Автономна некомерційна організація
ВИЩОЇ ОСВІТИ
«Новий сибірський інститут»
Кафедра економіки та прикладної інформатики (в економіці)
Курсова робота
з дисципліни «Операційні середовища та оболонки»
Аналіз принципів адміністрування в мережах операційних систем (на прикладі Windows 2003)
Виконав: студент 2 курсу
очної форми навчання
групи ПІ-81 А. А. Алексєєв
Науковий керівник:
Робота захищена на оцінку _________ (_________________________)
Дата захисту: «________»________________________________ 2010р.
Новосибірськ 2010
Зміст
Введення
1. Основні поняття
2. Windows Server 2003
3. Можливості Windows Server 2003
4. «Інструменти» адміністрування в Windows Server 2003
Висновок
Список літератури
Введення
Тема моєї курсової роботи актуальна в силу щорічного росту і розвитку комп'ютерної техніки і поряд з нею зростанням локальних мереж. В даний час широко поширені домашні мережі, мережі малого офісу, великі компанії і т.д.
Основними причинами об'єднання комп'ютерів в локальні обчислювальні мережі є потреби в поділі ресурсів, прискоренні обчислень, підвищення надійності та полегшення спілкування користувачів.
Обчислювальні комплекси в мережі можуть перебувати під управлінням мережних або розподілених обчислювальних систем. Основою для об'єднання комп'ютерів в мережу служить взаємодія віддалених процесів. При розгляді питань організації взаємодії віддалених процесів потрібно брати до уваги основні відмінності їх кооперації від кооперації локальних процесів.
Базою для взаємодії локальних процесів служить організація загальної пам'яті, у той час як для віддалених процесів - це обмін фізичними пакетами даних.
Організація взаємодії віддалених процесів вимагає від мережевих частин операційних систем підтримки певних протоколів. Мережеві засоби зв'язку зазвичай будуються за "листкового" принципом. Формальний перелік правил, що визначають послідовність і формат повідомлень, якими обмінюються мережеві компоненти різних обчислювальних систем, що лежать на одному рівні, називається мережевим протоколом. Кожен рівень листкової системи може взаємодіяти безпосередньо тільки зі своїми вертикальними сусідами, керуючись чітко закріпленими угодами - вертикальними протоколами або інтерфейсами. Вся сукупність інтерфейсів і мережевих протоколів в мережевих системах, побудованих за принципом листкового, достатня для організації взаємодії віддалених процесів, утворює сімейство протоколів або стік протоколів.
Дистанційні процеси, на відміну від локальних, при взаємодії зазвичай вимагають дворівневої адресації при своєму спілкуванні. Повна адреса процесу складається з двох частин: віддаленої та локальної.
Для віддаленої адресації використовуються символьні і числові імена вузлів мережі. Переклад імен з однієї форми в іншу (дозвіл імен) може здійснюватися за допомогою централізовано оновлюваних таблиць відповідності повністю на кожному вузлі або з використанням виділення зон відповідальності спеціальних серверів. Для локальної адресації процесів застосовуються порти. Упорядкована пара з адреси вузла в мережі та порту отримала назву socket.
Для доставки повідомлення від одного вузла до іншого можуть використовуватися різні протоколи маршрутизації.
З точки зору користувача процесів обмін інформацією може здійснюватися у вигляді датаграм або потоку даних.
Розглянемо основні поняття й способи адміністрування на прикладі Windows server 2003.
1. Основні поняття
Системне адміністрування - управління комп'ютерними системами, в тому числі: операційними, графічними, базами даних. А так само створення, налагодження та забезпечення працездатності локальних мереж.
Лока льная обчисли тельная мережа (ЛОМ, локальна мережа, сленг. Локалці, англ. Local Area Network, LAN) - комп'ютерна мережа, що покриває зазвичай відносно невелику територію або невелику групу будівель (будинок, офіс, фірму, інститут).
Мережева операційна система - операційна система з вбудованими можливостями для роботи в комп'ютерних мережах. До таких можливостей можна віднести:
підтримку мережевого обладнання
підтримку мережевих протоколів
підтримку протоколів маршрутизації
підтримку фільтрації мережевого трафіку
підтримку доступу до віддалених ресурсів, таких як принтери, диски і т. п. по мережі
підтримку мережевих протоколів авторизації
наявність в системі мережних служб, що дозволяють віддаленим користувачам використовувати ресурси комп'ютера
Приклади мережевих операційних систем:
Novell NetWare
Microsoft Windows (95, NT і більш пізні)
Різні UNIX системи, такі як Solaris, FreeBSD
Різні GNU / Linux системи
Головними завданнями є поділ ресурсів мережі (наприклад, дискові простору) і адміністрування мережі. За допомогою мережевих функцій системний адміністратор визначає колективні ресурси, задає паролі, визначає права доступу для кожного користувача або групи користувачів. Існують спеціальні мережеві ОС, яким надано функції звичайних систем (Пр.: Windows NT) і звичайні ОС (Пр.: Windows XP), яким надано мережеві функції. Сьогодні практично всі сучасні ОС мають вбудовані мережеві функції.
2. Windows Server 2003
Windows Server 2003 (кодова назва при розробці - Whistler Server, внутрішня версія - Windows NT 5.2) - операційна система сімейства Windows NT від компанії Microsoft, призначена для роботи на серверах. Вона була випущена 24 квітня 2003.
Windows Server 2003 доступний у чотирьох основних виданнях, кожне з яких орієнтовано на певний сектор ринку.
Всі ці видання, за винятком Web Edition, доступні також у 64-розрядних варіантах (AMD64 і IA-64). Включення підтримки 64-розрядних процесорів дає системам можливість використовувати більшу адресний простір і збільшує їх продуктивність.
Web Edition, - серверна система, оптимізована для Web-служб і Web-вузлів, - (видання для World Wide Web) представляє собою «полегшену» версію Windows Server 2003 спеціально для використання на веб-серверах. Це видання не здатне виконувати функції контролера домена і не підтримує деякі інші важливі можливості інших видань, але містить служби IIS і коштує значно дешевше. Підтримує до 2 * гігабайт оперативної пам'яті і до чотирьох процесорів на комп'ютер.
Standard Edition (стандартне видання) орієнтовано на малий і середній бізнес. Воно містить всі основні можливості Windows Server 2003, але в ньому недоступні деякі функції, які, на думку Microsoft, необхідні тільки великим підприємствам. Підтримує до 4 * гігабайт оперативної пам'яті і до чотирьох процесорів на комп'ютер.
Enterprise Edition (видання для підприємств) орієнтовано на середній і великий бізнес. На додаток до можливостей Standard Edition, воно дозволяє використовувати більший об'єм оперативної пам'яті (до 32 * (якщо на 64 БІТ) гігабайт оперативної пам'яті) і SMP на 8 процесорів (Standard Edition підтримує лише 4). Це видання також підтримує кластеризацію і додавання оперативної пам'яті «на льоту».
Datacenter Edition (видання для центрів даних) орієнтовано на використання в великих підприємствах при великому навантаженні. Windows Server 2003, Datacenter Edition може одночасно підтримувати в певних ситуаціях більше 10000 користувачів та кластери, що містять до восьми вузлів. Ця система підтримує до 64 процесорів і 128 * Гб оперативної пам'яті.
Підтримка. NET
Windows Server 2003 - перша з операційних систем Microsoft, яка поставляється з передвстановленою оболонкою. NET Framework. Це дозволяє даній системі виступати в ролі сервера додатків для платформи Microsoft. NET без встановлення будь-якого додаткового програмного забезпечення.
Покращення Active Directory
Windows Server 2003 включає в себе наступні покращення для Active Directory - служби каталогів, вперше з'явилася в Windows 2003:
Можливість перейменування домену Active Directory після його розгортання.
Спрощення зміни схеми Active Directory - наприклад, відключення атрибутів і класів.
Покращений інтерфейс користувача для управління каталогом (стало можливо, наприклад, переміщати об'єкти шляхом їх перетягування і одночасно змінювати властивості декількох об'єктів).
Поліпшені засоби управління груповою політикою, включаючи програму Group Policy Management Console.
Active Directory - LDAP-сумісна реалізація інтелектуальної служби каталогів корпорації Microsoft для операційних систем сімейства Windows NT. Active Directory дозволяє адміністраторам використовувати групові політики (GPO) для забезпечення подібного налаштування користувацького робочого середовища, розгортати ПЗ на великій кількості комп'ютерів (через групові політики або за допомогою Microsoft Systems Management Server 2003 (або System Center Configuration Manager)), встановлювати оновлення ОС, прикладного і серверного ПЗ на всіх комп'ютерах в мережі (з використанням Windows Server Update Services (WSUS); Software Update Services (SUS) раніше). Active Directory зберігає дані і налаштування середовища в централізованій базі даних. Мережі Active Directory можуть бути різного розміру: від кількох сотень до кількох мільйонів об'єктів.
Ліси, дерева та домени
Верхнім рівнем структури є ліс - сукупність всіх об'єктів, атрибутів і правил (синтаксису атрибутів) в Active Directory. Ліс містить одне або кілька дерев, пов'язаних транзитивними відносинами довіри. Дерево містить один або декілька доменів, також пов'язаних в ієрархію транзитивними відносинами довіри. Домени ідентифікуються своїми структурами імен DNS - просторами імен.
Ролі
Введено нове поняття - «ролі», на них базується управління сервером. Простіше кажучи, щоб отримати файл-сервер, необхідно додати роль - «файл-сервер».
Ролі, унікальні в рамках лісу
Schema Master
Роль, відповідальна за управління змінами і модифікаціями схеми. У рамках лісу існує єдиний сервер, який зберігає доступну для запису копію схеми. Відповідно, для внесення до неї змін необхідно зв'язатися з цим контролером домену.
Domain Naming Master
Роль, що управляє всіма доменними іменами в рамках лісу і відстежує додавання і видалення доменів. У разі його недосяжності створення нового домену в рамках лісу стає неможливим.
Ролі, унікальні в рамках домену
PDC (Primary Domain controller) Emulator
Найбільш часто використовується в роботі контролер. Відповідає за роботу з обліковими записами користувачів, групові політики та безпека інформаційних баз резервних контролерів домену. Крім того, при наявності в мережі резервних контролерів домену NT 4.0 грає роль головного контролера домену. При цьому у випадку, якщо пароль користувача відкинутий резервним контролером, то перед тим, як відкинути запит на доступ до ресурсу, цей запит буде переданий PDC Emulator'у, і тільки після підтвердження відмови користувач побачить стандартне повідомлення про невірність пароля.
Infrastructure Master
Цей контролер відповідає за всі Міждомена відносини, зокрема управляє членством в Міждомена групах. Наприклад, у разі зміни імені члена групи або його видалення з групи цей контролер оновлює всі посилання з групи на цього користувача. При цьому всі зміни реплицируются в режимі multi-master, що змушує розносити на різні фізичні сервери роль Infrastructure Master і сервер глобального каталогу.
Relative ID (RID) Master
Цей контролер надає новим користувачам і групам користувачів відносні ідентифікатори (RID). Даний ідентифікатор необхідний для формування унікального ідентифікатора безпеки (SID) для кожного нового об'єкта типу «користувач», «група користувачів» або «комп'ютер».
Управління носіями ролей FSMO
Як ми бачимо, у порівнянні з доменом NT 4.0 кількість службових контролерів зросла. Якщо запорукою стабільної роботи домену NT 4.0 була наявність головного контролера домену (PDC) і сервера динамічного розподілу IP-адрес (DHCP), то кількість потенційних вузьких місць мережі Windows 2003 представляється помітно більшим. Відповідно збільшилося і кількість утиліт адміністрування, що використовуються в повсякденній роботі, доскональне знання яких є запорукою стабільної роботи мережі. Крім успадкованих і звичних утиліт Server manager і User Manager зі складу NT 4.0, для адміністрування мережі Windows 2003 застосовуються додатково ще шість програмних засобів, розгляду яких ми і присвятимо цей розділ.
Монітор реплікації (Replication monitor)
Ця утиліта, що входить до складу Windows 2003 Support Tools, дозволяє переглянути поточний розподіл ролей FSMO і перевірити доступність відповідного контролера. Її функції носять інформаційно-допоміжний характер, оскільки з її допомогою неможливо передати роль іншому контролеру домену. Самою важливою і корисною функцією цієї утиліти є можливість визначення доступності носіїв ролі.
Утиліта командного рядка NetDom.exe
Ця утиліта командного рядка також входить до складу Windows 2003 Support Tools. При всій своїй простенький і убогому інтерфейсі (хоча яким ще може бути інтерфейс у MS-DOS-додатків?) Ця програма є найпотужнішим інструментом адміністрування, особливо у випадку, коли використання нових графічних адміністративних утиліт ще не стало автоматичним. Найбільш важливими є можливості перегляду носіїв ролей, перенесення робочих станцій і серверів між доменами і управління довірчими відносинами між доменами. Ця програма варта того, щоб її використовувати.
Утиліта командного рядка NTDSUtil.exe
Цю утиліту можна сміливо назвати NetDom extended, оскільки крім функцій утиліти NetDom.exe вона містить функції перерозподілу носіїв ролей FSMO. Ця програма дуже ефективна, але оцінити по достоїнству її зможуть лише ті, для кого командні рядка MS-DOS і UNIX shell до цих пір є улюбленими інструментами адміністрування мережі. Найбільшою перевагою цієї утиліти є те, що вона дозволяє переносити всі п'ять ролей. Це дуже важливо, оскільки завдання зміни носіїв ролей FSMO, виконана розглянутими нижче GUI-додатками, вимагає застосування двох утиліт.
Оснащення Active directory Users and Computers
Оснащення "являє собою подальший розвиток ідей, закладених в утиліти User Manager і Server Manager зі складу NT 4.0. Вона дозволяє повністю управляти доменом як на рівні користувачів і груп, так і на рівні розподілу ролей в рамках домену. Її використання дозволяє переміщати ролі PDC Emultor, Rid Master і Infrastructure Master з граничною простотою.
Оснащення Active Directory Domains and Trusts
Використання цієї оснащення дає можливість переміщати роль Domain Naming Master. Ідеологічно можна було б очікувати від даної оснащення та управління роллю Schema Master, однак ця функція надійно захована в надрах Windows 2003 Support Tools. Бажаючі поекспериментувати з налаштуваннями Schema Master повинні в ручному режимі додати snap-in управління схемою до консолі адміністрування. Перш ніж почати діяти, візьміть до відома, що всі зміни схеми незворотні!
Ролі FSMO і стабільність мережі Windows 2003
По роботі з мережею NT 4.0 ми пам'ятаємо, що вихід з ладу DHCP-, WINS-і DNS-серверів приводив до серйозних проблем при роботі з мережею. Однак за роки управління мережами NT 4.0 системні фахівці набули досвід, що дозволяє в мінімальні терміни відновити працездатність мережі. Всі нижческазане пропонується як інформація до роздумів на тему визначення вразливих місць мережі Windows 2003.
Унікальні ролі лісу
Як ми вже говорили, в рамках ліси існують дві унікальні ролі: Schema Master і Domain Naming Master. Як правило, носієм цих двох ролей є один фізичний сервер. Крім того, оскільки ці ролі досить статичні і будь-яка зміна в них має виходити від провідного системного фахівця, є розумним розмістити їх поблизу від мережевого департаменту.
1.3 Можливості Windows Server 2003
Schema Master
З усіх ролей FSMO ця роль створює найменше проблем у разі тимчасового обриву зв'язку. За великим рахунком, цей сервер потрібний тільки для внесення будь-яких змін у схему, що трапляється досить рідко. Однак для встановлення низки серверних додатків (наприклад, таких як Microsoft Exchange 2003) наявність цієї ролі в мережі обов'язково. За будь-яких модифікаціях схеми необхідно пам'ятати, що будь-яке її зміна є незворотнім. Тому, якщо ви не впевнені в правильності дій, передайте роль майстра схеми на контролер домену і ізолюйте його від решти мережі. Тоді всі зміни, які ви зробите в схемі, не поширяться відразу по лісу, а у вас буде можливість відновити status-quo.
Domain Naming Master
Це єдина роль рівня лісу, що має права на зміну об'єктів домену. Її участь є необхідним не тільки при створенні і імені домену в лісі, але й при операціях з перехресними посиланнями на зовнішні каталоги. У межах лісу лише один сервер може бути носієм даної ролі. Найбільш часто причиною неможливості скористатися утилітою DCPromo є недоступність сервера DNM. Носії ролей Domain Naming Master і Schema Master слід розміщувати на одному контролері домену. Після закінчення етапу впровадження та доопрацювання мережі ці ролі втратять свою споконвічно високу значимість. Тим не менш необхідно забезпечити гарантовано високу якість зв'язку між їх носіями і сервером глобального каталогу. Ідеальним варіантом буде їх розміщення на одному фізичному сервері, що висуває підвищені вимоги як до матеріальної частини цього комп'ютера, так і до якості його сполуки.
Унікальні ролі домену
PDC emulator
Недоступність носія цієї ролі тягне за собою максимум неприємностей як для користувачів, так і для служби технічної підтримки. Типовими ознаками його відмови є неможливість доступу до масиву облікових записів домену та налаштувань Group Policy. Таким чином, у разі виходу з ладу цього сервера вся робота домену може бути паралізована. У конференціях неодноразово висувалася пропозиція знизити роль цього сервера шляхом переведення домену в native-режим. Мотивується цей крок тим, що в однорідному домені потреба в PDC emulator відпадає. При цьому не враховується, що навіть після переведення домену в native-режим PDC Emulator як і раніше продовжує відпрацьовувати всі зміни паролів.
Крім того, не слід забувати, що ця роль здатна сильно знизити продуктивність контролера домену. Коли цей факт отримує підтвердження, слід перемістити роль PDC Emulator на інший сервер, що не несе на собі будь-яких додаткових ролей.
RID master
Ця роль досить специфічна. Як було сказано вище, її основна функція полягає у формуванні відносного ідентифікатора безпеки (RID, relative identifier), використовуваного операційною системою для формування нового об'єкта захисту. На сервері цій ролі є база з кількома мільйонами RID, унікальних в межах існуючого лісу. При створенні нового контролера домену RID Master виділяє йому деякий масив RID-ідентифікаторів, які можуть бути використані при створенні нових об'єктів захисту. Відповідно, якщо цей запас підійде до кінця і при цьому RID Master виявиться недоступний, то створення нових об'єктів захисту буде неможливо. У нашій пілотної мережі така відмова одного разу стався при збої зв'язку між контролером домену і сервером RID Master. При цьому робота в режимі без зв'язку з RID Master тривала майже тиждень, що дозволяє з тим або іншим ступенем впевненості встановити час реакції на відмову RID Master на 2-3 дні в залежності від інтенсивності створення нових об'єктів захисту.
Infrastructure master
Це сама «незрозуміла» роль мережі Windows 2003. І як тільки її не називають у конференціях - і сервер центральної захисту лісу, і головний сервер безпеки, контролюючий відбувається в лісі ... Насправді цей сервер відповідає за перетворення імен при Міждомена взаємодіях. Прикладом такої взаємодії може бути приєднання користувача з домену А до групи домену Б.
Важливою особливістю носія цієї ролі є те, що на одному фізичному сервері не можна розміщувати Infrastructure Master і сервер глобального каталогу. В іншому випадку через сусідство з глобальним каталогом IM завжди буде містити самі останні дані, не потребуючи в оновленні. У цьому випадку IM ніколи не отримає посилання на об'єкт, не обслуговується цим контролером домену. Отже, якщо не примусити IM шукати посилання на невідомий об'єкт, то він ніколи не буде оновлювати свою інформацію. Зрозуміло, в однодоменних режимі необхідність в IM мінімальна.
Мабуть, найбільшу складність у процесі міграції представляє усвідомлення необхідності того чи іншого сервера в рамках конкретної мережевої структури. На жаль, нерідкі випадки, коли системні адміністратори кидають всі сили на відновлення функціонування другорядного сервера, необхідність якого в їх мережі досить сумнівна.
1.4 «Інструменти» адміністрування в Windows Server 2003
1. Ролі Schema Master і Domain Naming Master слід розміщувати на одному комп'ютері. Причому на цьому ж фізичному сервері повинен бути розміщений сервер глобального каталогу. Якщо на ньому відбудеться відмову, то перехоплювати цю роль слід тільки у разі необхідності внесення будь-яких змін в схему або створення нового домену.
2. Роль PDC Emulator висуває підвищені вимоги до апаратного забезпечення сервера і є явним кандидатом на розміщення на окремому контролері домену. У випадку виходу його з ладу для нормального функціонування мережі необхідний перехоплення цієї ролі.
3. Роль Infrastructure Master повинна бути однією на домен, при цьому вона не повинна фізично розташовуватися на тому ж сервері, що і сервер глобального каталогу.
IIS 6.0
У складі Windows Server 2003 поширюється версія 6.0 служб Internet Information Services, архітектура якої істотно відрізняється від архітектури служб IIS 5.0, доступних у Windows 2003. Зокрема, для підвищення стабільності стало можливим ізолювати додатка один від одного в окремих процесах без зниження продуктивності. Також був створений новий драйвер HTTP.sys для обробки запитів по протоколу HTTP. Цей драйвер працює в режимі ядра, в результаті чого обробка запитів прискорюється.
Обмеження доступу
Встановлення та налаштування сервера виробляється на базі Windows 2003 Server. Використання в комп'ютерній системі контролера домену дозволить:
Забезпечити централізоване управління користувацькими станціями та іншими ресурсами
Управляти правами користувачів (обмеження прав користувачів на установку / використання програм)
Керувати доступом до інформації (обмеження доступу до папок і файлів)
Забезпечити стабільність роботи мережевих програм
Обмеження доступу за допомогою облікових записів
На контролері домену створюються облікові записи з індивідуальним паролем для кожного користувача. У кожного облікового запису права користувачів можуть бути налаштовані таким чином, щоб дати співробітникам необхідний рівень доступу для виконання посадових обов'язків. Доступ до папок і програм у цьому випадку обмежений і легко контролюється адміністратором. Доступ до папок і програм може бути закритий на розсуд адміністратора. Доменна структура дозволяє контролювати всіх без винятку користувачів, уникнути випадкового видалення важливих програм, небажаного доступу до папок і документів, централізовано керувати використанням інтернет трафіку. Крім обмеження доступу контролер домену забезпечує централізоване управління правами користувачів та робочими станціями, а також контролює стабільність роботи мережевих програм. Все це сприяє ефективному і безперебійному функціонуванню всіх мережевих програм і дозволяє контролювати активність користувачів в корпоративній мережі.
Безпека
За заявами Microsoft, у Windows Server 2003 велика увага була приділена безпеці системи. Зокрема, система тепер встановлюється в максимально обмеженому вигляді, без будь-яких додаткових служб, що зменшує поверхню атаки. У Windows Server 2003 також включений програмний міжмережевий екран Internet Connection Firewall. Згодом до системи був випущений пакет оновлень, який повністю зосереджений на підвищенні безпеки системи і містить декілька додаткових функцій для захисту від атак. Відповідно до американського стандарту безпеки Trusted Computer System Evaluation Criteria (TCSEC) система Windows Server 2003 відноситься до класу безпеки C2 - Controlled Access Protection
У Windows Server 2003 вперше з'явилася служба тіньового копіювання тому (англ. Volume Shadow Copy Service), яка автоматично зберігає старі версії файлів користувача, дозволяючи при необхідності повернутися до попередньої версії того чи іншого документа. Робота з тіньовими копіями можлива тільки при встановленому «клієнті тіньових копій» на ПК користувача, документи якого необхідно відновити.
Також у даній версії системи був розширений набір утиліт адміністрування, що викликаються з командного рядка, що спрощує автоматизацію управління системою.
Висновок
У цій роботі були розглянуті основні способи адміністрування ЛВС У якості ОС вибрана Windows Server 2003, так як вона має гнучкість, що дозволяє розширювати, звужувати або розподіляти серверні системи без шкоди для багатофункціональності та співвідношення ціна / швидкодія для платформи операційної системи.
Ця тема має важливе значення для подальшого розвитку підприємства. На сьогоднішній день розробка і впровадження локальних інформаційних систем є однією з найбільш цікавих і важливих завдань в галузі інформаційних технологій. З'являється потреба у використанні новітніх технологій передачі інформації. Інтенсивне використання інформаційних технологій вже зараз є найсильнішим аргументом у конкурентній боротьбі, що розгорнулася на світовому ринку.
.
Список літератури
http://ru.wikipedia.org
http://www.cyberguru.ru
http://www.winblog.ru
http://www.intuit.ru
http://dvoika.net