В настоящее время любая операционная
- В настоящее время любая операционная система, ориентированная на корпоративный рынок, должна включать в себя компоненты, обеспечивающие возможность ее функционирования в рамках вычислительной сети. Не является исключением и Windows Server 2003. Более того, данная операционная система позиционируется разработчиками, как основа для реализации основных сетевых сервисов в корпоративной вычислительной сети.
В данной главе мы рассмотрим способы подключения Windows Server 2003 к сети, поддерживаемые операционной системой сетевые протоколы, а также некоторые средства, обеспечивающие работу системы в корпоративных и домашних сетях.
Брандмауэр подключения к Интернету (Internet Connection Firewall)
С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешенные TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или различного рода атак из открытых сетей, сохраняя при этом для пользователей возможность работы с требуемой информацией.
Как правило, целесообразно активизировать встроенный брандмауэр для подключения к некоторой открытой сети. Например, его можно активизировать на компьютере, реализующем общий доступ к подключению Интернета (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.
Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).
Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешен для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в табл. 12.6. При желании администратор может добавить к списку другие службы, используемые в сети. Чтобы разрешить некоторую службу, необходимо установить флажок перед ее названием. Например, если в локальной сети имеется FTP- или WWW-сервер, доступ к которым необходимо предоставить внешним пользователям, администратор должен установить флажки напротив этих служб. По умолчанию доступ ко всем перечисленным службам запрещен.
Рис. 12.33. Активизация встроенного брандмауэра
Таблица 12.6. Сетевые службы, работающие через встроенный брандмауэр
Название службы |
Описание параметра |
FTP Server |
Используется для разрешения доступа внешних пользователей к корпоративному FTP-серверу, (протокол FTP позволяет в среде TCP/IP осуществлять обмен файлами) |
Incoming Connection VPN (L2TP) |
Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования L2TP |
Incoming Connection VPN (PPTP) |
Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования РРТР |
Internet Mail Access Protocol Version 3 ' (IMAP3) |
Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола IMAP3 (протокол IMAP3 используется для манипулирования почтовыми сообщениями на стороне сервера) |
Internet Mail Access Protocol Version 4 (IMAP4) |
Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола IMAP4 (протокол IMAP4 используется для манипулирования почтовыми сообщениями на стороне сервера) |
Internet Mail Server (SMTP) |
Разрешает доступ к корпоративному почтовому серверу посредством протокола SMTP (протокол SMTP используется как транспортный механизм для обмена сообщениями) |
IP Security (IKE) |
Разрешает защищенный сетевой трафик, шифрованный посредством протокола IP Security |
Post-Office Protocol Version 3 (POPS) |
Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола РОРЗ (протокол РОРЗ используется для манипулирования почтовыми сообщениями) |
Remote Desktop |
Разрешает внешним пользователям доступ к службе Remote Desktop, которая используется для удаленного управления системой |
Secure Web Server (HTTPS) |
Разрешает доступ к корпоративному веб-серверу по протоколу HTTPS, который обеспечивает защищенный доступ к данным |
Telnet Server |
Разрешает внешним пользователям доступ к службе Telnet, которая используется для удаленного управления системой |
Web Server (HTTP) |
Разрешает доступ к корпоративному веб-серверу по протоколу HTTP |
Рис. 12.34. Разрешение служб, доступных через встроенный брандмауэр
Выбрав некоторую службу и нажав кнопку Edit (Изменить), администратор может выполнить настройку параметров службы. В открывшемся окне (рис. 12.35) администратор может указать адрес компьютера, на котором данная служба развернута, а также номера портов TCP/IP, используемых этой службой.
Рис. 12.35. Определение параметров сетевой службы
Внимание
Не рекомендуется активизировать брандмауэр на локальных и VPN-подключениях, поскольку подобный шаг может привести к нарушению процесса доступа к общим ресурсам.
Вкладка Security Logging (Ведение журнала безопасности) используется для задания параметров ведения журналов, в которых будут регистрироваться события, связанные с процессом доступа внешних пользователей к службам локальной сети.
Особого внимания заслуживает трафик, передающийся по протоколу Internet Control Message Protocol (ICMP). Напомним, что ICMP-пакеты используются для передачи управляющей информации в сети TCP/IP. В частности, именно через протокол ICMP работает такая диагностическая утилита, как ping. По умолчанию весь ICMP-трафик блокируется встроенным брандмауэром. Это означает, что, например, ping-запросы к вашему компьютеру будут безрезультатными. Иногда блокировка ICMP может привести к разрыву связи с интернет-провайдером. При необходимости на вкладке ICMP (рис. 12.36) можно разрешить некоторые виды ICMP-сообщений. Необходимую информацию об используемых запросах следует получить у провайдера. В крайнем случае можно разрешить все запросы и посмотреть, повлияло ли это на устойчивость связи.
Рис. 12.36. Управление ICMP-трафиком через брандмауэр
Фильтры сбора данных
Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.
Проектирование фильтров сбора данных. Для разработки фильтра сбора данных нужно определить инструкции принятия решения в диалоговом окне Capture Filter (Фильтр записи) (рис. 12.39). В диалоговом окне Capture Filter (Фильтр записи) отображается дерево принятия решения фильтра, графически представляющее логику фильтра. При включении или исключении информации из определения фильтра сбора данных дерево принятия решения отражает такого рода изменения.
Рис. 12.39. Диалоговое окно фильтра записи
Фильтрация в соответствии с протоколом. Чтобы перехватывать кадры, посланные с использованием специфического протокола, надо задать этот протокол в фильтре SAP/ETYPE = "хххх". Например, чтобы собирать только IP-пакеты, нужно запретить все протоколы и затем разрешить перехват IP ETYPE 0x800 и SAP IP 0x6. По умолчанию разрешены все протоколы, поддерживаемые сетевым монитором.
Фильтрация по адресу. Чтобы сохранять кадры, переданные между заданными компьютерами сети, нужно определить одну или более пар адресов в фильтре сбора данных, при этом можно задать до четырех пар адресов одновременно.
Фильтрация по образцу данных. Когда выполняется фильтрация трафика в соответствии с образцом, необходимо задать положение образца в кадре (количество байтов с начала или с конца). Задавая соответствие образцу в фильтре сбора данных, можно:
ограничить сбор данных только теми кадрами, которые содержат образец данных, заданный кодом ASCII или в шестнадцатеричном виде;
задать число байтов в кадре (смещение), которые должны быть просмотрены на соответствие образцу.
Триггер сбора данных. Под триггером понимается набор условий, при выполнении которых инициируется некоторое действие. Например, перед использованием сетевого монитора при сборе данных в сети можно установить триггер, который остановит процесс сбора данных или запустит некоторую программу, или выполнит командный файл.
Формирование базы данных адресов
Иногда нужно перехватывать только кадры, приходящие с определенных компьютеров. Для этого нужно знать сетевой адрес компьютера. Сетевой монитор может сопоставить шестнадцатеричный адрес компьютера более привычному имени. После того как это соответствие установлено, можно сохранить имя в базе данных адресов (файл *.adr), которую потом использовать для разработки фильтров сбора данных и фильтров отображения.
В дополнение к выбору достаточного размера буфера и созданию фильтра сбора данных можно перевести сетевой монитор в специализированный режим сбора данных, в котором окно сбора данных с динамически изменяющейся статистикой сетевого монитора заменено сокращенным диалоговым окном.
Если на компьютере функционирует несколько сетевых адаптеров, то можно при помощи сетевого монитора получать данные со всех сетевых адаптеров, переключаясь между адаптерами или запустив несколько экземпляров сетевого монитора.
Интеграция с сетями Novell NetWare
В Windows Server 2003 реализованы службы, позволяющие компьютерам под управлением Windows сосуществовать и функционировать совместно с сетями и серверами на базе Novell NetWare. Для этого в состав Windows Server 2003 включены следующие средства:
NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол (NWLink IPX/SPX/NetBIOS Compatible Transport Protocol), являющийся реализацией протокола IPX/SPX в Windows. NWLink поддерживает взаимодействие компьютеров под управлением Windows и компьютеров под управлением NetWare, а также других совместимых систем. NWLink может использоваться и как протокол, объединяющий несколько компьютеров под управлением различных версий Windows;
Служба клиента для NetWare (Client Service for NetWare, CSNW) включена в состав Windows Server 2003 и позволяет клиентским компьютерам устанавливать непосредственные соединения с файловыми ресурсами и принтерами на серверах под управлением NetWare версий 2.x и выше. CSNW поддерживает серверы NetWare 4.x или выше, на которых функционирует или Bindery, или NDS. Также в CSNW включена поддержка сценария входа в сеть.
Примечание
В отличие от Windows 2000, в состав Windows Server 2003 не включена Служба шлюза для сетей NetWare (Gateway Service for NetWare). Кроме того, компьютеры под управлением Windows Server 2003 не могут осуществлять маршрутизацию IPX-трафика.
Использование диспетчера подключений
Использование мастера New Connection Wizard является стандартным способом, создания сетевых подключений в среде Windows Server 2003. В других версиях Windows имеются аналогичные утилиты, позволяющие пользователю создать сетевое подключение в соответствии со стоящими перед ним задачами. Тем не менее, процесс создания сетевых подключений требует от пользователя определенных знаний и четкого понимания определяемых параметров.
В составе Windows Server 2003 поставляется специальный мастер Connection Manager Administration Kit Wizard, позволяющий администратору создавать предварительно определенные конфигурации клиентов удаленного доступа, которые могут впоследствии использоваться совместно с утилитой Connection Manager. При этом реализуется следующая схема. Администратор при помощи мастера создает специальные инсталляционные пакеты, в которых определяется конфигурация доступных сетевых соединений для клиента. Эти пакеты получили название служебного профиля (service profile) клиента удаленного доступа. Профиль содержит всю информацию, требуемую для создания и настройки на клиенте удаленного доступа всех необходимых сетевых подключений. Клиент использует служебный профиль для того, чтобы сконфигурировать собственные сетевые компоненты и установить подключение с корпоративной сетью.
Использование служебных профилей
Профиль создается мастером в папке %SystemRoot%\Pmgram Files\CMAK\ Profiles. По окончании процедуры создания профиля администратор должен принять решение о том, каким образом профили будут доставляться пользователям. Пользователи могут скачивать профили с корпоративного веб-сайта или с сетевого ресурса. Кроме того, администратор может распространять профили на компакт-дисках или дискетах. Критичным в данном случае является размер профиля.
Краткий обзор возможностей сетевого монитора
Сетевой монитор контролирует сетевой поток данных, т. е. всю информацию, передаваемую по сети в любой заданный момент времени. До передачи эта информация разделяется сетевым программным обеспечением на меньшие части (пакеты, кадры или фреймы). Каждый кадр содержит следующую информацию:
адрес компьютера, пославшего кадр;
адрес компьютера, получившего кадр;
заголовки каждого протокола, используемого для пересылки данного кадра;
данные или их часть.
Чтобы гарантировать безопасность сети, сетевой монитор показывает только те кадры, которые посланы на(с) компьютер(а) пользователя, широковещательные кадры и кадры группового (multicast) вещания.
Сетевой монитор может перехватить и запомнить только тот объем информации, который сможет поместиться в доступной памяти компьютера. Обычно не требуется фиксировать большой объем информации, нужно только записать небольшое подмножество кадров, передаваемых в сети. Чтобы выделить подмножество кадров, можно разработать фильтр сбора данных, функционирующий подобно запросу базы данных. Возможна фильтрация на основе адресов источника и адресата, протоколов, свойств протокола или по образцу смещения.
Для того чтобы способ сбора данных отвечал событиям, происходящим в сети, как только они будут обнаружены, разрабатывают триггер сбора данных, который выполняет определенное действие (например, запускает исполняемый файл), когда сетевой монитор обнаруживает в сети набор условий, соответствующий триггеру. Сетевой монитор поддерживает множество популярных протоколов, включая IPX, SPX и большую часть протоколов из набора TCP/IP.
После того как данные зафиксированы (и факультативно сохранены в файле сбора данных), их можно просмотреть. Сетевой монитор проделает большую часть работы по анализу данных, формируя из необработанных собранных данных кадр согласно его логической структуре.
Основные функциональные возможности сетевого монитора, описанные в этой главе, поддерживаются службами поддержки продуктов Microsoft (Microsoft Product Support Services, MPSS). Службы поддержки не решают задачи, зависящие от конкретной сети, такие как интерпретация данных, которые перехватываются и сохраняются в сети.
Методы удаленного доступа
Системы Windows Server 2003 поддерживают четыре метода удаленного доступа.
Подключение по телефонной линии. Данный метод подключения предполагает использование обычных телефонных линий в качестве передающей среды. Этот способ подключения называется также коммутируемым.
Подключение к ISDN-линиям. Данный тип подключения позволяет использовать цифровые линии ISDN для соединения клиентов с корпоративной сетью.
Подключение к сети Х.25. Компании могут использовать существующую инфраструктуру Х.25-сетей для организации удаленного доступа пользователей.
Прямое подключение. Этот метод является самым простым способом соединения двух компьютеров.
Далее мы рассмотрим каждый из этих методов более подробно.
Настройка клиентов для работы с компьютером, имеющим общее интернет-подключение
Механизм общего доступа к интернет-подключению (ICS) обеспечивает работу клиентов следующих типов:
Windows Server 2003, Standard Edition и Windows Server 2003 Enterprise Server. Чтобы использовать общее подключение, клиент должен входить в ту же рабочую группу, что и компьютер, на котором оно активизировано;
Windows XP. Для подключения к общему подключению на этом типе клиента необходимо запустить специальный мастер Windows XP Network Setup Wizard;
Windows 98, Windows 98 Second Edition и Windows Millennium Edition. Данный тип клиентов требует дополнительного конфигурирования. В составе дистрибутивного диска Windows Server 2003 (папка \SUPPORT\TOOLS) поставляется специальная утилита Netsetup.exe. Эта утилита должна быть запущена на каждом сетевом клиенте данного типа.
Настройка механизма ICS
При разрешении совместного использования подключения некоторые протоколы, службы, интерфейсы и маршруты будут сконфигурированы автоматически (табл. 12.5). Эти настройки изменить нельзя. Если такая конфигурация вас не устраивает, используйте для доступа к Интернету механизм трансляции сетевых адресов (Network Address Translation, NAT), более подробно рассмотренный в главе 14 "Коммуникационные службы".
Таблица 12.5. Настройки совместного использования интернет-подключения
Сконфигурированные элементы | Состояние | ||
IP-адрес =192. 168.0.1 | Настроен с маской подсети 255.255.255.0 на адаптере ЛВС, который связан с домашней сетью или сетью малого офиса | ||
Возможность автоматического вызова (AutoDial) | Разрешена | ||
Статический IP-маршрут по умолчанию | Создается, когда производится телефонное подключение | ||
Служба совместного использования | Запущена | ||
Служба распределения DHCP (DHCP allocator) | Разрешена с заданным по умолчанию диапазоном адресов 192.168.0.0 и маской подсети 255.255.255.0. Клиентам частной локальной сети назначаются адреса в диапазоне от 192.168.0.2 до 192.168.0.254 | ||
Посредник DNS (DNS proxy) | Разрешен |
По умолчанию механизм ICS отключен. Чтобы его активизировать, необходимо в окне свойств коммутируемого сетевого подключения перейти на вкладку Advanced (Дополнительно) (рис. 12.28). Для конфигурирования механизма общего доступа к подключению Интернета используется группа параметров Internet Connection Sharing. Для активизации указанного механизма администратор должен установить флажок Allow other network users to connect through this computer's Internet connection (Разрешить другим сетевым пользователям подключаться через интернет-подключение данного компьютера).
Рис. 12.28. Активизация разделяемого интернет-подключения
Примечание
Чтобы настраивать совместное использование интернет-подключения, необходимо иметь полномочия администратора.
Если имя учетной записи и сопоставленный ей пароль, необходимые для установки интернет-подключения, не были сохранены при последнем подключении, то система не сможет автоматически установить данное соединение (рис. 12.29). Как следствие, общее подключение Интернета будет доступно для сетевых пользователей только в том случае, если оно было предварительно установлено администратором шлюза вручную. В случае, когда эта информация сохранена, интернет-подключение может автоматически устанавливаться сетевыми пользователями. Чтобы активизировать эту функциональную возможность, необходимо установить флажок Establish a dial-up connection whenever a computer on my network attempts to access the Internet (Устанавливать коммутируемое подключение, когда сетевые компьютеры запрашивают доступ к Интернету).
Рис. 12.29. Для активизации режима автоматической установки интернет-подключения необходимо сохранить информацию об имени пользователя и сопоставленном ему пароле
Внимание
Механизм общего доступа к подключению Интернета (ICS) доступен только в Windows Server 2003, Standard Edition и Windows Server 2003, Enterprise Edition. Этот механизм недоступен в Windows Server 2003, Web Edition и Windows Server 2003, Datacenter Edition, а также в 64-разрядных редакциях Windows Server 2003.
Настройка параметров буфера сбора данных
Перехваченные кадры сохраняются в буфере сбора данных. Когда происходит переполнение буфера сбора данных, каждый новый кадр заменяет самый старый кадр в буфере. На быстроту заполнения буфера, кроме интенсивности сетевого трафика и сложности используемых фильтров, влияют следующие факторы:
размер буфера сбора данных. Буфер сбора данных хранится в памяти, а не на диске. Хотя сетевой монитор может использовать виртуальную память, чтобы сохранить буфер сбора данных, лучше использовать достаточно большой буфер для гарантии того, что критические кадры не будут потеряны. Однако он должен быть не слишком большим, чтобы предотвратить подкачку части буфера сбора данных с диска и на диск;
размер кадра. Хотя изменять размер кадра нельзя, можно сохранять только часть кадра для экономии места в буфере сбора данных. Например, если нужны только данные из заголовка кадра, надо установить размер сохраняемого кадра (в байтах) равным размеру заголовка кадра.
Настройка стека протоколов TCP/IP для входящих подключений
Для настройки протокола откройте окно свойств входящего подключения и перейдите на вкладку Networking (Сеть). Затем, выбрав в списке компонент Internet Protocol (Протокол Интернета), нажмите кнопку Properties (Свойства). Если требуется, чтобы пользователи, работающие в рамках входящего подключения, могли обращаться к ресурсам локальной сети, к которой относится конфигурируемый компьютер, в окне Incoming IP Properties (Свойства IP входящих подключений) (рис. 12.27) необходимо установить флажок Allow callers to access my local area network (Разрешить звонящим доступ к локальной сети).
Рис. 12.27. Настройка стека протоколов TCP/IP для входящих подключений
Требуется определить, каким способом клиенты, подключающиеся в рамках входящего подключения, будут получать IP-адрес, необходимый клиенту для работы в сети. Имеются три возможности:
адрес может быть выдан клиенту DHCP-сервером. Этот режим задается выбором переключателя Assign IP addresses automatically using DHCP (Назначать IP-адреса автоматически по DHCP);
клиенту может быть назначен IP-адрес из определенного администратором диапазона адресов. Этот режим задается выбором переключателя Specify IP addresses (Указать IP-адреса явным образом). При этом поля From (с) и То (по) определяют соответственно начало и коней диапазона IP-адресов;
клиент может использовать собственные настройки стека протоколов TCP/IP. Для этого необходимо установить флажок Allow calling computer to specify its own IP address (Разрешить звонящему клиенту использовать свой IP-адрес).
Общий доступ к подключению Интернета (Internet Connection Sharing)
Механизм общего доступа к подключению Интернета (Internet Connection Sharing, ICS) позволяет компьютерам, подключенным к локальной сети, совместно использовать имеющиеся сетевые интернет-соединения. Строго говоря, этот механизм может использоваться для организации простого взаимодействия небольшой сети (Small Office/Home Office, SOHO) с некоторой внешней сетью, а не только для организации доступа в Интернет. В крупных корпоративных сетях эта задача решается при помощи специального серверного программного обеспечения (прокси-сервера или шлюза приложений). Однако в небольшой сети приобретение специализированного программного обеспечения может быть экономически нецелесообразно. Механизм ICS позволяет организовать простейший интернет-шлюз непосредственно средствами операционной системы, без необходимости приобретения дорогостоящих специализированных приложений. Однако необходимо понимать, что механизм ICS не должен восприниматься как полнофункциональная альтернатива корпоративным прокси-серверам.
Согласно концепции Microsoft механизм ICS работает с двумя подключениями: одним открытым (public) и одним закрытым (private). Под открытым подключением в данном случае понимается подключением к Интернету, которое собственно и предлагается для совместного доступа. В этом качестве, как правило, выступают различные модемные соединения. Закрытое подключение (как правило, это подключение к локальной сети) соединяет шлюз с вычислительной сетью, в которой находятся компьютеры, нуждающиеся в доступе через открытое подключение.
Компьютер, на котором активизировано общее интернет-подключение, берет на себя обязанности по распределению IP-адресов среди локальных сетевых клиентов. Кроме того, он выполняет функции DNS-прокси, осуществляя разрешение внешних доменных имен в IP-адреса. Считается, что в этой сети данный компьютер — единственное подключение к Интернету, единственный шлюз в Интернет, и что только он назначает все сетевые адреса. Если же в сети имеются внутренние DNS- и DHCP-серверы или развернута служба каталогов (т. е. установлены контроллеры домена), то вместо механизма общего доступа к интернет-подключению необходимо воспользоваться механизмом трансляции сетевых адресов (NAT).
Можно указать, какие приложения и службы локальной сети будут доступны через Интернет. Например, если пользователи домашней сети хотят получить доступ к ресурсам SQL Server корпоративной сети, можно настроить приложение SQL Server для подключения, которому разрешено совместное использование. Услуги, предоставляемые домашней сетью, можно настроить так, чтобы к ним могли получить доступ пользователи Интернета. Например, если в домашней сети есть веб-сервер, то, чтобы пользователи Интернета могли соединяться с ним, нужно на совместно используемом подключении настроить службу WWW.
Когда разрешается совместное использование подключения, сетевой адаптер, связанный с домашней или малой офисной сетью, получает новый статический IP-адрес. Существующие подключения, использующие TCP/IP на компьютере с ICS, будут потеряны и должны быть восстановлены вручную.
Обзор доступных транспортных стеков протоколов
В рамках Windows Server 2003 реализована поддержка следующих стеков протоколов:
TCP/IP;
NWLink (IPX/SPX-совместимый стек протоколов);
AppleTalk.
Эти стеки протоколов могут быть использованы для организации взаимодействия Windows Server 2003 с другими компьютерами в сети.
Примечание
Следует заметить, что в Windows Server 2003 отсутствует протокол NetBEUI. Поддержка этого протокола присутствует во всех ранних версиях Windows. В системе Windows XP протокол NetBEUI не устанавливается на диск по умолчанию, но его можно установить с дистрибутивного компакт-диска. В дистрибутиве Windows Server 2003 протокол NetBEUI отсутствует совсем. Поэтому, если в вашей сети используется NetBEUI, при переходе на Windows Server 2003 администратору необходимо будет выполнить переход на другой транспортный протокол.
Обзор протоколов удаленного доступа
Для установки соединения с сервером удаленного доступа клиент должен использовать специальный протокол. Эти протоколы получили название протоколов удаленного доступа. Windows Server 2003 поддерживает два протокола удаленного доступа:
Протокол РРР
Протокол SLIP
Необходимо понимать, что протокол удаленного доступа регламентирует исключительно порядок взаимодействия с сервером удаленного доступа. Он функционирует на уровне канала данных OSI-модели, осуществляя упаковку пакетов протоколов верхних уровней (таких, например, как протоколы стека TCP/IP) в соответствующие фреймы.
Перехват кадров из сети
Как уже упоминалось, фиксация происходит тогда, когда сетевая плата передает подмножество кадров в сеть, и они одновременно поступают в сетевой монитор. Сетевой монитор сохраняет эти кадры в буфере сбора данных — специально выделяемой области памяти. Если происходит переполнение буфера сбора данных, самый новый кадр, добавленный в буфер, заменяет самый старый кадр. Для предотвращения переполнения буфера сбора данных и для того, чтобы сделать анализ кадров проще, используют фильтры сбора данных, применяемые для фиксирования только кадров, соответствующих определенным критериям. Чтобы собирать данные в соответствии с событиями, происходящими в сети, разрабатывают триггер сбора данных.
Окно сбора данных сетевого монитора. Поскольку кадры собираются из сети, статистика о кадрах отображается в окне сбора данных сетевого монитора (рис. 12.38).
Рис. 12.38. Окно сбора данных сетевого монитора
Перехват и просмотр кадров. Кадры, перехваченные в сети, копируются в буфер сбора данных (зарезервированную область памяти). Информация об этих кадрах появляется по мере их получения в окне Capture Window (окно сбора данных сетевого монитора). Для управления состоянием сбора данных выберите команду Start (Запустить), Stop (Остановить), Stop and capture (Остановить и просмотреть), Pause (Приостановить) или Resume (Продолжить) меню Capture (Запись).
Сетевой монитор отображает статистику сеанса по первым 100 уникальным сетевым сеансам, которые он обнаруживает. Для сброса статистики и просмотра информации по следующим 100 обнаруженным сетевым сеансам используйте команду Clear Statistics (Очистить статистику) из меню Capture (Запись).
Первое знакомство с сетевыми подключениями
Под сетевым подключением (network connection) в Windows Server 2003 понимается точка соединения компьютера с сетью (независимо от способа — подключение к локальной сети, серверу удаленного доступа или соединение двух компьютеров посредством нуль-модемного кабеля). Если говорить о том, какая сторона из участников обмена данными инициирует связь, сетевые подключения можно разделить на два вида: исходящие (outgoing connections) и входящие (incoming connections). Исходящие подключения используются для соединения компьютера с вычислительной сетью или сервером удаленного доступа. Входящие подключения используются для поддержки подключений, инициализируемых другими компьютерами. В этом случае компьютер, на котором созданы входящие подключения, рассматривается в качестве сервера удаленного доступа (remote access server).
Каждое сетевое подключение рассматривается самостоятельно и независимо от других подключений. Это означает, что каждое сетевое подключение имеет индивидуальную конфигурацию. Перечень параметров, подлежащих настройке, зависит от того, к какому типу относится сетевое подключение.
Поддерживаемые парсеры протоколов
Так называемый парсер, т. е. синтаксический анализатор протокола, представляет собой динамическую библиотеку (DLL), которая идентифицирует протоколы передачи кадров по сети. Информацию об этих протоколах можно увидеть, просматривая перехваченные кадры в окне просмотра кадров. Для каждого протокола, который поддерживается сетевым монитором, имеется соответствующий парсер. Их список достаточно велик (несколько десятков протоколов) и проводится в справке по сетевому монитору.
Подключение к Интернету
Отдельно рассмотрим ситуацию с использованием коммутируемого (телефонного) подключение для соединения компьютера с глобальной сетью Интернет. Перед созданием подключения требуется узнать у провайдера (поставщика) услуг Интернета необходимость настройки параметров подключения (таких, как выделенный IP-адрес компьютера, адрес DNS-сервера и др.). Запустив мастер создания подключений, на странице Network Connection Туре (см. рис. 12.9) необходимо выбрать переключатель Connect to the Internet (Подключить к Интернету). В следующем окне мастер предложит определить способ подключения к сети Интернет (рис. 12.13). Необходимо выбрать переключатель Connect using a dial-up modem (Через обычный модем).
Рис. 12.13. Выбор способа подключения к Интернету
В последующих окнах мастер предложит указать имя компании-провайдера (фактически в этом окне вы определяете имя создаваемого подключения) и телефон интернет-провайдера. Кроме того, потребуется указать, будет ли создаваемое подключение доступно всем пользователям компьютера или только текущему пользователю.
В следующем окне (рис. 12.14) нужно ввести имя пользователя и пароль, полученные от интернет-провайдера, а также указать, как именно будет использоваться данное подключение. По умолчанию указанные сведения о пользователе будут задействованы для всех подключений данного компьютера к интернет-провайдерам. Если этого не требуется, необходимо снять флажок Use this account name and password when anyone connects to the Internet from this computer (Использовать следующие имя пользователя и пароль при подключении любого пользователя).
Рис. 12.14. Определение информации, необходимой для подключения к интернет-провайдеру
Обратите также внимание на то, что по умолчанию система не включает брандмауэр на новом подключении. Более подробно внутренний брандмауэр будет рассмотрен позднее в этой главе.
В последнем окне мастера проверьте введенную информацию и нажмите кнопку Finish (Готово). На этом создание подключения завершено, можно его проверить. Обычно для подключения к Интернету больше ничего не требуется, т. к. остальные параметры либо установлены по умолчанию, либо поступают от провайдера.
Тем не менее, нередко бывает необходимо произвести дополнительную настройку модема, для использования его с созданным подключением, либо сконфигурировать непосредственно само подключение. Рассмотрим этот процесс подробнее. Выберите интересующее подключение из списка и в контекстном меню щелкните на кнопке Properties (Свойства).
Окно свойств коммутируемого подключения содержит пять вкладок. На вкладке Genera] (Общие) указывается используемый выбранным подключением модем, а также телефонный номер, через который осуществляется подключение к удаленной сети (рис. 12.15).
Рис. 12.15. Вкладка General окна свойств модемного подключения
Щелкнув по кнопке Configure (Настроить), администратор может выполнить настройку выбранного модема. Все необходимые для этого параметры перечислены в открывшемся окне (рис. 12.16). В поле Maximum speed (Наибольшая скорость) указывается максимально допустимая скорость передачи данных между выбранным портом и модемом.
Группа параметров Hardware features (Протокол модема) позволяет активизировать некоторые из аппаратных функций модема (аппаратное управление потоком, обработка ошибок модемом или сжатие данных модемом). Для этого достаточно установить флажок напротив соответствующего параметра.
Чтобы гарантировать совместимость, желательно использовать тот же тип модема, что и на сервере удаленного доступа, выбрать ту же начальную скорость и разрешить те же функциональные возможности оборудования. Если используется другая модель модема, то, по крайней мере, необходимо выбрать модем с поддержкой тех же стандартов ITU-T, что поддерживаются модемом на сервере.
Рис.12.16. Окно настройки модема
Примечание
Разрешение функциональных возможностей, не поддерживаемых модемом, не влияет на его работу.
Перейдя к вкладке Options (Параметры) (рис. 12.17), администратор может выполнить более точную настройку процесса установки коммутируемого подключения. В этом окне имеется две группы параметров. Группа параметров Dialing options (Параметры дозвона) определяет характеристики дозвона. Установленный флажок Prompt for name and password, certificate, etc (Подсказка для имени и пароля, сертификата и т. п.) означает, что перед установкой соединения пользователю будет предложено ввести информацию об имени учетной записи и соответствующем ей пароле. Если перед установкой соединения также необходимо изменить номер телефона, установите флажок Prompt for phone number (Запрашивать номер телефона).
Группа параметров Redialing options ( Параметры повторного дозвона) позволяет задать количество повторных попыток установить подключение (параметр Redial attempts), а также временные интервалы между этими попытками (параметр Time between redial attempts). Если необходимо, чтобы система предпринимала повторные попытки дозвона в ситуации, когда происходит сбой в линии, необходимо установить флажок Redial if line is dropped (Повторно дозваниваться в ситуации, когда линия сбрасывается).
Рис. 12.17. Настройка параметров дозвона
На вкладке Security (Безопасность) можно также установить флажок Show terminal window (Отображать окно терминала) для отображения окна терминала. Если администратор хочет, чтобы при установке соединения выполнялся некоторый сценарий, необходимо установить флажок Run Script (Запускать сценарий) и указать путь к файлу, содержащему необходимый сценарий.
Подключение к ISDN-линии
Технология ISDN (Integrated Services Digital Network) пришла на смену коммутируемым телефонным подключениям. В отличие от коммутируемых подключений, в ISDN для передачи данных используется не аналоговый, а цифровой сигнал. По одной и той же цифровой линии могут передаваться данные различных типов (видеоизображение, голосовая информация, факсимильные сообщения, цифровые данные). Использование ISDN-линий позволяет существенно повысить быстродействие подключения в рамках удаленного доступа. Стандартные телефонные линии обычно позволяют осуществлять обмен со скоростями до 56 Кбит/с, по линии ISDN можно достичь скоростей 64 и даже 128 Кбит/с.
Для подключения компьютера к сети ISDN необходимо использовать специальные адаптеры, преобразующие сигнал, поступающий от компьютера, в необходимый для передачи по сети ISDN формат. Затраты на оборудование и линии ISDN могут быть выше, чем на установку стандартных модемов и прокладку телефонных линий. Однако быстродействие связи уменьшает время подключения, что сокращает денежные затраты.
Линия ISDN состоит из двух так называемых В-каналов, передающих данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющих сигналов со скоростью 16 Кбит/с. Можно конфигурировать каждый В-канал, чтобы он работал как отдельный порт. При помощи некоторых драйверов ISDN-устройств можно объединять эти каналы для передачи одного потока данных. Это означает, что можно получить большую ширину полосы пропускания, настроив работу обоих В-каналов в качестве единственного порта. При конфигурации такого рода скорость линии увеличивается до 128 Кбит/с.
Функция многоканальной связи (multilink) в Windows Server 2003 логически объединяет части канала ISDN. Многоканальная связь объединяет несколько физических линий в логическую совокупность с увеличенной шириной полосы пропускания. Кроме того, можно распределять многоканальную связь динамически, используя линии только тогда, когда они реально требуются. Эта функция устраняет избыточность ширины полосы пропускания, представляя существенное преимущество для пользователей.
Настройка параметров соединения по ISDN-линии во многом аналогична рассмотренному выше коммутируемому подключению. Различие заключается в процессе конфигурирования ISDN-адаптера. Открыв свойства подключения, необходимо щелкнуть на кнопке Configure (Настроить). В открывшемся диалоговом окне ISDN Configure (Настройка ISDN) следует выполнить одно или оба действия:
в списке Line type (Тип линии) необходимо выбрать используемый тип линии. Линии более высокого качества указаны ближе к началу списка;
если требуется установить подключение с выбранным типом линии, а затем повторно установить подключение с более низким качеством в зависимости от состояния линии, необходимо установить флажок Negotiate line type (Согласование типа линии).
В зависимости от типа используемого ISDN-адаптера дополнительно может появиться окно настройки параметров модема.
Подключение к локальной вычислительной сети
Подключение компьютера к локальной вычислительной сети является стандартным способом организации доступа к ресурсам корпоративной сети для большинства компаний. При этом могут быть использованы различные типы сетевых адаптеров (например, предполагающие беспроводной доступ или специальные кабельные модемы), предполагающие работу в сетях различной архитектуры — Ethernet, Token Ring, кабельные модемы, xDSL, FDDI, IP no ATM, IrDA (инфракрасная связь), радио- и эмулированные ЛВС на базе ATM. Эмулированные локальные сети используют драйверы виртуальных адаптеров, например, драйверы, поддерживающие протокол LANE (LAN Emulation, эмуляция ЛВС).
Как было замечено ранее, в процессе загрузки операционная система автоматически обнаруживает все установленные сетевые адаптеры и создает для них соответствующие подключения в папке Network Connections (Сетевые подключения). По умолчанию подключение к локальной сети всегда активно. Подключение к локальной сети — единственный тип подключения, которое автоматически становится активным после загрузки системы. Операционная система может "прослушивать" среды передачи и автоматически изменять состояние подключения в случае нарушения связи. Например, если пользователь извлекает соединительный кабель из сетевого адаптера (или из коммутатора), система автоматически определяет исчезновение среды передачи и переводит подключение в разъединенное состояние (disconnected). При появлении среды передачи система автоматически переведет подключение в активное состояние.
Для настройки устройства, с которым ассоциировано подключение, а также связанных с ним клиентов, служб и протоколов используется пункт Properties (Свойства) контекстного меню выбранного подключения. На вкладке General (Общие) окна свойств подключения локальной вычислительной сети (рис. 12.8) перечисляются сетевые компоненты, установленные для данного подключения. Флажок, установленный напротив компонента, указывает на то, что этот компонент в данный момент активизирован. Чтобы перейти непосредственно к настройке отдельного компонента, необходимо выбрать его из списка и нажать кнопку Properties (Свойства).
Рис. 12.8. Вкладка General окна свойств подключения
Чтобы установить новый компонент, необходимо щелкнуть на кнопке Install (Установить). Для установки предлагается три типа компонентов:
Client (Клиент). Выбор клиентского программного обеспечения определяет схему доступа через рассматриваемое подключение к ресурсам корпоративной сети (например, к совместно используемым принтерам и папкам). Скажем, для работы в сетях Novell и Microsoft используются различные клиенты;
Service (Служба). Службы активизируют различные функциональные возможности в рамках данного подключения;
Protocol (Протокол). Протоколы определяют способ взаимодействия компьютера с другими сетевыми компонентами в контексте рассматриваемого подключения. В сети может использоваться несколько протоколов. Соответственно для одного подключения может быть установлено более одного протокола. Однако необходимо помнить о том, что обслуживание каждого из протоколов требует дополнительных вычислительных ресурсов компьютера. Поэтому необходимо устанавливать только те протоколы, которые реально необходимы для работы компьютера.
представляет собой протокол коммутации
Протокол Х. 25 представляет собой протокол коммутации пакетов, функционирующий на сетевом уровне OSI-модели. Все коммуникации между двумя участниками взаимодействия согласно спецификации Х.25 представляются в виде соединенных друг с другом узлов пересылки пакетов. Протокол Х.25 регламентирует процесс передачи пакетов от одного узла к другому. Существующие коммуникации различаются по качеству и надежности, поэтому в структуру протокола встроены механизмы, обеспечивающие контроль ошибок. Протокол Х.25 реализует постоянные или коммутируемые виртуальные каналы, подразумевающие надежное обслуживание и сквозное управление потоком.
Механизм удаленного доступа к сети поддерживают сетевые подключения через протокол Х.25, используя сборщик/разборщик пакетов (Packet Assembler/Disassembler, PAD) и смарт-карты Х.25. Можно также использовать модем и специальный коммутируемый доступ к Х.25 (например, SprintNet или InfoNet) вместо PAD или смарт-карты Х.25.
Для установки подключения клиент удаленного доступа Windows Server 2003 может использовать смарт-карту Х.25 или производить телефонное подключение к Х.25 PAD. Чтобы принимать входящие подключения с использованием Х.25 на компьютере под управлением Windows Server 2003, необходимо использовать смарт-карту Х.25.
Рис. 12.18. Настройка подключения по Х.25
Создание коммутируемого подключения с использованием протокола Х.25 выполняется тем же способом, что и обычное коммутируемое подключение. Открыв окно свойств созданного подключения, необходимо перейти на вкладку Options (Параметры) и нажать кнопку Х.25.
Из раскрывающегося списка Network (Сеть) (рис. 12.18) необходимо выбрать своего провайдера услуг Х.25. В поле Х.121 address (Адрес Х.121) требуется указать Х.121-адрес, выступающий в рамках протокола Х.25 в качестве эквивалента телефонного номера, используемого для подключения к удаленному серверу. В поле User data (Данные пользователя) можно указать дополнительную информацию о подключении. В поле Facilities (Услуги) необходимо ввести информацию о дополнительных параметрах услуг, которые будут запрашиваться у провайдера сети Х.25.
Подключение к виртуальной частной сети
Для создания сетевого подключения к частной (private) сети пользователи могут использовать общедоступную (public) сеть. Совокупность подобных подключений принято называть виртуальной частной сетью (Virtual Private Network, VPN). Технология виртуальных частных сетей ориентирована на создание защищенного туннеля для передачи данных через открытые сети. Все данные, передаваемые в рамках VPN-подключения, шифруются. Виртуальная частная сеть предполагает организацию защищенного точечного взаимодействия между двумя хостами сети. Для организации защищенного канала передачи данных (туннеля) используются специальные протоколы туннелирования. В рамках Windows Server 2003 реализована поддержка двух протоколов туннелирования: РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol). Эти протоколы устанавливаются в Windows Server 2003 по умолчанию и могут быть использованы для организации виртуальной частной сети как через Интернет, так и через корпоративную сеть. Рассмотрим процесс создания сетевого подключения к виртуальной частной сети.
Имеется два способа организации подключения к виртуальной частной сети (далее VPN-подключение).
Клиентский компьютер сначала устанавливает соединение с хостом-посредником по протоколу РРР (в качестве хоста-посредника, например, может выступать РРР-сервер интернет-провайдера) (рис. 12.19, а). В свою очередь, сервер-посредник использует некоторый протокол туннелирования (протокол L2TP или РРТР) для установки соединения с требуемым сервером удаленного доступа. При этом после установки подключения между хостом-посредником и сервером удаленного доступа создается защищенный канал передачи данных. Данный способ организации VPN-подключения позволяет перенести все обязанности по реализации виртуальной частной сети на сервер удаленного доступа.
Клиент использует протоколы туннелирования, чтобы напрямую установить VPN-подключение с сервером удаленного доступа (рис. 12.19, б).
Все операции по организации защищенного туннеля выполняются непосредственно клиентским компьютером.
Рис. 12.19. Организация VPN-подключения через сервер-посредник (а) и напрямую (б)
Клиент, находящийся под управлением Windows Server 2003, может использоваться для организации VPN-подключения любым из указанных способов. Для создания подключений к виртуальной частной сети используется мастер новых подключений (New Connection Wizard). На соответствующих страницах мастера необходимо последовательно выбрать опции Connect to the network at my workplace (Подключить к сети на рабочем месте) и Virtual Private Network connection (Подключение к виртуальной частной сети) (см. рис. 12.9 и 12.10). После этого потребуется определить имя для создаваемого подключения. В следующем окне необходимо определить, нужно ли предварительно устанавливать коммутируемое подключение (рис. 12.20) и при необходимости выбрать его из списка.
Перейдя к следующему окну мастера, необходимо указать IP-адрес компьютера, который будет выступать в качестве конечной точки создаваемого защищенного канала (туннеля). Фактически это адрес сервера VPN (рис. 12.21).
Примечание
Если для реализации VPN-подключения используется коммутируемое подключение, необходимо помнить о том, что для подключения к виртуальной частной сети необходимо сначала установить это коммутируемое подключение.
Рис. 12.20. Выбор способа подключения к виртуальной частной сети
Рис. 12.21. Определение адреса VPN-сервера
Подключение по телефонной линии
Поскольку телефонные линии доступны практически повсеместно, данный способ подключения клиентов к корпоративной вычислительной сети считается одним из наиболее простых и дешевых. Основным недостатком данного способа соединения является крайне низкая пропускная способность коммутируемого телефонного подключения (максимум 56 Кбит/с). Для преобразования сигнала из цифрового формата в аналоговый и обратно используют модемы. По этой причине данный тип подключения часто называют модемным подключением.
На каждом компьютере можно создать несколько модемных подключений (их количество ограничивается исключительно производительностью компьютера и, в первую очередь, наличием свободных коммуникационных портов для подключения модемов). В большинстве ситуаций пользователю достаточно иметь одно или два модемных подключения (например, с Интернетом и с корпоративной сетью).
Архитектура Windows Server 2003 позволяет автоматически обнаруживать модемы и определять их модель. Это особенно удобно в ситуации, когда пользователь не располагает информацией о модеме (например, если это внутренний модем'). В большинстве случаев для работы с модемом можно использовать драйверы к стандартным моделям модемов.
Примечание
С системой Windows Server 2003 совместимы сотни разнообразных моделей модемов, соответствующих промышленным стандартам. Администратор может столкнуться с проблемами в процессе обнаружения и идентификации модемов с помощью стандартных средств Windows. Проверить совместимость устанавливаемого модема можно по списку аппаратной совместимости (Hardware Compatibility List) на сайте Microsoft (http://www.microsoft.com/hcl).
Рассмотрим процесс создания подключения к корпоративной сети по телефонной линии. При этом предполагается, что модем уже установлен и проверен.
1. В папке Network Connections (Сетевые подключения) запустите мастер новых подключений, выбрав задачу Create a new connection (Создание нового подключения) или выполнив команду File | New Connection (Файл | Новое подключение). На странице Network Connection Type (Тип сетевого подключения) мастера выберите переключатель Connect to the network at my workplace (Подключиться к сети на рабочем месте) (рис. 12.9).
2. В следующем окне (рис. 12.10) выберите тип подключения: Dial-up connection ( Подключение удаленного доступа) или Virtual Private Network connection (Подключение к виртуальной частной сети). В рассматриваемом случае необходимо выбрать коммутируемое подключение.
3. В случае если к компьютеру подключено несколько модемов, мастер предложит выбрать конкретный модем, который будет использоваться для данного подключения. Если к компьютеру подключен только один модем, мастер пропустит этот шаг. В последующих окнах необходимо дать имя создаваемому подключению и определить номер телефона, по которому будет производиться подключение к серверу удаленного доступа (рис. 12.11 и 12.12).
Рис. 12.9. Данное окно позволяет начать создание подключения любого типа
Рис. 12.10. Выбор способа подключения к сети
Рис. 12.11. Определение имени создаваемого сетевого подключения
Рис. 12.12. Определение номера телефона, который необходимо использовать для подключения к серверу удаленного доступа
Далее необходимо определить, будет ли создаваемое подключение использоваться всеми пользователями данного компьютера или только текущим пользователем. В последнем окне необходимо щелкнуть на Finish (Готово), чтобы подключение было создано.
Подключения удаленного доступа
Концепция удаленного доступа предоставляет удаленным или мобильным пользователям возможность подключения к корпоративной вычислительной сети с целью получения доступа к ее ресурсам. Удаленный доступ используется всегда, когда отсутствует возможность соединения двух или более компьютеров через локальную сеть.
Порядок привязки протоколов
Как уже говорилось ранее, интерфейс сетевых драйверов NDIS позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров. Это становится возможным благодаря механизму "привязки" (binding) протоколов к имеющимся сетевым адаптерам. Привязка протокола к сетевому адаптеру фактически означает то, что данный протокол будет прослушиваться системой на указанном сетевом адаптере. В ситуации, когда к одному сетевому адаптеру привязано несколько протоколов, значимым является порядок их привязки. Так, для достижения наилучшей производительности первым в списке должен идти наиболее часто используемый протокол. Windows Server 2003 позволяет администратору управлять порядком привязки протоколов на уровне сетевых соединений.
Примечание
Поскольку на прослушивание каждого стека протоколов затрачивается некоторая часть системных ресурсов, рекомендуется устанавливать на компьютер только те сетевые протоколы, что действительно необходимы для работы.
Для изменения порядка привязки протоколов необходимо в меню Advanced (Дополнительно) выбрать пункт Advanced Settings (Дополнительные параметры). На вкладке Adapters and Bindings (Адаптеры и привязки) (рис. 12.6) необходимо выбрать конфигурируемое подключение и в окне Binding for... (Привязка для...) указать протокол, который требуется переместить в списке выше или ниже, и щелкнуть на кнопке со стрелкой вверх или вниз.
Дополнительно администратор может определить порядок, в соответствии с которым сетевые службы будут получать доступ к сети. Для этого необходимо перейти на вкладку Provider Order (Порядок поставщиков) (рис. 12.7). Службы будут использоваться в порядке их перечисления в поле Network provider (Сетевые поставщики). Выбрав поставщика, которого требуется переместить в списке выше или ниже, необходимо щелкнуть на кнопке со стрелкой вверх или вниз.
Рис. 12.6. Управление порядком привязки протоколов
Рис. 12.7. Управление порядком использования поставщиков
Примечание
Для изменения порядка привязки протоколов необходимы полномочия локального администратора.
Для примера рассмотрим следующую ситуацию. Допустим, для некоторого сетевого подключения установлены служба клиента сети Novell NetWare и служба клиента сети Microsoft Windows, использующих соответственно стеки протоколов IPX/SPX и TCP/IP. Допустим также, что рассматриваемое соединение наиболее часто используется для взаимодействия с сетью Microsoft Windows посредством стека протоколов TCP/IP. В этом случае службу клиента сети Microsoft (Microsoft Windows Network) необходимо поместить в начало списка служб. Необходимо также переместить в начало списка и привязку стека протоколов TCP/IP для компонента File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft).
Прямое подключение
При наличии физического соединения с другим компьютером через последовательный кабель или кабель прямого параллельного подключения (DirectParallel) можно создать так называемое прямое подключение (direct connection). Используя механизм прямых подключений, можно, например, объединить две (или более) физически не связанные сети, находящиеся в одном здании.
Самый простой способ соединения двух компьютеров заключается в использовании подключений по нуль-модемному кабелю RS-232C (кабель длиной до 15 м) через последовательный порт. Подключив кабель RS-232C к СОМ-портам сервера удаленного доступа и клиентского компьютера, можно предоставить последнему доступ к сети. Подобный сценарий вполне оправдан в ситуации, когда клиентский компьютер не имеет сетевого адаптера или встроенного модема.
Драйвер прямого параллельного порта также поддерживает соединения "компьютер-компьютер", используя стандартные и расширенные параллельные порты, соединенные параллельными кабелями разного типа.
Прямые подключения могут обходиться без аутентификации (для этого нужно настроить входящее подключение на ведомом компьютере). Это полезно для устройств, подобных palmtop-компьютерам.
Если пользователь имеет в системе полномочия администратора, то при создании прямого подключения ему будет предоставлен список устройств для выбора, включая параллельные порты данного компьютера, установленные и разрешенные порты инфракрасной связи и последовательные порты. Если пользователь вошел в систему как обычный пользователь, то при создании прямого подключения список устройств будет включать параллельные порты, установленные и разрешенные порты инфракрасной связи и только те последовательные порты, которые администратор сконфигурировал для использования с нуль-модемом. Если для прямого подключения требуется СОМ-порт, попросите администратора настроить один из коммуникационных портов на этом компьютере на работу с нуль-модемом, используя значок Phone and Modem Options (Телефон и модем) на панели управления (для этого нужно выбрать опцию ручного определения модема и указать тип кабеля, соединяющего компьютеры).
Чтобы создать прямое сетевое подключение, делающее компьютер ведомым (host), нужно иметь полномочия администратора. Ведущее (guest) прямое сетевое подключение не требует полномочий администратора.
Просмотр собранных данных
Сетевой монитор упрощает анализ данных, интерпретируя исходные данные, собранные в течение сеанса сбора данных, и отображая их в окне просмотра кадров (рис. 12.40).
Рис. 12.40. Окно просмотра кадров
Использование фильтра отображения. Как и фильтр сбора данных, фильтр отображения работает подобно запросу к базе данных, позволяя выделять информацию заданного типа. Поскольку фильтр отображения использует уже собранные данные, он не воздействует на содержимое буфера сбора данных сетевого монитора.
Фильтрация в соответствии с протоколом. При отображении собранных данных вся доступная информация о перехваченных кадрах появляется в окне просмотра кадров (Frame Viewer). Для отображения только кадров, представляющих какой-то специфический протокол, надо отредактировать строчку, задающую протокол, в диалоговом окне Display Filter (Фильтр отображения) (команда Display | Filter (Просмотр | Фильтр)).
Фильтрация по свойствам протокола. Свойства протокола — информационные элементы, которые определяют цель протокола. Поскольку цели протоколов различны, свойства меняются от одного протокола к другому.
Фильтрация по адресам компьютеров. При отображении сохраненных данных все адреса, информация от которых была перехвачена, появляются в окне просмотра кадров. Чтобы отобразить только кадры, отправленные с конкретного компьютера, надо отредактировать строчку Аnу<-->Аnу в диалоговом окне фильтра отображения.
Протокол РРР
Протокол РРР (Point-to-Point Protocol) рассматривается как стандартный способ организации взаимодействия клиентов с сервером удаленного доступа в среде Windows Server 2003. Реализация протокола РРР в Windows Server 2003 характеризуется следующими особенностями:
протокол РРР в среде Windows Server 2003 поддерживается как на стороне клиента, так и на стороне сервера. Фактически РРР является единственным протоколом удаленного доступа, поддерживаемым сервером удаленного доступа под управлением Windows Server 2003;
структура протокола РРР позволяет осуществлять настройку параметров транспортного протокола. Например, после установки соединения сервер удаленного доступа может выдать клиенту IP-адрес;
протокол РРР поддерживает несколько методов аутентификации (РАР, SPAP, CHAP, MS-CHAP, MS-CHAP v2 и ЕАР), а также сжатие и шифрование данных. Большинство реализаций РРР позволяет полностью автоматизировать последовательность входа в систему.
Поскольку протокол РРР является открытым стандартом, он может служить основой для организации удаленного доступа к корпоративной сети любых клиентов, использующих этот протокол.
Протокол РРР применяется в Windows Server 2003 по умолчанию. Сервер удаленного доступа Windows Server'2003, сконфигурированный на обслуживание входящих подключений, не требует каких-либо специальных настроек для поддержки входящих подключений с использованием протокола РРР. Если подключение сконфигурировано должным образом, запрос на подключение по протоколу РРР будет автоматически обработан сервером удаленного доступа. При использовании протокола РРР для подключения Windows Server 2003 к некоторому серверу удаленного доступа в большинстве случаев достаточно настроек по умолчанию и дополнительное конфигурирование не требуется. При необходимости администратор может по своему усмотрению настроить параметры протокола РРР как для исходящего, так и для входящего подключения.
Реализация протокола РРР, предложенная Microsoft, придерживается стандарта, определенного в RFC 1661. Рассмотрим последовательность установки соединения РРР. После начального соединения с удаленным сервером РРР производится следующий обмен информацией, необходимой для установки РРР-соединения:
Установка параметров соединения. На этой стадии стороны определяют конфигурацию устанавливаемого соединения (максимальный размер окна передачи, параметры компрессии передаваемых данных). Также стороны договариваются о выборе протокола, который будет использоваться позднее для аутентификации удаленного пользователя. Эта стадия осуществляется посредством специальных протоколов управления связью (Link Control Protocols, LCP). Протоколы управления связью (Link Control Protocols, LCP) устанавливают и настраивают кадрирование (framing) РРР. Кадрирование РРР определяет, как формируются данные перед передачей по глобальной сети. Стандарт кадрирования РРР гарантирует, что программное обеспечение удаленного доступа любых производителей может передавать и распознавать пакеты данных от любого программного обеспечения удаленного доступа, которое твердо придерживается стандартов РРР. Протокол РРР в Windows Server 2003 использует модификацию кадрирования HDLC (Высокоуровневое управление каналом передачи данных, High-level Data Link Control) для последовательного доступа или ISDN;
Аутентификация пользователя. Процесс аутентификации является одним из неотъемлемых этапов в процессе установки сетевого соединения, обусловленный требованиями безопасности. В случае удаленного доступа к сети требования к безопасности являются более жесткими, нежели в случае локального доступа. В Windows Server 2003 реализована поддержка целого ряда протоколов аутентификации, от передачи пароля пользователя в незашифрованном виде до аутентификации посредством специальных смарт-карт;
Обратный звонок (callback). Обратный звонок является необязательным этапом в процессе установки соединения посредством протокола РРР. Этот этап позволяет гарантировать подлинность клиента, устанавливающего подключение к серверу удаленного доступа, и может быть обусловлен требованиями безопасности. Сущность этого этапа заключается в следующем. Клиент обрывает соединение и ожидает звонка сервера удаленного доступа. Сервер удаленного доступа самостоятельно дозванивается до клиента и процесс установки соединения продолжается. Следует заметить, что для удаленного пользователя должен быть разрешен этап обратного звонка;
Установка параметров сетевых протоколов. Эта стадия реализуется посредством специальных протоколов управления сетью (Network Control Protocols, NCP). Протоколы NCP (табл. 12.3) служат для установления и настройки различных параметров сетевых протоколов (IP, IPX и AppleTalk) (параметры сжатия заголовков протокола и протоколы управления сжатием).
Таблица 12.3. Протоколы NCP
Протоколы | Описание |
IP Control Protocol (Протокол управления IP, IPC) |
Служит для конфигурирования, разрешения и запрещения модулей IP на обоих концах соединения |
IPX Control Protocol (Протокол управления IPX, IPXCP) |
Служит для конфигурирования, разрешения и запрещения модулей IPX на обоих концах соединения |
AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP) |
Служит для конфигурирования, разрешения и запрещения модулей AppleTalk на обоих концах соединения |
для соединения истек период простоя;
соединение было принудительно разорвано администратором;
произошла неустранимая ошибка связи.
Протокол SLIP
Межсетевой протокол для последовательного канала (Serial Line Internet Protocol, SLIP) представляет собой один из первых стандартов для удаленного доступа к сети, разработанный для подключения к серверам UNIX. Протокол SLIP может использоваться только клиентами удаленного доступа на базе Windows Server 2003 для подключения к UNIX-серверам. Сервер удаленного доступа под управлением Windows Server 2003 не поддерживает входящих подключений по протоколу SLIP. Фактически протокол SLIP в Windows Server 2003 реализован исключительно как средство обеспечения совместимости со старыми версиями UNIX-серверов.
Использование протокола SLIP связано с одним существенным ограничением. Данный протокол поддерживает работу только со стеком протоколов TCP/IP. Другими словами, клиенты, использующие стек протоколов NWLink (IPX/SPX) или AppleTalk, не могут использовать протокол SLIP для подключения к серверу удаленного доступа.
Работа с мастером Connection Manager Administration Kit Wizard
После запуска мастер Connection Manager Administration Kit Wizard предлагает администратору создать новый служебный профиль или отредактировать уже существующий. В случае создания нового профиля администратору потребуется ответить на ряд вопросов, определяющих конфигурацию клиента удаленного доступа. Не все параметры должны быть обязательно определены в служебном профиле. Администратор может задать только необходимые параметры, оставив для остальных значения по умолчанию или неопределенные значения.
В табл. 12.7 перечислены группы параметров, определяемые в процессе работы мастера.
Таблица 12.7. Параметры, определяемые с помощью мастера Connection Manager Administration Kit Wizard
Параметры | Описание | ||
Поддержка VPN | Администратор может разрешить на стороне клиента поддержку VPN-подключений. При этом требуется определить способ выбора VPN-сервера - будет ли осуществляться подключение всегда к одному серверу или пользователю будет разрешено выбирать сервер по своему усмотрению. Кроме того, администратор может определить настройки VPN-подключения | ||
Телефонная книга | Администратор определяет местоположение файла телефонной книги. Телефонная книга должна содержать записи о серверах удаленного доступа, которые клиент может использовать для подключения к корпоративной сети. Администратор может настроить автоматическое получение обновлений телефонной книги. В этом случае потребуется указать адрес, по которому клиент сможет получать эти обновления | ||
Настройки коммутируемого подключения | Администратор может определить настройки коммутируемого подключения | ||
Обновление таблицы маршрутизации | При необходимости администратор может внести изменения в таблицу маршрутизации клиента удаленного доступа | ||
Автоматическое конфигурирование настроек прокси-сервера | Если в корпоративной сети для доступа к Интернету используется прокси-сервер, администратор может включить в профиль файл автоматического конфигурирования прокси-сервера | ||
Обработчики событий | Администратор может включить обработку определенных событий, возникающих в процессе удаленного подключения. В качестве обработчиков событий могут быть использованы любые исполняемые файлы | ||
Корпоративная'симво-лика | Администратор может заменить стандартные заставки и значки утилиты Connection Manager фирменными логотипами | ||
Файл справки | Администратор может включить в состав профиля специально подготовленный файл справки | ||
Дополнительные файлы | В состав профиля могут быть включены дополнительные файлы (например, необходимые для работы обработчиков событий) | ||
Инсталляционные файлы Connection Manager | Если на клиенте отсутствует программное обеспечение Connection Manager, имеет смысл включить в состав профиля его инсталляционные файлы. При этом администратор может включить в состав профиля файл, содержащий специальное лицензионное соглашение |
Примечание
При необходимости администратор может выполнить расширенную настройку профиля, отредактировав содержимое файла <Имя_профиля>.cms при помощи любого текстового редактора. Следует заметить, что выполнение этой операции требует от администратора определенной квалификации.
Развертывание профиля
После получения профиля пользователь должен выполнить его развертывание, запустив исполняемый файл, содержащийся в профиле. Вся процедура развертывания требует минимального участия пользователя. По ее окончании в список доступных сетевых подключений пользователя будет добавлен новый элемент. При двойном щелчке на этом объекте будет запущена утилита Connection Manager. Точный вид окна определяется настройками профиля.
Рис. 12.37. Подключение, создаваемое с помощью утилиты Connection Manager
Если администратор включил в содержимое профиля информацию о полномочиях пользователя, последнему потребуется только нажать кнопку Connect для того, чтобы установить соединение с сервером (рис. 12.37). В противном случае пользователь должен предварительно указать имя своей учетной записи и сопоставленный ей пароль.
Сетевой монитор
Сетевые администраторы могут использовать утилиту Network Monitor (Сетевой монитор) для перехвата и отображения кадров (также называемых пакетами или фреймами) при обнаружении и решении проблем в локальных сетях. Например, с помощью сетевого монитора можно диагностировать аппаратные и программные проблемы в случае, если два (или более) компьютера не могут связаться друг с другом. Можно также зафиксировать (перехватить) сетевой трафик, а затем файл с полученными данными послать специалистам по сетям или организации, занимающейся поддержкой сети. Разработчики сетевых приложений могут использовать сетевой монитор для того, чтобы контролировать и отлаживать сетевые приложения во время разработки.
В Windows Server 2003 возможности сетевого монитора не изменились по сравнению с Windows 2000. Для установки монитора используются процедуры, описанные выше в разд. "Установка дополнительных сетевых компонентов". Для запуска монитора служит команда Network Monitor в меню Administrative Tools (Администрирование).
Сетевой монитор и безопасность
Из соображений безопасности сетевой монитор в Windows Server 2003 перехватывает только те кадры (включая широковещательные кадры и кадры группового вещания), которые посланы с локального компьютера или адресованы ему. Сетевой монитор также отображает полную сетевую статистику сегмента для широковещательных кадров, кадров многоадресного вещания, коэффициент использования сети, общее число байтов, полученных за секунду, и общее число кадров, полученных за секунду.
Утилита Network Monitor использует функциональные возможности спецификации NDIS для копирования всех обнаруженных кадров в буфер сбора данных (область памяти переменной длины, предназначенная для хранения данных). Процесс, в ходе которого сетевой монитор копирует кадры, называется фиксацией (перехватом).
Чтобы защитить сеть от несанкционированного использования инсталлированного сетевого монитора, сетевой монитор обеспечивает:
защиту с использованием пароля;
возможность обнаружить другие инсталляции сетевого монитора в локальном сегменте сети.
В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.
Сетевой мост (Network Bridge)
В Windows Server 2003 непосредственно на уровне операционной системы реализован механизм сетевого моста (network bridge). Наличие этого механизма устраняет необходимость в использовании специального аппаратного обеспечения. Сетевой мост позволяет рассматривать несколько физических сетевых сегментов как одну логическую IP-подсеть. Он позволяет объединить в единую логическую подсеть даже сетевые сегменты, использующие различные сетевые архитектуры (например, Ethernet и FDDI). В предыдущих версиях Windows единственной возможностью связать воедино несколько сетевых сегментов, и реализовать их взаимодействие была организация маршрутизации между ними. Однако маршрутизация предполагает помещение каждого сетевого сегмента в отдельную логическую IP-подсеть, что может быть нежелательно. В качестве другого варианта администратор может использовать для соединения сетевых сегментов специальный аппаратный мост.
Сетевой мост Windows Server 2003 упрощает процесс объединения отдельных сегментов сети. В приведенном на рис. 12.30 примере, сетевой мост объединяет два физических сегмента — сегмент "А" и "В".
Рис. 12.30. Использование сетевого моста
Следует понимать, что механизм сетевого моста реализован в Windows Sewer 2003 на программном уровне. Как следствие, он проигрывает в производительности специализированным аппаратным реализациям. Сетевой мост Windows Server 2003 может рассматриваться как альтернатива аппаратным мостам и маршрутизаторам в небольших сетях, насчитывающих несколько хостов. В крупных сетях с большим количеством хостов и подсетей, интенсивно взаимодействующих между собой, целесообразнее использовать аппаратный мост (или маршрутизатор).
Существует одно важное ограничение, связанное с механизмом сетевого моста. На одном компьютере может быть активизирован только один сетевой мост. При этом данный мост может связывать воедино любое количество сетевых подключений, активизированных на данном компьютере. Невозможно создать на одном компьютере два разных моста, работающих независимо друг от друга.
Внимание
Сетевой мост, активизированный для беспроводных подключений или IEEE-1394 соединений, допускает использование только протокола IPv4.
В случае, когда на компьютере активизирован механизм общего доступа к подключению Интернет (ICS), следует соблюдать осторожность в использовании сетевого моста. Допускается активизация сетевого моста для закрытой (private) части общего подключения. Если мост активизировать для открытой (public) части общего подключения, корпоративная сеть окажется абсолютно незащищенной от любых вторжений извне.
Для активизации сетевого моста в окне Network Connections необходимо выбрать интересующие подключения и, вызвав контекстное меню, выбрать пункт Bridge Connections (Связать подключения). Совершенно очевидно, что для создания моста должны быть выбраны как минимум два сетевых подключения. По окончании процесса создания моста в списке сетевых подключений появится значок, обозначающий мост (рис. 12.31).
Рис. 12.31. Сетевой мост
Внимание
Интерфейсы, для которых необходимо создать сетевой мост, не должны быть задействованы в работе механизмов Internet Connection Sharing и Internet Connection Firewall. Кроме того, запрещается использовать для создания сетевого моста интерфейсы, задействованные в работе механизма NAT.
После того как мост создан, настройки всех входящих в него подключений сбрасываются. При этом все сетевые подключения, образующие мост, рассматриваются как принадлежащие к одной подсети. Большинство свойств подключения конфигурируется однообразно через свойства моста. Задать эти свойства администратор может, открыв окно свойств моста. Список подключений, связываемых мостом, перечисляется в поле Adapters (Адаптеры) на вкладке General (Общие) окна свойств (рис. 12.32).
Рис. 12.32. Окно свойств моста
При необходимости администратор может отключить мост. Для этого нужно в контекстном меню моста выбрать пункт Disable (Отключить). Чтобы снова активизировать мост, необходимо в контекстном меню выбрать значение Enable (Включить).
Внимание
Механизм сетевого моста доступен только в Windows Server 2003, Standard Edition и Windows Server 2003, Enterprise Edition. Этот механизм недоступен в Windows Server 2003, Web Edition и Windows Server 2003, Datacenter Edition, a также в 64-разрядных редакциях Windows Server 2003.
Сетевые протоколы
Набор соглашений и правил, регламентирующих порядок взаимодействия отдельных компонентов сети, называется протоколом. Протокол представляет собой согласованный способ обмена информацией между хостами. При этом под хостом понимается любое сетевое устройство (не только компьютер), способное выступать источником или получателем данных. Выделяют протоколы аппаратные и программные. Аппаратные протоколы регламентируют правила функционирования сетевых устройств. Программные протоколы регламентируют порядок взаимодействия компонентов сетевого программного обеспечения.
Работая совместно, протоколы реализуют уровень или уровни модели OSI. Каждый протокол обрабатывает свою часть процесса сетевого взаимодействия, имеет собственные правила и требования. В этом случае набор протоколов, функционирующих как единое целое на всех уровнях модели OSI, называется стеками протоколов.
В зависимости от задач, на решение которых ориентирован тот или иной протокол, он может быть отнесен к одной из множества категорий. Перечислим некоторые категории протоколов.
Транспортные протоколы. Протоколы, регламентирующие порядок передачи данных между сетевыми устройствами. Эти протоколы образуют "каркас" сети, реализуя транспортный механизм. К данной категории можно отнести протоколы: IP, TCP, IPX, SPX, X.25.
Протоколы аутентификации. Протоколы этой категории позволяют организовать процесс аутентификации пользователей и устройств, участвующих в сетевом взаимодействии. К этой категории относятся протоколы Kerberos, RADIUS.
Протоколы маршрутизации. Для реализации межсетевого взаимодействия используются устройства, получившие название маршрутизаторов. Для принятия решения о доставке пакета, маршрутизатор использует специальные таблицы маршрутизации. Протоколы маршрутизации используются маршрутизаторами для построения подобных таблиц (протоколы RIP, OSPF, IS-IS, ВОР).
Протоколы обеспечения безопасности передачи данных. К этой группе относятся протоколы туннелирования и протоколы шифрования данных: например, SSL, PPTP, L2TP.
Вспомогательные протоколы. Эта группа протоколов реализует вспомогательные сетевые сервисы — DHCP, HTTP, FTP.
Соответственно, проводить обзор сетевых протоколов имеет смысл только в рамках определенной задачи. В данной главе мы в первую очередь рассмотрим транспортные протоколы и протоколы удаленного доступа.
Служебные профили
Преимущество использования служебных профилей, созданных при помощи мастера Connection Manager Administration Kit Wizard, заключается в том, что от пользователя требуется минимальное участие в процессе подключения к корпоративной сети. Весь процесс создания и настройки подключения выполняется диспетчером автоматически. При этом администратор может конфигурировать диспетчер по своему усмотрению, предоставлять или запрещать пользователям определенные функциональные возможности. Администратор может обязать пользователя использовать определенные механизмы обеспечения безопасности, а также автоматизировать некоторые процессы, связанные с ее обеспечением (в первую очередь это касается централизованного изменения разделяемых ключей).
Механизм служебных профилей представляет собой мощное средство централизованного управления настройками клиентов удаленного пользователя. Особенно этот механизм эффективен в ситуации, когда администратору необходимо иметь дело с большим количеством пользователей, не обладающих квалификацией достаточной для того, чтобы выполнить настройку сетевых подключений самостоятельно. Используя механизм служебных профилей, администратор может быть уверен в том, что клиент удаленного доступа у таких пользователей будет настроен корректно и в точном соответствии с корпоративной политикой безопасности.
Сохранение записанных данных
Перехваченные данные из буфера сбора данных записываются для сохранения в файл перехвата данных (с расширением cap). Необходимо сохранять собранные данные в следующих случаях:
перед запуском другого процесса сбора данных (чтобы предотвратить потерю собранных данных);
когда данные будут проанализированы позже;
когда требуется задокументировать использование сети или возникшей проблемы.
Создание сетевых подключений
После того как нами были рассмотрены основные поддерживаемые протоколы, мы можем перейти к более подробному разговору о процессе создания различных типов сетевых подключений.
Создание служебных профилей
Для создания служебного профиля используется специальный мастер Connection Manager Administration Kit Wizard. Этот мастер не устанавливается по умолчанию. Если администратор планирует использовать в сети утилиту Connection Manager, он должен самостоятельно установить этот компонент на одном из серверов. Мастер Connection Manager Administration Kit Wizard следует рассматривать как инструмент для создания служебных профилей. Поэтому не имеет значения, на каком конкретно сервере этот мастер будет установлен.
Стек протоколов AppleTalk
Специально для поддержки клиентов Apple Macintosh в Windows Server 2003 реализован стек протоколов AppleTalk. Используя стек протоколов AppleTalk, приложения и процессы могут передавать данные и обмениваться информацией, а также совместно использовать ресурсы, например принтеры и файловые серверы. Удаленный доступ к Windows Server 2003 по протоколу AppleTalk реализуется посредством протоколов ARAP (AppleTalk Remote Access Protocol) и АТСР (AppleTalk Control Protocol).
Протокол AppleTalk устанавливается автоматически вместе со службами File Services for Macintosh и Print Services for Macintosh.
Протокол ARAP представляет собой протокол коммутируемого соединения для компьютеров Apple Macintosh. Пользователи Macintosh с помощью ARAP могут удаленно подключаться к компьютеру с поддержкой AppleTalk под управлением Windows Server 2003 и получать доступ к файловым томам Macintosh и принтерам AppleTalk. Поддерживаются клиенты удаленного доступа AppleTalk (AppleTalk Remote Access client) версий 1.0, 2.x и 3.x.
При помощи АТСР клиенты Macintosh могут работать с сетевым протоколом AppleTalk поверх РРР, а удаленный пользователь может получить доступ к веб-серверам поверх TCP/IP, печатать документы на принтерах AppleTalk, а также соединяться с файловым сервером Macintosh (по TCP/IP или AppleTalk) по коммутируемому РРР-соединению.
Стек протоколов NWLink
Стек протоколов IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) представляет собой фирменный стек протоколов, разработанный корпорацией Novell специально для операционной системы NetWare. Поскольку данный стек протоколов является патентованным, корпорация Microsoft разработала собственный стек протоколов, совместимый с IPX/SPX. Созданный Microsoft стек протоколов получил название NWLink (на него часто также ссылаются как на IPX/SPX-совместимый стек протоколов).
Хотя NWLink является IPX/SPX-совместимым протоколом, он построен в соответствии с архитектурой Windows. Оригинальный стек протоколов IPX/SPX базируется на продвигаемом компанией Novell открытом сетевом интерфейсе, обеспечивающем возможность привязывать к сетевой карте более одного протокола, — Open Data-Link Interface (ODI). В семействе операционных систем Windows Microsoft реализовала собственный стандарт интерфейса сетевых драйверов (Network Driver Interface Specifications, NDIS). Архитектура стека протоколов NWLink предполагает взаимодействие с интерфейсом NDIS.
Внимание
В отличие от Windows 2000 Server, системы Windows Server 2003 не поддерживают маршрутизацию протокола IPX (т. е. пересылку трафика IPX, использование Routing Information Protocol (RIP) for IPX, поддержку Service Advertising Protocol (SAP) в качестве агента маршрутизации и рассылку широковещательных пакетов "NetBIOS over IPX") и его использование для входящих подключений; в Windows Server 2003 также отсутствует служба Gateway Service for NetWare. Протокол IPX можно выбирать только для исходящих подключений в папке Network Connections.
Использование стека протоколов NWLink в среде Windows Server 2003 имеет свои особенности. Прежде всего, следует заметить, что для доступа к ресурсам операционной системы Novell NetWare одного стека протоколов NWLink. На компьютере, находящемся под управлением Windows Server 2003, должен быть также установлен редиректор (redirector) для сетей NetWare — Служба клиента для сетей NetWare (Client Service for NetWare, CSNW).
Если администратору необходимо организовать доступ к ресурсам NetWare без установки протокола NWLink, необходимо использовать специальную Службу шлюза для сетей NetWare (Gateway Service for NetWare, GSNW), поставляемую в составе Windows 2000 Server; в Windows Server 2003 эта служба отсутствует.
Стек протоколов TCP/IP
Стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol) является основой глобальной сети Интернет, что обеспечило ему широкую популярность. Его гибкость и возможности маршрутизации трафика позволяют использовать его в сетях различного масштаба (начиная небольшой локальной сетью и заканчивая глобальной корпоративной сетью).
Стек протоколов TCP/IP представляет собой набор сетевых протоколов, регламентирующих все стороны процесса взаимодействия сетевых устройств. Этот стек протоколов основан на открытых спецификациях. Благодаря этому реализации данного стека протокола различными производителями совместимы между собой. В частности, реализация TCP/IP, предложенная Microsoft в рамках семейства операционных систем Windows, позволяет осуществлять взаимодействие с системами, находящимися под управлением ОС, созданных не фирмой Microsoft (например, UNIX).
Можно выделить следующие достоинства стека протоколов TCP/IP:
в рамках стека реализована стандартизованная схема маршрутизации, являющаяся наиболее полным и доступным общепринятым механизмом маршрутизации сетевого трафика. Практически все современные операционные системы поддерживают TCP/IP (даже Novell признала первенство стека протоколов TCP/IP и реализовала его поддержку в своем семействе операционных систем NetWare). Практически все корпоративные сети строятся с использованием стека TCP/IP;
технология объединения разнородных систем. В рамках стека TCP/IP доступно множество стандартных утилит для организации взаимодействия и передачи данных между разнородными системами, включая протокол передачи файлов FTP и протокол эмуляции терминала (Telnet). Некоторые стандартные утилиты поставляются непосредственно с Windows Server 2003;
технология, позволяющая подключать сеть или одиночный компьютер к глобальной сети Интернет. Поскольку Интернет функционирует на базе стека протоколов TCP/IP, поддержка компьютером этого стека является одним из обязательных требований при подключении его к этой сети. Реализованный в рамках стека протокол РРР, протокол туннелирования РРТР и архитектура Windows Sockets обеспечивают необходимую основу для организации подключения к Интернету и использования всех его служб;
основа для организации устойчивого, масштабируемого, межплатформенного, клиент-серверного взаимодействия. В TCP/IP поддерживается интерфейс Windows Sockets, который является реализацией в среде Windows широко распространенного интерфейса Berkeley Sockets, используемого для создания сетевых приложений.
Реализация стека протоколов TCP/IP в Windows Server 2003
В Windows Server 2003 реализована поддержка основных протоколов стека TCP/IP, включая протокол управления передачей (TCP), протокол Интернета (IP), протокол пользовательских датаграмм (UDP), протокол разрешения адресов (ARP), протокол управляющих сообщений Интернета (1СМР), а также протокол управлениями группами Интернет (IGMP). Реализация стека протоколов TCP/IP включает в себя базовые утилиты TCP/IP, в том числе Finger, Ftp, Lpr, Rep, Rexec, Rsh, Telnet и Tftp. Эти утилиты позволяют пользователям, работающим в Windows Server 2003, использовать ресурсы и взаимодействовать с компьютерами под управлением операционных систем сторонних производителей (например, операционные системы семейства UNIX). В распоряжении администратора имеется также целый ряд диагностических утилит TCP/IP, включая Arp, Hostname, Ipconfig, Lpq, Nbtstat, Netstat, Ping, Route и Tracert. Системные администраторы могут использовать эти утилиты, чтобы обнаружить и решить проблемы работы с сетями TCP/IP.
Внимание
В Windows Server 2003 протокол TCP/IP устанавливается по умолчанию и не может быть удален или переустановлен. Если возникает необходимость сбросить установки TCP/IP, то следует использовать утилиту командной строки Netsh.exe.
Следует заметить, что разработанные в ходе развития стека TCP/IP спецификации охватывают различные стороны сетевого взаимодействия. Не все они реализованы в рамках стека протоколов TCP/IP, предложенного Microsoft в Windows Server 2003. Реализация стека протоколов TCP/IP в Windows Server 2003 имеет следующие характерные особенности:
поддержка окна передачи большого размера. Эта возможность улучшает производительность TCP/IP в случае, когда передается большое количество данных или не требуется передача подтверждения при связи между двумя компьютерами в течение длительного периода времени. В случае взаимодействия на базе протокола TCP окно (максимальное число пакетов, переданных в виде непрерывного потока до первого пакета подтверждения) обычно имеет фиксированный размер и устанавливается в начале сеанса связи между принимающим и передающим компьютерами. С поддержкой больших окон фактический размер окна может быть динамически вычислен повторно и соответственно увеличен в течение более длинных сеансов. Это позволяет передать большее количество пакетов данных за один раз и увеличивает эффективную полосу пропускания;
размер окна передачи устанавливается локальным сетевым адаптером. Данная возможность позволяет устанавливать размер окна передачи сетевым адаптером в соответствии с имеющейся пропускной способностью сети. Например, в ситуации, когда компьютер подключен к Интернету посредством модемного соединения, размер окна передачи будет значительно меньше, чем в случае соединения с локальной вычислительной сетью. Применительно к серверу удаленного доступа описываемая возможность позволяет уменьшить размер очереди пакетов и, как следствие, увеличить эффективность устанавливаемых соединений;
выборочные подтверждения. Эта возможность позволяет сетям быстро восстанавливать свою работоспособность после возникновения сетевых конфликтов или временного сбоя в физической среде. Получатель может выборочно подтверждать или требовать повторную передачу у отправителя только для тех пакетов, которые были опущены или повреждены во время передачи данных. В предыдущих реализациях TCP/IP, если компьютер-получатель не смог получить одиночный TCP-пакет, отправитель был вынужден повторно передавать не только поврежденный или отсутствующий пакет, но и всю последовательность пакетов, идущую после неподтвержденного пакета. С новой возможностью будут повторно посланы только действительно поврежденные или пропущенные пакеты. Это приводит к передаче меньшего количества пакетов, т. е. к лучшему использованию сети;
лучшая оценка времени кругового пути (Round Trip Time, RTF). Эта возможность повышает эффективность стека протоколов TCP/IP, позволяя точно оценивать время, затрачиваемое на путешествие пакета туда и обратно (RTT) между двумя хостами сети. (RTT — количество времени, которое требуется для кругового прохождения пакета между отправителем и получателем по установленному TCP-соединению.) Повышение точности оценки RTT позволяет установить более точное значение тайм-аута, до истечения которого компьютеры не будут перезапрашивать пакет. Лучшая синхронизация приводит к повышению эффективности работы в сетях с большими значениями RTT (например, в глобальных сетях), покрывающих большие расстояния (нередко целые континенты), или при использовании TCP/IP в беспроводных или спутниковых каналах;
поддержка протокола IPv6. Протокол IPv6 представляет собой новую версию протокола IP (старая версия протокола получила название IPv4). Новая версия протокола позволяет преодолеть ограничения и недостатки, характерные для протокола IPv4;
поддержка механизмов маршрутизации. Реализация стека протоколов TCP/IP в Windows Server 2003 включает в себя механизмы маршрутизации. Благодаря этому компьютер под управлением Windows Server 2003 может выступать в качестве маршрутизатора, соединяя между собой две или более подсетей;
возможность назначения одного IP-адреса нескольким сетевым адаптерам (создание так называемого подключения типа "сетевой мост", network media bridge). Например, компьютер может иметь два сетевых подключения (одно посредством модема с телефонной линией, а второе посредством сетевого адаптера к беспроводной сети). При этом другие компьютеры, подключаясь по телефонной линии к данному компьютеру, могут через мост осуществлять взаимодействие с компьютерами, подключенными к беспроводной сети;
встроенный брандмауэр. Непосредственно на уровне операционной системы реализован простейший брандмауэр подключений к Интернету (Internet Connection Firewall, ICF). Встроенный брандмауэр представляет собой службу, осуществляющую фильтрацию информации, поступающей
из глобальной сети Интернет. Служба пропускает только разрешенные администратором типы пакетов и отбрасывает все остальные;
поддержка служб просмотра сети (browser service), позволяющая осуществлять поиск ресурсов в сложных IP-сетях.
Помимо транспортных протоколов, задача которых сводится исключительно к организации сетевого взаимодействия, в Windows Sewer 2003 реализован целый ряд служб, без которых на сегодняшний день трудно представить сетевую инфраструктуру современного предприятия:
службы Интернета (Internet Information Services, IIS);
служба DHCP для автоматического конфигурирования TCP/IP;
служба WINS (Windows Internet Name Service) для разрешения NetBIOS-имен в IP-адреса;
служба доменных имен ( Domain Name Service, DNS) для разрешения доменных имен в IP-адреса;
службы печати для доступа через TCP/IP к принтерам, подключенным к UNIX-системам, или к принтерам, подключенным непосредственно к сети;
агент простого протокола управления сетью (Simple Network Management Protocol, SNMP). Протокол SNMP был разработан как средство реализации централизованного управления разнообразными сетевыми устройствами посредством специализированного программного обеспечения (например, Sun Net Manager или HP Open View);
серверное программное обеспечение для простых сетевых протоколов, включая генератор символов (Chargen), Daytime, Discard, Echo и Quote of The Day. Эти протоколы позволяют компьютеру под управлением Windows Server 2003 отвечать на запросы других систем, поддерживающих эти протоколы.
Примечание
Реализация стека протоколов TCP/IP в Windows Server 2003 не включает полный набор утилит TCP/IP или серверных служб (которые традиционно называются демонами, daemons). Тем не менее, существует множество прикладных программ и утилит такого рода, совместимых с реализацией TCP/IP производства Microsoft из состава Windows Server 2003, — как свободно распространяемых, так и сторонних производителей.
Архитектура стека протоколов TCP/IP в Windows Server 2003
Рис. 12.5 позволяет получить представление об архитектуре стека протоколов. TCP/IP, реализованного в рамках операционной системы Windows Server 2003. Условно можно выделить четыре уровня данной реализации.
Уровень приложений. На этом уровне функционируют приложения, нуждающиеся в доступе к сети. При этом приложения для обращений к сети могут использовать любой из поддерживаемых системой прикладных интерфейсов.
Рис. 12.5. Архитектура стека протоколов TCP/IP в Windows Server 2003
Уровень прикладных интерфейсов. Прикладные интерфейсы представляют собой стандартизированные точки доступа к сетевым компонентам операционной системы. Операционной системой Windows Sewer 2003 поддерживается целый ряд разнообразных прикладных интерфейсов (NetBIOS, WNET/WinNET, Windows Socket, RFC). Прикладные интерфейсы взаимодействуют с транспортными протоколами через интерфейс транспортного драйвера (Transport Driver Interface, TDI).
Реализация транспортных механизмов. На этом уровне функционируют транспортные протоколы, отвечающие за упаковку сетевых запросов к приложениям в соответствующие форматы и отправку этих запросов на соответствующий сетевой адаптер посредством интерфейса сетевых драйверов (Network Driver Interface Specifications, NDIS).
Интерфейс сетевых драйверов. Интерфейс сетевых драйверов позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров. Благодаря этому интерфейсу множество протоколов могут совместно использовать один сетевой адаптер.
В Windows Server 2003 реализована спецификация NDIS 5.1. Ниже перечислены характерные особенности данной версии этого интерфейса.
Поддержка данных, передаваемых вне полосы пропускания (используется в широкополосной передаче).
Расширение для средств Wireless WAN.
Высокоскоростные передача и прием пакетов (что приводит к значительному повышению производительности).
Расширение для средств высокоскоростных портов инфракрасной передачи IrDA.
Автоматическое определение среды (это требуется для получения эмблемы "Разработано для Windows" в соответствии с руководством по построению аппаратных средств спецификации РС'98).
Фильтрация пакетов (предотвращает монопольный захват процессора утилитой Сетевой монитор (Network Monitor)).
Многочисленные новые системные функции интерфейса NDIS (требуются для двоичной совместимости мини-порта Windows 95 и Windows NT).
Управление питанием NDIS (требуется для сетевого управления питанием и включения компьютера через сеть).
Поддержка технологии Plug and Play.
Поддержка инструментария управления Windows (Windows Management Instrumentation, WMI), что обеспечивает создание совместимых с WBEM (Управление предприятием на основе технологии Web) средств управления аппаратурой мини-портов ND1S и связанных с ними адаптеров.
Поддержка единого формата INF для всех операционных систем Windows. Новый формат INF основан на формате 1NF, принятом в Windows 95.
Механизмы разгрузки процессора для служебных процессов типа расчета контрольной суммы пакетов протоколов TCP и UDP, а также для быстрой пересылки пакетов.
Расширение для средств широковещания (необходимо для широковещательных служб в Windows).
Поддержка механизмов установления логического соединения (требуется для сетей ATM и ADSL, а также для работы WDM-CSA (Windows Driver Model-Connection Streaming Architecture) — модели драйвера потоковой архитектуры соединения для Windows поверх всех сред с установлением логического соединения).
Поддержка для реализации служб качества обслуживания (Quality of Service, QoS).
Поддержка промежуточных драйверов (требуется для широковещания PC, виртуальных ЛВС, планирования пакетов для QoS и для поддержки сетевых устройств IEEE-1394).
Интерфейс Windows Socket 2
Интерфейс Windows Socket 2 (достаточно часто можно встретить другое название — WinSock 2) представляет собой реализованный в Windows интерфейс сокетов, разработанный в Университете Беркли. Данный интерфейс выступает в качестве связующего звена между приложениями и транспортным механизмом. Формат сокета зависит от протокола. Применительно к TCP/IP сокет представляет собой комбинацию информации об адресе хоста и номере порта. Для каждого сокета эта комбинация является уникальной.
Обеспечивая полную совместимость с предыдущей версией, Windows Socket 2 расширяет первоначальную реализацию интерфейса. Его характеризуют:
улучшенная эффективность работы;
дополнительная поддержка разрешения имен;
параллельный доступ к нескольким сетевым транспортам;
поддержка процедур управления качеством обслуживания (QoS);
поддержка многоточечного и многоадресного вещания.
В дополнение к поддержке доступа к нескольким сетевым транспортам и механизмам разрешения имен, по сравнению со спецификацией WinSock 1.1, изменилась и архитектура Windows Sockets 2, которая теперь включает два основных уровня: уровень динамических библиотек (DLL), обеспечивающих интерфейс Windows Sockets API, и уровень поставщиков услуг, располагающихся ниже библиотек API и взаимодействующих с ними через интерфейс поставщика услуг (Service Provider Interface, SPI). Описание Windows Sockets 2 включает три отдельных спецификации: описание Windows Sockets 2 API, описание Windows Sockets 2 SPI и приложение (Appendix), определяющие особенности протокола транспортного уровня.
DLL-библиотека Windows Sockets 2 (WS2-32.DLL) включает все API, используемые разработчиками приложений. Она включает существующий Windows Sockets 1.1 API, а также новый API для расширенных средств обмена данными и API обобщенной службы имен. Многие поставщики теперь предлагают параллельный доступ к их собственным транспортам, создавая DLL-библиотеку поставщика услуг, соответствующую спецификации Windows Sockets 2 SPI. Это означает, что можно разработать приложение, обращающееся через новый прикладной интерфейс, например, к TCP/IP и IPX/SPX одновременно.
Интерфейс поставщика услуг позволяет обращаться к нескольким службам разрешения имен (Name Resolution Services) через единый API. Поскольку производители поставляют программные модули уровня поставщика услуг для DNS, для службы каталогов NetWare (NDS) и Х.500 все их функции разрешения имен будут доступны через API пространства имен Windows Sockets 2.
Протокол IPv6
Начальная версия протокола IP (ее принято называть IPv4) разрабатывалась несколько десятилетий назад. Хотя при разработке этого протокола исходили из возможного развития сетевой инфраструктуры в будущем, протоколу IPv4 свойственен ряд ограничений.
Ограниченное адресное пространство. Стремительный рост Интернета выявил одно из самых ощутимых ограничений — нехватку IP-адресов. По оценкам специалистов, заложенное в рамках архитектуры протокола IPv4 количество IP-адресов приблизительно равно количеству хостов Интернета. Уже в ближайшем будущем все доступные IP-адреса будут задействованы. Для дальнейшего развития Интернета необходимо предложить и задействовать новый способ адресации хостов.
Сложность конфигурации. Версия протокола IPv4 предусматривает только два способа определения конфигурации протокола: ручная настройка либо использование службы автоматической конфигурации хостов DHCP. В случае большого количества хостов возникает потребность в механизме конфигурации хостов, требующем минимального участия со стороны администратора.
Недостаточная защищенность. При взаимодействии хостов через открытые сети (какой является, например, Интернет) данные передаются в открытом виде. Существуют различные механизмы защиты сетевого трафика на разных уровнях OSI модели. Специалистами был разработан протокол шифрования данных на сетевом уровне, получивший название протокола IP Security (IPSec). Однако использование этого протокола носит опциональный характер.
Отсутствие механизмов управления качеством обслуживания (Quality of Service, QoS). Развитие информационных технологий предъявляет жесткие требования к сетевому транспорту (особенно при передаче потоковых данных — таких, например, как голос и изображение). Хотя имеются механизмы, позволяющие управлять качеством обслуживания и в рамках протокола IPv4, существующий формат заголовка IP-пакета имеет ограниченную функциональность.
Указанные ограничения удалось преодолеть в новой версии протокола IP, получившего название IPv6. Для этого протокола сетевого уровня можно выделить характерные особенности, перечисленные ниже.
Новый формат заголовка IP-пакета. В новой версии протокола IP существенным образом был переработан формат заголовка пакета с целью повышения эффективности его обработки сетевыми устройствами. Следует заметить, что заголовок 1Ру6-пакета не совместим обратно с заголовком IРv4-пакета. Поэтому в случае использования в сети обеих версий протоколов сетевое устройство (такое, например, как маршрутизатор) должно поддерживать обе версии протокола.
Увеличенное адресное пространство. Протокол IPv4 использует 32-битные адреса. В протоколе IPv6 используются 128-битные IP-адреса (что составляет 2128 возможных адресов). Имеющееся количество IP-адресов достаточно как для построения открытых сетей, так и для реализации корпоративных сетей. Благодаря этому, в частности, отпадает необходимость в механизмах трансляции адресов (NAT).
Иерархическая инфраструктура адресации и маршрутизации. Схема адресации, используемая в IPv6, позволяет упростить процесс построения таблиц маршрутиазции, используемых маршрутизаторами для определения пути доставки пакета.
Новый механизм конфигурации хостов. Протокол IPv6 поддерживает как традиционные способы конфигурации хостов (ручной и с использованием DHCP), так и новые способы конфигурации, не требующие участия DHCP-сервера. В последнем случае хост может определить собственную конфигурацию, основываясь на информации о настройках ближайшего маршрутизатора, либо использовать конфигурацию по умолчанию.
Встроенный механизм обеспечения безопасности. Поддержка протокола IPSec является одним из обязательных условий функционирования протокола IPv6.
Улучшенная поддержка механизмов управления качеством сервиса. Новый формат заголовка изначально ориентирован на работу механизмов управления качеством обслуживания (QoS).
Новый протокол взаимодействия с соседними хостами. Протокол обнаружения соседних хостов (Neighbor Discovery Protocol) представляет собой набор ICMP-сообщений, который регламентирует процесс взаимодействия хоста с его соседями. Этот протокол соответственно заменяет протоколы ARP, ICMPv4 Router Protocol и ICMPv4 Redirect.
Применительно к реализации IPv6 в Windows Server 2003 следует заметить, что данная версия протокола поддерживается разнообразными службами TCP/IP. В частности, служба DNS может быть использована для регистрации хостами своих доменных имен и, в последующем, для разрешения этих имен в соответствующие 1Ру6-адреса.
Протокол IP Security
Протокол IP Security (или как его еще называют — IPSec) разработан с целью реализации защищенного обмена данными по протоколу IP. При этом протокол IPSec позволяет администратору решить следующие задачи обеспечения безопасности:
обеспечение конфиденциальности передаваемых данных;
контроль доступа;
обеспечение целостности передаваемых данных;
защита от повторения;
подтверждение подлинности данных.
Протокол IPSec функционирует на сетевом уровне модели OSI. Принцип работы протокола сводится к созданию защищенного туннеля между двумя хостами, осуществляющими обмен данными через открытые сети. Поскольку процесс шифрования требует привлечения значительных вычислительных ресурсов, в структуре протокола IPSec выделяют два уровня обеспечения безопасности передаваемых данных.
Создание защищенного заголовка IP-пакета (Authentication Header, АН). Данный уровень предполагает защиту заголовка передаваемого пакета. В случае использования только этого уровня собственно данные пакета передаются в открытом, незащищенном виде. Тем не менее, данный уровень наиболее оптимален в ситуации, когда конфиденциальность передаваемых данных не является критически важной. Уровень обеспечения безопасности АН позволяет гарантировать целостность данных, подтверждение подлинности их происхождения, а также защиту от повторений.
Инкапсуляция содержимого пакета (Encapsulated Security Payload, ESP). На этом уровне реализуется защита содержимого пакета путем его шифрования. На уровне обеспечения безопасности ESP гарантируется конфиденциальность передаваемых данных, их целостность, подлинность их происхождения, а также защита от повторения.
В основе работы этого протокола лежит сразу несколько криптографических алгоритмов:
системы шифрования с симметричным ключом шифрования (алгоритм DES);
системы шифрования с открытым ключом;
алгоритм открытого распределения ключей;
алгоритмы хэширования (MD5).
Рекомендации по настройке стека протоколов TCP/IP
Дадим несколько общих рекомендаций касательно настройки хоста, работающего в сетях на базе стека протоколов TCP/IP. Настройка хоста сводится к определению следующих параметров.
IP-адрес хоста. Каждый хост в среде TCP/IP должен иметь уникальный IP-адрес. Если хост имеет несколько сетевых соединений, для каждого из них (в том числе и использующих телефонные линии и подключенных к серверу удаленного доступа) должен быть выделен свой IP-адрес. Этот адрес может быть статически назначен администратором или выделен динамически службой DHCP.
Определение метода разрешения символических имен. Windows Server 2003 поддерживает четыре способа разрешения символических имен в IP-адреса: службу доменных имен (Domain Name System, DNS), службу интернет-имен Windows (Windows Internet Name System, WINS), широковещательное разрешение имен и разрешение имен с помощью файлов HOSTS и LMHOSTS.
Отдельно следует рассмотреть методы разрешения имен в. ситуации, когда клиент подключается к серверу удаленного доступа. В этом случае клиент может использовать для разрешения имен те же серверы имен WINS и DNS, что назначены серверу удаленного доступа. Разумеется, параметры стека протоколов TCP/IP и телефонного подключения хоста могут отменить эти настройки по умолчанию.
В небольших сетях, где IP-адреса изменяются крайне редко или не изменяются вообще, сетевые подключения могут использовать файлы HOSTS или LMHOSTS для разрешения имен. Поскольку эти файлы размещены на локальном диске, не требуется передавать запрос на разрешение имен серверу WINS или серверу DNS и ждать ответ на этот запрос через телефонное подключение. Как следствие, сокращается время, необходимое для подключения к требуемому ресурсу.
Типы сетевых подключений
Типы сетевых подключений, поддерживаемых Windows Server 2003, перечислены в табл. 12.1.
Таблица 12.1. Типы сетевых подключений
Тип подключения | Технология связи | Пример | |||
Подключение к локальной сети (Local area connection) | Ethernet, xDSL, FDDI, IP no ATM, системы беспроводной связи, Е1/Т1 и т. п. | Типичный корпоративный пользователь | |||
Телефонное, или коммутируемое, подключение (Dial-up connection) | Модем, ISDN, X.25 | Соединение с корпоративной сетью или Интернетом с использованием модемного подключения | |||
Подключение в рамках виртуальной частной сети (Virtual Private Network connection) | Виртуальные частные сети по протоколам РРТР или L2TP, объединяющие или Подключающие к корпоративным сетям через Интернет или другую сеть общего пользования (public network) | Защищенное соединение удаленных филиалов корпорации через Интернет | |||
Прямое подключение (Direct Connection) | Соединение нуль-модемным кабелем через последовательный порт (СОМ-порт), инфракрасная связь, параллельный кабель (DirectParallel) | Соединение двух ноутбуков через интерфейсы инфракрасной связи | |||
Входящее подключение (Incoming connection) | Коммутируемая связь, VPN или прямое подключение | Подключение к удаленному компьютеру или корпоративному серверу удаленного доступа |
Следует заметить, что из всех перечисленных в таблице типов только подключение к локальной сети создается системой автоматически. В процессе загрузки Windows Server 2003 автоматически обнаруживает установленные сетевые адаптеры и для каждого сетевого адаптера создает соответствующее сетевое подключение. В случае если на компьютере установлено более одного сетевого адаптера, администратор может устранить возможный беспорядок в именах подключений, переименовав каждое локальное подключение в соответствии с функциональным назначением или расположением сети, с которой это соединение связывает компьютер.
Требования, предъявляемые к клиентам удаленного доступа
Созданные служебные профили могут использоваться для конфигурирования клиентов удаленного доступа, находящихся под управлением любых операционных систем семейства Windows. На клиенте должен быть установлен браузер Internet Explorer версии не ниже 4.01. Утилита использует для своей работы стек протоколов TCP/IP, а также протоколы туннелирования. В операционных системах Windows 2000/XP и Windows Server 2003 все необходимое программное обеспечение будет установлено автоматически, в процессе развертывания утилиты Connection Manager. Однако для более ранних версий Windows работы по установке необходимого программного обеспечения должны быть проделаны пользователем (или администратором) вручную. Так, для Windows NT-клиентов вручную должен быть установлен протокол туннелирования РРТР. Для операционных систем Windows 9x/NT/ME необходимо также установить специальный клиент Microsoft L2TP/ IPSec VPN Client, который можно скачать с веб-сайта Microsoft (http://www.microsoft.com/windows2000/ server/evaluation/news/bulletins/12tpclie nt.asp). Наконец, для Windows 9x/МЕ-клиентов необходимо установить самую свежую версию утилиты Dial-Up Networking, которую также можно получить с веб-сайта Microsoft.
Управление сетевыми подключениями
Все операции по конфигурированию сетевых средств осуществляются в папке Network Connections (Сетевые подключения) (рис. 12.1). В этой папке создаются все поддерживаемые операционной системой подключения. Папка располагается на панели управления или может быть выведена непосредственно в меню Start (Пуск).
Рис. 12.1. Окно Network Connections
Вне зависимости от того, является ли связь локальной (ЛВС) или удаленной (телефонная линия, ISDN и т. п.), подключения можно настроить так, чтобы они могли полноценно выполнять все требуемые функции. Например, используя сетевое подключение любого типа, пользователь может распечатывать документы на сетевых принтерах, получать доступ к сетевым дискам и файлам, просматривать другие сети или получать доступ к Интернету (разумеется, если в рамках подключения используются соответствующие протоколы).
Примечание
Для обозначения состояния и типа сетевого подключения используются различные значки (icons). В частности, если подключение находится в отключенном состоянии (disabled), ассоциированный с ним значок становится полупрозрачным.
Все службы и методы связи настраиваются непосредственно в окне свойств сетевого подключения. Поэтому для конфигурирования параметров подключения не требуется обращаться к внешним инструментам управления. Например, параметры телефонного подключения при помощи модема включают те, которые нужно использовать до, в течение и после создания подключения: тип модема для связи, используемая при соединении схема аутентификации, а также используемые для передачи данных протоколы.
Для получения информации о состоянии интересующего подключения (продолжительность и эффективность использования) необходимо дважды щелкнуть на соответствующем подключении или в его контекстном меню выбрать пункт Status (Состояние). Информация о состоянии подключения приводится на вкладке General (Общие) открывшегося окна (рис. 12.2). Чтобы перейти к настройке выбранного подключения, достаточно щелкнуть на кнопке Properties (Свойства) (процесс настройки будет рассматриваться позднее в этой главе).
Рис. 12.2. Получение информации о состоянии подключения
Для получения дополнительной информации о подключении необходимо перейти на вкладку Support (Поддержка) (рис. 12.3). На этой вкладке приводится информация о настройке стека протоколов TCP/IP для данного подключения: IP-адрес и способ его назначения, а также маска подсети и шлюз по умолчанию. Нажав кнопку Details (Подробности), можно также получить информацию о физическом адресе (МАС-адресе), используемом подключением, DNS- и WINS-серверах.
Рис. 12.3. Получение вспомогательной информации о соединении
Установка дополнительных сетевых компонентов
В процессе развертывания операционной системы администратор может установить базовый набор сетевых компонентов, предоставляющих возможность создания сетевых подключений. В составе Windows Server 2003 поставляется значительное число дополнительных сетевых компонентов, расширяющих функциональность операционной системы (табл. 12.2). Эти компоненты организованы в три группы:
Management and Monitoring Tools. В этой группе представлены компоненты, ориентированные на решение задач мониторинга сети и управления ею;
Networking Services. Данная группа объединяет компоненты, осуществляющие установку основных сетевых служб, реализованных в рамках стека протоколов TCP/IP;
Other Network File and Print Services. Компоненты этой группы позволяют предоставить возможность доступа к файлам и принтерам пользователям, работающим в других средах (Macintosh и UNIX).
Эти компоненты не устанавливаются автоматически непосредственно в ходе развертывания операционной системы. В случае необходимости администратор должен установить нужные сетевые компоненты вручную.
Таблица 12.2. Сетевые компоненты Windows Server 2003
Компонент | Группа компонентов | Описание компонента | |||
Connection Manager Administration Kit | Management and Monitoring Tools | Компонент позволяет установить на сервере мастер Connection Manager Administration Kit Wizard | |||
Connection Point Services | Management and Monitoring Tools | Данный компонент используется в процессе развертывания диспетчера соединений (Connection Manager) для публикации телефонных книг (phone book) | |||
Network Monitor Tools | Management and Monitoring Tools | Компонент, позволяющий осуществлять анализ сетевого трафика | |||
Simple Network Management Protocol | Management and Monitoring Tools | Компонент, обеспечивающий функционирование на сервере протокола SNMP | |||
WMI SNMP Provider | Management and Monitoring Tools | Компонент, позволяющий приложениям осуществлять доступ к информации SNMP посредством технологии WMI (Windows Management Information) | |||
Domain Name System (DNS) | Networking Services | Компонент устанавливает службу разрешения доменных имен в IP-адреса (DNS) | |||
Dynamic Host Configuration Protocol (DHCP) | Networking Services | Компонент устанавливает службу, осуществляющую динамическое выделение IP-адресов (DHCP) | |||
Internet Authentication Service | Networking Services | Служба аутентификации через Интернет. Включает в себя поддержку протокола аутентификации удаленных пользователей RADIUS | |||
RPC over HTTP Proxy | Networking Services | Компонент, позволяющий осуществлять вызовы RPC/DCOM поверх протокола HTTP, используя службы Internet Information Services (IIS) | |||
Simple TCP/IP Services .' | Networking Services | Устанавливаются дополнительные службы TCP/IP | |||
Windows Internet Name Service (WINS) | Networking Services | Устанавливает службу разрешения NetBIOS-имен в IP-адреса (WINS) | |||
File Services for Macintosh | Other Network File and Print Services | Служба, позволяющая пользователям Macintosh получить доступ к ресурсам на Windows-сервере | |||
Print Services for Macintosh | Other Network File and Print Services | Служба, позволяющая пользователям Macintosh отправлять задания на печать на принтеры, подключенные к Windows-серверу | |||
Print Services for Unix | Other Network File and Print Services | Служба, позволяющая пользователям UNIX отправлять задания на печать на принтеры, подключенные к Windows-серверу |
Рекомендуется устанавливать только действительно необходимые
Совет
Рекомендуется устанавливать только действительно необходимые компоненты. Для обслуживания каждого компонента система затрачивает определенную часть системных ресурсов (память, процессорное время, дисковое пространство) и пропускной способности сети (для передачи служебного трафика сетевых компонентов).
Рис. 12.4. Выбор сетевых компонентов для установки
Для установки дополнительных сетевых компонентов в меню Advanced (Дополнительно) окна Network Connections (Сетевые подключения) необходимо выбрать пункт Optional Networking Components (Дополнительные сетевые компоненты). В открывшемся окне (рис. 12.4) система предлагает выбрать для установки требуемые группы сетевых компонентов. Установка флажка напротив названия группы предписывает установку всех компонентов данной группы. Для установки только отдельных компонентов некоторой группы необходимо выбрать группу и щелкнуть на кнопке Details (Подробности). При этом система предложит список компонентов, входящих в состав выбранной группы.
Установка мастера Connection Manager Administration Kit Wizard
Для установки мастера следуйте процедурам, описанным выше в разд. "Установка дополнительных сетевых компонентов". После установки администратор может вызвать мастер из меню Administrative Tools (Администрирование).
Входящие подключения
Компьютер, под управлением Windows Server 2003, может выступать в качестве сервера удаленного доступа. В этом случае все подключения клиентов к серверу удаленного доступа рассматриваются как входящие подключения (incoming connections). Более подробно процесс организации и настройки сервера удаленного доступа будет рассматриваться в главе 14, "Коммуникационные службы".
Для настройки нескольких модемов или адаптеров ISDN на работу со входящими телефонными подключениями можно использовать возможности многоканальной связи (multilink).
При создании подключения определяются пользователи, которые могут соединяться с данным входящим подключением, и сетевые протоколы, по которым они могут работать. Для каждого пользователя, работающего по входящему подключению, должна существовать локальная учетная запись.
Клиенты, поддерживаемые сервером удаленного доступа Windows Server 2003, перечислены в табл. 12.4.
Таблица 12.4. Клиенты удаленного доступа, поддерживаемые Windows Server 2003
Клиент | Описание | ||
Windows 2000/Windows XP/Windows Server 2003 | Данный тип клиентов предоставляет пользователю максимальную функциональность при работе с сервером удаленного доступа Windows Server 2003. Поддерживаются все функциональные возможности | ||
Windows NT 4.0 (SP 4 и выше) | Клиенты этого типа используют все возможности входящего подключения, кроме динамического распределения многоканального соединения (ВАР) и расширяемого протокола аутентификации (ЕАР) | ||
Windows NT 3.5x | Этот тип клиентов позволяет использовать те же возможности входящего подключения, что и клиенты Windows NT 4.0, кроме возможностей организации многоканального соединения и поддержки MS-CHAP v2 | ||
Windows Millennium Edition, Windows 98 | Клиенты этого типа используют все возможности входящего подключения, кроме динамического распределения многоканального соединения (ВАР) и расширяемого протокола аутентификации (ЕАР) | ||
Windows 95 | Для данных клиентов доступны все возможности входящего подключения, кроме многоканального соединения, динамического распределения многоканального соединения (ВАР), протокола MS-CHAP v2 и расширяемого протокола аутентификации (ЕАР) | ||
Macintosh | Этот тип клиентов может обращаться к файловым томам и принтерам Macintosh и AppleTalk, используя протокол удаленного доступа AppleTalk (ARAP). Поддерживаются клиенты удаленного доступа AppleTalk 1.0, 2.x и 3.x | ||
РРР-клиенты | Клиенты РРР под управлением ОС сторонних производителей, использующие стеки протоколов TCP/IP или AppleTalk, могут устанавливать входящее соединение с сервером удаленного доступа Windows Server 2003. Входящее подключение автоматически аутентифициру-ет клиентов РРР; специальные настройки РРР для таких клиентов не требуются |
Создание входящего подключения, так же как и другие типы подключений, осуществляется посредством мастера новых подключений. На странице Network Connection Type (Тип сетевого соединения) мастера необходимо выбрать значение Set up an advanced connection (Другие подключения) (см. рис. 12.9). Перейдя к следующему окну, установите переключатель Accept incoming connections (Принимать входящие подключения) (рис. 12.22).
Рис. 12.22. Разрешение входящих подключений
В следующем окне нужно выбрать модем или порт, который будет использоваться входящими подключениями (рис. 12.23). Если ни одно из указанных устройств не отмечено, все входящие подключения будут приниматься по локальной сети.
Рис. 12.23. Назначение устройств, используемых для входящих подключений
Далее необходимо указать, будут ли разрешены входящие VPN-подключения (рис. 12.24). Если администратор планирует обслуживать входящие VPN-подключения, необходимо выбрать опцию Allow virtual private connections (Разрешить виртуальные частные подключения). В противном случае следует выбрать опцию Do not allow virtual private connections (He разрешать виртуальные частные подключения).
В последующих окнах мастера необходимо определить, каким пользователям разрешается устанавливать входящие подключения, а также указать перечень сетевых компонентов, доступных в рамках этого подключения (протоколы, службы и клиенты).
Примечание
Если при создании входящего сетевого подключения мастер новых подключений используется повторно, то изменяются настройки уже существующего входящего сетевого подключения. Таким образом, если используется мастер, то входящее подключение удаленного доступа (Incoming Connections) всегда одно. Если же нужно создать несколько входящих подключений, то следует использовать мастер Routing and Remote Access Server Setup Wizard (см. главу 14 "Коммуникационные службы").
Рис. 12.24. Разрешение входящих VPN-подключений
Если входящее подключение и служба Microsoft Fax некорректно работают совместно, например звонки не принимаются через модем, разрешенный для приема факсов, может оказаться, что модем не поддерживает адаптивный ответ. Изучите документацию модема, чтобы проверить возможность адаптивного ответа. Возможно, для корректной работы со входящим соединением придется запретить работу с факсом.
После того как входящее подключение создано, администратор может выполнить его настройку. Для этого необходимо открыть окно свойств входящего подключения, выбрав в его контекстном меню пункт Properties (Свойства). Вкладка General (Общие) позволяет администратору определить устройства, которые могут быть задействованы для создания входящих подключений (рис. 12.25). Если выбрано несколько устройств и требуется разрешить многоканальную связь, необходимо установить флажок Enable mulitlink (Многоканальное подключение). Установите флажок Allow others to make private connections to my computer by tunneling through the Internet or other network (Разрешить другим пользователям устанавливать частные подключения к моему компьютеру с помощью туннеля через Интернет или другую сеть) в ситуации, если входящие подключения могут быть реализованы в рамках виртуальной частной сети.
Рис. 12.25. Вкладка General окна свойств входящего подключения
Вкладка Users (Пользователи) позволяет администратору управлять разрешениями на использование входящих подключений (рис. 12.26). Чтобы запретить некоторому пользователю подключение к конфигурируемому компьютеру, необходимо снять флажок напротив его имени. Чтобы изменить имя пользователя, пароль и разрешение ответного вызова сервера, нажмите кнопку Properties (Свойства). В открывшемся окне можно также активизировать режим обратного звонка (callback).
Если входящее подключение осуществляется через прямое подключение, аутентификация как правило не требуется. В этом случае можно установить флажок Always allow directly connected devices such as palmtop computers to connect without providing a password (Всегда разрешать подключение без пароля устройствам с прямым соединением, таким как карманные компьютеры).
Примечание
Если на вкладке Users (Пользователи) доступ к входящему подключению разрешен, то теоретически не дать пользователю установить входящее подключение могут другие факторы: учетная запись пользователя может быть запрещена или заблокирована, попытка подключения произведена вне дозволенного времени и т. п.
Рис. 12.26. Вкладка Users окна свойств входящего подключения
Вкладка Networking (Сеть) позволяет сконфигурировать сетевые компоненты (клиенты, службы и протоколы), доступные для входящих подключений. Процесс настройки этих компонентов для входящих подключений выполняется во многом так же как и для остальных сетевых подключений. Отличие имеется только в случае настройки стеков протоколов TCP/IP и NWLink.