 | |
МЕНЮ
- Главная
- Астрономия и космонавтика
- Банковское биржевое дело и страхование
- Биология и естествознание
- Бухгалтерский учет и аудит
- Авиация и космонавтика
- Административное право
- Арбитражный процесс
- Архитектура
- Астрология
- Астрономия
- Банковское дело
- Безопасность жизнедеятельности
- Журналистика
- Зоология
- Инвестиции
- История
- Кибернетика
- Коммуникации и связь
- Кулинария
- Культурология
- Логика
- Логистика
- Маркетинг
- Фотография
- Химия
- Хозяйственное право
- Цифровые устройства
- Экологическое право
- Экология
- Экономика
- Карта сайта
Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server
создания сети.
Количество рабочих станций напрямую зависит от предполагаемого числа
сотрудников. Другим фактором является иерархия компании. Для фирмы с
горизонтальной структурой, где все сотрудники должны иметь доступ к данным
друг друга, оптимальным решением является простая одноранговая сеть. [2]
Фирме, построенной по принципу вертикальной структуры, в которой
точно известно, какой сотрудник и к какой информации должен иметь доступ,
следует ориентироваться на более дорогой вариант сети – с выделенным
сервером. Только в такой сети существует возможность администрирования прав
доступа (рис. 4.1).
Рис. 4.1 Выбор типа сети.
В данном случае на предприятии имеется 30 рабочих станции, которые
и требуется объединить в корпоративную сеть. Причем они объединены в
следующие группы:
. директор предприятия – 1 рабочая станция;
. отдел прямого подчинения - 2 рабочих станции;
. секретарь – 1 рабочая станция;
. отделения 1, 2 и 3 2-го отдела по 3, 3 и 4 рабочих станции
соответственно;
. отделения 4 и 5 3-го отдела по 4 и 4 рабочих станции;
. отделение 6 4-го отдела – 4 рабочих станции.
Следуя из схемы выбора типа сети, можно решить, что в данном
случае требуется установка сервера, так как мы имеем вертикальную
структуру предприятия, то есть разграниченный доступ к информации.
Одним из главных этапов планирования является создание
предварительной схемы. При этом в зависимости от типа сети возникает вопрос
об ограничении длины кабельного сегмента. Это может быть несущественно для
небольшого офиса, однако если сеть охватывает несколько этажей здания,
проблема предстает в совершенно ином свете. В таком случае необходима
установка дополнительных репитеров (repeater).
В ситуации с предприятием вся сеть будет располагаться на одном
этаже, и расстояние между сегментами сети не столь велико, чтобы
требовалось использование репитеров.
4.2. Размещение сервера
В отличие от установки одноранговой сети, при построении ЛВС с
сервером возникает еще один вопрос - где лучше всего установить сервер.
На выбор места влияет несколько факторов:
. из-за высокого уровня шума сервер желательно установить отдельно
от остальных рабочих станций;
. необходимо обеспечить постоянный доступ к серверу для технического
обслуживания;
. по соображениям защиты информации требуется ограничить доступ к
серверу;
|[pic] |
Рис. 4.2. План помещения.
Сервер расположен в комнате сетевого администратора, так как только
это помещение удовлетворяет требованиям, то есть уровень шума в помещении
минимален, помещение изолированно от других, следовательно, доступ к
серверу будет ограничен.
Сетевой администратор сможет постоянно следить за работой сервера и
осуществлять обслуживание сервера, так как при установке сервера.
4.3. Сетевая архитектура
Сетевая архитектура - это сочетание топологии, метода доступа,
стандартов, необходимых для создания работоспособной сети.
Выбор топологии определяется, в частности, планировкой помещения, в
котором разворачивается ЛВС. Кроме того, большое значение имеют затраты на
приобретение и установку сетевого оборудования, что является важным
вопросом для фирмы, разброс цен здесь также достаточно велик.
Топология типа «звезда» представляет собой более производительную
структуру, каждый компьютер, в том числе и сервер, соединяется отдельным
сегментом кабеля с центральным концентратором (HAB).
Основным преимуществом такой сети является её устойчивость к сбоям,
возникающим вследствие неполадок на отдельных ПК или из-за повреждения
сетевого кабеля. [12]
|[pic] |
Рис. 4.3 Топология сети предприятия.
Важнейшей характеристикой обмена информацией в локальных сетях
являются так называемые методы доступа (access methods), регламентирующие
порядок, в котором рабочая станция получает доступ к сетевым ресурсам и
может обмениваться данными.
За аббревиатурой CSMA/CD скрывается английское выражение «Carrier
Sense Multiple Access with Collision Detection » (коллективный доступ с
контролем несущей и обнаружением коллизий). С помощью данного метода все
компьютеры получают равноправный доступ в сеть. Каждая рабочая станция
перед началом передачи данных проверяет, свободен ли канал. По окончании
передачи каждая рабочая станция проверяет, достиг ли адресата отправленный
пакет данных. Если ответ отрицательный, узел производит повторный цикл
передачи/контроля приема данных и так до тех пор, пока не получит сообщение
об успешном приеме информации адресатом. [6]
Так как этот метод хорошо зарекомендовал себя именно в малых и средних
сетях, для предприятия данный метод подойдет. К тому же сетевая
архитектура Ethernet, которую и будет использовать сеть предприятия,
использует именно этот метод доступа.
Спецификацию Ethernet в конце семидесятых годов предложила компания
Xerox Corporation. Позднее к этому проекту присоединились компании Digital
Equipment Corporation (DEC) и Intel Corporation. В 1982 году была
опубликована спецификация на Ethernet версии 2.0. На базе Ethernet
институтом IEEE был разработан стандарт IEEE 802.3. [12]
В настоящее время технология, применяющая кабель на основе витой пары
(10Base – T), является наиболее популярной. Такой кабель не вызывает
трудностей при прокладке.
Сеть на основе витой пары, в отличие от тонкого и толстого коаксиала,
строится по топологии звезда. Чтобы построить сеть по звездообразной
топологии, требуется большее количество кабеля (но цена витой пары не
велика). Подобная схема имеет и неоценимое преимущество – высокую
отказоустойчивость. Выход из строя одной или нескольких рабочих станций не
приводит к отказу всей системы. Правда если из строя выйдет хаб, его отказ
затронет все подключенные через него устройства.
Еще одним преимуществом данного варианта является простота расширения
сети, поскольку при использовании дополнительных хабов (до четырех
последовательно) появляется возможность подключения большого количества
рабочих станций (до 1024). При применении неэкранированной витой пары (UTP)
длина сегмента между концентратором и рабочей станцией не должна превышать
100 метров, чего не наблюдается в предприятии.
4.4. Сетевые ресурсы
Следующим важным аспектом планирования сети является совместное
использование сетевых ресурсов (принтеров, факсов, модемов).
Перечисленные ресурсы могут использоваться как в одноранговых сетях,
так и в сетях с выделенным сервером. Однако в случае одноранговой сети
сразу выявляются её недостатки. Чтобы работать с перечисленными
компонентами, их нужно установить на рабочую станцию или подключить к ней
периферийные устройства. При отключении этой станции все компоненты и
соответствующие службы становятся недоступными для коллективного
пользования. [2]
В сетях с сервером такой компьютер существует по определению. Сетевой
сервер никогда не выключается, если не считать коротких остановок для
технического обслуживания. Таким образом, обеспечивается круглосуточный
доступ рабочих станций к сетевой периферии.
На предприятии имеется десять принтеров: в каждом обособленном
помещении. Администрация пошла на расходы для создания максимально
комфортных условий работы коллектива.
Теперь вопрос подключения принтера к ЛВС. Для этого существует
несколько способов.
1.Подключение к рабочей станции.
Принтер подключается к той рабочей станции, которая находиться к нему
ближе всего, в результате чего данная рабочая станция становится сервером
печати. Недостаток такого подключения в том, что при выполнении заданий на
печать производительность рабочей станции на некоторое время снижается,
что отрицательно скажется на работе прикладных программ при интенсивном
использовании принтера. Кроме того, если машина будет выключена, сервер
печати станет недоступным для других узлов.
2.Прямое подключение к серверу.
Принтер подключается к параллельному порту сервера с помощью
специального кабеля. В этом случае он постоянно доступен для всех рабочих
станций. Недостаток подобного решения обусловлен ограничением в длине
принтерного кабеля, обеспечивающего корректную передачу данных. Хотя
кабель можно протянуть на 10 и более метров, его следует прокладывать в
коробах или в перекрытиях, что повысит расходы на организацию сети.
3. Подключение к сети через специальный сетевой интерфейс.
Принтер оборудуется сетевым интерфейсом и подключается к сети как
рабочая станция. Интерфейсная карта работает как сетевой адаптер, а принтер
регистрируется на сервере как узел ЛВС. Программное обеспечение сервера
осуществляет передачу заданий на печать по сети непосредственно на
подключенный сетевой принтер.
В сетях с шинной топологией сетевой принтер, как и рабочие станции
соединяется с сетевым кабелем при помощи Т-коннектора, а при использовании
«звезды» - через концентратор.
Интерфейсную карту можно установить в большинство принтеров, но её
стоимость довольно высока.
4. Подключение к выделенному серверу печати.
Альтернативой третьему варианту является использование
специализированных серверов печати. Такой сервер представляет собой сетевой
интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими
разъемами (портами) для подключения принтеров. Однако в данном случае
использование сервера печати является непрактичным.
В нашем случае в связи с нерентабельностью установки специального
сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым
подходящим способом подключения сетевого принтера является подключение к
рабочей станции. На это решение повлиял ещё и тот факт, что принтеры
расположены около тех рабочих станций, потребность которых в принтере
наибольшая. [10]
5. Организация сети на основе Windows 2000.
5.1. Служба каталогов Windows 2000
Безусловно, наиболее значимое изменение, по сравнению с Windows NT
4, это включение в Windows 2000 важной новой службы – Active Directory.
Active Directory – это «родная» служба каталогов для Windows 2000. В NT 4
домен был очень похож на удаленный остров, с которым мы могли соединиться
только используя механизм доверительных отношений. Active Directory –
полнофункциональная служба каталогов.
Каталог может хранить различную информацию, относящуюся к
пользователям, группам, компьютерам, принтерам, общим ресурсам и так далее
– все это называется объектами.
Каталог хранит также информацию о самом объекте, или его свойства –
атрибутамы. Например, атрибутами, хранимыми в каталоге о пользователе,
может быть имя его руководителя, номер телефона, адрес, имя для входа в
систему, пароль, группы, в которые он входит и многое другое. [4]
5.1.1. Наименование объектов
Active Directory использует Lightweight Directory Access Protocol
(LDAP) – простой протокол доступа к каталогам, как главный протокол
доступа. LDAP действует поверх TCP/IP и определяет способы обращения и
доступа к объектам между клиентом и сервером Active Directory. В LDAP
каждый объект имеет свое особенное Distinguished Name (отличительное имя),
и это имя отличает его от других объектов Active Directory, а также
подсказывает нам, где данный объект расположен. Два главных составных части
отличительного имени – это CN (common name) – общее имя и DC (domain
component) – доменная составляющая. Общее имя определяет объект или
контейнер, в котором этот объект находится, в то время как доменный
компонент определяет домен, в котором объект находится. Например,
отличительное имя может быть следующим:
CN=Peter Ivanoff, CN=Users, DC=firma, DC=ru
В этом примере у нас есть пользователь Peter Ivanoff, который
находится внутри контейнера, называемого Users, в домене firma, который
является поддоменом .ru. Отличительное имя объекта должно быть уникальным
внутри леса Active Directory.
В то время как отличительное имя дает нам полную информацию о
расположении объекта, relative distinguished name (относительное
отличительное имя) определяет объект внутри его родительского контейнера.
Например, если я осуществляю поиск внутри контейнера Users, относительное
отличительное имя объекта, который я ищу, может быть Peter Ivanoff.
Когда пользователь входит в домен, расположенный в Active Directory, у
него может быть два типа имени. Первое из них – традиционное NetBIOS -имя.
В Windows 2000 на него ссылаются как на downlevel logon name (имя
регистрации в ранних версиях Windows). Этот тип имени существует для
совместимости с ранними версиями Windows, процесс входа в которые был
основан на использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так
далее). Когда вы используете downlevel logon name (на вкладке свойств –«имя
входа пользователя пред-Windows 2000») для входа, пользователь должен
ввести имя пользователя, пароль и выбрать соответствующий домен, в который
он собирается входить. Второе имя – и это новинка в Windows 2000 – это
возможность входа в систему с использованием того, что называется User
Principal Name (основное имя пользователя) или UPN. Основное имя
пользователя имеет следующий формат – user@domain.com (на вкладке свойств
пользователя это называется – User logon name (имя входа пользователя)).
Если это соглашение действует, то пользователю не нужно определять домен, в
который он хочет войти. Фактически, когда для входа в Windows
2000используется UPN, доменная часть окна имени для входа в систему
закрашена серым. Пример этих двух типов имен показан на вкладке свойств
учетной записи пользователя Active Directory:
|[pic] |
Рис. 5.1. Active Directory
5.1.2. Логическая структура Active Directory
Логическая структура Active Directory зависит от нужд вашей
организации. Логические элементы Active Directory это леса, деревья, домены
и OU.
5.1.2.1. Домены
Домен в Windows 2000 очень напоминает домен в Windows NT. Для
различных намерений и целей, домен является логической группой
пользователей и компьютеров (объектов), которые связаны как единица для
администрирования и репликации. Прежде всего домен – это административная
единица. Следовательно, администратор этого домена может его
администрировать и для этого не нужен никто другой. Кроме того, все
контроллеры одного домена должны осуществлять репликацию друг с другом.
В Windows 2000 домены именуются в соответствии с соглашением об
именовании DNS, а не именовании NetBIOS. Примером имени домена в Active
Directory может быть 2000trainers.com. В Windows NT имели ограничения по
величине, до которой они могли увеличиваться и этот размер ограничивался
допустимым размером базы данных SAM (40 Мб или около того). Поэтому
приходилось создавать множества доменов в компании, в которой действовали
тысячи пользователей и компьютеров. Теперь же множество доменов не являются
необходимостью в подобном сценарии под Windows 2000, так как Active
Directory может вместить в себя многие миллионы объектов. Учетные записи
пользователей в Windows 2000 существуют так же как и в Windows NT. Active
Directory также позволяет иметь множество доменов, формируя структуры,
которые называются деревьями и лесами. [4]
5.1.2.2 Дерево
В Windows 2000, несколько доменов может все же потребоваться, особенно
в больших организациях, которые продолжают требовать надежного контроля над
их средой, их индивидуальностью (как в случае различных организационных
единиц для ведения бизнеса) и особого административного контроля. В Active
Directory набор доменов может создаваться в порядке, напоминающем структуру
дерева. В этом случае «дочерний» домен наследует свое имя от
«родительского» домена:
|[pic] |
Рис. 5.2. Домены
Каждый домен в дереве является отдельной и явно выраженной
административной единицей, так же как и границей для целей репликации. То
есть, если вы создали учетную запись пользователя в домене
filial1.firma.ru, то эта учетная запись, существующая на контроллере
домена, будет реплицирована на все контроллеры домена filial2.firma.ru.
Каждый новый «дочерний» домен имеет transitive (транзитивные)
двунаправленные доверительные отношения с «родительским» доменом. Это
достигается автоматически в Active Directory и позволяет пользователям из
одного домена дерева иметь доступ к ресурсам в другом. Даже не имея прямых
доверительных отношений, пользователи в filial1 могут получать доступ к
ресурсам (для чего у них должны быть соответствующие разрешения) в filial2
и наоборот, к тому же доверительные отношения транзитивны (filial1 доверяет
своему «родительскому» домену firma , который в свою очередь «доверяет»
filial2 – таким образом filial1 доверяет filial2 и наоборот).
Дерево, в общих чертах, можно определить как набор доменов, которые
связаны отношениями «дочерний»/«родительский» и поддерживают связанное
пространство имен. [4]
5.1.2.3 Лес
Лес – это термин, применяемый для описания совокупности Active
Directory деревьев. Каждое дерево в лесе имеет собственное отдельное
пространство имен. Например, давайте предположим, что наша фирма владеет
еще одной более мелкой, называемой ЧП Сидоров. Чтобы ЧП Сидоров имело свое
собственное отдельное пространство имен, я могу достичь этого объединив
деревья и сформировать лес, как показано ниже:
|[pic] |
Рис. 5.3. Лес
Домен Sidoroff.ru является частью леса, так же как и firma.ru, но по-
прежнему остается доменом и может иметь собственное дерево. Заметьте, что
здесь существуют транзитивные доверительные отношения между «корневыми»
доменами каждого дерева в лесу – это позволит пользователям домена
acmeplunbing.com получать доступ к ресурсам в дереве firma.ru и наоборот, в
то же время поддерживает проверку подлинности в собственном домене.
Первый домен, созданный в лесу, рассматривается как «корень» леса.
Одна из самых важных особенностей леса – это то, что каждый отдельный домен
поддерживает общую схему – определения для различных объектов и связанных с
ними атрибутов, которые созданы в лесу. Важно осознать, что лес может быть
создан из одного дерева, которое содержит всего один домен. Это будет
Страницы: 1, 2, 3, 4, 5, 6, 7, 8
ИНТЕРЕСНОЕ
© 2009 Все права защищены. |