Серверы
DHCP, DNS и WINS Службы DNS и DHCP являются ключевыми сетевыми службами в
любой корпоративной сети, построенной на базе стека протоколов TCP/IP. Более того,
в среде Windows 2003 наличие службы DNS является одним из обязательных условий
развертывания службы каталога Active Directory.
Служба
DNS Служба доменных имен, Domain Name System, DNS, является одним из важнейших
компонентов сетевой инфраструктуры Windows 2003.
Возможности
DNS-сервера в Windows 2003 DNS-сервер, полностью соответствующий стандартам
RFC. Служба DNS базируется на открытых протоколах и полностью соответствует промышленным
стандартам (RFC).
Возможности
DNS-клиентов В составе Windows 2003 имеется служба DNS-клиента. DNS-клиент
осуществляет взаимодействие с DNS-сервером с целью разрешения доменных имен в
IP-адреса.
Структура DNS
Для правильного формирования пространства имен DNS администратор должен ясно понимать
структуру службы DNS, ее основные компоненты и механизмы. Для начала определимся
с используемой терминологией.
Пространство
имен DNS Основным компонентом пространства имен DNS являются домены (domain).
Домен рассматривается как группа сетевых хостов, объединенных по некоторому логическому
признаку. Домены соединяются друг с другом при помощи отношений "родитель-потомок",
образуя тем самым некоторую иерархию.
Схемы
запросов Рассмотрим процесс разрешения доменных имен в IP-адреса, определенный
в рамках спецификации службы DNS (RFC 1034 и RFC 1035). Процесс разрешения доменного
имени предполагает строго регламентированное взаимодействие DNS-клиента и цепочки
DNS-серверов.
Зоны Деление
доменного пространства имен между DNS-серверами осуществляется посредством механизма
зон (zone). Зона представляет собой базу данных, в которой содержатся записи о
соответствии некоторого множества доменных имен IP-адресам. Каждая зона представляет
собой фрагмент доменного пространства имен.
Ресурсные
записи Зона рассматривается как база данных, содержащая сведения об элементах
пространства имен DNS. База данных состоит из записей, которые, согласно терминологии
DNS, называются ресурсными записями (resource records)
Передача
зоны Процесс синхронизации всех копий зоны, распределенных между множеством
носителей, называется передачей зоны (transfer zone). Поскольку изменения могут
вноситься только в копии основного носителя, передача зоны всегда осуществляется
по направлению от основного носителя к дополнительному.
Методы
хранения зоны Этот метод хранения является традиционным и единственным, описанным
в спецификации службы DNS. Вся информация о содержимом зоны хранится в специальном
текстовом файле. Имя файла образуется из названия зоны, к которому добавляется
расширение dns
Упрощенные
зоны Упрощенная зона (stub zone) представляет собой копию зоны, содержащую
только те ресурсные записи, которые необходимы для локализации DNS-серверов, являющихся
носителями полной версии зоны.
Выборочное
перенаправление запросов Механизм выборочного перенаправления запросов (conditional
forwarding) позволяет осуществлять перенаправление пользовательских запросов на
другие DNS-серверы, основываясь на информации о доменном имени, включенном в запрос.
Обычный режим перенаправления (forwarding) предполагает перенаправление всех запросов
на определенный DNS-сервер или группу серверов. Фактически механизм выборочного
перенаправления позволяет выполнять на DNS-сервере сортировку запросов.
Динамическая
регистрация имен Стандартный механизм сопровождения зоны предполагает
создание администратором вручную статических ресурсных записей. Любое произведенное
изменение доменного имени хоста или его IP-адреса администратор должен синхронизировать
с базой данных службы DNS, вручную изменяя соответствующие записи
Безопасная
регистрация доменных имен Для зон, интегрированных в Active Directory, каждая
ресурсная запись представляет собой объект каталога. Для таких зон можно задействовать
механизм безопасной динамической регистрации (secure dynamic update).
Планирование
Перед использованием DNS в сети необходимо тщательно спланировать пространство
имен DNS. При этом нужно определить, как будет применяться служба DNS и какие
цели должны быть достигнуты в ходе ее развертывания.
Установка
DNS-сервера Можно также воспользоваться Мастером установки компонентов Windows'.
для этого необходимо открыть панель управления, запустить утилиту Add/Remove Programs
(Добавить/удалить приложения) и нажать кнопку Add/Remove Windows Component (Добавить/удалить
компоненты Windows).
Настройка
сервера После того как программное обеспечение DNS-сервера было установлено
на компьютер, необходимо выполнить его настройку. Фактически процедура начальной
настройки DNS-сервера сводится к созданию необходимых зон, которые будут использоваться
для хранения ресурсных записей.
Установка
первого DNS-сервера Приступая к развертыванию службы DNS в корпоративной сети,
администратор должен принять решение о том, будет ли служба DNS создана до установки
Active Directory, либо развертывание обеих этих служб будет проходить одновременно.
В первом случае необходимо помнить, что до тех пор, пока не установлена служба
каталога, вы сможете использовать только один метод хранения содержимого зоны
— в виде текстового файла
Данная глава посвящена рассмотрению основных коммуникационных
служб, реализованных в Windows 2003. В первую очередь разговор пойдет о службе
маршрутизации и удаленного доступа, позволяющей, в частности. внешним клиентам
подключаться к корпоративной сети и использовать ее ресурсы. Здесь же рассматриваются
организация виртуальных частных сетей, механизм трансляции сетевых адресов (NAT),
а также служба факсов и IP-телефония.
Удаленный
доступ В самом простом приближении под корпоративной сетью принято понимать
локальную сеть некоторой организации (или совокупность локальных сетей, соединенных
между собой некоторым образом). Однако современные условия ведения бизнеса вносят
свои поправки.
Служба
маршрутизации и удаленного доступа В Windows 2003 реализована Служба маршрутизации
и удаленного доступа (Routing and Remote Access Service, RRAS), позволяющая удаленным
пользователям подключаться к корпоративным вычислительным сетям. При этом подключение
может быть выполнено как по коммутируемой линии, так и через виртуальные частные
сети (Virtual Private Network, VPN).
Устройства
и порты службы удаленного доступа На сервере удаленного доступа под управлением
Windows 2003 установленное сетевое оборудование отображается в виде ряда устройств
и портов. Под устройством (devices) понимается аппаратное или программное обеспечение,
которое предоставляет службе удаленного доступа порты для установки соединений
"точка-точка".
Транспортные
протоколы и удаленный доступ При развертывании в корпоративной сети службы
удаленного доступа необходимо учитывать транспортные протоколы, используемые в
настоящий момент в локальной сети — это может повлиять на планирование, интеграцию
и настройку удаленного доступа
Стек
протоколов TCP/IP Стек протоколов TCP/IP — один из наиболее популярных транспортных
протоколов. Его возможности маршрутизации и масштабирования предоставляют максимальную
гибкость при организации корпоративной сети. Перед администратором имеются две
проблемы, связанных с использованием стека протоколов TCP/IP для реализации удаленного
доступа:
Стек протоколов
NWLink В принципе, клиенты удаленного доступа на базе Windows 2003 могут использовать
стек протоколов NWLink (IPX/SPX-совместимый стек протоколов) для доступа к ресурсам
Novell NetWare.
Стек
протоколов AppleTalk клиенты Apple Macintosh могут устанавливать соединение
с сервером удаленного доступа Windows 2003, используя специальный протокол удаленного
доступа ARAP из стека протоколов AppleTalk. При этом стек протоколов AppleTalk
используется в качестве транспорта
Протоколы
аутентификации пользователей С точки зрения информационной безопасности любой
удаленный пользователь должен быть аутентифицирован, прежде чем сможет получить
доступ к ресурсам. Аутентификация происходит непосредственно при попытке клиента
установить соединение с сервером удаленного доступа.
Протокол
RADIUS Протокол аутентификации Remote Authentication Dial-in User Service
(RADIUS) рассматривается как механизм аутентификации и авторизации удаленных пользователей
в условиях распределенной сетевой инфраструктуры, предоставляющий централизованные
услуги по проверке подлинности и учету для служб удаленного доступа.
Протокол
ЕАР (Extensible Authentication Protocol) представляет собой расширяемый механизм
аутентификации, позволяющий унифицировать процесс проверки подлинности пользователей,
предоставляя при этом участникам соединения возможность использования самых разнообразных
схем аутентификации.
Протокол
CHAP (Challenge Handshake Authentication Protocol) представляет собой механизм
проверки подлинности типа "запрос-ответ", использующий схему хэширования
MD-5 для необратимого преобразования пароля пользователя в уникальную последовательность
символов
Протоколы MS-CHAP
и MS-CHAP v2 (Microsoft Challenge Handshake Protocol) представляет собой реализацию
протокола CHAP, предложенную компанией Microsoft. В отличие от CHAP, для хэширования
паролей применяется алгоритм MD4. Существует две версии протокола MS-CHAP
Протокол
SPAP Протокол аутентификации SPAP (Shiva Password Authentication Protocol)
использует для шифрования паролей реверсивный механизм шифрования Shiva. В среде
Windows 2003 протокол SPAP может быть использован для организации соединений с
Shiva LAN Rover.
Протокол
РАР Протокол PAP (Password Authentication Protocol) использует пароли, передаваемые
открытым текстом, и является самым простым протоколом проверки подлинности пользователей.
Обычно соединение на его основе устанавливается, если клиент удаленного доступа
и сервер удаленного доступа не могут договориться о более безопасной форме проверки
подлинности.
Процедура
аутентификации удаленного доступа Аутентификация пользователей, подключающихся
к серверу удаленного доступа под управлением Windows 2003, выполняется по следующему
сценарию
Проверка
идентификатора звонящего абонента Активизировав режим проверки идентификатора
звонящего абонента (Caller ID), администратор может задать телефонный номер, с
которого определенному пользователю разрешено осуществлять удаленное подключение.
В процессе подключения информация о номере, с которого производится звонок, передается
серверу удаленного доступа.
Механизм
ответного вызова (callback) представляет собой альтернативу проверки идентификатора
звонящего абонента, позволяя серверу удаленного доступа убедиться в подлинности
абонента, устанавливающего соединение. Получив звонок от клиента, сервер разрывает
соединение ("вешая трубку") и осуществляет ответный вызов по номеру,
определенному звонящим пользователем или заданному администратором.