать клиентов вручную, последовательно назначая адреса. Изменения должны производиться для каждого клиента по отдельности. Чтобы избежать двойного использования, IP-адреса должны распределяться централизованно. Информация о конфигурации без протокола DHCP распределена по клиентам; в этом случае трудно получить представление о конфигурациях всех клиентов.
Служба DHCP (Dynamic Host Configuration Protocol)
DHCP упрощает администрирование и управляет IP‑адресами в сети, автоматизирует процесс конфигурации сети.
DHCP поддерживает:
1. Совместную работу с Active Directory и DNS.
2. Мониторинг и статистику подключения.
3. Широковещительную рассылку при выделении адресов.
4. Динамическое обновление службы DNS.
5. Обнаружение других DHCP‑серверов.
Служба DHCP выполняет связующую роль между WINS и DNS.
Клиенты не просто получают IP‑адрес и постоянно его хранят. Происходит аренда выделенного IP‑адреса в течение определенного времени, которая либо заканчивается, либо может быть продлена. Продление происходит, когда проходит половина времени, в течение которого был действителен договор об аренде. Если DHCP‑сервер оказывается недоступным, то следующая попытка продления будет осуществлена, когда пройдет 87% времени договора. Если попытка вновь безуспешна, клиент теряет свой адрес.
Если период аренды IP‑адреса истекает для клиента, ему автоматически назначается частный IP‑адрес диапазона 169.254.0.0 – 169.254.255.254 с маской подсети класса В. Значит, DHCP‑сервер не работает, клиенты динамически получают IP‑адреса операционной системы, видят друг друга в сети, но не видят сеть за пределами локального сегмента.
Механизм работы DHCP.
Каждый раз при загрузке клиента у DHCP‑сервера запрашивается следующая информация:
• IP‑адрес,
• маска подсети,
• адрес шлюза по умолчанию,
• адреса серверов DNS и WINS.
Когда DHCP‑сервер получает запрос на выделение IP‑адреса, он выбирает информацию об IP‑адресе из своего пула адресов.
Если клиент принимает эти данные, IP‑адрес резервируется за ним на определенный период времени.
Если в пуле нет доступных адресов, то клиент ничего не получает.
Настройка клиента выполняется в четыре этапа, при этом, если на клиенте установлено несколько сетевых карт, настройка ведется на каждой из них. Все соединения DHCP проходят по протоколу UDP по портам 67 и 68.
Большинство сообщений DHCP – широковещительные.
Если DHCP‑клиенты соединяются с DHCP‑сервером через маршрутизаторы (находятся в разных сетях), то маршрутизаторы должны поддерживать широковещательную пересылку.
4 этапа настройки клиента:
I. Поиск сервера.
Клиент посылает широковещательный запрос на получение IP‑адреса.
Так как у клиента нет IP‑адреса в этот момент, и он пока не знает IP‑адреса DHCP‑сервера, клиент использует для себя адрес 0.0.0.0, а как адрес назначения – 255.255.255.255. Запрос посылается в виде специального сообщения, содержащего мак‑адрес клиента и имя компьютера, для того чтобы DHCP‑сервер знал, куда отправить IP‑адрес. Адрес выделяется в ситуации когда:
1) происходит первое обращение клиента;
2) клиент ранее арендовал этот адрес.
II. Предложение аренды.
Все DHCP‑сервера, перехватившие запрос клиента, посылают ему свое предложение – IP‑адрес, в котором содержится следующая информация:
1) мак‑адрес клиента,
2) предлагаемый IP‑адрес,
3) маска подсети,
4) длительность аренды,
5) идентификатор сервера.
Это сообщение посылается также широковещанием. В ситуации, если нет работающих в сети DHCP‑серверов, клиент ждет предложения 1 секунду, потом 9 секунд, потом 13 секунд, потом 16 секунд. Если ответа не получено, то повторное сообщение – через 5 минут.
III. Запрос аренды.
Клиент берет информацию об IP‑адресе из первого полученного предложения и отправляет широковещанием сообщение о закреплении IP‑адреса.
IV. Подтверждение аренды.
DHCP‑сервер, сделавший предложение, отвечает на сообщение, а все остальные DHCP‑сервера забирают свои предложения. Клиенту назначается IP‑адрес и высылается подтверждение.

Создание области DHCP.
Прежде чем сервер DHCP сможет предоставить клиентам IP‑адреса, должна быть определена область DHCP – пул действительных IP‑адресов, которые могут быть выделены клиентам.
Создавая пул, необходимо помнить:
1. Для каждого DHCP‑сервера в сети необходимо определить не менее одной области.
Из области следует исключить статистические IP‑адреса. 2. Сетям с основным адресным пространством можно назначать несколько областей, а подсетям – только одну. При этом DHCP‑сервера не обмениваются информацией о своих пулах.
Рекомендации по использованию нескольких DHCP‑серверов.
1. Для организации бесперебойной работы сети желательно устанавливать несколько DHCP‑серверов на одну сеть.
2. Настраивать DHCP‑сервера на выделение адресов в другие сети. При этом 75% области должно отводиться под адреса локальной сети и 25% - для удаленной сети.


Основные понятия DHCP.
Область DHCP. Область (scope) DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.
Пул адресов. Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов
(address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.
Диапазоны исключения. Диапазон исключения (exclusion range) — ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.
Резервирование. Резервирование (reservation) позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.
Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект — суперобласть (superscope). Суперобласти полезны для решения различных задач службы DHCP.
Арендные договоры. Арендный договор (lease) — отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу).
Опции DHCP. Опции DHCP — дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.

Схема работы DHCP
Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, он запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов. Этот процесс состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.

Контрольные вопросы по теме.

1. Как проверить сетевое подключение?
2. Каковы три типа сетевой адресации?
3. Как установить и включить DHCP?
4. Как задать диапазон IP адресов для выделения через DHCP?
5. Как узнать MAK адрес?
6. Что такое резервирование IP адреса?
7. Как управлять клиентом DHCP?
8. Что такое агент ретрансляции DHCP?
9. По какой схеме клиент сети получает IP адрес?
10. Как изменить настройки DHCP?

Настройка сервера DHCP (Dynamic Host Configuration Protocol) в Linux.
(Описание в RFC2131, RFC2132)

DHCP в Linux реализован в виде демона сервера (dhcpd) и демона клиента (dhcpcd или pump (в Red Hah)).
Демон dhcpd запускается на сервере (СИСТЕМА /АДМИНИСТРИРОВАНИЕ /СЛУЖБЫ) и непосредственно отвечает за назначение и отбор IP-адресов клиентам при входе и выходе их из сети.
Клиентский демон запускается на стороне клиента.
Отправка сообщений с клиента на сервер ведется по протоколу UDP по порту 67, в обратном направлении по порту 68.

За конфигурацию dhcpd сервера отвечают два файла:
/etc/dhcpd.conf — содержит настройки DHCP сервера;
/var/lib/dhcpd/dhcpd.leases — содержит арендованные адреса.


За конфигурацию dhcpd клиента отвечают два файла:
/etc/dhclient-eth0.conf - содержит параметры, запрашиваемые с DHCP сервера (если параметры отсутствуют, клиент получает параметры с настройки DHCP сервера);
/var/lib/dhclient/dhclient-eth0.leases — содержит параметры, полученные с DHCP сервера.

При запуске DHCP сервера происходит выделение IP-адресов согласно содержащимся в файле /etc/dhcpd.conf установкам. Выделение адреса dhcpd регистрирует в файле /var/lib/dhcpd/dhcpd.leases.

При отладке сетевых сервисов необходимо просматривать журнал сообщений операционной системы, который хранится в файле /var/log/messages.

Контрольные вопросы по теме.

1. Перечислите основные конфигурационные файлы DHCP сервера Linux.
2. Как работает DHCP протокол?
3. Как осуществляется конфигурирование сетевых хостов с помощью DHCP?
4. Как настраивается клиент DHCP?
5. Опишите простейшую конфигурацию DHCP сервера под Linux.
6. Опишите расширенные настройки DHCP сервера под Linux.
7. Как осуществляется подсчет трафика?
8. Назовите средства мониторинга работы DHCP сервера.
9. Какудаленно управлять DHCP сервером Linux?
10. Дайте характеристику основных параметров DHCP сервера.

§ 7.3. Служба Samba.
Обеспечение сетевого взаимодействия с операционной системой Windows.

При настройке Samba возможен полный переход с сервера под управлением Windows 2000/2003 на сервер под Linux. Samba позволяет создавать разделяемые ресурсы, обеспечивает доступ к службе каталогов Active Directory (ADS - Active Directory Service), а также может выступать в роли основного (первичного) контроллера домена (PDC - Primary Domain Controller), выполняя аутентификацию пользователей, работающих под Windows 95/98/NT/2000/2003, обеспечивая разделение ресурсов (директорий и принтеров) и настройку пользовательских сессий (users sessions). Ниже рассматриваются некоторые из этих возможностей.
В результате, во многих случаях Linux/Samba-сервер обеспечивает такую же, как и Windows-сервер, функциональность, при этом не требуя дополнительной настройки клиентских машин.

Для настройки сервера SAMBA необходимо выполнить следующие этапы:
1 — создать учетные записи пользователей SAMBA;
2 — создать и настроить общий ресурс;
3 — в настройках брандмауэра разрешить использование службы SAMBA;
4 — запустить службу SAMBA (демон SMB).
5 — обеспечить доступ пользователей Samba на общий ресурс


Контрольные вопросы по теме.

1. Перечислите основные возможности сервера Samba?
2. Перечислите основные утилиты управления сервером Samba.
3. Перечислите основные настройки сервера Samba.
4. Как ведется мониторинг работы сервера Samba?
5. Что такое NFS?
6. Как строится безопасность на сервере Samba?
7. Как осуществляется оптимизация работы сервера Sаmba?
8. Как настроить доступ к принтеру для клиентов Linux и Windows?
9. Как осуществить доступ к SMB ресурсам из Linux?
10. Опишите разделы файла конфигурации Samba.


§ 7.4. Терминальные службы и удаленный доступ.
Настройка терминальных служб Windows 2003 Server.

Удаленные пользователи подключаются к системе через службы терминалов или удаленные рабочие столы. Подключения с помощью удаленного рабочего стола активизируются автоматически при установке Windows Server 2003. Диспетчер задач (Task Manager) предоставляет один из способов управления такими подключениями. Перейдите на вкладку Пользователи ( Users), где перечислены интерактивные пользовательские сеансы как для локальных, так и для удаленных пользователей.
Для каждого подключения указаны имя пользователя, код сеанса, состояние, клиентский компьютер и тип сеанса. Пользователю, зарегистрировавшемуся локально, соответствует тип сеанса Console. Для других пользователей в этом столбце указаны тип и протокол подключения, например RDP-TCP для подключения с помощью протокола RDP (Remote Desktop Protocol) и транспортного протокола TCP. Щелкнув сеанс правой кнопкой мыши, вы получите доступ к следующим командам:
• Подключить (Connect) — подключение неактивного сеанса;
Отключить (Disconnect) — насильственное отключение пользовательского сеанса, завершение всех запущенных пользователем приложений без сохранения данных;
• Выход из системы (Log Off) — нормальное завершение пользовательского сеанса. Данные приложений и состояния системы сохраняются, как при обычном выходе из системы;
• Удаленное управление (Remote Control) — задание «горячей клавиши» для завершения сеанса удаленного управления (по умолчанию Ctrl+*);
• Отправить сообщение (Send Message) — отправка сообщения консоли пользователям, зарегистрировавшимся на удаленных системах.


Контрольные вопросы по теме.

1. Каковы некоторые характеристики «тонкого» клиента?
2. Каковы причины использования служб терминалов?
3. Какие компоненты служб терминалов имеются в Windows 2003 Server?
4. Какие компоненты служб терминалов требуют установки? Что нужно сделать, чтобы службы терминалов и Remot Desktop функционировали?
5. Как соединиться с сервером терминалов?
6. Какими создать лицензии терминального сервера?
7. Как узнать характеристики подключившегося клиента?
8. Каковы различия между Remot Desktop for Administration и Terminal Services Application Server?
9. Позволяет ли Remot Desktop по умолчанию вырезать и вставлять данные между удаленным сервером и локальным клиентом?
10. Какие инструменты существуют для настройки служб терминалов?
§ 7.5. Службы Интернета.

Internet Information Services (IIS) — набор базовых служб Интернета, в состав которых входят: веб-сервер, FTP-сервер, SMTP-сервер, NNTP-сервер и ряд дополнительных служб. Службы IIS предоставляют множество новых возможностей, которые могут превратить систему Windows 2003 в мощную платформу для распределенных сетевых приложений. Службы IIS объединены при помощи стандартного интерфейса администрирования и общих методов управления.

Установка и удаление служб IIS.
Службы Internet Information Services устанавливаются на компьютере с Windows 2003 Server по умолчанию. Можно установить IIS, удалить или установить дополнительные компоненты, используя значок Установка и удаление программ (Add/Remove Programs) из панели управления.
Основные компоненты IIS
Основные компоненты IIS, которые можно удалить или установить из панели управления:
Общие файлы (Common Files);
Документация (Documentation);
FTP-сервер (File Transfer Protocol) (File Transfer Protocol (FTP) Server);
Серверные расширения для FrоntPage 2000 (FrontPage 2000 Server Extensions);
Объект IIS для консоли ММС (Internet Information Services Snap-In);
Диспетчер служб Интернета (HTML) (Internet Services Manager (HTML));
Служба NNTP (NNTP Service) П Служба SMTP (SMTP Service);
Поддержка удаленного развертывания Visual InterDev RAD (Visual InterDev RAD Remote Deployment Support);
Веб-сервер (World Wide Web Server).


Диспетчер служб Интернета (HTML).
Для управления свойствами IIS в диспетчере служб Интернета (HTML) используется узел, который в списке узлов отображается как Администрирование веб-узла (Administration Web Site). При установке IIS автоматически случайно выбирается номер порта в диапазоне от 2000 до 9999, который назначается этому веб-узлу. Узел отвечает на запросы веб-браузеров, независимо от того, к какому доменному имени (из связанных с данным компьютером) происходит обращение, при совпадении номера порта, который добавляется в конце к имени узла. Если используется базовая (basic) аутентификация, то от администратора при подключении к административному узлу будут запрошены имя пользователя и пароль. Только члены группы Windows Администраторы (Administrators) могут использовать этот административный узел. Также управлять узлом дистанционно могут Операторы узла (Web Site Operators). Хотя HTML-версия диспетчера служб Интернета реализует большинство функциональных возможностей оснастки IIS, версия с использованием HTML предназначена для удаленного управления по медленным коммутируемым линиям. В ней не поддерживается, например, щелчок правой кнопкой мыши. Многие из знакомых кнопок на панели или заголовки вкладок отображаются в виде гиперссылок в левой панели окна браузера.

Администрирование служб Web и FTP
Web-узлы и FTP-узлы. В интрасетях и Интернете можно создавать несколько Web- и FTP-узлов (сайтов) на одном компьютере, который работает под управлением Windows 2003, одним из следующих способов:
При помощи разных номеров портов для одного адреса
Используя несколько IP-адресов, назначенных одному адаптеру
Используя несколько доменных имен для одного IP-адреса и одного сетевого адаптера


Контрольные вопросы по теме.

1. Как узнать, доступны ли службы Интернета для анонимных пользователей?
2. Зачем службе WWW нужен документ по умолчанию? Где задается его имя?
3. Какой уровень предназначен для связи IIS с транспортным протоколом TCP?
4. Какая команда FTP используется для запуска сеанса и для завершения FTP?
5. Какой номер имеет стандартный порт HTTP? Как можно ограничить доступ к серверу HTTP?
6. Каковы преимущества локальных каталогов?
7. Сколько виртуальных серверов можно создать в рамках IIS на одном сетевом адаптере?
8. Какие счетчики Perfomans Monitor помогут Вам осуществлять мониторинг служб Интернета?
9. Как управляются службы IIS?
10. Какими способами могут быть установлены сервисы IIS с Windows 2003 Server?
11. Что такое домашний и виртуальный каталоги для Web сайта и чем они отличаются?


Web сервер Apache.

В качестве HTTP сервера в UNIX системах в основном используется сервер Apache, имеющий ряд приемуществ:
- использование CGI скриптов, шифрования, доступ по паролю, перекодирование страниц на лету, поддержка виртуальных хостов;
- малая требовательность к ресурсам и большая производительность;
- многоплатформенность (работает с большинством операционных систем);
- бесплатный и с открытым кодом.
Второе место по количеству установок занимает Web сервер Microsoft, рассмотренный выше.
Конфигурация сервера Apache задается в файлах http.conf, srm.conf, access.conf и .htaccess.
Файл http.conf предназначен для общей конфигурации сервера и является основным в настройке сервера..
Файл srm.conf содержит описание доступных ресурсов, а access.conf – права доступа к ресурсам. Обычно они не изменяются.

Контрольные вопросы по теме.

1. Как производится запуск и останов сервера Apache с помощью штатных средств администрирования и удаленного доступа?
2. Какаие системные команды используются для управления сервером Apache в среде Linux?
3. Назовите основные конфигурационные файлы сервера Apache.
4. Назовите основные директивы конфигурации сервера Apache.
5. Как осуществляется управление доступом на сервере Apache?
6. Как производится конфигурирование сервера Apache с помощью графического интерфейса?
7. Назовите основные возможности сервера Apache.
8. Как осуществляется виртуальный хостинг на серевере Apache?
9. Как осуществляется аутентификация и управление доступом на сервере Apache?
10. Какие параметры сервера Apache настраиваются во время выполнения?


Резюме
В состав Windows 2003 Server входит несколько мощных сетевых компонентов, которые упрощают управление работой клиентов. Диспетчер службы динамических имен DNS используется для создания зон прямого и реверсивного поиска, используемых для преобразования имен компьютеров в их IP-адреса (и наоборот).
Служба WINS использует целую группу партнеров репликации, которая позволяет обеспечить отказоустойчивость работы серверов WINS.
Служба DНСР используется для автоматического назначения адресов TCP/IP, а также для автоматического ведения списка серверов WINS и DNS на всех компьютерах. Все эти службы помогают пользователям сети находить другие компьютеры в сети, а также сокращают число параметров, которые должны настраиваться администраторами вручную.
Терминальные службы Windows (WTS) позволяют клиентам запускать различные приложения на сервере. Соединения осуществляются или по локальной сети или через удаленный доступ. Поскольку все изменения на рабочем столе клиентов, а также сведения о перемещении указателя мыши и нажатиях клавиш на клавиатуре переда­ются по проводам, терминальные службы Windows поддерживают широкий спектрклиентов (даже компьютеры на базе 486-х процессоров, работающие под управлением Windows 3.1), а также географически распределенные сети предприятий.


Вопросы для самопроверки
1. Назовите несколько доменов DNS верхнего уровня.
2. Что такое корневой домен?
3. Какая версия службы BIND должна использоваться сервером, чтобы он смог взаимодействовать со службой каталогов Active Directory?
4. Какова роль запросов на определение имен?
5. Какова роль запросов на определение IP-адресов?
6. Какую роль выполняет служба WINS?
7. Каким образом обеспечивается отказоустойчивость работы службы WINS?
8. Какой сетевой компонент Windows 2000 Server позволяет назначать адреса TCP/IP, адреса серверов DNS, адреса серверов WINS?
9. Для чего необходимо исключать адреса TCP/IP из диапазона адресов, назначенного серверу DHCP?
10. Какое средство отвечает за динамическое обновление данных службы DHCP в базе данных службы DNS?


Глава 8. Службы каталогов.
§ 8.1. Проектирование доменов и развертывание Active Directory.

Служба Active Directory — основная служба Microsoft Windows Server 2003. С ней так или иначе связаны практически все административные задачи. Технология Active Directory основана на стандартных Интернет-протоколах и помогает четко определять структуру сети. В Active Directory используется доменная система имен (Domain Name System, DNS) — стандартная служба Интернета, организующая группы компьютеров в домены. Функции домена ограничиваются и регулируются режимом его функционирования. Существует четыре функциональных режима доменов:
• смешанный режим Windows 2000 (mixed mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Endows 2000 и Windows Server 2003;
• основной режим Windows 2000 (native mode) — поддерживает контроллеры доменов, работающие под управлением Windows 2000 и Windows Server 2003;
• промежуточный режим Windows Server 2003 (interim mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003;
• режим Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Леса и деревья
Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов леса в иерархии имен DNS бывают несмежными (discontiguous) или смежными (contiguous).
Домены, обладающие смежной структурой имен, называют деревом доменов (рис.1.5.1). На рисунке у корневого домена org.com имеется один дочерний домен — otdel.org.com, у которого в свою очередь тоже есть поддомен. Все они являются частью одного дерева, так как у них один и тот же корневой домен.

Рис.1.5.1. Дерево доменов.

Как правило, в каждом домене присутствуют два контроллера, управляющих всей сетью. Первый контроллер (K1 на рис.1.5.1) имеет полную базу по объектам всей сети предприятия. Резервный контроллер (Kр на рис.1.5.1) принимает на себя все роли по управлению сетью (роли хозяина операций) в случае отказа первого контроллера. В процессе репликации между ними производится полное копирование данных по всем объектам сети. Роли, закрепленные за контроллером, выполняют конкретные операции по обслуживанию сети. Все роли в совокупности полностью контролируют работу сети.


Роли хозяина операций
Хозяин операций решает задачи, которые неудобно выполнять модели репликации с несколькими хозяевами. Существует пять ролей хозяина операций — вы можете назначить их одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, для других достаточно уровня домена. В каждом лесе Active Directory должны существовать следующие роли.
• Хозяин схемы (schema master) yправляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога вам необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, откройте окно командной строки и введите dsquery server -hasfsmo schema.
• Хозяин именования доменов (domain naming master) управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен, вам требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время является хозяином именования доменов, откройте окно командной строки и ведите dsquery server -hasismo name. Эти роли, общие для всего леса в целом, должны быть в нем уникальными. Иными словами, вы можете настроить только один хозяин схемы и один хозяин именования доменов для леса. В каждом домене Active Directory в обязательном порядке
существуют следующие роли.
• Хозяин относительных идентификаторов (relative ID master) выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы или компьютера контроллеры назначают объекту уникальный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентификаторов. Чтобы определить, какой сервер в данное время является хозяином относительных идентификаторов в домене, откройте окно командной строки и введите dsquery server - hasfsmo rid.
Эмулятор PDC (PDC emulator) в смешанном или промежуточном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows NT, обрабатывает изменения пароля и реплицирует обновления на BDC. Чтобы определить, какой сервер в данное время является эмулятором PDC в домене, откройте окно командной строки и введите dsquery server -hasfsmo pdc.
• Хозяин инфраструктуры (infrastructure master) обновляет ссылки объектов, сравнивая данные своего каталога с данными ГК. Если данные устарели, он запрашивает из ГК обновления и реплицирует их на остальные контроллеры в до-
мене. Чтобы определить, какой сервер в данное время является хозяином инфраструктуры в домене, откройте окно командной строки и введите dsquery server -hasfsmo infr.
Эти роли, общие для всего домена, должны быть в нем уникальными. Иными словами, вы можете настроить только один хозяин относительных идентификаторов, один эмулятор PDC и один хозяин инфраструктуры для каждого домена.
Обычно роли хозяина операций назначаются автоматически, но вы вправе их переназначить. При установке ноной сети все роли хозяев операций получает первый контроллер первого домена. Если вы позднее создаете новый дочерний домен или корневой домен в новом дереве, роли хозяина операций также автоматически назначаются первому контроллеру домена. В новом лесу доменов контроллеру домена назначаются все роли хозяина операций. Если новый домен создается в том же лесу, его контроллеру назначаются роли хозяина относительных идентификаторов, эмулятора РОС и хозяина инфраструктуры. Роли хозяина схемы и хозяина именования доменов остаются у первого домена леса. Если в домене только один контроллер, он выполняет все роли хозяев операций. Если в вашей сети один сайт, стандартное расположение хозяев операций оптимально. Но по мере добавления контроллеров домена и доменов иногда требуется переместить роли хозяев операций на другие контроллеры доменов. Если в домене два или более контроллеров, сконфигурируйте два контроллера домена для выполнения ролей хозяина операций. Например, назначьте один контроллер домена основным хозяином операций, а другой — запасным, который понадобится при отказе основного. Убедитесь, что контроллеры доменов — прямые партнеры по репликации и соединены скоростным каналом связи. По мере роста структуры доменов можно разнести роли хозяина операций по отдельным контроллерам. Это ускорит отклик хозяев на запросы. Всегда тщательно планируйте ролевые обязанности будущего контроллера домена.

§ 8.2. Администрирование доменов.

Средства администрирования Active Directory
Перечисленные ниже инструменты реализованы и виде оснасток консоли ММС:
• Active Directory — пользователи и компьютеры (Active Directory
Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделениями (ОП);
Active Directory — домены и доверие (Active Directory Domains
and Trusts) служит для работы с доменами, деревьями доменов и лесами доменов;
- Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями;
Результирующая политика (Resultant Set of Policy) используется для просмотра текущей политики пользователя или системы и для планирования изменений R политике.
Утилиты командной строки Active Directory
В этом разделе кратко описаны утилиты для управления Active Directory из командной строки. Для получения более подробной справочной информации о команде введите ее с переключателем «/?»
•DSADD — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей. Для получения справочной информации введите dsadd <имя_объекта> /?, например dsadd computer/?.
•DSGET — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsget <имя_объекта> /?, например dsget subnet /?.
•DSMOD — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsmod <имя_объекта> /?, например dsmod server /?.
•DSMOVE — перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.
•DSQXJERY — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.
• DSRM — удаляет объект из Active Directory.
•NTDSUTIL — позволяет просматривать информацию о сайте, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory.

Поиск учетных записей и общих ресурсов
В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) предусмотрена встроенная функция поиска учетных записей, общих ресурсов и других объектов каталога в текущем или указанном домене или во всем каталоге.
1. В дереве консоли щелкните правой кнопкой текущий домен или конкретный контейнер, и котором хотите вести поиск, и выберите команду Найти (Find). Откроется окно Поиск (Find), подобное показанному на рис. 7-3.
2. Выберите в списке Найти (Find) нужный вариант:
• Пользователи, контакты и группы (Users, Contacts, and Groups) — учетные записи пользователей и групп, а также контакты, перечисленные в службе каталогов;
Компьютеры (Computers) — учетные записи компьютеров, отсортированные по типу, имени и владельцу;
• Принтеры (Printers) — принтеры, отсортированные по имени, модели и свойствам;
• Общие папки (Shared Folders) — общие папки, отсортированные но имени или ключевому слову;
Организационные подразделения (Organizational Units) — ОП, отсортированные по имени;
Пользовательский поиск (Custom Search) — углубленный поиск или запрос но протоколу LDAP;
• Общие запросы (Common Queries) — упрощенный поиск имен и описаний учетных записей, отключенных учетных записей, паролей с неограниченным сроком действия и др.
3. Задайте область поиска в списке В (In). Если вы до этого щелкнули правой кнопкой контейнер, например Computers, on будет выбран по умолчанию. Чтобы искать все объекты в каталоге, выберите в списке вариант Целиком Active Directory (Entire Directory).
4. Введя параметры поиска, щелкните Найти (Find Now). Все отвечающие условиями поиска разделы отображаются в нижней части окна (рис. 7-4). Дважды щелкните объект для просмотра или изменения его свойств. Щелкните объект правой кнопкой для отображения меню команд управления объектом. Примечание Тип поиска определяет, какие поля и вкладки доступны в диалоговом окне Поиск (Find). Как правило, вы просто вводите имя искомого объекта в поле Имя (Name), но есть и другие параметры поиска. Например, вы можете искать цветной принтер, принтер, который может печатать на обеих сторонах листа, и т. п.

Установка и понижение контроллеров домена
Чтобы создать контроллер домена, нужно установить Active Directory на рядовом сервере. Если затем вы решите, что сервер больше не должен выполнять задачи контроллера, его можно понизить обратно до уровня рядового сервера. Операции установки Active Directory и понижения контроллера схожи.
Как вы помните, когда вы устанавливаете контроллер домена, требуется передать роли хозяина операций и переконфигурировать структуру глобального каталога. Кроме того, перед установкой Active Directory в сети должна работать DNS, а целевой жесткий диск — иметь формат NTFS 5.0 или более поздний. Перед понижением контроллера нужно передать все его ключевые обязанности другим контроллерам домена, т. е. при необходимости переместить глобальный каталог с сервера и передать все его роли хозяина операций.
Примечание. В Windows Server 2003 допускается переименование контроллера домена без понижения до рядового сервера. Единственная возможная проблема в том, что во время переименования сервер недоступен пользователям. Не исключено, что вам придется вручную обновить каталог, чтобы восстановить соединения с сервером. Переместить контроллер домена в другой домен нельзя. Сначала его придется понизить.
Вот как установить или понизить контроллер домена.
1. Войдите на сервер, который хотите настроить.
2. В меню Пуск (Start) выберите команду Выполнить (Run).
3. Наберите dcpromo и щелкните ОК. Запустится мастер установки Active Directory.
4. Если компьютер — рядовой сервер, то запускается мастер установки службы каталогов Active Directory. Вам нужно указать, будет ли это контроллер нового домена или дополнительный контроллер существующего домена.
5. Если компьютер — контроллер домена, тот же мастер понизит его до рядового сервера.

Просмотр и передача доменных ролей
Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет просмотреть или изменить расположение доменных ролей хозяина операций. На уровне домена вы можете работать с ролями хозяина относительных идентификаторов (Relative ID, RID), эмулятора PDC и хозяина инфраструктуры.
Для настройки роли хозяина именования служит консоль Active Directory — домены и доверие (Active Directory Domains and Trusts), а для изменения роли хозяина схемы — Схема Active Directory (Active Directory Schema).
Вот как передать роль хозяина операций.
В дереве консоли щелкните правой кнопкой элемент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и выберите Хозяева операций (Operations Masters). Откроется окно, показанное на рис. 7-8.
2. Па вкладке RID показано местоположение текущего хозяина относительных идентификаторов. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли.
3. На вкладке PDC покачано местоположение текущего эмулятора РОС. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли.
4. На вкладке Инфраструктура (Infrastructure) показано местоположение текущего хозяина инфраструктуры. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли. Щелкните ОК.
Просмотр и передача роли хозяина именования домена
Консоль Active Directory — домены и доверие (Active Directory Domains and Trusts) позволяет просмотреть или изменить расположение хозяина именования домена в лесу. В ней корневой уровень дерева консоли соответствует выбранному домену.
Вот как передать роль хозяина именования домена.
1. Откройте консоль Active Directory — домены и доверие (Active Directory Domains and Trusts).
2. В дереве консоли щелкните правой кнопкой элемент Active Directory — домены и доверие (Active Directory Domains and Trusts) и выберите Хозяин операций (Operations Master). Откроется окно Изменение хозяина операций (Change Operations Master).
3. В поле Хозяин именования доменов (DomainNaming Operations Master) отображается текущий хозяин именования домена. Щелкните Изменить (Change), а затем укажите новый контроллер. Роль будет передана этому контроллеру.
4. Щелкните Закрыть (Close).
Просмотр и передача роли хозяина схемы
Консоль Схема Active Directory (Active Directory Schema) позволяет просмотреть или изменить расположение хозяина схемы
Делается это так.
1. Добавьте оснастку Схема Active Directory (Active Directory Schema) в консоль ММС.
2. В дереве консоли щелкните правой кнопкой элемент Схема Active Directory (Active Directory Schema) и выберите Изменение контроллера домена (Change Domain Controller).
3. Установите переключатель Любой контроллер (Any Domain Controller), чтобы позволить Active Directory выбрать новый хозяин схемы автоматически, или переключатель Укажите имя (Specify Name), чтобы указать конкретный сервер.
4. Щелкните ОК.
5. В дереве консоли щелкните правой кнопкой элемент Схема Active Directory (Active Directory Schema) и выберите Хозяин операций (Operations Master).
6. Щелкните Сменить (Change) и задайте в качестве хозяина другую систему.
7. Щелкните Закрыть (Close).
Передача ролей с помощью командной строки
В этом разделе рассказано, как передать роли с помощью утилиты командной строки Ntdsutil.exe:
1. Локально или с помощью удаленного рабочего стола зарегистрируйтесь на сервере, которому хотите назначить роль нового хозяина операций.
2. Щелкните кнопку Пуск (Start), выберите команду Выполнить (Run), введите cmd в поле Открыть (Open) и щелкните ОК.
3. В командной строке введите ntdsutil.
4. В командной строке утилиты Ntdsutil введите roles. Утилита перейдет в режим обслуживания хозяев операций.
5. После приглашения Fsmo Maintenance введите connections. Затем после приглашения Server Connections введите connect to server и полное доменное имя текущего хозяина схемы для данной роли, например:
connect to server comp1.technology.adatum.com
6. Когда соединение будет установлено, введите quit, чтобы покинуть приглашение Server Connections, а затем в строке приглашения Fsmo Maintenance введите transfer и идентификатор переносимой роли:
• pdc — роль эмулятора РОС;
rid master — роль хозяина относительных идентификаторов;
• infrastructure master — роль хозяина инфраструктуры;
• schema master — роль хозяина схемы;
Захват ролей с помощью командной строки
Изредка возникают ситуации, когда обычная передача роли невозможна. Например, у контроллера домена, который исполнял роль хозяина RID, может выйти из строя жесткий диск. Просто передать роль другому серверу уже не удастся — ее придется захватить.
Захват роли — это очень серьезное действие, и прибегать к нему следует лишь в безвыходной ситуации, когда сервер, исполнявший роль, окончательно и бесповоротно вышел из строя. После захвата роли сервера на нем придется переформатировать жесткий диск.
Вот как захватить роль сервера:
1. Убедитесь, что сервер, роль которого вы хотите захватить, действительно нельзя вернуть к жизни. Если сервер может продолжать работу, захватывайте его роль, только если вы собираетесь полностью переустанавливать на нем ОС.
2. Зарегистрируйтесь на сервере, который хотите сделать новым хозяином операций, локально или через удаленный рабочий стол.
3. Щелкните кнопку Пуск (Start), выберите команду Выполнить (Run), введите cmd в поле Открыть (Open) и щелкните ОК.
4. В командной строке введите ntdsutil.
5. В командной строке утилиты Ntdsutil введите roles. Утилита перейдет в режим обслуживания хозяев операций.
6. После приглашения Fsmo Maintenance введите connections.
Затем после приглашения Server Connections введите connect to server и полное доменное имя текущего хозяина схемы для данной роли, например:
connect to server engdc01.technology.adatum.com
7. Когда соединение будет установлено, введите quit, чтобы покинуть приглашение Server Connections, а затем в строке приглашения Fsmo Maintenance введите seize и идентификатор захватываемой роли (один из тех, что перечислены в предыдущем разделе).
8. Введите quit в строках приглашения Fsmo Maintenance и Ntdsutil.
Настройка глобальных каталогов.
Глобальные каталоги играют в сети важную роль.
Иногда их требуется добавлять для ускорения операций поиска, а иногда — удалять. Так, если в сайте два или более глобальных каталога, желательно оставить только один из них. Вот как включить или отключить глобальный каталог.
1. Откройте консоль Active Directory — сайты и службы (Active Directory Sites and Services).
2. В дереве консоли раскройте сайт, с которым хотите работать, щелкнув значок «плюс» (+) рядом с его именем.
3. Раскройте папку Servers и щелкните сервер, который хотите использовать для хранения глобального каталога.
4. Щелкните правой кнопкой элемент NTDS Settings и выберите команду Свойства (Properties).
5. Чтобы активизировать глобальный каталог, установите флажок Глобальный каталог (Global Catalog) на вкладке Общие (General).
6. Чтобы отключить глобальный каталог, сбросьте этот флажок.

Резюме.
Служба каталогов Active Directory Windows 2000 Server пришла на смену базе данных SAM, которая использовалась в Windows NT. Служба каталогов Active Directory выполняет роль центрального хранилища всех корпоративных данных, включая учетные записи пользователей, учетные записи принтеров, объекты системы безопасности и т.д. Кроме того, служба каталогов Active Directory позволяет администраторам включать в нее новые объекты любых типов, в том числе фотографии и звуки.
Деревья представляют собой иерархические объединения доменов Windows 2000 Server, принадлежащих одному пространству имен. Лес доменов Windows 2000 Server представляет собой группу не связанных между собой деревьев, чьи корневые домены находятся в доверительных отношениях.

Вопросы для самопроверки
1. Что такое домен?
2. Какая структура каталога используется в Windows 2003 Server?
3. Что такое роли FSMO, их функции, назначение и распределение в сети?
4. Какую информацию хранит Active Directory?
5. Есть ли PDC в Active Directory и как обрабатываются функции PDC?
6. Что такое схема в Active Directory?
7. Что такое лес в Active Directory и как он используется?
8. Что такое отношения доверия между доменами?
9. Для чего предназначена репликация Active Directory и как она используется?
10. Какие механизмы передачи ролей существуют и как их реализовать?
11. Какой компьютер можно использовать для создания домена?
12. Какая разница между деревьями и лесами доменов?
13. Назовите названия служб каталогов, созданных другими компаниями (не Microsoft).
14. Какие атрибуты можно добавить к схеме службы каталогов Active Directory?
15. Что такое доверительные отношения? Что такое переходные доверительные отношения?
16. Что такое корневой домен?
17. Что такое родительский домен? Что такое дочерний домен?
18. Каким образом можно превратить отдельно стоящий сервер в контроллер домена?
19. Какая служба обеспечивает корректную работу службу каталогов Active Directory?
20. Какая разница между доменами Windows NT и Windows 2000 Server?




Глава 9. Межсетевое взаимодействие, маршрутизация.
§ 9.1. Обзор одноадресной маршрутизации.

Маршрутизируемые протоколы
Протокол маршрутизации может работать только с пакетами, принадлежащими к одному из маршрутизируемых протоколов, например, IP, IPX или Xerox Network System. Маршрутизируемые протоколы определяют формат пакетов (заголовков), важнейшей информацией из которых для маршрутизации является адрес назначения. Протоколы, не поддерживающие маршрутизацию, могут передаваться между сетями с помощью туннелей. Подобные возможности обычно предоставляют программные маршрутизаторы и некоторые модели аппаратных маршрутизаторов. В сети желательно использовать какой-либо один маршрутизируемый протокол, так как некоторые маршрутизаторы допускают совмещение разных протоколов и это всегда снижает производительность сети.
Программная и аппаратная маршрутизация
Первые маршрутизаторы представляли из себя специализированное ПО, обрабатывающее приходящие IP-пакеты специфичным образом. Это ПО работало на компьютерах, у которых было несколько сетевых интерфейсов, входящих в состав различных сетей (между которыми осуществляется маршрутизация). В дальнейшем появились маршрутизаторы в форме специализированных устройств. Компьютеры с маршрутизирующим ПО называют программные маршрутизаторы, оборудование - аппаратные маршрутизаторы.
В современных аппаратных маршрутизаторах для построения таблиц маршрутизации используется специализированное ПО ("прошивка"), для обработки же IP-пакетов используется коммутационная матрица (или другая технология аппаратной коммутации), расширенная фильтрами адресов в заголовке IP-пакета.
Аппаратная маршрутизация.
Выделяют два типа аппаратной маршрутизации: со статическими шаблонами потоков и с динамически адаптируемыми таблицами.
Статические шаблоны потоков подразумевают разделение всех входящих в маршрутизатор IP-пакетов на виртуальные потоки; каждый поток характеризуется набором признаков для пакета: IP-адресами отправителя/получателя, TCP/UDP-порт отправителя/получателя (в случае поддержки маршрутизации на основании информации 4 уровня), порт, через который пришёл пакет. Оптимизация маршрутизации при этом строится на идее, что все пакеты с одинаковыми признаками должны обрабатываться одинаково (по одинаковым правилам), при этом правила проверяются только для первого пакета в потоке (при появлении пакета с набором признаков, не укладывающимся в существующие потоки, создаётся новый поток), по результатам анализа этого пакета формируется статический шаблон, который и используется для определения правил коммутации приходящих пакетов (внутри потока). Обычно время хранения неиспользующегося шаблона ограничено (для освобождения ресурсов маршрутизатора). Ключевым недостатком подобной схемы является инерциональность по отношению к изменению таблицы маршрутизации (в случае существующего потока изменение правил маршрутизации пакетов не будет "замечено" до момента удаления шаблона).
Динамически адаптированные таблицы используют правила маршрутизации "напрямую", используя маску и номер сети из таблицы маршрутизации для проверки пакета и определения порта, на который нужно передать пакет. При этом изменения в таблице маршрутизации (в результате работы, например, протоколов маршрутизации/резервирования) сразу же влияют на обработку всех новопришедших пакетов. Динамически адаптированные таблицы также позволяют легко реализовывать быструю (аппаратную) проверку списков доступа.
Программная маршрутизация.
Программная маршрутизация выполняется либо специализированным ПО маршрутизаторов (в случае, когда аппаратные методы не могут быть использованы, например, в случае организации туннелей), либо программным обеспечением на компьютере. В общем случае, любой компьютер осуществляет маршрутизацию своих собственных исходящих пакетов (как минимум, для разделения пакетов, отправляемых на шлюз по умолчанию и пакетов, предназначенных узлам в локальном сегменте сети). Для маршрутизации чужих IP-пакетов, а также построения таблиц маршрутизации используется различное ПО:
• Сервис RRAS (англ. routing and remote access service) в Windows Server
• Демоны routed, gated в Unix-подобных операционных системах (Linux, FreeBSD и т.д.)

Общая схема маршрутизации.
Решение о перенаправлении пакета должны принимать как узел – отправитель, так и маршрутизатор. Каждый хост содержит локальную таблицу маршрутизации и шлюз (адрес маршрутизатора).
1. При попытке одного узла связаться с другим протокол IP определяет, является ли хост – получатель локальным.
2. Если получатель находится в другой сети, то анализируется локальная таблица маршрутизации (ищется путь к удаленной сети).
3. Если прямой маршрут не обнаружен, IP использует адрес шлюза по умолчанию для доставки пакета маршрутизатору.
4. Маршрутизатор снова ищет путь к удаленному узлу в своей таблице маршрутизации. Если путь не найден, пакет посылается на шлюз по умолчанию для маршрутизатора.
5. При обнаружении очередного маршрута пакет отсылается на следующий маршрутизатор (транзит), а если маршрут не найден, то на узел – отправитель посылается сообщение об ошибке.
Способ получения маршрутизатором информации о маршрутах зависит от используемого типа маршрутизации: статистическая или динамическая.
Статистическая маршрутизация требует ручного построения таблиц маршрутизации, но при изменении маршрута статистические маршрутизаторы не информируют об этом друг друга.
Динамическая маршрутизация осуществляется двумя протоколами: RIP и OSPF. RIP используется в случае, когда количество маршрутизаторов  16, в больших сетях используется OSPF.


Статистическая маршрутизация.
Наиболее стандартной настройкой является настройка маршрутизатора на использование статической маршрутизации. При этом сценарии вы сообщаете маршрутизатору обо всех подсетях, включая информацию об адресах для следующей пересылки (куда пакеты, прибывшие в вашу подсеть должны пересылаться дальше, будь-то адрес «целевого» узла или другого маршрутизатора). Заметьте, что маршрутизатор будет знать обо всех сетях и подсетях, к которым он присоединен сетевыми картами, поэтому у вас нет необходимости добавлять эту информацию в статическую таблицу маршрутизации, используя статические маршруты. Но для всех подсетей, к которым маршрутизатор не подключен непосредственно, вы обязательно должны вносить информацию в таблицу маршрутизации. Заметьте, что добавление большого количества маршрутов вызывает дополнительные трудозатраты, поэтому, во многих случаях, предпочтительным является использование протоколов маршрутизации. На рисунке ниже представлена схема формирования таблиц маршрутизации для двух роутеров. Два маршрутизатора связывают три подсети 131.107.8.0, 131.107.16.0, 131.107.24.0 (Hub1, Hub2 и Hub3).

Рис.9.1. Пример построения таблицы маршрутизации.
Основные возможности маршрутизатора Windows Server.
1. Использование протокола RIP версии 1 и 2.
RIP – протокол динамической маршрутизации. Используется для локальной сети.
2. Протокол OSPF.
Используется в динамической маршрутизации. Используется в больших и очень больших глобальных сетях.
3. Агент ретрансляции DHCP.
Обеспечивает передачу сообщений между DHCP – клиентами и DHCP – серверами в разных сетях.
4. Служба NAT.
NAT – средство преобразования сетевых адресов.
5. Фильтрация пакетов.
Позволяет осуществлять настройку входных и выходных фильтров для каждого IP – интерфейса.
6. Обнаружение маршрутизаторов средствами протокола ICHP.
Обеспечивает распознавание узлами основных маршрутизаторов.
7. Установка службы VPN.
Основные сведения по динамической маршрутизации.
При динамической маршрутизации маршрутизаторы автоматически обмениваются путями к известным сетям. Используются в средних, больших и глобальных компьютерных сетях.
Для связи узла с другими в сети адрес его шлюза должен соответствовать маршрутизатору.

§ 9.2. Протоколы динамической маршрутизации RIP и OSPF.
Протокол RIP
RIP облегчает обмен информацией между маршрутизаторами в сети. Позволяет маршрутизаторам обмениваться идентификаторами сетей и метрикой к ним.
Метрика показывает количество транзитов (промежуточных маршрутизаторов) до искомой сети. Максимальное количество транзитов для RIP = 15. Значение 16 устанавливается для недостижимых сетей.
Если маршрутизатор сконфигурирован по умолчанию, то каждые 30 секунд маршрутизатор посылает широковещанием свою таблицу маршрутизации.
Схема работы:
1. Маршрутизатор 1 посылает широковещание в сеть 2 и всем маршрутизаторам в сети 2 информацию о сети 1.
2. Маршрутизатор 2 добавляет новые пути в своей таблице лицу маршрутизации и информирует об этом маршрутизатор 1.
Маршрутизатор 2 при этом проверяет метрики из пришедших интерфейсов. Если эти интерфейсы у него есть, то сравнивает их со своими метриками. Выбирается интерфейс с меньшей метрикой и заносится в таблицу маршрутизации.
Оповещение о маршрутах.
Осуществляется путем установки соответствующих параметров протокола:
• время конвергенции,
• период оповещения соседних маршрутизаторов (он установлен в Windows 2000 Server по умолчанию 30 секунд).
Конвергенция – способность маршрутизатора восстановить общую картину маршрутизации после каких‑либо сбоев в сети.
Из‑за того, что происходит постоянное оповещение соседних маршрутизаторов, генерируется очень большой RIP – трафик, что делает непригодным его для крупных сетей.
Вся работа протокола строится на трех процессах:
1. Инициализация.
В ходе инициализации будут получены маршруты к соседним маршрутизаторам. При запуске RIP‑сообщения оно попадает ко всем подключенным сетям. Соседние маршрутизаторы обрабатывают это сообщение и при необходимости пополняют свои таблицы маршрутизации.
2. Регулярное оповещение.
RIP‑маршрутизатор всегда прослушивает оповещение соседних маршрутизаторов.
3. Отключение маршрутизатора административными средствами.
Происходит корректное оповещение соседних маршрутизаторов о выключении текущего. На соседних маршрутизаторах устанавливается метрика, равная 16 единицам.
RIP версии 1.
RIP 1.0
Широко применяется в малых и средних сетях. Посылает пакет через UDP‑протокол по 520 порту.
Пакет адресован или всем сетям, или конкретным окружающим маршрутизаторам.
Проблемы RIP 1.0.
1. Так как поддерживается широковещание на мак‑уровне, то генерируется очень большой трафик.
2. Проблемы с подсетями.
RIP 1.0 предназначен для сетей с адресацией на основе классов. При пересылке пакета выполняются операции:
А) Если идентификатор сети укладывается в чистый класс адресов А, В, и С, то используется маска по умолчанию для соответствующего класса.
Б) Если идентификатор не укладывается в какой‑либо класс адресов, то присваивается маска интерфейса, с которого пакет был послан. В противном случае маска = 255.255.255.255. В этом случае могут быть сбои при передаче RIP – сообщения.
Вывод: НЕ использовать RIP 1.0 в подсетях.
3. Отсутствие защиты.
RIP 1.0 не предусматривает маршрут защиты от неавторизированного маршрутизатора, посылающего ложные маршруты.
RIP 2.0
Новые функции протокола:
1. Может посылать сообщения, не используя широковещания (групповые оповещения), путем указания диапазона сети в свойствах протокола.
2. Распознавание масок подсетей за счет того, что вместе с идентификатором сети передается его маска.
3. Аутентификация. Проверяет источник входящих подключений.
Практика реализации протокола RIP.
Этапы развертывания сети на основе RIP:
1. Установка базовых функций протокола RIP и проверка их работоспособности.
2. Добавление и тестирование дополнительных возможностей.
Необходимо выполнить следующие действия:
◦ Создать схему топологии сети, на которой показать все отдельные сети и места расположения маршрутизаторов и узлов.
◦ Каждой сети присвоить уникальный код сети (IP-адрес сети).
◦ Обозначить интерфейс каждой сети.
◦ Для каждого интерфейса выбрать версию протокола (1 или 2).
Установка протокола:
1) Включается оснастка маршрутизации удаленный доступ (запуск мастера настройки маршрутизации).
2) Выбрать пункт IP – маршрутизация. В нем выбрать пункт Общие  свойства  добавить новый протокол.
Тестирование сети с протоколом RIP.
1. Выяснить присутствие соседних маршрутизаторов (в свойствах RIP выбрать Просмотр соседей).
2. Для каждого RIP – маршрутизатора просмотреть его таблицу и убедиться, что все в порядке в нашей сети (Свойства RIP  Просмотр таблиц маршрутизации).
3. Проверить связь с маршрутизаторами двумя основными командами: PINK, TRACERT.
TRACERT отображает последовательность маршрутов, которые используются при доставке пакетов, и время, затраченное на каждую пересылку.
Топологическая маршрутизация.
Используется для организации глобальных сетей (в том числе Internet).
Алгоритмы топологической ведут сложную базу данных, описывающую топологию сети. В отличие от дистанционно‑векторных протоколов, выбирающих маршрут на основе метрики, топологические протоколы располагают полной информацией о всех маршрутах и способах их соединения. Эта задача решается посредством обмена сообщениями (LSA), на основании которых строится топологическая база данных. После чего доступность маршрутизаторов оценивается по алгоритму SPF. При этом обмен сообщениями LSA не производится на периодической основе, а генерируется изменениями топологии сети и характеристиками сети.
Недостатки топологической маршрутизации:
1. На стадии исходного сбора информации генерируется очень большой трафик.
2. Если в качестве маршрутизатора используется компьютер, то требуется большая мощность.
OSPF позволяет выбирать маршрут на основании состояния канала. Канал – соединение между двумя маршрутизаторами. Атрибутами канала является скорость передачи и задержка. Протокол строит маршруты на основании IP – адреса. На каждом маршрутизаторе хранится копия базы данных с информацией о состоянии каналов, а также о доступных соседях. Обновления таблицы маршрутизации передаются всем соседям зоны. Все маршрутизаторы используют один и тот же алгоритм передачи. На каждом маршрутизаторе сеть представлена в виде дерева, где текущий маршрутизатор – корневой узел. Дерево показывает кратчайшие пути до компьютерных сетей. Доступ к удаленным сетям осуществляется через шлюзы. Производится разделение сети на зоны.
Зона – совокупность маршрутизаторов и каналов связи. Все зоны пронумерованы. Зоны определяются не произвольно, а с учетом того, чтобы свести к минимуму трафик внутри зоны. Количество зон, поддерживаемых протоколом, задается 32разрядным числом: 4.294.967.295.
В зависимости от зонной принадлежности различаются три типа маршрутизаторов: внутренние, граничные, магистральные (см. рис. выше).
Граничные маршрутизаторы принадлежат к двум и более зонам.
Магистральные маршрутизаторы принадлежат к нулевой зоне.
Внутренние маршрутизаторы принадлежат одной зоне (но не зоне 0).
OSPF поддерживает два типа маршрутизации:
• внутризонная
• межзонная.
Межзонная маршрутизация производит обмен данными между зонами через зону 0. Зонам, отличным от 0, не разрешено взаимодействовать друг с другом.

§ 9.3. Служба маршрутизации и удаленного доступа RRAS.

Добавлением более одной сетевой карты на систему и разрешением трансляции протокола IP, вы можете превратить компьютер Windows 2003 Server в маршрутизатор. Функциональность его не ограничена только работой в качестве статического маршрутизатора. Служба RRAS может взаимодействовать с другими маршрутизаторами, используя различные популярные протоколы, такие как RIP версии 1 и 2, а также OSPF.
Маршрутизатор, также иногда называемый шлюзом, подключен к обеим подсетям, обычно при помощи разных сетевых карт, по одной на каждую подсеть. Когда узел одной подсети нуждается во взаимодействии с узлом другой, он посылает пакет (фрейм), создаваемый им, на сетевую карту локального маршрутизатора. Получив этот пакет, маршрутизатор выполняет несколько вещей. Во-первых, он удаляет связанную с пакетом адресную информацию (например, Ethernet MAC-адреса) и затем изучает «целевой» IP-адрес. Хотя маршрутизатор (обычно) не знает местонахождение конкретного узла, он, как минимум, знает о тех подсетях, к которым он непосредственно подсоединен, а также о тех, о которых он узнает при помощи протоколов маршрутизации. Если маршрутизатор находит «целевую» подсеть в своей таблице маршрутизации, он отмечает IP-адрес, по которому пакет должен быть послан, будь-то адрес самого узла или другого маршрутизатора (если это возможно). После уменьшения TTL (времени жизни) пакета на 1 (что происходит на каждом маршрутизаторе), он затем добавляет к пакету информацию, включающую соответствующий МАС-адрес и отправляет пакет дальше по сети.
Всякий раз, когда мы говорим о маршрутизации, мы должны быть уверены, что понимаем разницу между протоколами маршрутизации и маршрутизируемыми протоколами. Маршрутизируемый протокол, это тот, который имеет схему адресации, позволяющую ему использовать маршрутизацию в сложных сетях. Это такие протоколы, как IP или IPX. С другой стороны, протокол маршрутизации, это тот, который маршрутизаторы используют для обмена информацией между собой, такие как RIP или OSPF.
Статическая маршрутизация
Статическая маршрутизация предоставляет наиболее быстрый, простой и эффективный метод для настройки маршрутизации, особенно в небольших сетях. В оснастке Routing and Remote Access Windows 2003, статическая маршрутизация настраивается в узле IP Routing.
Routing Information Protocol (RIP)
Поскольку статическая маршрутизация становиться трудноуправляемой в очень больших сетях, компании обычно выбирают применение таблиц маршрутизации, созданных динамически, при помощи протоколов маршрутизации. Именно при помощи этих протоколов маршрутизаторы «говорят» друг с другом, обмениваясь информацией о сетях, о которых они знают. Существует большое разнообразие протоколов маршрутизации. Windows 2003 поддерживает например протоколы RIP версии 1 и 2, а так же OSPF. Для того чтобы маршрутизаторы обменивались информацией друг с другом, они должны использовать общий протокол. RIP является наиболее простым для внедрения протоколом – для его использования почти ничего не нужно настраивать, его нужно просто «включить». В средах, которые используют RIP, маршрутизаторы рассылают свои таблицы маршрутизации широковещанием всем соседним маршрутизаторам через определенный настраиваемый интервал. Недостаток этого метода заключается в его отрицательном влиянии на производительность сети и в том, что изменения в топологии сети (например, вследствие выхода из строя какого-либо маршрутизатора) медленно передаются по сети.
Windows 2003 поддерживает как версию 1, так и версию 2 протокола RIP. RIP версии 1 плохой выбор для больших сред, в основном потому, что поддерживает только классную IP-адресацию. Это означает, что информация о масках подсети не распространяется как часть пакета широковещания протокола. Это также означает, что RIP версии 1 не пригоден для сетей, которые используют как CIDR (бесклассовую междоменную маршрутизацию), так и VLSM (маски подсетей переменной длинны). Другой минус RIP версии 1 в том, что безопасность этого протокола ограниченна, так как соседние маршрутизаторы не устанавливают подлинности друг друга. Это может привести маршрутизатор к обмену информацией с нежелательным компьютером.
В отличие от этого, протокол RIP версии 2 поддерживает VLSM, CIDR и базовую аутентификацию (строковое значение (пароль), которое должно быть одинаковым для всех маршрутизаторов, принимающих участие в обмене информацией, правда, передаваемое открытым текстом). Маршрутизаторы RIP v.2 также поддерживают обмен информацией при помощи как широковещания, так и многоадресной рассылки эта опция может быть установлена). Заметьте, что маршрутизатор, использующий только протокол RIP v.1 не может обмениваться информацией с маршрутизатором, использующем только RIP v.2.


Резюме
Маршрутизация – процесс выбора пути для передачи пакета.
Маршруты могут задаваться административно (статические маршруты), либо вычисляться с помощью алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).
Статическими маршрутами могут быть:
• маршруты, не изменяющиеся во времени
• маршруты, изменяющиеся по расписанию
• маршруты, изменяющиеся по ситуации — административно в момент возникновения стандартной ситуации
Процесс маршрутизации в компьютерных сетях выполняется специальными программно-аппаратными средствами — маршрутизаторами. Название идёт от самого процесса (основной функции) — маршрутизации. В дополнение к маршрутизации, маршрутизаторы осуществляют и коммутацию каналов/сообщений/пакетов/ячеек, так же, как и коммутаторкомпьютерной сети выполняет маршрутизацию (определение на какой порт отправить пакет на основании таблицы MAC адресов), а называется в честь основной его функции — коммутации.

Вопросы для самопроверки.
1. Как осуществляется поддержка IP маршрутизации?
2. Обязательно ли нужна таблица маршрутизации на компьютере с несколькими сетевыми интерфейсами, подключенном к корпоративной сети с двумя подсетями?
3. Когда надо создавать статическую таблицу маршрутизации?
4. Какая информация необходима для таблицы маршрутизации?
5. Почему протокол RIP обычно не используется в большой сети?
6. Опишите схему работы протокола RIP?
7. Опишите схему работы протокола OSPF?
8. Какие октеты представляют идентификатор сети и узла в адресах классов A, B и С?
9. Какие значения не могут быть использованы в качестве идентификаторов сетей и почему?
10. Опишите механизм расчета подсетей?









Глава 10. Безопасность информационных систем и компьютерных сетей.
§ 10.1. Основные понятия безопасности. Классификация угроз.
Угрозы сетевой безопасности.

Угрозы сетевой безопасности можно разделить на внутренние и внешние.
Внешние угрозы.
Большинство современных сетевых атак построены на не совершенстве сетевых протоколов, при разработке которых основным требованием была открытость протокола и переносимость на разные платформы, обусловленную набором сопровождающих утилит.
Нарушение внешней безопасности может проявляться в нескольких формах:
1. Несанкционированное использование паролей и ключей.
2. DOS – атаки (отказ в обслуживании).
3. Подмена в IP‑адресах.
4. Компьютерные вирусы.
5. Программы вида «Троянский конь».
Атаки DOS (отказ в обслуживании).
Могут выполняться разными способами с целью нарушения работы сервера или сети.
Атаки, типа отказ в обслуживании -это методы расстраивающие работу или всей сети целиком, или ее участка. При этом ставятся следующие задачи:
1. перегрузить какую-либо из ограниченных ресурсов.
2. вызвать отказ или сетевого устройства, или компьютера.
3. изменить настройки ресурса, сделав его непригодным.
В качестве ресурсов выступают:
-дисковые накопители
-оперативная память
-ошибки ОС или в реализации сетевых служб.

Они не влекут за собой крах компьютера и предназначены для разрыва сетевых соединений за счет того, что сеть наводняется бесполезными пакетами, влекущими за собой разрыв соединения:

Формы DOS – атак:
Атаки ICMP.
ICMP выполняет функции:
1. управление протоколом IP;
2. возможность проверки доступности конкретных сетей и конкретных узлов по команде ping;
3. по данному протоколу идет обмен сообщениями между маршрутизаторами, что могут быть использованы для проведения атаки ICMP. При этом подделка пакетов ICMP обусловлено тем, что при их пересылке не требуется аутентификация.
Распределенные DOS-атаки.
На вершине пирамиды находится компьютер хакера, к которому подключаются управленческие агенты (клиенты Интернета на высокоскоростных каналах связи), которые в свою очередь связываются с обычным агентом Интернета. Сама атака выполняется обычными агентами. В результате происходит перегрузка каналов целевого узла.
Фрагментация пакетов.
При невозможной передачи пакета в следствии его большого объема, по каналу связи протокол IP делает фрагментацию пакета. Проблема заключается в том, что сетевой фильтр делает проверку всей информации по первому пакету и хакер выставив номер фрагмента 2-ой и большее сможет обойти фильтр при передачи информации в сеть.
Атаки Ping of Death.
Атаки - смертельный PING. Основаны на том, что стандартный пакет в 64 байта заменяется на пакет более чем 65000 байт, что приводит к зависимости ОС.
SYN - основана на схеме протокола TCP. Атакующий компьютер непрерывно посылает сообщение с запросами на установку соединения.

§ 10.2. Проектирование безопасности, стратегии брандмауэра.
Установка и настройка брандмауэра Microsoft ISA Server

ISA-сервер – это расширяемый брандмауэр масштаба предприятия и сервер WEB-кэширования, который базируется на операционной системе Windows 2000/20003. Многоуровневый брандмауэр на базе ISA-сервер обеспечивает защиту сетевых ресурсов от вирусов и несанкционированного доступа, а сервер WEB-кэширования позволяет организациям обеспечивать более быстрый доступ к Web-ресурсам, сохраняя локальные копии объектов Интернета и возвращая их пользователям без обращения к узлам, хранящим оригинал.

ISA-сервер работает в одном из трех режимов:
- брандмауэр(Firewall)
- кэширующий сервер (Cache)
- смешанный режим (то и то)

ISA-сервер позволяет:
- публиковать службы в Интернете, не нарушая безопасность внутренней сети.
- поддерживает NAT (Network Address Translation)
- Интегрированные виртуальные частные сети (VPN)
- Аутентификацию по протоколам NTLM (NT LAN Manager), Kerberos, на основе цифровых сертификатов.
- Базу данных AD (Active Directory)
- Административные консоли ММС
- Web-фильтры.
- встраиваемые модули антивирусной защиты.
Резюме.
Безопасная информационная система обладает свойствами конфиденциальности, доступности и целостности. Конфиденциальность — гарантия того, что секретные данные будут доступны только авторизованным пользователям, то есть только тем пользователям, которым этот доступ разрешен. Доступность — гарантия того, что авторизованные пользователи всегда получат доступ к данным. Целостность — гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользова­телей каким-либо образом изменять, модифицировать, разрушать или создавать данные.
□ Любое действие, которое может быть направлено на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск — это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.
• Безопасность информационной системы складывается из компьютерной безопасности, связанной с хранением и обработкой данных в компьютере, и сетевой безопасности, связанной с работой компьютера в сети. Сетевая безопасность, в свою очередь, базируется на двух компонентах: защите данных в момент их передачи по линиям связи и защите от несанкционированного удаленного доступа в сеть.
• Политика информационной безопасности определяет, какую информацию и от кого следует защищать, каков может быть ущерб от той или иной успешно реализованной угрозы, какими средствами вести защиту.
• Алгоритм шифрования считается раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия называется криптостойкостью.
• Существуют два класса криптосистем — симметричные и асимметричные.
В симметричных схемах шифрования секретный ключ зашифровки совпадает с секретным ключом расшифровки. В асимметричных схемах шифрования открытый ключ зашифровки не совпадает с секретным ключом расшифровки.
• В настоящее время наиболее популярным стандартным симметричным алгоритмом шифрования является DES, а из несимметричных криптоалгоритмов с открытым ключом — RSA. ■
• Симметричные алгоритмы в общем случае обладают более высокой скоростью шифрования и требуют меньше времени на генерацию ключа, чем несимметричные алгоритмы с открытым ключом, но предъявляют высокие требования к надежности канала передачи секретного ключа, а также менее масштабируемы: в симметричных алгоритмах количество ключей находится в квадратичной зависимости от числа абонентов, а В нёсцмЦе'гричных алгоритмах количество ключей равно удвоенному числу абонентов.
• Аутентификация предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Доказательством аутентичности может служить знание аутентифицируемым некоего общего для обеих сторон слова (пароля) или факта, владение некоторым уникальным предметом или демонстрация уникальных биохарактеристик. Чаще всего для доказательства идентичности пользователя используются пароли.
• Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором.
Аудит — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам.


Вопросы для самопроверки.
1. ISA Server – это брандмауэр или сервер кэширования?
2. Должна ли быть установлена служба Active Directory для использования брандмауэра ISA Server?
3. Как в ISA Server обрабатываются потоковые данные?
4. Как строятся политики безопасности на ISA Server?
5. Что такое системная политика ISA Server?
6. Что такое фильтрация на уровне приложения?
7. Какие виды клиентов существуют при работе с ISA Server?
8. Что такое публикация сетевых служб в Интернете на ISA Server и как она реализуется?
9. Назовите основные службы в составе ISA Server?
10. Перечислите основные настройки компьютера перед установкой ISA Server.
11. Поясните значения основных свойств безопасной системы: конфиденциальности, целостности и доступности.
12. Приведите примеры средств, обеспечивающих конфиденциальность, но не гарантирующих целостность .данных.
13. Приведите примеры действий воображаемого злоумышленника, направленных на нарушение доступности данных.
14. Предложите какой-нибудь способ обеспечения целостности данных.
15. Что такое политика безопасности?
16. В чем заключаются психологические меры безопасности?
17. Поясните значение терминов «идентификация», «аутентификация», «авторизация».
18. Почему наличие удаленного доступа и других случаев использования глобальных связей делают систему более уязвимой?









Заключение.

В данном учебном пособии рассматриваются фундаментальные концепции и принципы построения операционныхт систем.
В первой главе курса лекций дается определение основным понятиям и определениям, рассматривается назначение и классификация ОС, состав и функции ОС, работа с файловыми системами Windows и Linux.
Вторая глава посвящена инсталляции и конфигурированию ОС, рассматривается начальная загрузка и реестр ОС Windows.
В третьей главе рассмотрены сетевая модель OSI и механизмы передачи сообщений в распределенных системах.
В четвертой главе изложены основные концепции компьютерных сетей и их проектирование. Приведена классификация компьютерных сетей. Рассмотрены стандарты Ethernet, Token Ring, FDDI.
Пятая глава посвящена обзору сетевых протоколов, IP адресации и расчету подсетей.
В шестой главе рассматриваются основные задачи администрирования ОС и дается обзор средств мониторинга ОС и компьютерных сетей.
В седьмой главе рассмотрена основные сетевые службы: DNS, DHCP, Samba, терминальные службы и службы Интернет.
Восьмая глава посвящена проектированию и администрированию доменов, настройке службы каталогов Active Directory.
Девятая глава посвящена обзору статической и динамической маршрутизации, дан обзор основных протоколов маршрутизации.
Десятаяя глава посвящена безопасности в сетях и классификации сетевых угроз.




ПРАКТИКУМ
ТЕМЫ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ДЛЯ ВЫПОЛНЕНИЯ ЛАБОРАТОРНЫХ РАБОТ

Лабораторные работы выполняются в операционных системах Microsoft Windows Server 2003 и Linux.
Практическая работа № 1.
Типовые задачи администрирования.

Цель: ознакомление с основными задачами администрирования операционных систем на примере Windows 2003 Server. Рассматриваются задачи управления учетными записями и группами, мониторинг и настройка аудита системы.

Выполните следующие задания:
1. Управление учетными записями и группами.

Создайте новую учетную запись администратора «admin».
Откройте консоль управления сервером (Start/Programs/Administrative Tools/Computer Management), откройте папку Users и в контекстном меню выберите New User (рис 1.1.1).

Рис.1.1.1. Консоль Computer Management.


При создании учетной записи возможно задание следующих параметров:
- Потребовать смену пароля при следующем входе в систему (User must change password at next logon);
- Запретить смену пароля пользователем (User cannot change password);
- Срок действия пароля не ограничен (Password never expires);
- Отключить учетную запись (Account is disabled).

Задайте параметры учетной записи (рис 1.1.2), отметив пункты «Запрет изменения учетной записи пользователем» и «Срок действия учетной записи не ограничен» и задайте пароль «1».

Рис 1.1.2. Создание учетной записи пользователя

Созданная учетная запись автоматически попадает в группу Пользователи.
Включите созданную учетную запись в группу Администраторы. Для этого в контекстном меню новой учетной записи выберите пункт Properties и на вкладке Member Of добавьте группу Administrators (кнопки Add/Advansed/Find Now).


2. Настройка аудита системы.

Активизация аудита с помощью оснастки Групповая политика (Group Policy)
Для активизации аудита на изолированном компьютере:
1. Запустите оснастку Групповая политика (это изолированная оснастка, которую можно использовать как самостоятельный инструмент). (Можно выполнить команду Пуск, Программы, Администрирование, Локальная политика безопасности).
2. Откройте папку Локальные политики (Local Policies), Политика аудита (Audit Policy).
3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (No Auditing). Для включения аудита следует изменить значения нужных параметров.
4. Выполните двойной щелчок на устанавливаемой политике аудита. Появится окно диалога, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) или Отказ (Failure), или оба.
5. Нажмите кнопку ОК.
Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.

Настройка и просмотр аудита папок и файлов
Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок:
1. Установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. В окне свойств папки или файла перейдите на вкладку Безопасность (Security).
2. На вкладке Безопасность нажмите кнопку Дополнительно (Advanced) и затем перейдите на вкладку Аудит.
3. Если вы хотите настроить аудит для нового пользователя или группы, на вкладке Аудит нажмите кнопку Добавить. Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select User, Computer, or Group). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно диалога Элемент аудита для (Audit Entry for). Здесь вы сможете ввести все необходимые параметры аудита. В списке Применять (Apply onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе Доступ (Access) следует указать, какие события следует отслеживать: окончившиеся успешно (Успех, Successful!), неудачно (Отказ, Failed) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these audit entries to objects and/or containers within this container only) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае установите флажок (или выберите в списке Применять опцию Только для этой папки). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.
4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Показать/Изменить (View/Edit). Появится окно диалога Элемент аудита. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений нажмите кнопку ОК.
Отключение аудита файлов и папок
Для отключения аудита файла или папки:
1. Установите указатель мыши на файл или папку, где необходимо отключить аудит, и нажмите правую кнопку. В появившемся меню выберите команду Свойства. Появится окно свойств файла или папки. Перейдите на вкладку Безопасность.
2. На вкладке Безопасность нажмите кнопку Дополнительно. В появившемся окне диалога выберите вкладку Аудит.
3. В поле Элементы аудита выберите нужную запись и нажмите кнопку Удалить. Соответствующая запись будет удалена.
Если кнопка Удалить недоступна, это значит, что настройки аудита наследуются от родительской папки.

Изменение локальной политики безопасности.

Выполните команду Пуск, Программы, Администрирование, Локальная политика безопасности). Раскройте консоль Account Policies и выберите пункт Password Policy (рис 1.1.3).

Рис 1.1.3. Изменение локальной политики безопасности.

Измените параметры политики по своему усмотрению.


Практическая работа №2.
Задание №1. Установка простого домена.

Цель работы: общее знакомство со службой Active Directory. Получение навыков в настройке простого домена, установке резервного контроллера, настройке репликации и распределении ролей между контроллерами домена с сети.

I. Предварительные настройки ОС:

1. Изменить имя компьютера и перезагрузить его
2. Настроить протокол TCP/IP на всех компьютерах сети следующим образом:
- установить IP адрес
- установить маску подсети
- в качестве основного DNS сервера установить IP адрес первого контроллера
- в качестве дополнительного DNS сервера установить IP адрес резервного контроллера
3. Удостовериться, что суффикс DNS пустой
4. Удалить старый DNS сервер и установить его снова с привязкой к новому имени компьютера на компьютерах, где будет установлены контроллеры.

II. Установка и настройка первого контроллера

1. Установить службу Active Directory, запустив из командной строки команду dcpromo
2. Создать и настроить обратную зону DNS
3. Установить время репликации 15 минут (Оснастка Active Directory Sites and Service, свойства IP соединения)

После настройки первого контроллера можно одновременно устанавливать резервный контроллер и клиентов домена.

III. Установка и настройка резервного контроллера

1. Установить службу Active Directory, запустив из командной строки команду dcpromo
2. Создать и настроить обратную зону DNS
3. Сделать проверку наличия ресурсных записей обоих контроллеров в прямой и обратной зонах DNS сервера на каждом контроллере.
4. Установить время репликации 15 минут на резервном контроллере
5. Установить статус Глобального каталога для резервного контроллера в оснастке Active Directory Sites and Service(консоль Server/NTDS/свойства) на каждом контроллере и перезагрузить оба контроллера.

IV. Установка клиента

В контекстном меню ярлыка «Мой компьютер» выбрать: свойства, дополнительно и перевести компьютер из рабочей группы в созданный домен по учетной записи администратора.

V. Настройка работы домена

1. Создать на первом контроллере две учетные записи. Первую включить в группу администраторов, вторую оставить только в группе пользователи.
2. Провести принудительную репликацию и проверить, что обе учетные записи скопировались на резервный контроллер.
3. Создать на каждом контроллере две папки. На первую папку доступ по обеим учетным записям, на вторую только по учетной записи администратора. Проверить вход в эти папки под обеими учетными записями.
4. Установить утилиты сопровождения Active Directory и посмотреть распределение ролей между контроллерами при помощи утилиты REPLMON.
4. Планово перевести три роли с первого контроллера на резервный и посмотреть распределение ролей между контроллерами при помощи утилиты REPLMON.
5. Отключить от сети первый контроллер, имитируя его отказ и захватить оставшиеся две роли на резервном контроллере.
6. Проверить вход клиента на резервный контроллер в созданные папки под учетной записью Usera.

VI. Перевод членов домена в рабочую группу.

1. Понизить статус клиента.
2. Включить бывший первый контроллер и понизить его статус до сервера рабочей группы. Понижение проходит в два этапа, сначала до клиента домена, потом до сервера рабочей группы.
3. Понизить резервный контроллер, ставший главным. Понижение проходит в два этапа.


Задание №2. Установка дочернего домена.

Цель работы: Знакомство с методикой развертывания леса доменов в корпоративной сети. Получение навыков в настройке дочернего домена и обеспечения взаимодействия клиентов в разных доменах.

I. Предварительные настройки ОС:

1. Изменить имя компьютера и перезагрузить его
2. Настроить протокол TCP/IP на всех компьютерах сети следующим образом:
- установить IP адрес
- установить маску подсети
- в качестве основного DNS сервера установить IP адрес первого контроллера
- в качестве дополнительного DNS сервера установить IP адрес контроллера дочернего домена
3. Удостовериться, что суффикс DNS пустой
4. Удалить старый DNS сервер и установить его снова с привязкой к новому имени компьютера на компьютерах, где будет установлены контроллеры.

II. Установка и настройка первого контроллера

1. Установить службу Active Directory, запустив из командной строки команду dcpromo
2. Создать и настроить обратную зону DNS
3. Установить время репликации 15 минут (Оснастка Active Directory Sites and Service, свойства IP соединения)

После настройки первого контроллера можно одновременно устанавливать контроллер дочернего домена и клиентов главного домена.

III. Установка и настройка контроллера дочернего домена

1. Установить службу Active Directory, запустив из командной строки команду dcpromo
После установки контроллера дочернего домена на его DNSсервере основная зона не настраивается. Ссылка на дочерний домен появляется на DNSсервере первого контроллера и все настройки в прямой и обратной зоне для дочернего домена производятся на DNS сервере первого контроллера.

2. Провести настройку DNS первого контроллера для дочернего домена. В прямой зоне должна появиться ссылка на дочерний домен. Проверить наличие указателей на дочерний домен в прямой и обратной зонах.
4. Установить время репликации 15 минут на контроллере дочернего домена.
5. Установить статус Глобального каталога для резервного контроллера в оснастке Active Directory Sites and Service(консоль Server/NTDS/свойства) на каждом контроллере и перезагрузить оба контроллера.

IV. Установка клиентов

В контекстном меню ярлыка «Мой компьютер» выбрать: свойства, дополнительно и перевести компьютер из рабочей группы в созданный домен по учетной записи администратора в каждом домене.

V. Настройка работы домена

1. Создать на каждом контроллере две учетные записи. Первую включить в группу администраторы, вторую оставить только в группе пользователи.
2. Создать на каждом контроллере две папки. На первую папку доступ по обеим учетным записям, на вторую только по учетной записи администратора. Проверить вход клиента в эти папки под обеими учетными записями в каждом домене.
3. Основная цель этой работы – осуществление входа клиентов в чужой домен. Для осуществления такого доступа необходимо создание универсальных групп в каждом домене. В первую универсальную группу основного домена включается вторая универсальная группа дочернего домена со своими учетными записями. В основном домене задать доступ на папку по первой универсальной группе. Таким образом, пользователи дочернего домена наследуют права первой универсальной группы и получают доступ в другой домен.
Для создания универсальной группы необходимо перевести домен в режим функционирования Windows 2000 или Windows2003 (оснастка Active Directory Пользователи и компьютеры/зайти в свойства оснастки и выбрать пункт Все задачи/ выбрать команду ИЗМЕНИТЬ режим функционирования).


4. Включите в первую универсальную группу основного домена вторую универсальную группу дочернего домена. Для этого используйте локализацию для выбора универсальной группы дочернего домена:


5. Проверить вход клиента на все домены в созданные папки под учетной записью Usera.

VI. Перевод членов домена в рабочую группу.

1. Понизить статус клиентов в обоих доменах.
2. Понизить его статус контроллера дочернего домена до сервера рабочей группы. Понижение проходит в два этапа, сначала до клиента домена, потом до сервера рабочей группы.
3. Понизить первый контроллер. Понижение проходит в два этапа.





Практическая работа №3. Маршрутизация.
Задание №1. Настройка программного маршрутизатора.

Цель работы: знакомство со статической и динамической маршрутизацией. Получение навыков в настройке статического маршрутизатора под управлением операционных систем Windows и знакомство с установкой и настройкой протокола динамической маршрутизации RIP.

1. Запустите службу маршрутизации и удаленного доступа (Start/Programs/Administrative Tools/Routing and Remot Access).
Если статический маршрутизатор еще не запущен (рис. 1.7.1), то в контекстном меню вашего сервера выберите команду запуска маршрутизатора Configure and Enabble Routing and Remote Access.

Рис. 1.7.1. Запуск маршрутизатора.
Мастер предложит пять вариантов запуска маршрутизатора.
2. Выберите варианты Custom Configuration и LAN Routing для установки статического маршрутизатора в локальной сети. Активизируется оснастка маршрутизатора, рис.1.7.2.
3. Установите необходимые маршруты для ваших локальных сетей. Для установки статического маршрута (например, для локальной сети класса С координатами 192.168.1.0) в таблице маршрутизации необходимо определить следующие параметры (рис.1.7.3.):
- Interface – сетевой интерфейс входа в сеть;
- Destinasion – координаты сети назначения;
- Network mask – сетевая маска – показывает координаты сети в IP адресе;
- Gateway – шлюз – маршрутизатор для выхода в нужную сеть;
- Metric – метрика – показывает количество маршрутизаторов до сети назначения.

Рис.1.7.2. Установка статических маршрутов.


Рис.1.7.3. Настройка статического маршрута для сети 192.168.1.0.

В результате в таблице маршрутизации появится статический маршрут (рис.1.7.4).


Рис.1.7.4. Просмотр статических маршрутов таблицы маршрутизации.
4. Настройте RIP протокол маршрутизации.
4.1. Добавьте RIP протокол для использования на маршрутизаторе.
Протокол RIP добавляется в меню “New Routing Protocol” на вкладке General в узле IP Routing оснастки Routing and Remote Access (рис. 1.7.5).

Рис. 1.7.5. Установка RIP протокола.
4.2. Настройте основные параметры протокола.
Протокол RIP настраивается для каждого интерфейса в отдельности. Открыв свойства протокола RIP при помощи меню быстрого вызова, вы сможете настроить то, что принято называть глобальными параметрами. Вкладка General контролирует, какую задержку устанавливает маршрутизатор, прежде чем пошлет обновление, а также регистрационные настройки протокола RIP. Вкладка Security наиболее важна, так как позволяет контролировать с какими конкретно маршрутизаторами будет взаимодействовать данный маршрутизатор. И хотя маршрутизатор способен принимать сообщения от всех других маршрутизаторов (использующих ту же версию протокола RIP) по умолчанию, вы также можете определить, от каких маршрутизаторов он может принимать или не должен принимать объявления, основываясь на их IP-адресах.
4.3. Добавьте RIP интерфейс, для которого этот протокол применяется.
Это может быть постоянный интерфейс, как это бывает в случае Local Areas Connections (локальных соединений), или может быть соединением по требованию, как в случае соединений Dial-up или туннелей VPN. Рисунок 1.9.6, расположенный ниже, показывает, как интерфейс добавляется к протоколу.










Рис. 1.7.6. Выбор интерфейса для RIP протокола.
4.4. Настройте RIP протокол на интерфейсе.
Настройка интерфейса выполняется на вкладке его свойств, после того, как он будет добавлен. Для всех интерфейсов RIP, имеется 4 вкладки настройки свойств, такие как General, Security, Neighbors и Advanced (рис. 1.7.7.).

Рис. 1.7.7. Свойства RIP протокола.
Вкладка General позволяет вам контролировать какие входящие и исходящие протоколы используются, строку для аутентификации (пригодно только для версии 2), а также режим работы, причем по умолчанию установлен режим “Periodic update” (периодическое обновление) (другой режим, “Auto-static mode”, будет обсуждаться в следующей статье). Вкладка Security позволяет вам контролировать действия системы в отношении входящих и исходящих маршрутов, определяя области адресов, которые будут приниматься или отвергаться маршрутизатором. Это дает вам возможность более точно контролировать области сетей, о которых данный маршрутизатор должен иметь информацию, а о каких нет.
Вкладка Neighbors (соседи) позволяет вам контролировать, как данный маршрутизатор взаимодействует с другими маршрутизаторами в сети. Например, вы можете определить, будет ли использоваться широковещание или многоадресная рассылка в сети (что и сделано по умолчанию), или можете добавить специальные IP-адреса других маршрутизаторов, с которыми обмен информацией будет проходить с использованием однонаправленного трафика. Хоть и может показаться, что для этого необходимо выполнить излишний объем работы, однако это очень полезно из соображений безопасности, особенно если вы обеспокоены перспективой появления враждебных маршрутизаторов RIP, которые будут собирать информацию о вашей сети.
Вкладка Advanced позволяет вам контролировать дополнительные свойства RIP, такие как включение маршрутов к отдельным узлам в сообщения (что не делается по умолчанию), интервалы для сообщений и истечении срока действия маршрутов (30 секунд и 180 секунд по умолчанию), а также другие дополнительные свойства протокола RIP.

5. Настройте три маршрутизатора для соединения двух локальных сетей с сетью Internet, используя статическую маршрутизацию. Общая топология показана на рис. 1.7.8.
Первая локальная сеть 192.168.1.0 содержит три компьютера:
1 – контроллер домена с установленным DNS сервером;
2 – сервер Windows 2003 Server, с установленными на нем Web, FTP и DHCP серверами и сайтом WWW.LOCAL1.RU;
3 – клиентский компьютер с настройками протокола TCP/IP на автоматическое получение адреса.
Вторая локальная сеть 10.0.0.0 имеет такой же состав c сайтом WWW.LOCAL2.RU.
Третья сеть (Internet) имеет два доступных сайта www.inet1.com и www.inet2.com.
ROUTER3 – маршрутизатор провайдера.
ROUTER1 и ROUTER2 соединяют локальные сети с провайдером.




















Рис. 1.7.8. Пример топологии корпоративной сети.

Задание:
1 - настроить корпоративную сеть. Клиенты должны открывать все сайты по доменным именам.
2 – Установить на Web узлах сетевые сканеры для отслеживания входа на сайт посторонних клиентов.






Практическая работа №4. Безопасность компьютерных сетей.
Задание №1. Настройка Firewalls.
Настройка сетевых интерфейсов для ISA сервера

Цель работы: знакомство с методами защиты компьютерных сетей на примере использования брандмауэра масштаба предприятия Microsoft ISA Server. Получение навыков в проектировании защиты локальных компьютерных сетей, имеющих выход в Интернет.
Реализуйте топологию, представленную на рис.1.7.8. ISA Server необходимо установить на Router1 и Router2 для защиты локальных сетей. В каждой локальной сети устанавливается контроллер домена. Router1 и Router2 предварительно настраиваются как клиенты домена своих локальных сетей.
Перед тем как устанавливать ISA сервер, необходимо настроить сетевые интерфейсы на вашем сервере. Ошибки в настройках сетевых карт могут повлечь за собой серьезные перебои или полную неработоспособность ISA сервера, так как сервис firewall работает на том же уровне, что и драйвера в системе. Ваш брандмауэр имеет как минимум две сетевые карты. Вот их настройки:
1. Белый (White) адрес(а) - сетевой интерфейс, который соединяет сервер с вашим интернет-провайдером.
2. Белая подсеть - диапазон IP адресов, выделенных вам интернет-провайдером. Данные адреса доступны для запросов из интернета.
3. Серый (Gray) адрес(а)- сетевой интерфейс, который соединяет сервер с вашей локальной сетью, т.е. с сетью ваших пользователей.
4. Серая подсеть - диапазон адресов вида (например) 192.168.0.1-192.168.0.255, которые используют пользователи вашей сети и которые не доступны для запросов из интернета
Что вы должны еще иметь и знать помимо сказанного выше.
1. У вас есть сервер на котором установлены и корректно работают два (или более) сетевых интерфейса, один из которых соединен с Интернет - провайдером, а второй идет в Hub или Switch, в зависимости от настроек вашей локальной сети.
2. У вас установлен и настроен во внутренней сети DNS сервер и вы имеете доступ к внешнему DNS серверу, для преобразования доменных имен в интернете.
Рассмотрим вариант настроек с двумя сетевыми интерфейсами. На рабочем столе правой кнопкой мыши щелкаете на иконке My Network Places(Сетевое окружение) и выбираете Properties(Свойства). В открывшемся окне вы увидите иконку для создания нового соединения и иконки ваших двух сетевых интерфейсов. Для начала давайте переименуем их в White(Белый) и Gray(Серый). Белый будет соединен с интернет провайдером, Серый с вашей локальной сетью (рис.1.8.1).

Рис.1.8.1. Переименание сетевых интерфейсов.

Далее из выпадающего меню выбираете Advanced и там Advanced Settings. Откроется окно с вашими соединениями. В первую очередь убедитесь, что ваше Gray соединение стоит в списке первым. Если нет, то стрелочкой переместите его вверх. File and Printer Sharing и Client for Microsoft Networks должны быть отмечены галочками на выбранном Gray соединении, как это показано на рисунке 1.8.2.

Рис.1.8.2. Установка порядка сетевых интерфейсов.

Настройка безопасности на White интерфейсе.
Выберите White соединение и снимите галочки с сервисов File and Printer Sharing и Client for Microsoft Networks. Не нужно использовать эти сервисы на белом интерфейсе для большей безопасности соединения с интернет.

Конфигурирование IP настроек на White интерфейсе.
В окне с вашими соединениями правой кнопкой мыши щелкните на White интерфейсе и выбирете Properties. Проверьте, что Client for Microsoft Networks и File and Printer Sharing не отмечены галочками. Если вы не устанавливали сервис QoS Packet Scheduler изначально, то вы его не увидите в настройках, в этом случае ISA сервер сама установит и запустит этот сервис (рис.1.8.3).

Рис.1.8.3. Настройка внешнего (White) интерфейса.

Отметьте пункт Internet Protocol (TCP/IP), далее нажмите на кнопку Properties, чтобы открыть настройки TCP/IP. Здесь необходимо выбрать пункт Use the following IP address: и ввести IP адрес, который выделил вам интернет-провайдер для соединения с интернет. Так же введите Subnet Mask и Default Gateway для вашей сети. Поле настроек DNS оставьте пустым (рис. 1.8.4).


Рис. 1.8.4. Настройка протокола TCP/IP внешнего интерфейса.
Перейдите на закладку DNS и снимите галочку с Register this connection's address in DNS . Это отключит сервис DHCP client, позволяющего авто-обновление DNS серверов, у которых прописан ваш интерфейс (рис.1.8.5).

Рис.1.8.5. Дополнительные настройки внешнего интерфейса.
Далее перейдите на закладку WINS и снимите галочку с пункта Enable LMHOSTS Lookup и отметьте пункт Disable NetBIOS over TCP/IP для того чтобы прикрыть очень большую дырку в вашем внешнем интерфейсе.

Конфигурирование IP настроек на Gray интерфейсе.
Теперь начнем настраивать серое соединение. В принципе практически все то же самое, только безопасность этого соединения немного либеральнее. В окне с вашими соединениями правой кнопкой мыши щелкните на Gray интерфейсе и выберите Properties.

Отметьте пункт Internet Protocol (TCP/IP), далее нажмите на кнопку Properties, чтобы открыть настройки TCP/IP. Так же как и в предыдущем случае отметьте пункт Use the following IP address: и введите IP адрес который вы назначили для сервера (рис.1.8.6).

Рис. 1.8.6. Настройка протокола TCP/IP внешнего интерфейса.
Этот адрес должен соответствовать стандарту RFC-1918 и не может использоваться во внешней сети интернет, иначе ISA сервер скорее всего будет работать некорректно, если вообще будет работать. Так же введите Subnet Mask. Важно: поле Default Gateway оставьте пустым. Его заполнять НЕ надо.

Стандарт RFC-1918 подразделяется на три группы.
10/8
IP range = 10.0.0.1 - 10.255.255.254
Subnet mask = 255.0.0.0
одна подсеть, 16.777.214 хостов
172.16/12
IP range = 172.16.0.1 - 172.31.255.254
Subnet mask = 255.240.0.0
14 подсетей, 983.038 хостов
192.168/16
IP range = 192.168.0.1 - 192.168.255.254
Subnet mask = 255.255.0.0
одна подсеть, 65.534 хостов
Последний вариант используется чаще всего.
IP range = 192.168.0.1 - 192.168.255.254
Subnet mask=255.255.255.0
254 подсети, 254 хоста
В поле для DNS сервера введите IP адрес вашего DNS сервера который отвечает за преобразование ВНУТРЕННИХ адресов, т.е. адресов вашей локальной сети. Если у вас настроен Domain Controller, то в качестве первичного(Preferred) DNS необходимо поставить именно DNS для этого domain controllera. Если вы используете еще один сервер DNS, например для преобразования интернет имен, то его следует поставить как альтернативный(Alternate).
Если у вас настроены несколько серых подсетей (192.168.0.х, 192.168.1.х, и т.д.) вы должны определить таблицу маршрутизации в ISA для ваших подсетей. Наиболее простой путь, это определить так называемую бесклассовую маршрутизацию (CIDR) с помощью команды Route.
Далее нажмите кнопку Advanced и перейдите на закладку DNS. Если ваш DNS сервер поддерживает динамическое обновление (DNS сервера в контроллере домена должны обязательно поддерживать) то поставьте галочку в пункте Register this connection's address in DNS, если не поддерживает то снимите галочку, если она установлена. Если DNS не поддерживает динамическое обновление и вы оставите эту галочку включенной, то это может помешать DHCP клиенту ISA сервер зарегистрировать этот IP адрес в перечисленных DNS серверах (рис.1.8.7).

Рис.1.8.7. Дополнительные настройки внутреннего сетевого интерфейса.
Далее переходим на закладку WINS и включите Enable NetBIOS over TCP/IP, если она не включена (хотя по умолчанию включена всегда). Так же оставьте не отмеченным пункт Enable LMHOSTS lookup.
Настройка ISA Server.

Задание 1. Создание правила протокола
Сейчас вы создадите правило протокола, разрешающее безопасный доступ в Интернет.
Запуск мастера New Protocol Rule
1. Войдите в систему сервера Server1 под учетной записью Administrator (Администратор).
2. Щелкните кнопку Start (Пуск), затем последовательно выберите пункты меню Programs (Программы), Microsoft ISA Server и ISA Management.
3. Откройте меню View и отметьте команду Taskpad.
4. В дереве консоли последовательно раскройте узлы Servers and Arrays и MyArray. При этом откроются узлы конфигурации компьютера Server1.
5. Раскройте узел Access Policy и выберите папку Protocol Rules.
6. В области сведений щелкните значок Create Protocol Rule.
Создание правила протокола при помощи мастера New Protocol Rule
1. В текстовом поле Protocol Rule Name введите AllowIP (разрешить IP-трафик).
Примечание. Здесь решается упрошенная задача: разрешить всем внутренним клиентам доступ к любому IP-трафику. В реальности часто требуется ограничивать доступ определенных пользователей, групп пользователей или подмножеств клиентов к определенным протоколам.
2. Щелкните кнопку Next.
В окне Rule Action установите переключатель в положение Allow и щелкните Next.
3. На странице Protocols в поле со списком Apply this rule to выберите элемент All IF traffic и щелкните кнопку Next.
4. На странице Schedule (расписание) в поле со списком Use This Schedule выберите элемент Always и щелкните Next.
5. На странице Client Type установите переключатель в положение Any Request и щелкните кнопку Next.
6. На странице Completing the New Protocol Rule Wizard щелкните Finish. В области сведений появится только что созданное правило AllowIP.
Примечание. Между созданием правила протокола и началом его действия иногда проходит определенное время, поэтому перед выполнением задания 2 подождите несколько минут или перезапустите ISA-сервер в соответствии с инструкциями в занятии 4 этой главы.
Задание 2. Настройка Internet Explorer на использование службы Web-прокси
В этом задании вы настроите Internet Explorer на взаимодействие со службой Web-прокси ISA-сервера. Для связи с Интернет-провайдером используйте подключение по телефонной линии компьютера Server1.
1. Войдите в домен Domain01 с компьютера Server2 под учетной записью Administrators (Администратор).
2. Запустите Internet Explorer.
3. Если откроется окно мастера Internet Connection Wizard (Мастер подключения к Интернету), выполните при помощи этого мастера настройку подключения к Интернету по локальной сети.
4. В меню Tools (Сервис) выберите команду Internet Options (Свойства обозревателя).
5. На вкладке Connections (Подключение) щелкните кнопку LAN Settings (Настройка сети).
6. Сбросьте флажок Use A Proxy Server (Использовать прокси-сервер).
7. В поле Address (Адрес) введите 192.168.0.1, а в поле Port (Порт) - 8080.
8. Щелкните кнопку ОК, чтобы закрыть диалоговое окно Local Area Network (LAN) Settings (Настройка локальной сети).
9. Щелкните OK, чтобы закрыть диалоговое окно Internet Options (Свойства обозревателя).
Теперь на компьютере Server2 должен стать доступным просмотр Web-узлов при помощи Internet Explorer.
Установка клиента брандмауэра
Сейчас вы установите клиент брандмауэра. Если на компьютере его нет, служба брандмауэра применяет правила политики доступа только к IP-адресам внутренних клиентов. После установки клиента брандмауэра становится возможным применять правила политики доступа не только к IP-адресам, но и к отдельным пользователям и компьютерам. Клиенты брандмауэра повышают производительность за счет поддержки локальных копий LAT и LDT (Local Domain Table), встроенной поддержки протоколов с дополнительными подключениями, возможности дополнительной настройки параметров Winsock-приложений средствами глобального файла конфигурации клиента Mspclnt.ini и автоматического обнаружения ISA-сервера.
Установка клиента брандмауэра в локальной сети
Это задание выполняется на сервере Server2.
1. Откройте папку My Network Places (Мое сетевое окружение) и найдите в сети ресурс \\serverl\mspclnt\.
2. Дважды щелкните значок Setup в папке \\server1\mspclnt\. Откроется окно мастера установки клиента брандмауэра.
3. Щелкните кнопку Next.
4. В окне Destination Folder (папка для установки) подтвердите предлагаемую по умолчанию папку для установки клиента и щелкните Next.
5. В окне Ready to Install the Program щелкните Install. Мастер выполнит установку клиента брандмауэра и откроет окно Install Wizard Completed.
6. Щелкните кнопку Finish.

Конфигурирование безопасного доступа в Интернет с использованием политик доступа
Создание элементов политики
Вы создадите два элемента политики — расширенное расписание рабочего времени и подмножество адресатов, которые в дальнейшем можно использовать при определении правил политики доступа. Весь практикум выполняется на компьютере Server1.
Задание 1. Создание расписания
В этом задании вы создадите расширенное расписание рабочего времени Expanded Work Hours — с 6 утра до 8 вечера, по рабочим дням
Создание расширенного расписания рабочего времени
Откройте консоль ISA Management.
1. В дереве консоли последовательно раскройте узлы Servers and Arrays, MyArray и Policy Elements.
2. В узле Policy Elements щелкните правой кнопкой мыши его подузел Schedules и в контекстном меню последовательно выберите пункты New и Schedule. Откроется диалоговое окно New Schedule.
3. В поле Name введите Expanded Work Hours.
4. В поле Description выделите клетки, соответствующие времени с 6 утра до 8 вечера с понедельника по пятницу.
5. Щелкните кнопку Sunday, чтобы выделить всю строку, выберите переключатель Inactive. Выделенная область таблицы окрасится в белый цвет.
6. Щелкните кнопку Saturday, чтобы выделить всю строку, а затем — переключатель Inactive.
7. Выделите прямоугольную область таблицы с 12 ночи до 6 утра, с понедельника по пятницу и щелкните переключатель Inactive.
8. Выделите прямоугольную область таблицы с 8 вечера до 12 ночи, с понедельника по пятницу и щелкните переключатель Inactive.
9. Щелкните кнопку ОК.
10. . Щелкните узел Schedules.
В области сведений отобразится расписание Expanded Work Hours. Обратите внимание, что в области сведений кроме нового расписания указаны предустановленные расписания Weekends и Work hours.
Задание 2. Создание подмножества адресатов
Вы создадите подмножество адресатов, состоящее из одного Web-узла.
Создание подмножества адресатов
1. В дереве консоли ISA Management последовательно раскройте узлы Servers and Arrays, MyArray и Policy Elements.
2. В узле Policy Elements щелкните правой кнопкой мыши его подузел Destination Sets и в контекстном меню последовательно выберите пункты New и Set. Откроется диалоговое окно New Destination Set.
3. В поле Name введите Microsoft Online Seminars (онлайновые семинары Microsoft).
4. В поле Description введите Мультимедийный практикум на microsoft.com.
5. Щелкните кнопку Add. Откроется диалоговое окно Add/Edit Destination.
6. Убедитесь, что переключатель находится в положении Destination. и в поле Destination введите www.microsoft.com/seminar.
7. Щелкните кнопку ОК. Вы вернетесь в диалоговое окно New Destination Set.
8. Щелкните кнопку ОК.
9. В дереве консоли выберите узел Destination Sets.
10. В области сведений ISA Management отобразится только что созданное подмножество адресатов Microsoft Online Seminars.
Применение правил протоколов к учетным записям пользователей
Для выполнения этого практикума вам следует создать доменную пользовательскую учетную запись userl и оставить для нее разрешения по умолчанию. Предполагается, что создано правило протоколов AllowIP (как описано в занятии 1 главы 3), разрешающее прохождение любого IP-трафика в любое время к любым клиентам. Убедитесь, что в Internet Explorer на компьютере Server2 корректно установлены параметры прокси.
При выполнении заданий следует учесть, что Web-сеансы по умолчанию обрабатываются анонимно, то есть в свойствах массива не предусмотрена идентификация пользователей и отсутствуют разрешающие правила, требующие аутентификацию. В таких обстоятельствах на работу пользователей, подключающихся к Интернету через Web-браузеры, не влияют запрещающие правила, применяемые к учетным записям пользователей Windows 2000. После настройки ISA-сервера на предоставление учетной информации во всех клиентских Web-сеансах вы создадите правило протоколов, запрещающее определенному пользователю доступ в Интернет. И, наконец, вы войдете в систему под учетной записью этого пользователя, чтобы проверить правильность настройки.
Наблюдение за сеансами в консоли ISA Management
Вы просмотрите в консоли ISA Management информацию о сеансе, инициированном клиентом Web-прокси.
Наблюдение за Web-сеансами в консоли ISA Management:
1. На компьютере Serverl откройте окно оснастки ISA Management.
2. Откройте меню View и отметьте команду Advanced.
3. В дереве консоли раскройте узел Monitoring и выберите папку Sessions.
4. Если в области сведений есть какие-либо сеансы, закройте их, щелкая сеанс правой кнопкой мыши и выбирая в контекстном меню команду Abort Session
5. Войдите в домен DomainO1 с компьютера Server2 под учетной записью userl, запустите Internet Explorer и откройте Web-узел http://www.msn.com.
6. Во время загрузки Web-узла MSN вернитесь к компьютеру Serverl.
7. На компьютере Serverl в консоли ISA Management по-прежнему открыта папка Sessions. Щелкните правой кнопкой мыши область сведений, в контекстном меню выберите команду Refresh.
Вы увидите новый Web-сеанс со следующими параметрами: имя пользователя — Anonymous, имя клиентского компьютера — не указано, IP-адрес клиента — 192.168.0.2 (адрес компьютера Server2). По умолчанию Web-сеансы анонимны. Когда Web-сеансы анонимны, на них не действуют запрещающие правила, определенные для отдельных пользователей. Можно назначить идентификацию пользователей при Web-сеансах, создав разрешающее правило, которое требует аутентификацию, или изменив свойства массива так, чтобы при исходящих Web-запросах проводилась идентификация пользователей.
Задание 2. Включение аутентификации при Web-сеансах
Вы запретите анонимный доступ к Web, и пользователям, подключающимся к Интернету через Web-браузеры, придется проходить аутентификацию. В результате правила политики доступа, создаваемые для определенных пользователей и групп пользователей Windows 2000, будут реализованы во всех клиентских Web-сеансах.
Включение передачи учетной информации Web-сеансами:
1. На компьютере Serverl откройте окно оснастки ISA Management и найдите в дереве консоли узел МуАггау.
2. Щелкните правой кнопкой мыши узел МуАггау и выберите в контекстном меню пункт Properties. Откроется диалоговое окно МуАггау Properties.
3. Перейдите на вкладку Outgoing Web Requests (исходящие Web-запросы).
4. В области Connections установите флажок Ask unauthenticated users for identification (требовать идентификацию от пользователей, не прошедших аутентификацию).
5. Убедитесь, что включен флажок Resolve Requests Within Array Before Routing (разрешать запросы внутри массива перед маршрутизацией).
6. Щелкните кнопку ОК. Откроется диалоговое окно ISA Server Warning.
7. Выберите переключатель Save the changes but don't restart the service(s) (сохранить изменения, но не перезапускать службы) и щелкните кнопку ОК.
8. Остановите и повторно запустите службы брандмауэра и Web-npoкси в консоли ISA Management.
9. На компьютере Server2, в систему которого вы в предыдущем задании вошли под учетной записью userl, запустите web-браузер и загрузите узел http://www.msn.com.
10. Во время загрузки Web-страницы вернитесь к компьютеру Serverl, выберите в дереве консоли ISA Management папку Sessions, щелкните правой кнопкой мыши область сведений и в контекстном меню выберите Refresh.
В области сведений появится новый Web-сеанс, имя пользователя которого <имя_домена>\иsеr\, а адрес клиента — 192.168.0.2. Вы настроили передачу учетной информации через Web-браузер и вправе применять правила ISA-сервера к пользователям Windows 2000, подключающимся к Интернету через Web-браузеры.
Задание 3. Определение правила протоколов для определенного пользователя Windows 2000
Вы настроите правило ISA-сервера, запрещающее доступ в Интернет определенному пользователю Windows 2000.
Создание правила протоколов для пользователя Windows 2000:
1. На компьютере Serverl откройте консоль ISA Management, последовательно раскройте узлы МуАггау, Access Policy и выберите узел Protocol Rules.
2. Щелкните правой кнопкой мыши папку Protocol Rules и в контекстном меню последовательно выберите пункты New и Rule. Откроется окно мастера New Protocol Rule.
3. В поле Protocol Rule Name введите имя правила DenyUser1 и щелкните кнопку Next.
4. На странице Rule Action выберите переключатель Deny и щелкните кнопку Next.
5. На странице Protocols оставьте в поле со списком значение All IP Traffic и затем щелкните кнопку Next.
6. На странице Schedule оставьте в поле со списком значение Always и щелкните кнопку Next.
7. На странице Client Type установите переключатель в положение Specific users and groups и щелкните кнопку Next.
8. На странице Users and Groups щелкните кнопку Add. Откроется окно выбора пользователей или групп Select Users or Groups.
9. В верхней области выберите пользователя user1, щелкните кнопку Add, а затем — кнопку ОК, чтобы вернуться на страницу Users and Groups, на которой в списке Account появится запись DOMAIN01\user1.
10. Щелкните кнопку Next. Откроется страница Completing the New Protocol Rule Wizard.
11. Щелкните кнопку Finish, чтобы вернуться в консоль ISA Management. В области сведений папки Protocol Rules появится правило DenyUser1.
12. В дереве консоли выберите папку Services узла Monitoring и перезапустите службы Web-прокси и брандмауэра.
13. Перейдите к компьютеру Server2, в систему которого вы вошли под учетной записью user1. Запустите Internet Explorer (если он еще не открыт), обновите окно браузера. Откроется диалоговое окно Enter Network Password (Ввод сетевого пароля). Доступ связанной с Web-сеансом учетной записи пользователя userl блокируется, так как действует правило протоколов DenyUser1. Чтобы получить доступ в Web, нужно войти в систему под другой учетной записью Windows 2000 (не заблокированной правилами), указав ее реквизиты в диалоговом окне ввода сетевого пароля.
14. Щелкните кнопку Cancel.
Создание правила узлов и содержимого.
Вы создадите правило узлов и содержимого, блокирующее доступ определенного пользователя ко всем аудио- и видеоданным. Затем вы войдете в систему под двумя разными учетными записями, чтобы проверить правильность настройки правила.
Предполагается, что создана доменная учетная запись пользователя с именем userl в соответствии с инструкциями занятия 3 этой главы и что ей оставлены разрешения и привилегии по умолчанию. Кроме того, необходимо создать доменную учетную запись пользователя user2 с привилегиями по умолчанию. Предполагается, что существует правило протоколов, разрешающее прохождение любого IP-трафика по любым запросам в любое время, — оно было создано на занятии 1 главы 3. И, наконец, предполагается, что при исходящих Web-запросах требуется идентификация пользователей (в соответствии с инструкциями занятия 3 этой главы). Проверьте правильность настройки прокси в браузере Internet Explorer для всех пользователей компьютера Server2.
Если вы определили правило протоколов DenyUserl в соответствии с инструкциями занятия 3 этой главы, то перед выполнением заданий отключите это правило и перезапустите ISA-сервер.
Запрещение доступа к аудио- и видеоинформации пользователю userl
Данное задание выполняется на компьютере Serverl. Вы создадите правило узлов и содержимого, запрещающее пользователю userl доступ к любому аудио- и видеосодержимому.
Запрещение пользователю userl доступа к аудио и видео
1. Войдите в систему сервера Serverl под учетной записью Administrator (Администратор).
2. Откройте консоль ISA Management.
3. Раскройте узел Access Policy. Щелкните правой кнопкой мыши папку Site and Content Rules и в контекстном меню последовательно выберите команды New и Rule. Откроется окно мастера New Site And Content Rule.
4. В поле Site and content rule name укажите имя правила — Deny UserlAudioVideo и щелкните кнопку Next.
5. На странице Rule Action оставьте переключатель в положении Deny и щелкните кнопку Next.
6. На странице Rule Configuration установите переключатель в положение Custom и щелкните кнопку Next.
7. На странице Destination Sets (подмножества адресатов) оставьте в поле со списком значение All Destinations (все адресаты) и щелкните Next.
8. На странице Schedule оставьте в поле со списком значение Always (всегда) и щелкните кнопку Next.
9. На странице Client Type установите переключатель в положение Specific users and groups (определенные пользователи и группы) и щелкните Next.
10. На странице Users And Groups щелкните кнопку Add. Откроется окно выбора пользователей или групп Select Users Or Groups.
11. В верхней области выберите пользователя userl и щелкните кнопку Add.
12. Щелкните кнопку ОК, чтобы вернуться на страницу Users and. Groups.
13. Убедитесь, что в списке Accounts появился Domain01\userl, и щелкните кнопку Next.
14. На странице выбора групп содержимого Content Groups установите переключатель в положение Only the following content types.
15. В поле Content Type отметьте флажками элементы Audio и Video.
Таким образом, вы запретите пользователю userl доступ к аудио- и видеоданным в любое время.
16. Щелкните кнопку Next. Откроется страница Completing the New Site and Content Rule Wizard.
17. Щелкните кнопку Finish. В области сведений папки Site and Content Rules появится правило DenyUserlAudioVideo. Обратите внимание, что в области сведений также присутствует предустановленное правило Allow Rule.
Перед выполнением задания 2 остановите и снова перезапустите средствами консоли ISA Management службы Web-прокси и брандмауэра.
Проверка конфигурации
Вы войдете в систему сервера Server2 под учетной записью user2 и попытаетесь получить доступ к аудиоданным. Затем вы войдете в систему сервера Server2 под учетной записью userl и снова попытаетесь получить доступ к аудиоданным, чтобы увидеть изменения в поведении системы.

Проверка нового правила узлов и содержимого
1. Войдите в домен DomainOl с компьютера Server2 под учетной записью user2.
2. Запустите Internet Explorer.
3. В поле Address (Адрес) введите http://www.microsoft.com/seminar. Откроется страница онлайновых семинаров Microsoft Seminar Online.
4. Щелкните любую из гиперссылок онлайнового семинара. Откроется Web-страница, содержащая звуковые элементы.
5. После завершения загрузки Web-страницы щелкните кнопку со стрелкой для воспроизведения звука. Начнется трансляция лекции.
6. Щелкните в Internet Explorer значок Stop, чтобы остановить воспроизведение.
7. Закройте Internet Explorer.
8. На компьютере Server2 завершите работу в домене DomainOl под учетной записью user2 и войдите под учетной записью userl.
9. Повторите операции 1— 4.
Когда загрузка страницы семинара завершится, вы обнаружите, что звуковое содержимое невозможно воспроизвести. Таким образом, доступ пользователя userl к аудиоданным успешно заблокирован.







Дополнительные задания по настройке ISA Server.

1. Создайте на внутреннем сайте локальную страницу – сообщение для пользователей локальной сети о запрете выхода на указанные URL.
Создайте политику, запрещающую выход на все внешние сайты с выводом клиентам страницы – сообщения о запрете выхода на данный ресурс.
2. Модифицируйте предыдущую политику: разрешите выход на все сайты, за исключением www.inet2.com с выводом клиентам страницы – сообщения о запрете выхода при обращении к данному сайту.
3. Создайте политику, разрешающую выход на любой ресурс учетной записи Administrator и запрещающую любой трафик для учетной записи User.
4. Создайте политику, разрешающую выход на любой ресурс учетной записи Administrator по протоколу HTTP и выход учетной записи User на любые сайты только по протоколу FTP.
5. Модифицируйте предыдущую политику: разрешите выход учетной записи Administrator только по протоколу HTTP на сайт www.inet1.com и учетной записи User только по протоколу FTP на сайт www.inet2.com.
6. Разрешите выход на любые Интернет – ресурсы только для конкретных IP адресов локальной сети.
7. Разрешите выход на любые Интернет – ресурсы только для конкретных компьютеров локальной сети (в политике доступа указать конкретные имена компьютеров).
8. Запретить использование команды Ping в локальной сети.
9. Создайте публикацию сайта в локальной сети и разрешите вход на него из внешних сетей.
10. Разрешите копирование любых файлов на FTP сервере локальной сети компьютерами внешней сети по протоколу FTP.



Практическая работа № 5. Сетевые службы.
Задание №1. Установка и настройка DHCP сервера.

Цель работы: Ознакомление со службой раздачи IP адресов в компьютерных сетях на базе DHCP сервера Windows.

Для установки и настройки сервера DHCP:
1. В меню Пуск (Start) выберите Программы (Programs) или Все программы (All Programs), затем щелкните Администрирование (Administrative Tools) и Мастер настройки сервера (Configure Your Server Wizard).
2, Дважды щелкните Далее (Next). Появятся текущие роли сервера. Выделите роль DHCP-cервep (DHCP Server) и дважды щелкните Далее (Next). Мастер установит DHCP и запустит Мастер создания области (New Scope Wizard).
3. Если вы хотите сразу же создать начальную область для DHCP-сервера, щелкните Далее (Next) и выполните действия, описанные в разделе «Управление областями DHCP».
В противном случае щелкните Отмена (Cancel) и создайте необходимые области позднее.
4. Щелкните Готово (Finish).
Управление областями DHCP
Чтобы использовать сервер, вы должны авторизовать его, создать и активизировать все необходимые области DHCP. Для этого раскройте оснастку DHCP сервера (Start/Programs/Administrative Tools/DHCP). Зайдите в контекстное меню свойств DHCP сервера и выберите команду «New Scope» (рис. 1.2.1). Запустится мастер настройки параметров DHCP сервера:
1. Задайте название создаваемой области (рис. 1.2.2).
2. Задайте пул адресов (диапазон раздаваемых клиентам IP адресов, рис. 1.2.3).
3. Назначьте исключения IP адресов из пула адресов при необходимости.
4. Назначьте время аренды IP адреса две минуты.
5. Пропустите установку маршрутизатора, DNS и WINS серверов и активизируйте область. Появится консоль DHCP сервера (рис. 1.2.4).

Рис. 1.2.1. Создание области DHCP сервера.

Рис. 1.2.2. Задание имени области DHCP сервера.



Рис. 1.2.3. Задание пула адресов DHCP сервера.


Рис. 1.2.4. Консоль настройки DHCP сервера.

• Первый пункт консоли показывает пул адресов Addrass Pool.
• Второй пункт консоли показывает арендованные адреса Addrass Leases.
• Третий пункт консоли позволяет привязать полученный клиентом IP адрес к его MAC адресу.
• Четвертый пункт консоли позволяет настроить параметры DHCP сервера.
Настройте параметры DHCP сервера.
Для этого раскройте четвертый пункт консоли и задайте маршрутизатор и DNS сервер.

Настройка клиента DHCP.
1. Настройте протокол TCP/IP на клиенте на автоматическое получение IP адреса.
2. Запустите командную строку и настройте параметры клиента командой ipconfig.

Ipconfig/all – показывает полную информацию по настройке протокола TCP/IP.
Ipconfig/release – освобождает IP адрес клиента до состояния 0.0.0.0.
Ipconfig/renew – принудительно запрашивает IP адрес у DHCP сервера.

3. Удалите старый IP адрес клиента и назначьте уму новый адрес через запрос к DHCP серверу.

Соединение с удаленными серверами DHCP.

Открыв консоль DHCP, вы подключитесь к локальному серверу. Чтобы подключиться к удаленному серверу, выполните следующие действия
1. Щелкните правой кнопкой корень консоли DHCP и выберите Добавить сервер (Add Server). Откроется диалоговое окно. Если вашего сервера DHCP нет в консоли, добавьте его.
2. Установите переключатель Этот сервер (This server) и введите IP-адрес или имя DHCP-сервера, которым хотите управлять. Чтобы настроить один из авторизованных серверов DHCP, установите переключатель Авторизованный DHCP-сервер (This authorized DHCP server) и щелкните нужный сервер. Помните, что вы вправе управлять только серверами в доверенных доменах.
3. Щелкните ОК. Новый DHCP-сервер появится в дереве консоли.

После подключения к удаленному серверу некоторые параметры иногда оказываются недоступными. Для решения этой проблемы, как правило, достаточно щелкнуть правой кнопкой мыши узел сервера и выбрать Обновить (Refresh).

Аудит DHCP и устранение неполадок.

Просмотрите журнал аудита.
Система Windows Server 2003 изначально настроена на аудит DHCP. По умолчанию журнал аудита находится в папке %Sustem-Roor%\system32\DHCP — там хранятся отдельные файлы для каждого дня недели. Файл журнала для понедельника называется DhcpSrvMon.log, для вторника — DhcpSrvTue.bg и т.д. При запуске сервера DHCP или наступлении нового дня в файл журнала записывается сообщение-заголовок. В нем собраны события DHCP и их значение. При запуске и остановке службы DHCP очистка журнала не выполняется. Данные журнала обнуляются, только если запись в него не производилась последние 24 часа. Вам не нужно следить за использованием дискового пространства сервером DHCP — но умолчанию он делает это сам.

Разрешение и запрет аудита DHCP.
1. В консоли DHCP правой кнопкой щелкните сервер и выберите Свойства (Properties).
2. На вкладке Общие (General) выберите Вести журнал аудита DHCP (Enable DHCP audit logging). Щелкните ОК.

Сохранение и восстановление конфигурации DHCP.

После настройки всех необходимых параметров DHCP сохраните конфигурацию сервера, чтобы потом ее удалось легко восстановить. Для этого введите в командной строке команду
netsh dump dhcp > dhcpconfig.dmp
Здесь dhcpconfig.dmp — имя создаваемого сценария конфигурации. Для восстановления конфигурацию введите команду
netsh exec dhcpconfig.dmp

Эта методика позволяет скопировать настройку на другой сервер DHCP: просто скопируйте сценарий в папку целевого компьютера и выполните указанную команду.





Задание №2. Установка службы DNS

Цель работы: Знакомство со службой доменных имен. Получение навыков в работе с настройкой и тестированием DNS сервера в составе серверных операционных систем Windows.

Установка службы DNS
Функции DNS-серверов способны выполнять все контроллеры домена. В процессе установки контроллера домена вам, вероятно, предлагалось установить и настроить DNS. Если вы тогда ответили утвердительно, DNS уже установлена и настроена; вам не нужно ничего предпринимать. Для установки DNS на рядовом сервере или на контроллере домена, где ее еще нет, выполните следующие действия.
1. Откройте меню Администрирование (Administrative Tools) и выберите Мастер настройки сервера (Configure Your Server Wizard). Щелкните Далее (Next).
2. Еще раз щелкните Далее (Next). В открывшемся окне перечислены все возможные роли сервера с пометками, какие из них уже сконфигурированы. Выделите вариант DNS-сервер (DNS Server).
3. Два раза щелкните Далее (Next). Мастер установит DNS и начнет настройку сервера. При необходимости вставьте компакт-диск Windows Server 2003
4. Запустится Мастер настройки DNS-сервера (Configure DNS server wizard). Щелкните Далее (Next).
5. Установите переключатель Настроить только корневые ссылки (Configure Root Hints Only), чтобы задать создание только основных структур DNS.
в. Щелкните Далее (Next). Мастер ищет имеющиеся структуры DNS и при необходимости изменяет их.
7. Два раза щелкните Готово (Finish). Закройте консоль Управление данным сервером (Manage Your Server).
Теперь служба DNS будет запускаться автоматически при каждой перезагрузке сервера. Если она не запускается, вам придется сделать это вручную (см. раздел «Запуск и остановка DNS-сервера»).


Настройка основного DNS-сервера
Каждому домену необходим основной DNS-сервер, обычный или интегрированный с Active Directory. На основном сервере задаются зоны прямого и обратного просмотра. Первые служат для разрешения доменных имен в IP-адреса, вторые решают обратную задачу — искать доменное имя по IP-адресу (это необходимо для аутентификации DNS-запросов).
Установив службу DNS на сервере, настройте основной сервер.
1. Откройте меню Администрирование (Administrative Tools) и выберите DNS, Откроется консоль DNS.
2. Если сервер, который вы хотите настроить, не указан в дереве консоли, подключитесь к нему. Правой кнопкой щелкните элемент DNS в дереве консоли и выберите Подключение к DNS-серверу (Connect то DNS Server). Если вы подключаетесь:
• к локальному серверу, щелкните Этот компьютер (This Computer) и затем ОК;
• к удаленному серверу, щелкните Следующий компьютер (The Following Computer), введите имя или IP-адрес сервера и затем ОК.
3. В дереве консоли появится запись для DNS-сервера. Щелкните ее правой кнопкой и выберите Создать новую зону (New Zone). Запустится мастер создания зоны. Щелкните Далее (Next).
Примечание Доступ к консоли DNS можно получить из консоли Управление компьютером (Computer Management). Запустите ее, подключитесь к серверу, которым хотите управлять, затем раскройте Службы и приложения (Services and Applications) и выберите DNS.
4. Выберите тип зоны. Поскольку вы настраиваете основной сервер, установите переключатель Основная зона (Primary Zone). Если вы хотите интегрировать сервер с Active Directory (на контроллере домена), установите переключатель Хранить зону в Active Directory (Store the zone in Active Directory).
Если вы не хотите интегрировать DNS с Active Directory, сбросьте этот флажок. Щелкните Далее (Next).
5. Если вы интегрируете зону с Active Directory, выберите стратегию репликации, в противном случае переходите к пункту 6.
- На все DNS-серверы в лесу Active Directory (To all DNS servers in the Active Directory forest) — самая широкая стратегия репликации. Помните, что в Active Directory включены все доменные деревья, использующие общий каталог с текущим доменом.
- На все DNS-серверы в домене Active Directory (To all DNS servers in the Active Directory domain) — DNS-информация будет реплицироваться па DNS-серверы только в текущем домене и его дочерних доменах.
- На все контроллеры домена в домене Active Directory (To all domain controllers in the Active Directory domain) — DNS- информация будет реплицироваться на все контроллеры к текущем домене и его дочерних доменах. Нужно учитывать, что не каждый контроллер домена является DNS-
сервером.
6. Щелкните Далее (Next). Установите переключатель Зона прямого просмотра (Forward Lookup Zone) и щелкните Далее (Next).
7. Введите полное DNS-имя зоны. Оно определяет, где в иерархии домена DNS располагается сервер или зона. Например, если вы создаете основной сервер для домена microsoft.com, введите microsoft.com. Щелкните Далее (Next).
8. Если вы настраиваете основную зону, которая не интегрирована с Active Directory, задайте имя файла зоны или оставьте имя, предложенное ко умолчанию. Щелкните Далее (Next).
9. С помощью следующих переключателей выберите вид динамического обновления.
Разрешить только безопасные динамические обновления (Allow only secure dynamic updates) — если зона интегрирована с Active Directory, вы вправе ограничить список клиентов, которым разрешено выполнять динамические обновления, посредством списков управления доступом.
• Разрешить любые динамические обновления (Allow both nonsecure and secure dynamic updates) — позволяет обновлять записи ресурса DNS всем клиентам.
• Запретить динамические обновления (Do not allow dynamic updates) — отменяет динамические обновления DNS. Выбирайте этот вариант, только если зона не интегрирована с Active Directory.
10. Щелкните Далее (Next), а затем — ГOTOВO (Finish). Новая зона добавится к серверу с автоматически созданными основными записями DNS.
11. При необходимости повторите этот процесс, настроив зоны прямого просмотра для других доменов (один DNS-сервер способен обслуживать несколько доменов). Вам также нужно настроить зоны обратного просмотра (подробнее — в разделе «Настройка обратного просмотра»).
12. Создайте дополнительные записи для компьютеров, которые должны быть доступны из других доменов DNS (подробнее — в разделе «Управление записями DNS»).
Примечание. Во многих организациях сеть разделяется на открытую и закрытую части. В открытой части располагаются Web-серверы, РТР-серверы и внешние почтовые серверы. В закрытой области размещены внутренние серверы и рабочие станции. Параметры DNS для открытой области должны согласовываться с общим пространством имен Интернета. Здесь вы работаете с корневыми доменами .com, .org, .net и другими, а также с DNS-именами, зарегистрированными в Интернете, и IP-адресами, которые вы приобрели или взяли в аренду. В закрытой области вы вправе использовать любые DNS - имена, а закрытые IP-адреса должны соответствовать необходимым правилам.



Настройка DNS сервера в рабочей группе.

После установки DNS сервера будут сформированы прямая и обратная зоны, которые Вам предстоит настроить, указав в них собственные домены.
1. Откройте оснастку DNS сервера.
2. Создайте новую прямую зону (рис.1.3.1), выбрав в контекстном меню строки
Foorward Lookup Zones опцию New Zone.

Рис.1.3.1. Создание новой прямой зоны DNS.

Запустится мастер создания новой зоны. Оставьте все предлагаемые настройки мастера без изменения, указав только имя Вашего домена – например rambler.ru. В результате сформируется новая зона под указанным Вами доменным именем (рис.1.3.2).


Рис.1.3.2. Параметры вновь созданной прямой зоны DNS.

Во вновь созданной прямой зоне DNS появятся две ресурсные записи (рис.1.3.2):
- ресурсная запись типа SOA – открывает полномочия новой зоны и содержит параметры (имя или e-mail) системного администратора.
- ресурсная запись типа NS – показывает доступные DNS сервера Вашей сети

Необходимо задать ресурсные записи на Ваши компьютеры (ресурсные записи типа А). Для этого в контекстном меню зоны выберите параметр New Host (A),
(рис.1.3.3):

Рис.1.3.3. Создание ресурсной записи типа А.

После внесения всех необходимых компьютеров в прямую зону DNS нужно указать почтовые и Web сервера, если они есть в Вашей сети. Для определения Web узла используется псевдоним (параметр New Alias (CNAME)), а для определения почтового сервера параметр New Mail Exchanger (MX).

Если в Вашей сети присутствует Web сервер, создайте на него ресурсную запись (рис.1.3.4.).
Для этого заполните два параметра: в качестве псевдонима (Alias name) укажите сочетание WWW, а для внесения полного доменного имени воспользуйтесь кнопкой Browse для поиска компьютера в прямой зоне DNS (рис.1.3.4.).


Рис.1.3.4. Создание ресурсной записи Web сайта.


Настройка обратного просмотра.
Прямые просмотры нужны для разрешения имен доменов в IP- адреса, а обратные — для разрешения IP-адресов в имена доменов. Каждый сегмент вашей сети должен иметь зону обратного просмотра. Например, если у вас есть подсети 192.168.10.0, 192.168.11.0 и 192.168.12.0, вам необходимо три зоны обратного просмотра.
Стандартное правило именования зон обратного просмотра — запись идентификатора сети в обратном порядке и добавление суффикса in-addr.arpa. В предыдущем примере у вас должны получиться зоны 10.168.192.in-addr.arpa, 11.168.192.inaddr.arpa и 12.168.192.in-addr.arpa. Записи в зоне обратного просмотра должны быть синхронизированы с зоной прямого просмотра. При рассинхронизации зон проверка подлинности в домене может дать сбой.
Для создания зоны обратного просмотра:
1. Запустите консоль DNS и подключитесь к серверу, который хотите настроить.
2. Щелкните в консоли DNS сервера правой кнопкой обратную зону DNS (Reverse Lookup Zones) и выберите из контекстного меню пункт Создать новую зону (New Zone). Запустится мастер создания зоны. Щелкните Далее (Next).
3. Если вы настраиваете основной сервер, интегрированный с Active Directory, установите переключатель Основная зона (Primary Zone) и убедитесь, что флажок Хранить зону в Active Directory (Store the zone in Active Directory) установлен.
Если вы не хотите интегрировать DNS с Active Directory, установите переключатель Основная зона (Primary Zone) и сбросьте флажок Хранить зону в Active Directory (Store the zone in Active Directory). Щелкните Далее (Next).
4. Если вы конфигурируете зону обратного просмотра для дополнительного сервера, выберите Дополнительная зона (Secondary Zone) и щелкните Далее (Next).
5. Если вы интегрируете зону с Active Directory, выберите стратегию репликации, как описано в разделе «Настройка основного DNS-сервера».
6. Установите переключатель Зона обратного просмотра (Reverse Lookup Zone) и щелкните Далее (Next).
7. Введите идентификатор сети и маску подсети для зоны обратного просмотра. Вводимое значение задает стандартное имя для зоны обратного просмотра. Щелкните Далее (Next).

Если ваша сеть разделена на несколько подсетей, скажем 192.168.10 и 192.168.11, введите здесь только сетевую часть имени зоны, т. е. 168.192. Зоны подсетей консоль DNS создаст сама.
8. Если вы настраиваете основной или дополнительный сервер, который не интегрирован с Active Directory, задайте имя файла зоны и щелкните Далее (Next).
9. С помощью соответствующих параметров задайте разрешение динамических обновлений, как описано в пункте 9 раздела «Настройка основного DNS-сервера».
10. Щелкните Далее (Next) и Готово (Finish).
Настроив зоны обратного просмотра, обратитесь в ИТ-отдел организации или к провайдеру, чтобы удостовериться, что зоны зарегистрированы и родительском домене.

Настройка обратного просмотра в рабочей группе.

1. Запустите консоль DNS и подключитесь к серверу, который хотите настроить.
2. Щелкните в консоли DNS сервера правой кнопкой обратную зону DNS (Reverse Lookup Zones) и выберите из контекстного меню пункт Создать новую зону (New Zone). Запустится мастер создания зоны. Щелкните Далее (Next).
Оставьте включенным пункт Primary Zone и в следующем окне введите координаты Вашей сети (рис.1.3.5.):

Рис.1.3.5. Создание обратной зоны DNS.

Оставьте предлагаемые далее мастером параметры без изменения и создайте ресурсную запись в обратной зоне. Для этого раскройте в консоли пункт обратная зона DNS (Reverse Lookup Zone) и в контекстном меню Вашей подсети создайте новый указатель типа PTR (рис.1.3.6):


Рис.1.3.6. Выбор типа ресурсной записи в обратной зоне.

В появившемся окне (рис. 1.3.7) укажите составляющую номера компьютера в его IP адресе (параметр Host IP_number) и свяжите его с именем компьютера в прямой зоне

Рис.1.3.7. Настройка параметров ресурсной записи в обратной зоне.
В результате появится ресурсная запись в обратной зоне DNS (рис.1.3.8).


Рис. 1.3.8. Обратная зона DNS после настройки.


Задание №3. Управление DNS сервером.

Цель работы: знакомство с основными настройками сервера доменных имен DNS в серверных операционных системах Windows. Получение навыков в настройке прямой и обратной зонах DNS, знакомство с ресурсными записями.

1. Запуск и остановка DNS-сервера.
Серверами DNS управляют с помощью одноименной службы.
Как и любую другую, вы вправе ее запустить, отключить, приостановить и перезапустить посредством узла Службы (Services) консоли Управление компьютером (Computer Management) или из командной строки. Кроме того, службой DNS можно управлять из консоли DNS. Щелкните правой кнопкой сервер, которым хотите управлять, выберите Все задачи (All Tasks), а затем щелкните Пуск (Start), Стоп (Stop), Пауза (Pause), Продолжить (Resume) или Перезапустить (Restart).

2. Управление записями DNS. Добавление сервера почтового обмена.
Сервер почтового обмена, задаваемый МХ-записью, отвечает за обработку или пересылку почты в домене. При создании МХ-записи нужно определить приоритет почтового сервера в диапазоне от 0 до 65535. Почтовый сервер с наименьшим номером имеет самый высокий приоритет и первым получает почту. Если почту не удастся доставить, ее пытается получить почтовый сервер со следующим номером и т. д. МХ-запись создается так.
1. В консоли DNS откройте папку Зоны прямого просмотра (Forward Lookup Zones) нужного вам сервера.
2. Щелкнув правой кнопкой домен, который хотите обновить, выберите Создать почтовый обменник (New Mail Exchanger). Откроется диалоговое окно, показанное на рис. 20-9.
В. Заполните следующие поля (в отдельных ситуациях некоторые из них недоступны):
• Узел или дочерний домен (Host or child domain) — в большинстве случаев это поле заполнять не нужно. Отсутствие значения в нем означает, что имя почтового обменника совпадает с именем родительского домена;
• Полное доменное имя (Fully qualified domain name) — полное имя домена, к которому относится МХ-запись:
Полное доменное имя или почтовый сервер (Fully qualified domain name of mail server) — доменное имя почтовою сервера, отвечающего за прием и доставку почты. На этот сервер передаются сообщения, адресованные в домен, указанный в предыдущем ноле;
• Приоритет почтового сервера (Mail server priority) — значение от 0 до 65535.
Назначая приоритет, оставляйте место для дальнейшего роста. Скажем, введите 10 для почтового сервера с самым высоким приоритетом, 20 — для следующего и т. д.
4. Щелкните ОК.

3. Добавление серверов имен
Записями NS идентифицируются серверы имен домена. Такая запись необходима на каждом основном и дополнительном сервере имен. Если дополнительный сервис предоставлен ваш им провайдером, не забудьте добавить соответствующие записи NS. Запись NS создается следующим образом.
1. В консоли DNS откройте папку Зоны прямого просмотра (Forward Lookup Zones) нужного сервера.
2. Выделите папку домена в дереве, чтобы вывести в правой панели его записи DNS.
3. Щелкните правой кнопкой имеющуюся запись Сервер имен (Name Server) и выберите Свойства (Properties). Откроется диалоговое окно, показанное на рис. 20-10.
4. Щелкните Добавить (Add).
5. Введите полное доменное имя добавляемого DNS-сервера.
6. В поле IP-адрес (IP Address) введите основной IP-адрес сервера. Щелкните Добавить (Add). Повторите эту операцию для дополнительных IP-адресов сервера. Порядок обращения к серверам позволяют кнопки Вверх (Up) и Вниз (Down).
7. Щелкните ОК. Повторите пункты 4-7, чтобы указать другие DNS-серверы.

4. Просмотр и обновление записей DNS.
1. Дважды щелкните нужную зону. Записи для зоны отобразятся в правой панели.
2. Дважды щелкните запись DNS, которую хотите просмотреть или обновить. В открывшемся окне сделайте нужные изменения и щелкните ОК.

5. Обновление свойств зоны и записи SOA.
Каждой зоне соответствует собственный набор настраиваемых свойств. В этом наборе посредством начальной записи зоны (SOA) задаются основные параметры зоны, уведомления об изменении и интеграция WINS. Чтобы настроить свойства зоны в консоли DNS:
• щелкните зону правой кнопкой и выберите Свойства (Properties);
• выделите зону и выберите в меню Действие (Action) команду Свойства (Properties).
Окна свойств зон прямого и обратного просмотра почти идентичны — за единственным исключением. В окне свойств зоны прямого просмотра отображается вкладка WINS, позволяющая настроить прямой поиск NetBIOS-имен компьютеров, а в окне свойств зоны обратного просмотра — вкладка WINSR, позволяющая настроить обратный просмотр для NetBIOS имен компьютеров.



6. Редактирование записи SOA.
Начальная запись зоны (start of authority, SOA) назначает полномочный сервер имен для данной зоны и задает ее основные свойства, например интервалы повтора и обновления,
Чтобы изменить эту информацию, выполните следующие действия.
1. В консоли DNS щелкните правой кнопкой обновляемую зону и выберите Свойства (Properties).
2. Перейдите на вкладку Начальная запись зоны (SOA) [Start of Authority (SOA)] и введите нужные значения в поля, показанные на рис. 20-11.
На вкладке Начальная запись зоны (SOA) [Start Of Authority (SOA)] имеются следующие поля.
• Серийный номер (Serial Number) — номер, идентифицирующий версию файлов БД DNS. Обновляется автоматически при любом изменении файлов зоны или вручную. Дополнительные серверы используют его для установления факта изменения записей зон. Если серийный номер основного сервера больше серийного номера дополнительного, значит, записи изменились, и дополнительный сервер запрашивает обновленные записи для зоны. Вы также вправе настроить DNS на уведомление дополнительных серверов об изменениях (это ускоряет процесс обновления). Основной сервер (Primary Server) полное доменное имя сервера имен. Обратите внимание на точку в конце — она позволяет ограничить имя и гарантировать, что к имени не будет добавлена лишняя информация. Ответственное лицо (Responsible Person) — электронный адрес сотрудника, ответственного за домен. По умолчанию это hostmaster с точкой в конце, что соответствует адресу hostmaster@ea3U_domen.сom. Если вы будете вводить в это поле другой адрес, замените символ (@) на точку и еще одну точку поставьте в конце. Интервал обновления (Refresh Interval) - интервал, с которым дополнительный сервер проверяет обновления зон.
• Интервал повтора (Retry Interval) — время до повтора попытки загрузки БД зоны, если первая попытка оказалась неудачной,
- Срок истекает после (Expires After) — период, в течение которого действительна информация зоны на дополнительном сервере. Если за это время дополнительный сервер не загрузит данные с основного, он аннулирует данные в своем КЭШе и перестает отвечать на запросы DNS.
• Минимальный срок жизни TTL (по умолчанию) [Minimum (Default) TTL] — минимальное время жизни кэшированных записей на дополнительном сервере в формате «дни : часы : минуты : секунды». По достижении этого значения дополнительный сервер аннулирует соответствующую запись. Следующий запрос к ней будет отправлен основному серверу для разрешения имени. Чтобы сократить трафик в сети и повысить эффективность, задайте в этом поле большое значение, например 24 часа. С другой стороны, это замедлит распространение обновлений через Интернет.
• Срок жизни (TTL) записи (TTL For Triis Record) — время жизни самой SOA-записи в формате «дни : часы : минуты : секунды». Как правило, оно должно совпадать с минимальным временем жизни обычных записей.

7. Тестирование DNS-сервера.
В Windows Server 2003 встроены специальные функции для тестирования DNS-серверов. Вы вправе проводить проверку вручную или автоматически.
1. В консоли DNS щелкните правой кнопкой настраиваемый сервер и выберите Свойства (Properties).
2. Перейдите на вкладку Наблюдение (Monitoring), показанную па рис. 20-15, и выберите способ тестирования:
• Простой запрос к этому DNS-серверу (A simple query against this DNS server), чтобы проверить разрешение имен DNS на текущем сервере;
• Рекурсивный запрос к другим DNS-серверам (A recursive query to other DNS servers), чтобы проверить разрешение имен DNS в домене.
3. Чтобы выполнить проверку вручную, щелкните Тест (Test Now). Чтобы назначить проверку по расписанию, установите флажок Автоматическое тестирование (Perform automatic testing at the following interval) и задайте интервал в секундах, минутах или часах.

Проверку следует проводить раз в несколько часов. Задавайте меньший интервал только для разрешения какой-либо проблемы.
1 Просмотрите результаты проверки, показанные в нижней части окна. Единичный отказ может быть результатом случайного сбоя, но несколько отказов подряд обычно свидетельствуют о проблеме с разрешением имен.
Если все рекурсивные проверки заканчиваются неудачей, перейдите на вкладку Дополнительно (Advanced) и выясните, не установлен ли там флажок Отключить рекурсию (Disable Recursion).



















Задание №4. Настройка Web и FTP служб.

Цель работы: знакомство с Интернет сервисами службы IIS под управлением операционных систем Windows. Получение навыков в настройке WWW и FTP серверов.

Установка IIS.
Чтобы установить IIS, добавить или удалить компоненты:
1. Выберите команду Пуск (Start) | Настройка (Settings) | Панель управления (Control panel) и дважды щелкните на значке Установка и удаление программ (Add/Remove Programs).
2. В левом столбце диалогового окна Установка и удаление программ перейдите на вкладку Установка и удаление компонентов Windows (Add/Remove Windows Components).
3. Когда запустится Мастер компонентов Windows (Windows Components Wizard), выберите пункт Application Server и войдите в его состав, нажав кнопку Details.
4. В открывшемся списке списке выберите Internet Information Services (IIS) и в его составе отметьте File Transfer Protocol (FTP) Service.

Web узел устанавливается в каталог Interpub/wwwroot (домашний каталог Web), название страницы запуска сайта – default.htm.
FTP узел устанавливается в каталог Interpub/ftproot (домашний каталог FTP).
Корневой каталог можно изменять

Удаление IIS.
Удаление служб IIS производится при помощи той же процедуры, что и установка. Для удаления IIS сбросьте флажок рядом с названием компонента Windows в списке компонентов.
Каталоги, содержащие пользовательские данные, остаются в системе после того, как IIS полностью удаляется.

Выполните установку сайта на Вашем сервере:
1. Установите cлужбы Web и FTP.
2. Создайте HTML страницу и разместите ее в домашнем каталоге Web узла.
3. Создайте прямую и обратную зоны DNS в произвольном домене, например group.ru.
4. Задайте псевдоним для публикуемого сайта в прямой зоне DNS в следующем виде: www.group.ru.
5. Укажите на всех компьютерах Вашей сети в настройках протокола TCP/IP в качестве альтернативного DNS сервера тот сервер, где были выполнены указанные настройки.
6. Запустите на клиентских компьютерах сети Internet Explorer и вызовите сайт www.group.ru.


Задание №5. Настройка терминальных служб.

Цель работы: знакомство с концепцией удаленного администрирования операционных систем на примере использования сервера терминальных служб под управлением операционных систем Windows.

1. Установите терминальные службы.
Откройте установку компонентов Windows (Start/Settings/Control Panel/Add or Removes Programs/Windows Components)и отметьте два пункта (рис. 1.6.1.):
- Terminal Server;
- Terminal Server Licensing;

Рис.1.6.1. Установка терминальных служб.
Отметьте в мастере установки:
- режим использования – 120 дней.
- опцию Per User Licension mode.
После установки перезапустите компьютер.

Для управления удаленным доступом на сервере терминалов имеется две оснастки:
- Terminal Services Manager (диспетчер служб терминалов, рис.1.6.2) – используется для контроля за текущими сессиями подключений пользователей;
- Terminal ServicesConfiguration (настройка служб терминалов, рис.1.6.3)

Рис.1.6.2. Диспетчер служб терминалов.


Рис.1.6.3. Настройка служб терминалов.
2. Откройте диспетчер служб терминалов (рис.1.6.2). Войдите в контекстное меню подключившегося пользователя (рис.1.6.4) и отправьте ему сообщение.
3. Зайдите в свойства сессии с пользователем и посмотрите параметры подключившегося пользователя.
4. Отключите пользователя, выбрав в контекстном меню команду Disconnect.

Рис.1.6.4. Работа с удаленными пользователями.

5. Откройте настройку служб терминалов (рис.1.6.3) и в правом окне зайдите в свойства подключения. На вкладке Permissions добавьте учетную запись admin и дайте ей полные права на подключение. На вкладке Permissions добавьте учетную запись user1 и запретите для нее подключение.

6. Проверьте вход пользователей на терминальный сервер по учетным записям admin и user1.
Клиентское подключение к серверу терминалов ведется через стандартную оснастку (Start/Programs/Accessories/Communications/Remot_Desktop Connection), где необходимо ввести параметры сервера терминалов.


Настройка удаленного рабочего стола.

1. Дважды щелкните значок Система (System) на панели управления и перейдите на вкладку Удаленное использование (Remote).
2. Чтобы отключить доступ к удаленному рабочему столу, сбросьте флажок Разрешить удаленный доступ к этому компьютеру (Allow users to connect remotely to this computer)
и щелкните ОК. Остальные пункты пропустите.
3. Чтобы разрешить доступ к удаленному рабочему столу, включите флажок Разрешить удаленный доступ к этому компьютеру (Allow users to connect remotely to this computer). Затем щелкните Выбрать удаленных пользователей (Select Remote Users).
4. Чтобы предоставить пользователю доступ к удаленному рабочему столу, щелкните Добавить (Add). Введите имя пользователя и поле Имя (Name) и щелкните Проверить имена (Check Names). Выберите учетную запись, которую хотите использовать, и щелкните ОК. При необходимости повторите этот пункт для других пользователей. По завершении щелкните ОК.
5. Чтобы отменить разрешение на удаленный доступ для учетной записи пользователя, выделите ее и щелкните Удалить (Remove).
6. После завершения дважды щелкните ОК.

Создание удаленного соединения.

1. Щелкните Пуск (Stan), затем Программы (Programs) или Все программы (All Programs), затем Стандартные (Accessories), затем Связь (Communications), затем Подключение к удаленному рабочему столу (Remote Desktop Connection).
Откроется одноименное диалоговое окно.
2. В поле Компьютер (Computer) введите имя компьютера, с которым хотите установить соединение. Если вы не знаете имени, воспользуйтесь предлагаемым раскрывающимся списком или укажите в списке вариант Поиск других (Browse For More), чтобы открыть список доменов и компьютеров в этих доменах.
3. По умолчанию Windows Server 2003 берет для регистрации на удаленном компьютере текущее имя пользователя, домен и пароль. Если нужна информация другой учетной записи, щелкните Параметры (Options) и заполните поля. Имя пользователя (User Name), Пароль (Password) и Домен (Domain).
4. Щелкните Подключиться (Connect). При необходимости введите пароль и щелкните ОК. Если соединение создано успешно, вы увидите окно удаленного рабочего стола выбранного компьютера и получите возможность работать с ресурсами этого компьютера. Если соединение создать не удалось, проверьте введенную вами информацию и повторите попытку
Щелкнув кнопку Параметры (Options) в диалоговом окне Подключение к удаленному рабочему столу (Remote Desktop Connection), вы сможете задать дополнительные параметры создания и сохранения соединений. Они в частности позволяют изменять размеры удаленного рабочего стола, управлять соединениями с локальными ресурсами (принтерами, последовательными портами, дисководами), разрешать и запрещать локальное кэширование и сжатие данных.





Задание №6. Общие настройки Linux.

Цель работы: знакомство с предварительными настройками операционных систем Linux сразу после установки операционной системы. Получение навыков в настройке общих параметров операционных систем Linux.

Изменение имени компьютера.
Войдите в меню СИСТЕМА/АДМИНИСТРИРОВАНИЕ/СЕТЬ, выберите вкладку DNS, рис.2.1.1:
Рис. 2.1.1. Установка имени компьютера и DNS сервера
Введите имя узла, прибавиви к названию linux-server номер Вашего компьютера (узел должен принадлежать как минимум домену второго уровня). Имя localhost, введенное по умолчанию при установке для локального компьютера, недопустимо. В графе «ПЕРВИЧНЫЙ DNS» установите IP адрес DNS сервера Вашей сети. Если Ваше предприятие выходит в Internet, то в этом поле установите IP адрес DNS сервера провайдера, а DNS сервер Вашей сети в следующей графе.

Необходимо помнить, что при использовании службы DHCP имя компьютера на DHCP сервер передается из параметров настройки сетевой карты клиента DHCP (рис.2.1.3. , графа ИМЯ_МАШИНЫ в разделе ПАРАМЕТРЫ_TCP/IP).

Настройка сетевой карты.

Войдите в меню СИСТЕМА/АДМИНИСТРИРОВАНИЕ/СЕТЬ. Выберите нужный сетевой интерфейс, если их несколько, установите в графе профиль галочку и нажмите кнопку активировать, рис.2:


Рис.2.1.2. Задание свойств сетевой карты
Дважды щелкните на нужном интерфейсе и в окне свойств установите статический адрес IP, маску подсети и адрес основного шлюза, рис.3:

Рис.2.1.3. . Параметры сетевой карты

Связь имени компьютера с IP адресом.

При отсутствии настроенной службы DNS преобразование «имя хоста - IP адрес» производится в файле /etc/hosts. Чтобы его скорректировать через мастер настройки войдите в меню СИСТЕМА/АДМИНИСТРИРОВАНИЕ/СЕТЬ, выберите вкладку УЗЛЫ и нажмите кнопку СОЗДАТЬ. В окне «ДОБАВИТЬ/УДАЛИТЬ ЗАПИСЬ» (рис.2.1.4) введите следующую информацию (графу «ПСЕВДОНИМЫ» заполните в случае установки сайта по данному IP адресу):

Рис. 2.1.4. Связь IP адреса с именем компьютера


При этом будет скорректирован файл /etc/hosts и в нем появится новая строка, рис.2.1.5:

Рис.2.1.5. Файл /etc/hosts


Теперь в сети к компьютеру можно обращаться по имени «linux-server.kt.ru» или по псевдониму «www.kt.ru», если на нем установлен сайт Вашего предприятия.





Создание нового пользователя.

Создайте нового пользователя Linux на Вашем компьютере. Для этого войдите в окно МЕНЕДЖЕР ПОЛЬЗОВАТЕЛЕЙ, используя меню СИСТЕМА/АДМИНИСТРИРОВАНИЕ/ПОЛЬЗОВАТЕЛИ И ГРУППЫ, рис.2.1.6.


Рис.2.1.6. Менеджер пользователей

При установке операционной системы Linux Fedora 8 был создан пользователь USER. Создайте нового пользователя, нажав кнопку ДОБАВИТЬ ПОЛЬЗОВАТЕЛЯ, рис.2.1.7.

Рис.2.1.7. Создание пользователя

В окне СОЗДАТЬ ПОЛЬЗОВАТЕЛЯ введите имя пользователя, пароль иповторите пароль в графе CONFIRM PASSWORD. При этом будет создан домашний каталог для нового пользователя.













Задание №7. Настройка сервера Samba.

Цель работы: знакомство с организацией межсетевого взаимодействия в разнородных средах Unix и Windows. Получение навыков настройки сервера Samba, позволяющего организовать совместную работу клиентов сетей Windows и Linux.

Настройка сервера Samba

4.1. Создание учетных записей пользователей SAMBA.
Создайте учетную запись для пользователя Samba (рис.2.1.6 - менеджер пользователей). Созданная учетная запись будет использована для регистрации Windows-клиентов на сервере Samba при входе на разделяемый ресурс на Linux - сервере. Имя учетной записи userwin_N, где N - номер Вашего компьютера. Для создания учетной записи

4 .2. Создание общего ресурса.

4.2.1. В корневом каталоге home создайте папку linux-resurs_N, где N - номер Вашего компьютера. Создайте в этой папке текстовой файл.

4.2.2. Откройте оснастку настройки сервера Samba через меню СИСТЕМА/АДМИНИСТРИРОВАНИЕ/SAMBA (рис.2.5.1), и добавьте ресурс linux-resurs_N, нажав на кнопку ДОБАВИТЬ РЕСУРС


Рис.2.5.1. Оснастка создания ресурса Samba

Отметьте пункты ЗАПИСЬ РАЗРЕШЕНА и ВИДЕН. На вкладке ДОСТУП выберите пункт ПРЕДОСТАВИТЬ ДОСТУП ВСЕМ.

В окне мастера (рис.2.5.2 Настройка сервера Samba) выделите созданный файловый ресурс и в меню НАСТРОЙКА/ПАРАМЕТРЫ СЕРВЕРА на вкладке БЕЗОПАСНОСТЬ в разделе ГОСТЕВАЯ УЧЕТНАЯ ЗАПИСЬ выберите созданную учетную запись (рис.2.5.3).



Рис.2.5.2. Настройка сервера Samba


Рис.2.5.3. Задание гостевой учетной записи.

После настройки параметров сервера Samba необходимо позаботиться, чтобы межсетевой экран разрешил работу с данным сервером. Для этого откройте оснастку межсетевого экрана (СИСТЕМА/АДМИНИСТРИРОВАНИЕ/ МЕЖСЕТЕВОЙ ЭКРАН) и отметьте галочкой сервис Samba (рис.2.5.4).


Рис.2.5.4. Настройка межсетевого экрана.

4.5. Обеспечение доступа пользователей Samba к общему ресурсу.

В момент попытки подключения пользователя Windows к серверу Samba, система принудительного контроля доступа SELinux выдаст сообщение, которое появится в верхней части экрана в строке главного меню в виде желтой звезды. Откройте это сообщение, щелкнув на звездочке. Прочитайте инструкцию, которую необходимо ввести в командной строке. После запуска инструкции в режиме терминалов сервер Samba будет доступен пользователям Windows.
После выполнения всех настроек сервера Samba необходимо выполнить следующую команду:
Setsebool –P samba_enable_home_dirs=1

Задание №8. Конфигурирование службы DHCP.

Настройка DHCP сервера.

1. Создайте конфигурационный файл /etc/dhcpd.conf.

Файл /etc/dhcpd.conf

# Запрет использования динамического DNS
ddns-update-style none;
# Описание сети, указывающее, какая из подсетей будет обслуживаться.
# Указывается сетевой адрес и маска сети.
subnet 192.168.100.0 netmask 255.255.255.0 {
# маршрутизатор по умолчанию
option routers 192.168.100.116;
# маска подсети
option subnet-mask 255.255.255.0;
# установка демона по умолчанию и сервера NIS, если он используется
option domain-name "kt.ru";
# адрес DNS сервера, к/etc/dhcpd.confоторый будут использовать клиенты
option domain-name-servers 192.168.100.116;
# пул адресов
range 192.168.100.120 192.168.100.130;
# срок аренды 21600 секунд (6 часов)
default-lease-time 21600;
# забрать адрес самому через 28800 секунд (8 часов)
max-lease-time 28800;
}

2. Создайте перед первым запуском DHCP сервера пустой файл /var/lib/dhcpd/dhcpd.leases, если он отсутствует или сотрите содержание файла, если он был создан ранее.

3. Запустите DHCP сервер (СИСТЕМА АДМИНИСТРИРОВАНИЕ/ АСТРОЙКА СЕРВЕРА/СЛУЖБЫ), выделив демон dhcpd в списке служб и нажав кнопку ЗАПУСТИТЬ.

4. Просматрите журнал сообщений операционной системы, который хранится в файле /var/log/messages. Запуск сервера должен быть зафиксирован.

5. Просмотрите состав файла /var/lib/dhcpd/dhcpd.leases, где должно быть зафиксирована расдача клиентам IP адресов.

Параметры файла /var/lib/dhcpd/dhcpd.leases:
lease – показывает, какой IP адрес взят в аренду;
start - начало срока аренды;
ends - конец аренды;
hardware ethernet – MAC адрес клиента;
client-hostname - имя хоста клиента.

6. Откройте сервис Webmin и просмотрите настройки DHCP сервера с использованием Web интерфейса.

7. Расширенная настройка DHCP.

Создайте привязку выделенного IP адреса клиента к его MAC адресу.
Для этого добавьте в файл /etc/dhcpd.conf в раздел с указанием нужной подсети следующий листинг:

host myhost {
hardware ethernet MAC;
fixed-address IP;
}

где:
myhost – имя хоста клиента;
MAC - MAC адрес клиента;
IP - IP адрес клиента.

8. Включите поддержку сервера Samba для своих клиентов. Samba работает по протоколу SMB, который обеспечивает поддержку NetBIOS и сервера WINS (усовершенствованный сервер имен NetBIOS). Для этого добавьте в файл /etc/dhcpd.conf следующий листинг:

option netbios-name-server IP;
option netbios-dd-server IP;
option netbios-node-type 8;


Настройка DHCP клиента.

1. Посмотрите параметры, полученные клиентом с DHCP сервера
(файл /var/lib/dhclient/dhclient-eth0.leases)

Параметр
Описание
interface
Сетевой интерфейс
fixed-address
Адрес, полученный от DHCP сервера
option subnet-mask
Маска подсети
option routers
Адрес маршрутизатора
option dhcp-lease-time
Срок аренды
option domain-name-servers
Адрес DNS сервера
option dhcp-server-identifier
Адрес DHCP сервера
option domain-name
Имя домена
renew
Время последнего обновления IP адреса



Задание №9. Настройка DNS сервера.

Цель работы: знакомство со службой доменных имен BIND операционных систем Unix. Получение навыков в установке и настройке сервера BIND с помощью конфигурационных файлов и графических оснасток.

1. Настройка первичного DNS сервера.

Для настройки первичного DNS сервера Вашего предприятия, имеющего домен kt.ru, необходимо создать и модифицировать следующие файлы конфигурации DNS сервера:
1 - файл named.conf (находится в папке var\named\chroot\etc\);
2 - файлы 127.0.0, 192.168.100, kt.ru, localhost - установить в следующие две папки:
/var/named
/var/named/chroot/var/named

Файл named.conf:
options {
directory "/etc";
pid-file "/var/run/named/named.pid";
};

zone "kt.ru" {
type master;
file "/var/named/kt.ru";
};
zone "100.168.192.in-addr.arpa" {
type master;
file "/var/named/192.168.100";
};
zone "localhost" {
type master;
file "/var/named/localhost";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "/var/named/127.0.0";
};

Файл kt.ru:
$ttl 38400
kt.ru. IN SOA server1.kt.ru. qq.kt.ru. (
1228288471
10800
3600
604800
38400 )
kt.ru. IN NS server1.kt.ru.
server1.kt.ru. IN A 192.168.100.101
www.kt.ru. IN CNAME server1.kt.ru.
serverNot.kt.ru. IN A 192.168.100.102
localhost.kt.ru. A 127.0.0.1

Файл 192.168.100:
$ttl 38400
100.168.192.in-addr.arpa. IN SOA server1.kt.ru. qq.kt.ru. (
1228293151
10800
3600
604800
38400 )
100.168.192.in-addr.arpa. IN NS server1.kt.ru.
101.100.168.192.in-addr.arpa. IN PTR server1.kt.ru.

Файл localhost:
$ttl 38400
localhost. IN SOA server1.kt.ru. qq.kt.ru. (
1228294061
10800
3600
604800
38400 )
localhost. IN NS server1.kt.ru.
localhost. IN A 127.0.0.1


Файл 127.0.0:
$ttl 38400
0.0.127.in-addr.arpa. IN SOA server1.kt.ru. qq (
1228295001
10800
3600
604800
38400 )
0.0.127.in-addr.arpa. IN NS server1.kt.ru.
1.0.0.127.in-addr.arpa. IN PTR localhost.

Проверка работоспособности DNS сервера проводится утилитой nslookup. Вы должны получить отклики на ввод команд, как представлено на рис.2.7.1.
Рис.2.7.1. Проверка работоспособности DNS сервера утилитой nslookup.
Включите графическую оснастку DNS серера Fedora. При правильной настройке DNS сервера она должна выглядеть как на рис. 2.7.2.
Рис. 2.7.2. Просмотр настройки DNS сервера в графической оснастке Fedora.
Рис. 2.7.3. Просмотр настройки DNS сервера в графической оснастке Webmin.
Второй способ настройки DNS сервера можно провести с помощью утилиты Webmin, позволяющей использовать удаленный доступ к любому Linux – серверу по протоколу https и порту 10000. Для этого откройте интернет-браузер и в адресной строке введите:
https://192.168.100.101:10000,
где 192.168.100.101 –IP адрес Вашего Unix сервера.
Создайте прямую и обратную зоны и ресурсные записи, как показано на рисунках 2.7.4 – 2.7.8.

Рис. 2.7.4. Создание прямой зоны kt.ru в графической оснастке Webmin.

Рис. 2.7.5. Задание адресов в прямой зоне kt.ru в графической оснастке Webmin.

Рис. 2.7.6. Задание псевдонима сайта в прямой зоне kt.ru в графической оснастке Webmin.

Рис. 2.7.7. Создание обратной зоны kt.ru в графической оснастке Webmin.

Рис. 2.7.8. Задание адреса в обратной зоне kt.ru в графической оснастке Webmin.


Задание №10. Настройка Web сервера Apache.

Цель работы: знакомство Web службами операционных систем Unix. Получение навыков в установке и настройке Web сервера Apache с помощью конфигурационных файлов и графических оснасток.
1. Настройте параметры сети (сетевая карта, общие параметры, узел: рис.2.8.1 – 2.1.3).
1.1 Сетевая карта
Рис. 2.8.1. Настройка сетевой карты.
1.2 Общие параметры
Рис. 2.8.2. Настройка общих параметров.
1.3 Настройка узла
Рис.2.8.3. Настройка параметров узла.

2. Настройте сервер DNS
Параметры сервера DNS оставьте по умолчанию
3. Настройте сервер Apache
3.1 Основные параметры

Рис.2.8.4. Настройка параметров сервера Apache
3.2 Виртуальные узлы

Рис.2.8.5. Настройка параметров виртуальных узлов.

3.3. Создайте страницу запуска index.html в домашнем каталоге (DocumentRoot "/var/www/html")









ЗАДАНИЯ ДЛЯ КОНТРОЛЯ.
Тесты для самоконтроля по предмету
«Операционные системы, среды и оболочки»

Тема 1
Вопрос 1. Windows 2003 поддерживает файловые системы:
1) Fat16, Fat32, Linux Extended, NTFS, Novell NetWare 2
2) Novell NetWare
3) NTFS, Fat32
4) Fat16, Fat32, NTFS
Вопрос 2. При расширении сети Ethernet на коаксильном кабеле Вам пришлось добавить кусок кабеля. После этого сеть перестала работать или работает нестабильно.
Для восстановления работоспособности сети необходимо …
1) Установить повторитель (Repeater)
2) Установить концентратор (Hub)
3) Установить коммутатор (Switch)
4) Установить маршрутизатор (Router)
5) Установить шлюз (Gate)
Вопрос 3. SMP - это ...
1) Secondary Master Parking zone- специальное место на жестком диске
2) Symmetric Multiprocessing - Симметричная мультипроцессорная обработка
3) Simple Mail Protocol - Протокол передачи простых текстовых писем.
4) Нет такой абрревиатуры применительно к теме "Сетевая операционная система Windows 2000"
Вопрос 4. Если существующая одноранговая сеть перестала удовлетворять запросам
пользователей и появилась возможность провести реорганизацию сети,
системному администратору необходимо выбрать ...
1) Сеть типа "peer-to-peer"
2) Сеть типа "Client\Server"
3) Сеть типа "Client-to-peer"
4) Сеть типа "Client-to-hub"
Вопрос 5. Задача маршрутизации решается на уровне модели OSI:
1) Прикладном
2) Сетевом
3) Транспортном
4) Сеансовом
5) Канальном

Тема 2
Вопрос 1. Microsoft Windows 2003 допускает создание систем SMP c:
1) 2 процессорами
2) 4 процессорами
3) 8 процессорами
4) 32 процессорами
Вопрос 2. Самая распространенная на сегодняшний день технология локальных сетей:
1) FDDI
2) Token Ring
3) Ethernet
4) 100VG-AnyLAN
Вопрос 3. Динамически отслеживать количество памяти, используемой в данный
момент приложениями позволяет:
1) Windows Task Manager (Диспетчер задач Windows)
2) Performance (Производительность)
3) System Information (Сведения о системе)
4) System Properties (Свойства системы)
Вопрос 4. Протокол ARP работает на следующем уровне модели OSI:
1) Прикладном
2) Сеансовом
3) Канальном
4) Сетевом
5) Физическом
Вопрос 5. Протокол FTP принадлежит к следующему уровню модели OSI:
1) приложений
2) представления данных
3) сеансовому
4) транспортному
5) сетевому
6) канальному
7) физическому

Тема 3
Вопрос 1. Протокол ARP предназначен для…
1) Решения задач маршрутизации
2) Передачи пакетов в другие сети
3) Определения имени компьютера
4) Определения Mac адреса
5) Определения IP адреса
6) Ни для одной из перечисленных задач
Вопрос 2. К семейству операционных систем Windows 2000 относится:
1) Microsoft Windows 2000 Professional
2) Microsoft Windows 95
3) Microsoft Windows 98
4) Microsoft Windows Workgroup
Вопрос 3. Компьютер с адресом 115.23.46.34 принадлежит к классу:
1) А
2) В
3) С
4) D
5) Е
Вопрос 4. Протокол транспортного уровня стека TCP/IP, не гарантирующий доставку данных:
1) IP
2) ARP
3) UDP
4) TCP
5) ICMP
Вопрос 5. Компьютер с адресом 195.23.46.34 принадлежит к классу:
1) А
2) B
3) C
4) D
5) E

Тема 4
Вопрос 1. Маска подсети по умолчанию для класса С:
1) 128.0.0.0
2) 255.0.0.0
3) 255.255.0.0
4) 255.255.255.0
5) 255.255.255.255
6) 128.255.0.0
Вопрос 2. Информация об объектах сети и формирование иерархической структуры данных располагается в службе:
1) RAS
2) Active Directory
3) WINS
4) DNS
Вопрос 3. Для произвольного расположения компьютеров в сети требуется топология:
1) Mesh
2) Star
3) Ring
4) Bus
Вопрос 4. Для создания группы пользователей домена необходима служебная
программа:
1) Active Directory Users and Computers
2) Local Users and Groups
3) User Manager for Domains
4) Netdomain controller
Вопрос 5. Чтобы узнать, работает и подключен к сети компьютер с ip-адресом
192.168.37.2, необходимо:
1) Щелкнуть правой кнопкой по значку «сетевое окружение» и выбрать пункт «найти компьютер»
2) Использовать команду Ping 192.168.37.2
3) Позвонить администратору сети
4) Попытаться найти данный адрес в чате
5) Запустить прорамму сканирования адресов и портов

Тема 5
Вопрос 1. Вы создали новый раздел и отформатировали его под файловую систему
NTFS. По умолчанию для всех новых файлов на этом разделе будут стоять
разрешения:
1) Everyone – Full Control
2) Administrators – Full Control, Guests – Read&Execute
3) Administrators – Full Control, Users – Read&Write&Execute, Guests – Read
4) Guests – Read, Everyone – Full Control
Вопрос 2. Технический адрес для тестирования определен как:
1) 127.0.0.1
2) 1.1.1.1
3) 255.255.255.0
4) 255.255.255.255
Вопрос 3. Кластеризация - это:
1) Возможность объединения группы компьютеров для решения единой задачи.
2) Термин высшей математики
3) Одна из особенностей Windows 2000 Advanced Server и Datacenter Server.
4) Средство повышения надежности файловой системы
Вопрос 4. Иерархическая структура доменов системы Windows 2000, носящая общее
имя называется:
1) Дерево
2) Массив
3) Кластер
4) Лес
Вопрос 5. Протокол TCP находится на следующем уровне модели OSI:
1) Приложений
2) Представления данных
3) Сеансовом
4) Транспортном
5) Сетевом
6) Канальном
7) Физическом

Тема 6
Вопрос 1. Выберите из списка маршрутизируемые протоколы
1) TCP/IP
2) NetBEUI
3) DLC
4) AppleTalk
Вопрос 2. Если маска подсети 255.255.255.0, то из пар IP адресов расположенными в разных сетях являются:
1) 192.37.65.3 и 192.37.65.34
2) 192.35.43.15 и 192.35.43.20
3) 192.2.3.4 и 192.2.3.6
4) 192.35.42.67 и 192.36.42.200
Вопрос 3. Технология RAID-1 используется для создания:
1) базовых дисков
2) динамических дисков
3) составных томов
4) зеркальных томов
5) чередующихся томов
Вопрос 4. Технология RAID-0 используется для создания:
1) базовых дисков
2) динамических дисков
3) составных томов
4) зеркальных томов
5) чередующихся томов
Вопрос 5. В файловой системе NTFS можно создать следующее количество основных
разделов:
1) 1
2) 2
3) 3
4) 4
5) 5

Тема 7
Вопрос 1. Права доступа на файлы и папки позволяет назначать файловая система:
1) FAT16
2) FAT32
3) NTFS
Вопрос 2. Права разрешения для локальных групп действуют в пределах:
1) сервера
2) доменного дерева
3) леса доменов
4) любых доменов
Вопрос 3. Права разрешения для глобальных групп действуют в пределах:
1) сервера
2) доменного дерева
3) леса доменов
4) одного домена
Вопрос 4. Служба DNS нужна для:
1) эмуляции терминала сервера и управления сервером
2) выделения динамического IP адреса
3) трансляции имен компьютеров в IP адреса
4) определения пути пересылки пакета
Вопрос 5. Диапазон частных адресов для сети класса А:
1) 15.0.0.1-15.255.255.254
2) 10.0.0.0-10.255.255.254
3) 1.0.0.0-10.255.255.254
4) 150.1.0.0-150.1.255.254

Тема 8
Вопрос 1. Диапазон частных адресов для сети класса В:
1) 168.15.0.0-168.45.255.255
2) 172.16.0.1-172.31.255.254
3) 192.168.0.0-192.168.255.255
4) 192.168.0.1 – 192.168.255.254
Вопрос 2. Диапазон частных адресов для сети класса С:
1) 168.15.0.0-168.45.255.255
2) 172.16.0.1-172.31.255.254
3) 192.168.0.0-192.168.255.255
4) 192.168.0.1 – 192.168.255.254
Вопрос 3. IP адрес предоставляет адрес:
1) сетевой карты
2) сети
3) хоста
4) сети и компьютера
5) маршрутизатора
Вопрос 4. Рroxy - сервер не позволяет:
1) Утанавливать фильтры адресов при отправке - приемке пакетов
2) Производить подмену IP адреса клиентов сети при отправке пакета
3) Защищать передаваемую в Internet информацию
4) Утанавливать фильтры портов при отправке - приемке пакетов
Вопрос 5. Сокет протокола TCP/IP - это …
1) Номер порта
2) IP адрес хоста
3) Номер порта + IP адрес хоста
4) Тип обслуживания (TCP, UDP)
5) Номер порта + IP адрес хоста + транспортный протокол

Тема 9
Вопрос 1. Для компьютера, использующего TCP/IP в глобальной сети, в обязательном порядке должны назначаться:
1) IP адрес
2) IP адрес + маска подсети
3) IP адрес шлюза по умолчанию
4) IP адрес + маска подсети + IP адрес шлюза по умолчанию
Вопрос 2. Более 1000 узлов находится в сетях классов IP - адресов:
1) А
2) В
3) С
4) А и В
5) В и С
Вопрос 3. Маска подсети класса А, содержащая 6 подсетей - это …
1) 255.255.0.0
2) 255.128.0.0
3) 255.224.0.0
4) 255.192.0.0
Вопрос 4. При маске подсети 255.255.255.240 количество компьютеров в ней:
1) 62
2) 30
3) 14
4) 6
5) 2
Вопрос 5. При маске подсети 255.255.224.0 верный диапазон идентификаторов узлов:
1) x.y.16.1 - x.y.32.254
2) x.y.192.1 - x.y.254.254
3) x.y.96.1 - x.y.126.254
4) x.y.32.1 - x.y.63.254
5) x.y.128.1 - x.y.160.254

Тема 10
Вопрос 1. Сеанс связи между компьютерами устанавливается протоколом:
1) IP
2) TCP
3) UDP
4) ARP
5) ICMP
6) IGMP
Вопрос 2. Служба NET используется для …
1) Маршрутизации
2) Широковещания
3) Подмены локальных IP адресов на внешний адрес предприятия
4) Изменения параметров сокета для отправки пакета в Интернет
5) Трансляции имени компьютера в IP адрес
Вопрос 3. Общая для всех пользователей информация содержится в раздел реестра:
1) HKEY_USERS
2) HKEY_CURRENT_USER
3) HKEY_LOCAL_MACHINE
4) HKEY_CURRENT_CONFIG
5) HKEY_CLASSES_ROOT
Вопрос 4. Информация о всех параметрах компьютера, не связанных с пользователем,
содержится в разделе реестра:
1) HKEY_USERS
2) HKEY_CURRENT_USER
3) HKEY_LOCAL_MACHINE
4) HKEY_CURRENT_CONFIG
5) HKEY_CLASSES_ROOT
Вопрос 5. Информация о связях между расширениями имен файлов с программами,
которые могут их открыть, содержится в разделе реестра:
1) HKEY_USERS
2) HKEY_CURRENT_USER
3) HKEY_LOCAL_MACHINE
4) HKEY_CURRENT_CONFIG
5) HKEY_CLASSES_ROOT


Ключи к тестам для самоконтроля.

Тема 1.

№ теста
№ правильного ответа
1
4
2
1
3
2
4
2
5
2

Тема 2.

№ теста
№ правильного ответа
1
1
2
3
3
2
4
4
5
1

Тема 3.

№ теста
№ правильного ответа
1
4
2
1
3
1
4
3
5
3

Тема 4.

№ теста
№ правильного ответа
1
4
2
2
3
2
4
1
5
2

Тема 5.

№ теста
№ правильного ответа
1
1
2
1
3
4
4
1
5
4

Тема 6.

№ теста
№ правильного ответа
1
1
2
4
3
4
4
4
5
4

Тема 7.

№ теста
№ правильного ответа
1
3
2
1
3
4
4
3
5
2

Тема 8.

№ теста
№ правильного ответа
1
2
2
4
3
4
4
3
5
5

Тема 9.

№ теста
№ правильного ответа
1
4
2
4
3
3
4
3
5
4

Тема 10.

№ теста
№ правильного ответа
1
2
2
4
3
1
4
3
5
5





Задания для контрольных работ.
Тема: IP адресация, подсети (§ 5.4. подсети)

Задание 1.
Определите необходимую маску подсети для различных ситуаций. Помните, что деление на подсети применяется не всегда.
1. Адрес класса А в локальной сети.
2. Адрес класса В в локальной сети, состоящей из 4 000 узлов.
3. Адрес класса С в локальной сети, состоящей из 254 узлов.
4. Адрес класса А в сети, содержащей 6 подсетей.
5. Адрес класса В в сети, содержащей 126 подсетей.
6. Адрес класса А, если в настоящее время сеть содержит 30 подсетей, в следующем году планируется увеличить их число до 65, причем в каждой подсети будет более 50 000 узлов?
7. Какой запас на случай будущего расширения сети обеспечивает маска подсети из предыдущего задания?
8. Адрес класса В, если в настоящее время сеть содержит 14 подсетей, в течение следующих двух лет размер каждой подсети может увеличиться вдвое, причем в каждой подсети будет не более 1500 узлов.
9. Какой запас на случай будущего расширения сети обеспечивает маска подсети из предыдущего задания?

Задание 2.
Определите маску подсети, соответствующую указанному диапазону 1Р-адресов.
1. Диапазон адресов от 128.71.0.1 до 128.71.255.254.
2. Диапазон адресов от 61.9.0.1 до 61.15.255.254.
3. Диапазон адресов от 172.88.33.1 до 172.88.63.254.
4. Диапазон адресов от 111.225.0.1 до 111.239.255.254.
5. Диапазон адресов от 3.65.0.1 до 3.127.255.254.

Задание 3.
Рассмотрите два примера, определите, какие проблемы здесь могут возникнуть, и объясните их возможное проявление.
Пример 1.
IP-адрес 109.128.1.1 IP-адрес 109.128.2.2 IР-адрес 147.103.73.73
Маска подсети 255.0.0.0 Маска подсети 255.0.0.0 Маска подсети 255.255.0.0

1Р-адрес 109.128.10.10 IP-адрес 109.100.11.11
Маска подсети 255.255.0.0 Маска подсети 255.255.0.0

Рис.1.8.1. Пример 1.

Для каких узлов маска подсети задана неправильно?
Как неправильное значение маски подсети влияет на работу этих узлов?
Каково правильное значение маски подсети?




Пример 2.


IР-адрес131.107.100.27 IР-адрес131.107.33.7
Маска подсети 255.255.0.0 Маска подсети 255.255.0.0
Шлюз по умолчанию 131.107.100.1 Шлюз по умолчанию 131.107.33.3

Рис.1.8.2. Пример 2.

Задание 4.
Определите маску подсети и количество узлов в сети:
Сеть класса А:
Количество подсетей
Маска
Количество узлов
126


254


Сеть класса В:

Количество подсетей
Маска
Количество узлов
6


62


126



Задание 5.

Определите идентификаторы подсетей для объединенной сети, состоящей из двух сетей, используя 2 бита маски подсети класса В.

1. Выпишите все возможные битовые комбинации для указанной ниже маски подсети. Переведите их в десятичный формат, чтобы определить начальное значение идентификаторов узлов для каждой подсети
2. Выпишите диапазон идентификаторов узлов для каждой подсети.
Подсеть
Начальное значение
Конечное значение
Подсеть 1
X.Y.____.1
X.Y.____.254
Подсеть 2
X.Y.____.1
X.Y.____.254

Задание 6.
Определите диапазон идентификаторов сетей для объединенной сети, состоящей из 14 подсетей, используя для этого 4 бита маски подсети класса В.
1. Выпишите все возможные битовые комбинации для указанной ниже маски подсети для первых пяти подсетей. Переведите их в десятичный формат, чтобы определить начальное значение идентификаторов узлов для каждой подсети.
Подсеть
Начальное значение
Конечное значение
Подсеть 1
X.Y.____.1
X.Y.____.254
Подсеть 2
X.Y.____.1
X.Y.____.254
Подсеть 3
X.Y.____.1
X.Y.____.254
Подсеть 4
X.Y.____.1
X.Y.____.254

Задание 7.
Определите диапазон идентификаторов узлоидля каждой из перечисленных подсетей.
1. Идентификатор сети — 75.0.0.0, маска подсети 255.255.0.0, две подсети.
2. Идентификатор сети — 150.17.0.0, маска подсети 255.255.255.0, четыре подсети.
3. Идентификаторы сетей — 107.16.0.0 и 107.32.0.0, маска подсети 255.240.0.0, две подсети.
4. Идентификаторы сетей — 190.1.16.0, 190.1.32.0, 190.1.48.0, 190.1.64.0, маска подсети 255.255.248.0, имеется четыре подсети.
5. Идентификаторы сетей — 154.233.32.0, 154.233.96.0 и 154.233.160.0, маска подсети 255.255.224.0, три подсети.

Вопросы для подготовки к зачету
1. Архитектура «клиент-сервер».
2. Файловый сервер, доступ к удаленным данным, сервер баз данных.
3. .Базовые топологии.
4. Организация межсетевого взаимодействия.
5. Коммутация каналов, коммутация сообщений, коммутация пакетов.
6. Датаграммный и виртуальный методы.
7. Эталонная модель внутри- и межсетевого взаимодействия (OSI).
8. Эталонная модель TCP/IP.
9. Коммутационные сети и системы (асинхронная, синхронная передача, пакеты данных).
10. Каналы коммуникаций.
11. Системы мобильной связи.
12. GSM.
13. GPRS.
14. WAP.
15. Bluetooth.
16. Стандарт IEEE 802.11.
17. Спутниковые системы связи.
18. Стандарт RS-232-C.
19. Аналоговые модемы.
20. Цифровые модемы.
21. Сеть с выделенным сервером и сетевой сервер.
22. Локальная сеть Ethernet.
23. Технология ATM и ее эталонная модель.
24. Сетевые операционные системы.
25. Структура сетевой ОС.
26. Классификация и построение сетевой ОС.
27. Примеры ОС, применяемых в локальных сетях.
28. Система адресов Internet, IP-адрес.
29. DNS и доменные имена.
30. Электронная почта ее адреса.
31. Сетевые протоколы и протоколы передачи данных.
32. Межсетевые протоколы, протокол маршрутизации и протоколы транспортного уровня.
33. Криптография.
34. Цифровые подписи.
35. Протоколы аутентификации.
ГЛОССАРИЙ
Адаптер сетевой – устройство, реализующее связь компьютера с сетевым кабелем.
Адрес Ethernet – система описания компьютера и порта передачи данных в локальной сети Ethernet.
Адрес Internet – методы, технологии и базы данных, предназначенные для управления информационными ресурсами в Internet.
База данных – организованная совокупность разнородных файлов, содержащая структурированную информацию о предметной области и обеспечивающая определенный минимум функций.
Бод (бит/с) – единица измерения скорости передачи данных по сети.
Выделенная линия – высокоскоростная линия (как правило, телефонная), выделенная под подключение к сети.
Демон – резидентный программный модуль в ОС Unix.
DNS (служба имен доменов) – используемые в Internet протокол и система обозначений для сопоставления адресов IP и имен, понятных пользователю.
Доменное имя – иерархическая система адресов машин, пользователей, информационных ресурсов с сети.
Информационная сеть – совокупность средств хранения и обработки информации, объединяемых каналами передачи данных.
Информационная система – совокупность информационных технологий и организационных мероприятий, обеспечивающая сбор, обработку, хранение, поиск и представление информации.
Клиент – программно-технический комплекс, обеспечивающий интерфейс с пользователем (другой активной стороной) при отправлении и получении запросов от сервера.
Клиент-сервер архитектура – распределенная обработка запросов в сети, реализуемая на двух взаимодействующих программно-технических комплексах (клиент и сервер).
Код ASCII (ASCII Code) – 7- или 8-битовый код обмена данными.
Конечный пользователь – пользователь, на обслуживание которого ориентирована система (информационно-поисковая, операционная и др.).
Модем – устройство преобразования цифровой информации в аналоговую и обратно посредством модуляции/демодуляции несущей частоты для передачи данных по телефонным линиям.
Номер порта – номер, определяющий отдельное приложение Internet. Например, по умолчанию служба Gopher использует номер 70, а служба WWW – 80.
Определение номеров по имени – настройка соответствия понятных имен и адресов IP.
Пользователь – физическое или юридическое лицо, непосредственно применяющее информационный ресурс, систему, технологию для решения задач.
Понятное имя – имя, заменяющее адрес IP, например www.microsoft.com соответствует адресу 157.45.60.81.
Прикладная программа – программное средство, предназначенное для решения определенного класса задач и поддерживающее некоторый класс технологий.
Сервер (Server) – комплекс программно-технических средств, реализующих обслуживание запросов в системе «клиент-сервер».
Сервер файловый – выделенная машина с установленным программным обеспечением, поддерживающим общие информационные ресурсы в локальной сети.
Сеть локальная – оборудование и программное обеспечение, предназначенные для комплексирования малых и средних ЭВМ для совместного использования локальных ресурсов.
Сеть передачи данных – комплексы средств и управляющих компьютеров, обеспечивающие передачу данных для различных приложений.
Терминал – терминальное устройство – сочетание устройств ввода и вывода данных в ЭВМ.
Техническое обеспечение – комплекс технических средств, обеспечивающих информационные технологии, связанные с приемом, передачей, хранением и отображением информации.
Тип данных – определенный формат представления информации, соответствующий структуре, применению и отображению.
Универсальный указатель ресурсов URL (Uniform Resource Locator) – система обозначений для однозначной идентификации компьютера, каталога и файла в Internet.
Хост-машина - главная ЭВМ (в сети или автономно), поддерживающая информационные и вычислительные ресурсы и предоставляющая их удаленным пользователям.
Шлюз – программно-технический комплекс, поддерживающий взаимодействие сетей с разными протоколами.

СПИСОК ИСТОЧНИКОВ ИНФОРМАЦИИ

Основная литература
1. Уильям Р. Станек. Microsoft Server 2003. Справочник администратора/ Пер. с англ. – М.: Издательско-торговый дом «Русская редакция», 2004. – 640 с.
2. А.В. Гордеев. Операционные системы: Учебник для вузов 2-е изд. – СПб: Питер, 2009. – 416 с.
3. Д.Н. Колисниченко. Linux сервер своими руками. – 4-е изд., перераб. И доп. – СПб.:Наука и Техника, 2006. – 752с.

Дополнительная литература
4. Ли К., Альбитц П. DNS и BIND, 5-е издание. – Пер. с англ. – СПб.: Символ- Плюс, 2008. – 712 с.
5. Э. Немеет, Г. Снайдер, С. Сибасс, Т. Хейн. UNIX: руководство системного администратора. Для профессионалов. 3-е изд. – СПб.: Питер; К.: Издательская группа BHV, 2007. – 925 с.
6. Зэтлифф Бад, Баллард Джейсон. Microsoft Internet Security and Acceleration (ISA) Server 2004. Справочник администратора/ Пер. с англ. – М.: Издательство «Русская редакция», 2006. – 400 с.
7. Вильямс М. Руководство по технологиям объединенных сетей: Пер. с англ., 2002.
8. Олифер, В. Г. Олифер Н.Г. Основы сетей передачи данных. М.: Интернет-Университет Информационных Технологий, 2003.
9. Олифер, В.Г. Компьютерные сети: Принципы, технологии, протоколы. СПб.: Питер, 2001.
10. Под ред. Лойко В.И. Архитектура компьютерных систем и сетей: М.: Финансы и статистика, 2003.