от Dan DiNicolo

Добро пожаловать в девятую статью моей серии. В сегодняшней статье мы рассмотрим Сетевые службы Сервера Windows 2000. Мы рассмотрим компоненты, которые дают доступ к сетям NetWare, а также работу таких служб, как DHCP и DNS в среде Windows 2000. Эти темы тесно связаны с материалами экзамена 70-215. Заметьте, что этот материал будет рассмотрен намного глубже (особенно в отношении служб DNS и DHCP), когда мы начнем изучать сетевые службы в статьях, посвященных экзамену 70-216.

В сегодняшней статье мы рассмотрим:

- Взаимодействие с сетями NetWare в Windows 2000

- Протокол NWLink

- Client Service for NetWare (Служба клиента для NetWare)

- Gateway Services for NetWare (Служба шлюза для NetWare)

- Введение в Windows 2000 DHCP

- Введение в Windows 2000 DNS

Взаимодействие с сетями NetWare в Windows 2000

Windows 2000 продолжает поддерживать некоторые элементы, позволяющие соединяться с сетями NetWare, известными вам по Windows NT 4. Три главные из них – это NWLink, Служба клиента для NetWare (CSNW) и, наконец, Служба шлюза для NetWare (GSNW). Остановимся на них подробнее.

NWLink

NWLink – это Microsoft-версия транспортного протокола IPX/SPX фирмы Novell, собственного протокола OS NetWare до 5 версии. Так как IPX/SPX продолжает работать в сетях многих корпораций, важно знать, как Windows 2000 взаимодействует с системами, работающими по протоколу IPX/SPX. Протокол NWLink настраивается в Windows 2000 через выбор этого протокола на вкладке Properties объекта Соединение, такого как, например, Локальное соединение.

Как только протокол будет добавлен, его свойства могут быть настроены. Заметьте, что добавление протокола NWLink к системе, делает ее способной взаимодействовать с другими компьютерами, на которых настроен протокол IPX/SPX или NWLink. Это еще не означает, что компьютер сможет получить доступ к файловой системе на другой IPX-системе. Такой уровень доступа требует установки соответствующего клиентского редиректора (перенаправителя) и мы обсудим этот вопрос позже.

Если протокол NWLink установлен, имеет смысл назначить соответствующий порядок привязки протоколов для того, чтобы быть уверенным, что он оптимален для вашей сети. Например, если TCP/IP значится первым в перечне протоколов, а NWLink вторым, то клиент будет всегда пытаться установить соединение сначала по протоколу TCP/IP, а затем, в случае неудачи, по протоколу NWLink. Если же IPX/SPX главный протокол в вашей сети, то такой порядок установки соединения окажется неправильным и породит ненужный сетевой трафик. Порядок привязки сетевых протоколов устанавливается на вкладке Advanced Settings из меню Advanced окна Network and Dial-up Connections. Порядок привязки контролируется по каждому сетевому адаптеру, а затем по каждому клиенту или службе и может быть изменен при помощи стрелок «вверх» и «вниз», расположенных на вкладке справа. Пример порядка привязки для Клиента Microsoft для Локального Соединения показан ниже:

Настраиваемые элементы для протокола NWLink - это frame type (тип используемых пакетов), network number (номер сети) и internal network number (внутренний номер сети).

Тип пакетов: этот элемент определяет формат, в котором пакеты посылаются. Необходимость определять тип пакетов заключается в том, что различные версии NetWare могут использовать различные типы пакетов, которые могут не взаимодействовать друг с другом. По умолчанию, Windows 2000 настроена на автоматическое определение типа пакетов, используемых в сети. Однако, это позволяет настроить использование только первого типа пакетов, который будет получен системой. Если ваша сеть NetWare использует несколько типов пакетов, то ваша система Windows 2000 не сможет взаимодействовать со всеми компьютерами в сети до тех пор, пока вы вручную не настроите использование всех видов пакетов сети. Например, NetWare 3.11 использует тип пакетов 802.3, как стандартный тип, а NetWare 3.12 и выше – тип 802.2 по умолчанию. Для настройки типа пакетов вручную необходимо выбрать опцию “Manual frame type detection” (ручная настройка типа пакетов) в свойствах протокола NetWare, как показано ниже.

Номер сети: номер сети NWLink (также иногда называемый номером внешней сети) очень схож с частью IP-адреса, определяющей сеть или подсеть. Это также 32-х битное число, только в восьмизначном шестнадцатеричном представлении. Номер сети должен быть одинаковым, для того, чтобы компьютеры на одном сегменте сети использовали один тип пакета для взаимодействия. Номер сети также настраивается как часть свойств типа пакета, как показано ниже:

Номер внутренний сети: номер внутренней сети используется для целей внутренней маршрутизации, для достижения наиболее эффективного доступа к программам и службам (например, для использования Service Advertising Protocol, SAP), запущенным на сервере, использующем протокол IPX. По умолчанию, этот номер состоит из одних 0 (это также шестнадцатеричное число) и остается таким, до тех пор пока система использует приложения, основанные на протоколе SAP, File and Print Services for NetWare (служба доступа к файлам и принтерам для сетей NetWare), или действует как IPX-маршрутизатор, на базе RRAS. Номер внутренней сети также настраивается в свойствах протокола NWLink, как показано ниже.

Служба шлюза (и клиента) для сетей NetWare

Часто упоминаемая по ее акрониму CSNW, служба клиента для сетей NetWare, это клиентский редиректор (перенаправитель), который позволяет компьютерам Windows 2000 подключаться и аутентифицироваться на NetWare-серверах и использовать их файловые системы. CSNW должна быть установлена, если клиенту необходим постоянный доступ к серверам файлов и печати NetWare. Обычно CSNW не устанавливается в дополнение к «родным» клиентам Novell для NetWare, которые поставляются вместе с продуктами NetWare. Установка CSNW осуществляется при выборе опции install a Client в свойствах объекта Соединение, как показано ниже:

Стоит упомянуть, что установка CSNW на Windows 2000 сервер осуществляется как часть установки службы шлюза для сетей NetWare – GSNW. При установке GSNW также автоматически устанавливается протокол NWLink, если до этого он еще не был установлен на компьютере. На системах с Windows 2000 Professional протокол NWLink устанавливается вместе с установкой CSNW.

Настройка элементов клиента и шлюза осуществляется через программу CSNW в Control Panel. Настройка включает в себя выбор либо основного сервера (в средах NetWare с системной базой данных) или в дереве и контексте по умолчанию (в средах на основе NDS (службы Novell Directory Services)).

Служба шлюза для NetWare может применяться в средах, в которых клиенту не требуется частый доступ к серверам NetWare. GSNW дает возможность серверу Windows 2000 действовать как шлюз (или точка доступа) к ресурсам, расположенным на серверах NetWare. Использование GSNW позволяет вам избежать установки службы СSNW и протокола NWLink на каждый клиентский компьютер. Вместо этого, клиент получает доступ к общему ресурсу на сервере Windows 2000 с установленной службой GSNW, что, в свою очередь, позволяет им получить доступ к файлам и папкам на соответствующем сервере NetWare. Для настройки сервера Windows 2000 как шлюза, учетная запись шлюза должна быть установлена с использованием программы GSNW из Control Panel, как показано ниже:

Используемая учетная запись должна существовать на сервере NetWare и должна являться членом группы, создаваемой на сервере NetWare и называемой NTGATEWAY. Вы должны также быть уверены, что группа NTGATEWAY имеет соответствующие права доступа к ресурсам на сервере NetWare. Когда такая учетная запись будет создана, один или несколько общих ресурсов могут быть созданы для доступа к серверу NetWare, как показано ниже:

В этом примере, когда пользователи получают доступ к ресурсу, названному «netware» на сервере Windows 2000 они на самом деле получают доступ к папке «resources» на NetWare сервере NW1.

Введение в Windows 2000 DHCP

Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста) является базовой сетевой службой, предлагаемой Windows 2000 для динамического распределения IP-адресов и связанной с ними информации клиентам, использующим TCP/IP. Хотя функции, выполняемые DHCP в Windows 2000 во многом похожи на те, что были в Windows NT, некоторое количество несущественных отличий, о которых вы должны знать, все же присутствует. Снова замечу, что данный раздел обозначен как введение в DHCP и описывает только основы, необходимые для экзамена 70-215. Более детальное описание DHCP и его настройки будут рассмотрены в статьях, посвященных Windows 2000 Networking (экзамен 70-216).

Служба сервера DHCP устанавливается автоматически на сервер Windows 2000, но не является сконфигурированной (и даже может быть отключена) без дополнительной настройки. Она может быть удалена и добавлена в случае необходимости, посредством использования вкладки Add/Remove Windows Components программы Add/Remove Programs в Control Panel (в разделе Networking Services). После установки, сервер DHCP настраивается при помощи оснастки DHCP ММС, которая находится в Administrative Tools. Если сервер Windows 2000 является частью рабочей группы или домена, основанного на Windows 2000, то сервер DHCP будет запущен по умолчанию, но вам необходимо будет вручную настроить области используемых IP-адресов для распределения их службой DHCP (подробнее об этом чуть позже). Если DHCP установлена на систему, являющуюся частью домена Windows 2000, то служба DHCP не сможет быть запущена до тех пор, пока сервер DHCP не будет авторизован в Active Directory. Авторизация сервера DHCP в Active Directory может быть осуществлена только членом группы Enterprise Admins. Эта особенность используется как контрольный механизм, позволяющий избежать такой проблемы, как установка незарегистрированных серверов DHCP (пользователями с административными привилегиями), могущих создать проблемы с настройкой TCP/IP сетей (так как клиент получает IP-адрес от первого же сервера DHCP, который отвечает на его запрос). В Active Directory домене (Windows 2000), только авторизованные Windows 2000 сервера DHCP могут выполнять распределение IP-адресов.

Заметьте, что это работает только в Windows 2000. Windows NT 4.0 сервер DHCP может (и будет) распределять адреса и не попадет под действие авторизации. Однако если другой администратор попытается установить Windows 2000 сервер DHCP и запустить службу без предварительной авторизации, то сервер осуществит запрос AD и не запустит службу, если не найдет подтверждения ее авторизации в сети. Заметьте, что неавторизованный сервер DHCP появляется в консоли DHCP с указывающей вниз красной стрелкой (которая может обозначать также, что служба не запущена или область адресов не настроена), как показано ниже:

Для того, чтобы авторизовать DHCP сервер, щелкните правой кнопкой мыши на значке сервера и выберите опцию Authorize (авторизовать) из появившегося меню. Для управления авторизованным DHCP сервером (включая добавление или удаление авторизованных серверов), щелкните правой кнопкой мыши на иконке DHCP и выберите Manage Authorized Servers (управление авторизованными серверами), как показано ниже:

Заметьте, что сервер DHCP не будет выполнять никаких функций, до тех пор, пока вы не сконфигурируете область адресов – набор настроек, которые будут распределяться группе клиентов. Как и большинство других вещей в Windows 2000, процесс создания области осуществляется с применением соответствующего мастера. Для создания области адресов, щелкните правой кнопкой мыши на значке сервера DHCP и выберите опцию New Score (новая область). Мастер проведет вас через длинный процесс, включающий в себя настройку допустимого диапазона IP-адресов, маски подсети и таких опций, как адрес шлюза по умолчанию (маршрутизатора), используемых серверов DNS и так далее. После того, как область будет настроена, она будет продолжать нуждаться в активизации (правый щелчок мыши и выбор Activate (активизировать)). Каждая область включает в себя: набор адресов, активные выделенные адреса, резервирование и свойства области, как показано на рисунке (свойства области выделены):

Заметьте, что после того, как сервер авторизован и область настроена, стрелка на иконке сервера меняется на зеленую и теперь указывает вверх. Вот несколько дополнительных заметок по поводу областей в Windows 2000:

- Области могут быть собраны или объединены для создания суперобластей. Они позволяют вам распределять диапазоны IP-адресов, которые не примыкают друг к другу, но расположены на одной подсети.

- Если вы хотите изменить маску подсети, связанную с областью, то вам необходимо будет удалить область и создать ее заново.

- Время аренды адреса по умолчанию для области – 8 дней, что отличается от значения в Windows NT, где оно составляло 72 часа. Это значение может быть изменено в зависимости от потребностей вашей сети.

- Каждый диапазон IP-адресов может быть представлен только в одной из областей. Если серверы DHCP не будут скоординированы и два сервера будут иметь одинаковые диапазоны адресов в своих областях, тогда один и тот же адрес может быть назначен разным клиентам в одной сети. Также надо быть уверенным, что вы исключили все статически назначенные IP-адреса из областей.

- Для создания отказоустойчивых областей необходимо настроить 2 (или более) сервера DHCP и разделить диапазоны адресов из каждой области между ними. При такой конфигурации, если один из серверов выйдет из строя, другой будет продолжать распределять допустимые адреса между клиентами.

- Настройки DHCP могут быть осуществлены на 4 различных уровнях: на уровне Server (сервера) (установки влияют на все области), Score (область) (установки влияют только на область), Client (клиент) (установки для зарезервированного клиента) Class (класс) (для компьютеров, которые входят в различные, заранее определенные, классы). Более подробно мы рассмотрим эту тему в статьях, относящихся к экзамену 70-216.

Введение в Windows 2000 DNS

Domain Name System (система доменных имен) – это стандарт службы имен для Интернета, который используется Windows 2000 для помощи клиентам в разрешении имен узлов в их IP-адреса и для поиска служб в сети. Прежде чем погрузиться в детали новшеств Windows 2000 DNS, я хотел бы сначала остановиться на том, как DNS работает.

DNS – это распределенная система серверов имен. В этой системе группы серверов имен отвечают за записи, относящиеся к узлам, в доменах и поддоменах. Эти группы называются зонами. Зона является полномочной или ответственной для записей, относящихся к данному домену или группе доменов. Например, Microsoft может иметь несколько серверов, полномочных для домена microsoft.com и все связанные поддомены должны быть частью этого домена. Как следствие, если эти сервера не могут предоставить вам ответ на запрос IP-адреса для имени bluscreen.microsoft.com, то это означает, что его просто не существует.

Серверы имен хранят то, что принято называть записями ресурсов. Записи ресурсов сопоставляют имя узла его IP-адресу или отдельной службы и имени узла. Например, сервер DNS может содержать запись (называемую А записью) для сервера, называемого Cerver2, которому соответствует IP-адрес 147.2.3.45. Если клиент другого сервера DNS запросит связанный IP-адрес, он может быть найден и возвращен (послан) клиенту. Подобным образом, некоторый почтовый сервер может запросить сервер DNS найти почтовый сервер, действующий в домене mail2000trainer.com. В данном случае DNS сервер запрашивается на наличие записи о системе обмена почтой (запись МХ), которая предоставляет FGDN (полностью определенное имя домена) почтового сервера, которое, в свою очередь, может быть разрешено в IP-адрес.

Давайте рассмотрим один, но самый длинный пример. Давайте представим, что я сижу за моим клиентским компьютером, на котором запущен Internet Explorer, и я хочу посмотреть страничку www.win2000trainer.com. Мой клиент не может подключиться к данному серверу до тех пор, пока это имя не будет разрешено в IP-адрес. А раз так, то мой клиент запрашивает мой локальный сервер DNS (тот, который определен в свойствах TCP/IP) и просит найти IP-адрес узла www.win2000trainer.com. Если мой локальный сервер DNS не является полномочным для домена win2000trainer.com, то он пересылает запрос к корневому серверу. Корневой сервер получает запрос, но обрабатывает его только отчасти. Он отсылает моему локальному серверу DNS ответ, в котором содержится информация о том, как найти сервер имен, который знает все обо всех узлах, которые оканчиваются на .com. Мой локальный сервер DNS кэширует эту информацию и затем запрашивает сервер имен .com об IP-адресе, связанном с win2000trainer.com. Опять же, сервер имен .com дает только частичный ответ, посылая назад информацию о том, где найти сервер имен, который знает все о вещах, которые оканчиваются на win2000trainer.com. Мой локальный сервер имен кэширует и эту информацию и запрашивает сервер имен win2000trainer.com об IP-адресе узла, называемого www. Сервер имен ищет данную запись (так как является полномочным для вещей, оканчивающихся на win2000trainer.com) и возвращает IP-адрес 176.23.4.5 моему локальному серверу имен. Эта информация тоже кэшируется и затем посылается клиенту (который тоже кэширует ее) и теперь только клиент сможет подсоединиться напрямую к узлу www.win2000trainer.com. В течении какого времени будут храниться кэшированные записи, созданные в процессе определения IP-адреса? Я не знаю. Об этом сообщает сервер имен, на котором данная запись храниться. Ведь никто лучше полномочного сервера не знает, как часто меняется соответствие имени и IP-адреса. Обычно запись кэшируется на один день, но иногда и на более короткий промежуток времени, особенно если изменения происходят часто. Теперь, если кто-то через 3 часа еще раз запросит мой локальный сервер имен об IP-адресе www.win2000trainer.com, то ответ придет моментально из кэша. Подобным образом, если мой почтовый сервер ищет сервер mail.win2000trainer.com, то он просто запросит мой локальный DNS сервер, который в свою очередь запросит сервер имен win2000trainer.com (локальный сервер имен недавно кэшировал информацию о том, где этот сервер находится), и тот уже предоставит информацию об узле, называемом mail.

Как вы успели заметить, существует еще один тип серверов имен, которые не являются полномочными для какой-либо зоны. Эти сервера называются caching-only (только кэширующими) – они просто перенаправляют запросы клиентов другим серверам имен и кэшируют их ответы, как было описано выше.

DNS на самом деле достаточно прост и понятен. И ничего страшного, что вы не использовали этого раньше, если вы поняли, как работает все, о чем я говорил выше, то вы поняли, как работает DNS. Более подробно мы остановимся на DNS в статьях, относящихся к экзамену 70-216.

DNS реализована как служба на сервере Windows 2000, а раз так, то она может быть запущена и остановлена, как любая другая служба. Она также может быть добавлена или удалена при помощи программы Add/Remove, вкладка Windows Components. DNS не устанавливается автоматически при установке Windows 2000, поэтому необходимо устанавливать ее вручную. Число серверов DNS, присутствующих в вашей сети зависит от ряда факторов, таких, как потребность в отказоустойчивости, быстродействие и т.д. DNS требуется для установки Active Directory, поскольку домены Active Directory следуют соглашению об именовании DNS. Заметьте, что предыдущий пример рассказывал о DNS разрешении через Internet. Подобным образом DNS может быть использована для разрешения внутренних узлов или для комбинированных ситуаций, имейте это ввиду.

В традиционных конфигурациях DNS вы имеете как минимум 2 DNS сервера, которые являются полномочными в зоне. Зона – это административная единица DNS, представленная набором серверов DNS, которые ответственны за поддержку информации, относящейся к одному или более домену или поддомену. Один сервер выступает как основной сервер имен и это единственный сервер, который поддерживает перезаписываемую копию файла зоны. Периодически, основной сервер имен реплицирует файл зоны на другой сервер (или сервера), назначенные вторичными серверами имен. Этот сервер (сервера) тоже поддерживает файл зоны, но копию, предназначенную только для чтения. Процесс репликации часто называют передачей зон. Главная причина для того, чтобы иметь 2 или более сервера DNS – это уверенность, что если один из них выйдет из строя, другой может быть доступен для обработки запросов, относящихся к домену, содержащемуся в файле зоны.

Такой тип конфигурации продолжает поддерживаться и в Windows 2000 и на него ссылаются как на «стандартную» конфигурацию DNS. Однако Windows 2000 также поддерживает и другой вид конфигурации, являющийся новинкой в Windows 2000. Эта конфигурация называется «DNS, интегрированная в Active Directory». В данной конфигурации информация о зоне DNS храниться в Active Directory, а не в отдельном наборе файлов. Как следствие, DNS-информация реплицируется автоматически, как часть общей репликации Active Directory, и не требует создания дополнительной топологии репликации. Это не означает, однако, что каждый контроллер домена автоматически становиться сервером DNS. Это означает только, что каждый контроллер домена может стать сервером DNS, если служба DNS будет установлена на компьютер. DNS, интегрированная в Active Directory, также располагает рядом достоинств, таких как, например то, что каждый из серверов DNS может вносить изменения в зону и, в случае отказа одного из серверов, обновления зоны DNS не прекращаются. В стандартной конфигурации DNS обновления невозможны, если прекращает работу основной сервер имен.

Другое большое преимущество Windows 2000 DNS – это то, что она динамическая. Это означает, что узел может регистрировать и отменять регистрацию записей в DNS самостоятельно, включая запись соответствия имени и IP-адреса (А), а также записи служб (это мы обсудим позднее). Преимущество динамической DNS очевидны, так как в предыдущих реализациях DNS все записи требовалось создавать вручную, что отнимало много времени и порождало множество ошибок. Многие сравнивают динамическое обновление DNS с функционированием WINS. Так как эти идеи действительно схожи, помните, что цель WINS – разрешение имен NetBIOS в IP-адрес, в то время как DNS сопоставляет имена узлов их IP-адресам.

DNS используется Windows 2000 не только для разрешения имен узлов в их IP-адреса. Эта служба также помогает системе находить службы в сети, такие как службу аутентификации контроллера домена. Когда пользователь пытается войти в домен, его Windows 2000-система запрашивает DNS о наличии одного или более контроллеров домена на данном физическом сайте. Контроллеры домена автоматически регистрируются в DNS и также регистрируют записи, относящиеся к некоторым, работающим на них, службам. Точно также, клиенты Windows 2000 могут регистрировать себя в DNS самостоятельно, а могут и через сервер DHCP, который дает клиенту его IP-адрес. Оба эти механизма требуют пристального рассмотрения и мы вернемся к ним в нашей серии.

Хотя этот раздел только введение в DNS, хочу привести несколько дополнительных важных заметок о DNS:

- Windows 2000 DNS поддерживает IXFR или инкрементальный (добавочный) трансфер зоны. При этой настройке, если происходят изменения в файле зоны, только эти изменения реплицируются на другие сервера DNS. Если вы помните, в Windows NT DNS поддерживало только АXFR – полный трансфер зоны, при котором изменения в зоне вызывали необходимость репликации всего файла зоны на все дополнительные сервера имен.

- Если вы используете DNS, интегрированный в Active Directory, то вы можете активизировать функцию, называемую Secure Dynamic Updates (безопасные динамические обновления). При этом сервер DNS будет позволять обновления или регистрацию записей только с систем, которые имеют правомочные учетные записи в Active Directory. Если эта настройка не активизирована, то любая система может делать изменения в DNS, что представляет, конечно же, угрозу безопасности сети.

И вот подошла к концу еще одна наша статья. На следующей неделе я планирую заняться основами администрирования Active Directory, а также введением в DFS (распределенную файловую систему) и Terminal services (службы терминалов). Я надеюсь, вы находите пользу в моих статьях – спасибо за те отклики, которые вы присылаете. В любое время, если у вас есть вопросы или комментарии, пожалуйста, связывайтесь со мной. Успехов в учебе!

Дэн

Вернуться к списку статей