Текст книги "Самоучитель системного администратора"

Автор книги: Александр Кенин

сообщить о нарушении

Текущая страница: 9 (всего у книги 39 страниц) [доступный отрывок для чтения: 14 страниц]

кальной сети (например, по соображениям безопасности) достаточно широко ис-

пользуются виртуальные сети. А для того чтобы обеспечить доступ в такие сети,

администраторы должны уметь написать правильную таблицу маршрутизации для

соответствующей VLAN или создать список доступа – ACL (access control list),

в котором правила записываются аналогично правилам маршрутизации.

Автоматическое присвоение параметров IP-протокола

Как уже отмечалось, параметры IP-протокола индивидуальны для каждого компь-

ютера. Чтобы облегчить пользователям их назначение, были разработаны специ-

альные механизмы, позволяющие автоматизировать данный процесс.

Серверы DHCP

В локальных сетях администраторы устанавливают так называемый сервер DHCP

(Dynamic Host Configuration Protocol, динамический протокол конфигурации серве-

ра). Сервер DHCP автоматически сообщает компьютерам, начинающим работу в

составе сети, параметры настройки протокола TCP/IP: в первую очередь это IP-

адрес, маска адреса, шлюз. Причем администраторы могут с помощью сервера

DHCP сообщать клиенту различные настройки: адреса WINS– и DNS-серверов, сер-

веров времени, указывать расположение данных автоматической настройки про-

кси-клиентов и т. п.

ПРИМЕЧАНИЕ

На практике возможны различные варианты настройки DHCP. Так, автор неоднократ-

но на практике сталкивался с ситуацией, когда адреса клиентам назначались факти-

чески "по статике" (путем резервирования по МАС-адресам), а остальные параметры

TCP/IP-протокола определялись динамически.

84

Глава 3

Обычно IP-адрес от сервера DHCP выделяется компьютеру на определенный срок,

заданный в настройках сервера (поэтому его называют также динамическим

IP-адресом). Если компьютер не будет продолжать работу в данной сети, то этот

адрес может быть переназначен другому устройству.

При добавлении IP-протокола в операционную систему его настройки по умолча-

нию предусматривают автоматическое получение параметров. Если в сети есть на-

строенный DHCP-сервер, то от пользователя локального компьютера в этом случае

не потребуется никаких дополнительных действий по настройке TCP/IP-протокола.

Адресация APIPA

Для облегчения построения небольших сетей предусмотрена возможность само-

стоятельного назначения адресов. Если в сети нет сервера DHCP, а протокол IP ус-

тановлен с параметрами автоматического получения значений, то Windows присво-

ит сетевой плате адрес из диапазона от 169.254.0.1 по 169.254.255.254 (маска под-

сети 255.255.0.0), предварительно проверив, не используется ли уже такой адрес в

системе. Данный механизм позволяет применять IP-протокол в небольших сетях

при минимальных ручных настройках – компьютеры увидят друг друга в локаль-

ной сети. Естественно, что никаких дополнительных параметров настройки опера-

ционная система в этом случае не получает. Например, она не будет знать, куда по-

сылать запросы, чтобы получить данные с серверов Интернета. А если будет от-

ключен протокол NetBIOS поверх TCP/IP, то системы не смогут разрешить имена

других компьютеров сети и т. п.

ПРИМЕЧАНИЕ

Использование адреса из указанного ранее диапазона (проверяется командами

ipconfig или winipcfg) при наличии в сети сервера DHCP свидетельствует либо о

неисправности последнего, либо о проблемах кабельного подключения данного ком-

пьютера.

Назначение адресов при совместном использовании

подключения к Интернету

Особая ситуация возникает при настройке совместного использования подключе-

ния к Интернету. В этом случае тот компьютер, на котором создается данное под-

ключение, начинает выполнять роль сервера DHCP с единственным ограничением:

его адрес жестко фиксирован – 192.168.0.1. Клиенты, которые получают от дан-

ного сервера адреса из подсети 192.168.0.0/24, автоматически настраиваются на

использование его в качестве шлюза по умолчанию и сервера имен.

Поскольку вариант совместного использования подключения присутствует как на

серверных системах, так и на рабочих станциях, то такое решение является наибо-

лее оптимальным для небольших организаций. Настройте подключение к Интерне-

ту, включите его совместное использование – и вы получите у себя в сети кор-

ректное назначение параметров TCP/IP-протокола для компьютерных систем.

ПРИМЕЧАНИЕ

Из-за того, что в данной технологии используется один и тот же диапазон адресов,

организовать канал соединения двух таких локальных сетей невозможно.

Структура сети

85

Порт

При передаче данных кроме IP-адресов отправителя и получателя пакет информа-

ции содержит в себе номера портов. Порт – это некое число, которое использует-

ся при приеме и передаче данных для идентификации процесса (программы), кото-

рый должен обработать данные. Так, если пакет послан на 80-й порт, то это свиде-

тельствует, что информация предназначена серверу HTTP.

Номера портов с 1-го по 1023-й закреплены за конкретными программами (так на-

зываемые well-known-порты). Порты с номерами 1024—65535 могут быть исполь-

зованы в программах собственной разработки. При этом возможные конфликты

должны разрешаться самими программами путем выбора свободного порта. Иными

словами, порты будут распределяться динамически: возможно, что при следующем

старте программа выберет иное значение порта.

Знание того, какие порты используют те или иные прикладные программы, важно

при настройке брандмауэров. Часть настроек в таких программах для наиболее по-

пулярных протоколов предопределена, и вам достаточно только разре-

шить/запретить протоколы, руководствуясь их названиями. Однако в некоторых

случаях придется обращаться к технической документации, чтобы определить, ка-

кие порты необходимо "открыть", чтобы обеспечить прохождение пакетов данной

программы.

ПРИМЕЧАНИЕ

При настройке брандмауэра следует учитывать, что многие программы при подключе-

нии к Интернету открывают не один порт, а используют некоторый диапазон значений.

Один из возможных вариантов настройки брандмауэров для недокументированных

программ – это анализ их реального трафика с помощью какой-либо программы для

перехвата передаваемых по сети пакетов.

Увидеть, какие порты реально задействованы на компьютере, можно с по-

мощью команды netstat. В зависимости от версии операционной системы данная

команда имеет различный набор ключей, позволяющих детализировать отчет (на-

пример, указать программы или процессы, использующие конкретные порты).

В общем случае достаточно запустить команду netstat с ключом -а:

>netstat -a

Активные подключения

Имя Локальный адрес Внешний адрес Состояние

TCP sasha:http sasha.ask.ru:0 LISTENING

TCP sasha:epmap sasha.ask.ru:0 LISTENING

TCP sasha:https sasha.ask.ru:0 LISTENING

TCP sasha:microsoft-ds sasha.ask.ru:0 LISTENING

TCP sasha:1025 sasha.ask.ru:0 LISTENING

TCP sasha:1033 sasha.ask.ru:0 LISTENING

TCP sasha:1064 ack-isa2.ask.ru:8080 CLOSE_WAIT

TCP sasha:1067 ack-exchange.ask.ru:2703 ESTABLISHED

TCP sasha:1070 ack-exchange.ask.ru:1025 ESTABLISHED

TCP sasha:1078 ack-frw.ask.ru:8080 CLOSE_WAIT

86

Глава 3

UDP sasha:microsoft-ds *:*

UDP sasha:isakmp *:*

UDP sasha:1041 *:*

UDP sasha:1053 *:*

В данном примере на компьютере готовы к подключению несколько портов (со-

стояние LISTENING): это порты http, epmap и т. д. – номера портов можно отобра-

зить, если добавить ключ -n; порты 1067 и 1079 подключены (ESTABILISHED, про-

грамма показывает, с какой системой идет обмен данными); передача информации

с портов 1064 и 1078 завершена и система находится в состоянии закрытия соеди-

нения (CLOSE_WAIT) и т. д.

ПРИМЕЧАНИЕ

Для получения информации по удаленному компьютеру используются специальные

программы сканирования портов. Наиболее известный бесплатный продукт – nmap.

Данные по отдельному порту можно получить штатными средствами системы (напри-

мер, с помощью команды telnet или утилиты PortQry из состава Support Tools).

Обратите внимание, что хотя использование подобных программ не запрещено стан-

дартами, тем не менее многие системы оценивают сканирование портов как попытку

вторжения и блокируют источник на некоторый период времени.

Протокол ARP

Пакеты, пересылаемые в сети Ethernet, адресуются компьютерам не по их именам и

не на IP-адрес. Пакет предназначается устройству с конкретным MAC-адресом.

MAC-адрес – это уникальный адрес сетевого устройства, который заложен в него

изготовителем оборудования. Первая половина MAC-адреса представляет собой

идентификатор изготовителя, вторая – уникальный номер данного устройства.

ПРИМЕЧАНИЕ

MAC-адрес часто используется для идентификации систем, например, при создании

фильтров допуска в Интернет. Однако следует знать, что этот способ не является

полностью надежным: хотя MAC-адрес должен быть уникальным и является неотъем-

лемой характеристикой устройства, существуют способы его изменения. Например,

в новых операционных системах его можно сменить даже через штатные свойства се-

тевого адаптера, поэтому хакеру для обхода такого фильтра доступа достаточно вы-

вести из строя действующую систему (или выбрать момент ее выключения) и продол-

жить работу от ее адреса.

Для получения MAC-адреса используется протокол ARP (Address Resolution

Protocol, протокол разрешения адресов). В системе имеется специальная утилита,

которая позволяет отобразить кэш известных данному компьютеру MAC-ад-

ресов – arp.

Утилита arp может быть использована, например, при создании резервированных

адресов DHCP-сервера. Для такой настройки администратору необходимо ввести

MAC-адрес соответствующей системы. Чтобы его узнать, достаточно выполнить

команду ping на имя данной системы, после чего просмотреть кэш ARP (командой

arp -a) и скопировать значение MAC-адреса в настройки DHCP.

Структура сети

87

Имена компьютеров в сети TCP/IP

Человеку удобнее работать с именем компьютера, чем запоминать цифры, состав-

ляющие его IP-адрес. В сети на основе протокола TCP/IP компьютеры могут иметь

два имени: это NetBIOS-имя компьютера и имя хоста (DNS-имя). Обычно имя хос-

та и NetBIOS-имя совпадают, и к этому следует стремиться. Но принципиально эти

имена могут быть разными. Например, длина NetBIOS-имени ограничена 15 сим-

волами, а хосту может быть присвоено более длинное название. Или, если при соз-

дании домена вы пытаетесь дать ему имя, совпадающее с именем будущего кон-

троллера, то программа установки предложит выбрать другое имя данному хосту.

Имя хоста составляется из нескольких имен, разделяемых при написании точкой,

например, так: www.ask.ru. Первая слева группа символов (до точки), в данном

примере это www, является собственным именем компьютера. Следующая группа

символов – от точки до точки – это имя группы компьютеров, которой принад-

лежит данная система. Следующая группа символов – имя группы компьютеров,

которой в свою очередь принадлежат группы компьютеров, имена которых нахо-

дятся левее. Данную цепочку можно продолжать сколь угодно долго. Для удобства

обычно ограничиваются тремя-четырьмя группами символов.

На практике под именем домена понимают всю группу символов справа от полного

имени компьютера. В зависимости от того, сколько групп символов входит в до-

менное имя, различают домены первого, второго, третьего и т. д. уровней.

ПРИМЕЧАНИЕ

При создании нового домена Windows не следует давать ему имя домена первого

уровня. В этом случае действуют некоторые ограничения, с которыми можно ознако-

миться в базе данных Microsoft. Целесообразно дать домену Windows имя вида <на-

звание_организации> .local.

Самая правая группа символов имени (до первой точки) называется доменом перво-

го уровня, вторая справа – доменом второго уровня, затем следует домен третье-

го уровня и т. д.

ПРИМЕЧАНИЕ

Иногда употребляют термин FQDN – fully qualified domain name (обычно эту аббре-

виатуру употребляют без перевода; русский термин звучит как полное имя узла). Под

FQDN понимают полную цепочку имен системы: от имени хоста до имени корневого

домена. Чтобы подчеркнуть, что имеется в виду полное имя, в конце его ставят точку,

которую принято считать именем корневого домена. Например, FQDN для Web-сайта

будет писаться следующим образом: www.ask.ru. (последняя точка включается в

имя).

Имена хостов внутри широковещательного домена Windows должны быть уни-

кальны. При попытке запуска системы, имеющей такое же имя, как и у другого ра-

ботающего компьютера, вы получите сообщение об ошибке.

Доменные имена Интернета

В Интернете за уникальностью присваиваемых имен следит организация (физиче-

ское лицо), отвечающая за домен, в рамках которого выдается имя. При присвоении

88

Глава 3

имен используется принцип: если данное доменное имя свободно, то его можно

получить. Приобретение доменного имени – это платная услуга, кроме того, необ-

ходимо ежегодно продлевать действие имени. "Отобрать" выданное доменное имя

практически невозможно.

Такой способ гарантирует уникальность полного доменного имени компьютера и в

то же время требует проверки на уникальность желаемого имени только в одном

месте.

Организации и физические лица, регистрирующие для себя доменные имена, обыч-

но стараются создать такое доменное имя, которое легко запоминается пользовате-

лем, при этом часто используется юридическое название. Сравните: Белый дом

(США) – whitehouse.gov, корпорация Microsoft – microsoft.com, и т. д.

Существуют два направления создания доменных имен. Одно – по географиче-

скому принципу (каждая страна имеет свой домен первого уровня, в рамках кото-

рого создаются все имена компьютеров), второе – по типу деятельности организа-

ции. В России "географические" домены имеют имена ru и рф (последний – для

названий домена на кириллице). Сохранился также домен su, закрепленный ранее

за СССР.

Функции технического сопровождения системы регистрации и DNS-серверов зоны

ru осуществляет Российский НИИ развития общественных сетей (РосНИИРОС). Со

списком организаций, осуществляющих регистрацию в домене ru, можно ознако-

миться на странице http://www.ripn.net:8080/nic/dns/registry-all/reg_list.html.

Второе направление – это присвоение имени на основе типа деятельности. Среди

подобных имен наиболее известен домен com для коммерческих организаций. Дру-

гие популярные домены – это edu (учебные организации), gov (правительствен-

ные), net (сетевые ресурсы), org (некоммерческие организации), info и т. п.

В настоящее время список доменов "по типу деятельности" существенно расширен,

в том числе введено много доменов, в которых можно бесплатно зарегистрировать

имя для общественных проектов.

Соотношение доменных имен и IP-адресов компьютеров

Каждый компьютер в глобальной сети должен иметь уникальный IP-адрес. Без на-

личия такого адреса работа просто невозможна. Наличие доменного имени для

работы не обязательно. При необходимости в строках адреса программ, предназна-

ченных для работы в Интернете, можно набирать IP-адрес.

Доменное имя может существовать, но не иметь IP-адреса (естественно, работа с

такими узлами невозможна). Такая ситуация может возникнуть, если, например,

организация заранее зарегистрировала за собой доменное имя, но не располагает в

настоящий момент какими-либо ресурсами в сети Интернет. В этом случае говорят,

что домен не делегирован.

Одно доменное имя может иметь несколько IP-адресов. Обычно это практикуется

на популярных узлах Интернета, что позволяет с помощью специальных решений

распределить нагрузку с одного компьютера на несколько. Аналогично несколько

Структура сети

89

доменных имен могут соответствовать одному IP-адресу (например, при размеще-

нии на компьютере нескольких веб-серверов, соответствующих различным органи-

зациям).

IP-адреса, соответствующие данному доменному имени, могут меняться. Напри-

мер, организация переезжает или меняет интернет-провайдера. Сохранение "за со-

бой" доменного имени позволяет не беспокоиться, что в подобных случаях придет-

ся нести затраты на "раскрутку" нового имени.

Серверы доменных имен (DNS)

NetBIOS-имя компьютера определяется при установке операционной системы. По

умолчанию это же имя будет использовано в качестве имени хоста при получении

IP-адреса, хотя в Windows можно назначить разные имена NetBIOS и DNS.

Для поиска компьютера в локальной сети по имени ранее использовались широко-

вещательные запросы: система рассылает запрос на определение имени всем стан-

циям и ждет ответа. Увеличение размеров сети заставляет отказаться от данного

метода, поскольку он приводит к значительному росту подобного широковеща-

тельного трафика. В распределенных сетях на основе протокола TCP/IP для разре-

шения имен используются специальные серверы – DNS-серверы (Domain Name

System).

Серверы DNS обеспечивают получение доменного имени по запросу на основе IP-

адреса, и наоборот. Поэтому указание адреса сервера DNS является одной из

основных настроек протокола TCP/IP, необходимых для работы в Интернете. Если

в настройках не указан IP-адрес сервера DNS, то пользователь не сможет полно-

ценно работать в Интернете, поскольку ему будет не доступен переход по ссылкам,

в которых использовано доменное имя, а это практически все ссылки на информа-

ционных серверах.

Адрес сервера DNS обычно сообщается автоматически при инициализации прото-

кола IP. Имена серверов DNS сообщаются DHCP-серверами. Обычно указывается

несколько DNS-серверов, чтобы система могла использовать второй сервер при

временной недоступности первичного DNS.

WINS

Служба регистрации имен в сети Windows (Windows Internet Naming Service, WINS)

использовалась для регистрации сетевых имен компьютеров в локальных сетях до

Windows 2000. Служба WINS позволяла корректно разрешать имена в сетях с на-

личием маршрутизаторов. Маршрутизаторы не пропускают широковещательные

пакеты, поэтому сегменты локальной сети оказываются изолированными друг от

друга при операциях просмотра без использования WINS.

ПРИМЕЧАНИЕ

Хотя в настоящее время WINS-сервер в локальных сетях необходим станциям на базе

Windows 3.1/9 x/NT, однако и часть современных служб использует NetBIOS. Поэтому

целесообразно сохранить WINS в составе локальной сети.

90

Глава 3

При начале работы в сети компьютер "сообщает" серверу WINS свое имя и

IP-адрес. Эти параметры заносятся в специальную базу и используются для поиска

имени компьютера на основе его адреса, и наоборот. Поэтому, чтобы узнать имя

компьютера в локальной сети (или его адрес), достаточно сформировать запрос

к WINS.

Адрес WINS обычно автоматически сообщается клиентам с помощью DHCP-

сервера при получении параметров TCP/IP.

Статическое задание имен

В небольшой локальной сети для задания соответствия "IP-адрес – сетевое имя"

можно использовать статические записи, формируемые вручную. Это позволяет

обеспечить функционирование сети без использования серверов WINS, DHCP

и т. п.

Если Windows не может динамически определить имена (IP-адреса) хостов, то сис-

тема использует содержимое файлов hosts, networks и lmhosts. Первые два файла

представляют обычный список соотношений "IP-адрес – имя" в прямом и обрат-

ном порядке:

 файл hosts:

...

195.12.156.31 ads.adximize.com

63.120.34.76 c3.xxxcouter.it

 файл networks:

...

ads.adximize.com 195.12.156.31

c3.xxxcouter.it 63.120.34.76

...

Файл lmhosts совместим с Microsoft LAN Manager 2. x и используется для загрузки

специальных NetBIOS-имен (указания сервера домена, серверов приложений

и т. п.). Файлы находятся в папке %systemroot%/system32/drivers/etc. При установке

системы обычно создаются примеры (имеют расширение sam), по образцу которых

и следует редактировать необходимые файлы.

Изменять файлы можно в любом текстовом редакторе, однако для этого необходи-

мы права администратора. Запись должна начинаться с первой позиции строки, а

столбцы могут отделяться любым числом пробелов. Операция трудоемкая, особен-

но при добавлении в сеть новых компьютеров, поскольку это потребует внесения

изменений в данные файлы для всех уже имеющихся в сети систем.

Последовательность разрешения имен

На практике вы можете столкнуться с тем, что часть систем "видит" одно число

компьютеров в сети, а другая – иное. Одни компьютеры успешно работают в сети,

а на других отображается сообщение, что вход в сеть не может быть осуществлен,

т. к. система не находит контроллер домена. Эти ситуации обусловлены различны-

ми используемыми методами разрешения имен.

Структура сети

91

Разрешение имен применяется для того, чтобы найти компьютер (определить

IP-адрес) по его имени и получить информацию о сетевых службах, например, уз-

нать адреса контроллеров домена.

Основное отличие методов разрешения имен различных версий Windows состоит

в том, что системы до Windows 2000 использовали для разрешения имен NetBIOS, а

Windows 2000 и старше (Windows 200 х/XP/7) нуждаются в информации DNS.

При необходимости разрешения имени сначала предпринимается попытка его по-

иска в локальных ресурсах. Прежде всего, это локальный кэш имен, который для

увеличения производительности создают все системы (кэш имен NetBIOS или кэш

имен DNS). Если нужное имя компьютера не найдено, то система пытается найти

его в host-файлах. Если и эта попытка неудачна, то системы с ОС Windows 2000 и

старше обращаются к серверу DNS, определенному в параметрах настройки прото-

кола TCP/IP их сетевого адаптера. Если сервер DNS недоступен или не смог вер-

нуть имя, то на этом попытки прекращаются и сообщается, что имя не найдено.

Системы Windows NT 4.0 в зависимости от параметров настройки NetBIOS либо

рассылают широковещательные запросы на определение имени, либо обращаются

к серверу WINS. Информация DNS используется только в том случае, если это явно

указано в настройках сетевого адаптера.

С помощью DNS системы на базе Windows 200 х/XP/7 находят и расположение

служб. Например, адрес контроллера домена может быть узнан по имени

_ldap._tcp.dc._msdcs. < имя_домена > , адрес службы Gatekeeper (используется при

передаче IP-телефонии, видеоконференций и т. п. по каналам связи) определяется

по результатам запроса на имя Q931._tcp.<имя_домена> и т. д.

При использовании NetBIOS-станции, регистрируясь в сети, сообщают свое имя и

имена служб, которые на них запущены. Эти имена можно просмотреть, например,

при помощи команды nbtstat –a <имя_компьютера>. В результате будет отображена

приблизительно такая информация:

>nbtstat -a test

Internal:

Адрес IP узла: [192.168.0.29] Код области: []

Таблица NetBIOS-имен удаленных компьютеров

Имя Тип Состояние

–

TEST <00> Уникальный Зарегистрирован

ACK <1C> Группа Зарегистрирован

ACK <00> Группа Зарегистрирован

TEST <20> Уникальный Зарегистрирован

ACK <1B> Уникальный Зарегистрирован

ACK <1E> Группа Зарегистрирован

ACK <1D> Уникальный Зарегистрирован

__MSBROWSE__. <01> Группа Зарегистрирован

MP_ACK <1A> Уникальный Зарегистрирован

Адрес платы (MAC) = 00-02-B3-4F-F9-E9

92

Глава 3

В нашем примере компьютер TEST зарегистрировал имя рабочей станции TEST

(первая строка). Типы служб, соответствующих сообщаемым командой кодам,

можно посмотреть, например, по адресу http://www.microsoft.com/technet/

prodtechnol/winntas/support/ sur_apph.mspx. Запись ACK <1C> свидетельствует

о том, что этот компьютер является контроллером домена ACK, ACK <00> – это имя

домена компьютера, TEST <20> свидетельствует о том, что на компьютере запущена

служба сервер. Строка ACK <1B> говорит о том, что компьютер является мастер-

просмотрщиком сети и т. п.

Эти имена сохраняются на компьютерах, выполняющих роли просмотра сети, а

также на сервере WINS, с которых они могут быть получены по запросам клиентов.

Настройка серверов WINS, DHCP, DNS

Службы серверов WINS, DHCP, DNS должны быть установлены на компьютер со

статическим IP-адресом.

Установка и настройка WINS

Установка WINS крайне проста: достаточно указать эту службу в составе устанав-

ливаемых компонентов Windows Server. Какой-либо последующей специальной

настройки служба WINS не требует. Вам необходимо при "раздаче" клиентам на-

строек протокола TCP/IP указать только адрес сервера со службой WINS, после че-

го системы при старте автоматически будут регистрироваться в базе WINS.

В случае необходимости (она возникает крайне редко) соответствующие записи

можно занести вручную, если воспользоваться консолью управления WINS (стати-

ческие записи).

Если в системе установлено несколько WINS-серверов, то необходимо настроить

синхронизацию их баз данных. Для этого на каждом WINS-сервере следует указать

адрес другого WINS-сервера, с которым нужно проводить синхронизацию данных.

ПРИМЕЧАНИЕ

Если маршрутизаторы сети пропускают широковещательные сообщения, серверы

WINS можно настроить на автоматическое обнаружение партнеров по синхронизации.

Для этого достаточно отметить соответствующую опцию на вкладке дополнительных

свойств настройки WINS.

WINS-прокси

Компьютеры используют данные базы WINS только в том случае, если соответст-

вующие настройки определены в их параметрах TCP/IP-протокола. Если вы хотите,

чтобы все NetBIOS-компьютеры сети могли воспользоваться WINS для разрешения

имен, то следует создать в каждом сегменте сети WINS-прокси.

Компьютеры, не использующие WINS, для разрешения имен рассылают широко-

вещательные пакеты. WINS-прокси, обнаружив такой пакет, пытается разрешить

имя в своем кэше и при неудаче передает запрос на тот WINS-сервер, который за-

регистрирован для данной системы. Если сервер WINS возвращает имя, то WINS-

Структура сети

93

прокси передает эти данные той системе, которая отправила широковещательный

запрос.

Для включения режима прокси необходимо установить в 1 параметр EnableProxy

в разделе HKLMSystemCurrentControlSetServicesNetBTParameters реестра ком-

пьютера, который предполагается использовать в роли WINS-прокси.

Настройка DHCP

Использование DHCP-сервера требует от администратора обязательного определе-

ния ряда параметров. Для установки службы достаточно отметить ее в перечне па-

раметров Windows Server, но после установки необходимо выполнить (в Windows

2008 Server указанные шаги предлагает выполнить мастер установки роли) как ми-

нимум следующие действия:

 создать и настроить зону;

 авторизовать DHCP-сервер.

ПРИМЕЧАНИЕ

При наличии в сети двух DHCP-серверов клиент "возьмет" настройки IP-протокола от

того сервера, ответ от которого будет получен первым (см. разд. "Порядок получения

IP-адресов клиентами DHCP" далее в этой главе).

Создание и настройка зоны

Сервер начнет раздавать адреса только после того, как вы зададите диапазон этих

адресов и определите необходимые параметры протокола. Делается это путем соз-

дания новой области (scope).

ПРИМЕЧАНИЕ

Название области может быть задано произвольно; диапазон адресов менять в про-

цессе работы допустимо, но значение маски подсети, определенное при создании об-

ласти, изменить невозможно. Можно только удалить область и создать новую с иным

значением.

Для области необходимо определить, как минимум, диапазон распределяемых ад-

ресов, маску сети и указать срок аренды IP-адреса. Внутри диапазона адресов неко-

торые адреса можно исключать (например, если вы предполагаете задать их стати-

чески). Срок аренды выбирается исходя из особенностей вашей сети. При малом

числе компьютеров он может быть существенно увеличен по сравнению со значе-

нием по умолчанию в 8 суток (вплоть до неограниченного значения).

Желательно в параметрах DHCP-сервера указать, чтобы он проверял IP-адрес перед

его выдачей клиенту. Это позволит предупредить конфликты, возникающие при

самостоятельном присваивании IP-адресов у клиентов, а также облегчит ситуацию

восстановления сервера (например, после полной очистки его баз).

ПРИМЕЧАНИЕ

Если в сети предприятия есть компьютеры с операционной системой до Win-

dows 2000, то целесообразно установить в настройках DHCP обязательную регистра-

цию выдаваемого адреса на сервере DNS независимо от того, установлена данная

опция у клиента или нет.

94

Глава 3

Авторизация DHCP-сервера

DHCP-серверы на операционных системах Windows 200 х, работающих в составе

домена Windows, должны быть авторизованы. Если DHCP-сервер не авторизован в

службе каталогов, то он не будет выдавать IP-адреса. Чтобы авторизовать сервер,

пользователю с правами администратора предприятия необходимо в меню консоли

управления DHCP-сервером выбрать пункт Авторизовать сервер. Индикатор, сви-

детельствующий об авторизации сервера, выдает статус с некоторой (обычно до

5 мин) задержкой. Поэтому после авторизации сервера следует выдержать незначи-

тельный промежуток времени и открыть консоль управления снова, чтобы убе-

диться в полной работоспособности сервера.

Если в вашей сети установлен DHCP-сервер на другой операционной системе, на-

пример на платформе Windows NT 4.0 Server или на Linux, то он будет обслужи-

вать клиентов независимо от авторизации в службе каталогов.

Настройка параметров области

Для полноценной работы в составе компьютерной сети обычно недостаточно полу-

чения только IP-адреса и маски сети. Так, клиентам минимально необходимы адре-

са DNS-серверов и адрес шлюза. Кроме того, могут понадобиться DNS-суффикс

существующей сети, адрес WINS-сервера, адрес автоматической конфигурации

прокси для доступа в Интернет и т. п. Все эти параметры могут сообщаться DHCP-

сервером.

Для этого необходимо определить опции области.

ПРИМЕЧАНИЕ

В последних версиях операционных систем мастер создания области автоматически

предлагает заполнить основные параметры. При этом могут быть определены

как параметры всего сервера, так и параметры области. Обратите внимание, что в

случае конфликта параметров клиентам будут сообщаться параметры не сервера,

а области.

Вы можете определить любые параметры области (как минимум, необходимо ука-

зать те величины, которые запрашиваются мастером создания новой зоны), а при

необходимости – и создать собственные. Описание дополнительных параметров

обычно включаются в документацию прикладного программного обеспечения, ко-

торому необходимы дополнительные настройки DHCP.

Резервирование адресов

DHCP-сервер можно настроить так, чтобы он выдавал клиентам не случайный, а

заранее определенный адрес.

ПРИМЕЧАНИЕ

Автор достаточно часто сталкивался с ситуацией, когда все адреса в локальной сети

раздавались на основе резервирования. Администраторы осуществляли такую стати-

ческую настройку адресов для того, чтобы сочетать закрепление адресов, свойствен-

ное статическому распределению, с возможностью легкой смены таких параметров,

как адрес DNS-сервера.

Структура сети

95

Чтобы настроить резервирование адреса, необходимо знать MAC-адрес сетевого

адаптера соответствующего клиента, причем для новых сетевых адаптеров MAC-