Основы администрирования
информационных систем
Учебное пособие
Москва
Берлин
2021
УДК 004.45(075)
ББК 16.3я73
Б72
Авторский коллектив:
Д. О. Бобынцев, А. Л. Марухленко,
Л. О. Марухленко, С. А. Кужелева, Л. А. Лисицын
Рецензенты:
Довбня В. Г. — профессор, доктор технических наук,
главный научный сотрудник НИЦ (г. Курск) ФГУП «18 ЦНИИ» МО РФ
Иванов И. В. — доцент, кандидат технических наук, заведующий кафедрой
информационных технологий, Белгородского государственного
технологического университета им. В. Г. Шухова
Б72
Бобынцев, Д. О.
Основы администрирования информационных систем : учебное
пособие / Д. О. Бобынцев [и др.]. — Москва ; Берлин : Директ-Медиа,
2021. — 200 с.
ISBN 978-5-4499-1674-7
В учебном пособии изложен материал, лежащий в основе курса
«Администрирование информационных систем», читаемого на кафедре
информационных систем и технологий Юго-Западного государственного
университета. Пособие посвящено основным вопросам, которыми должен владеть
системный
администратор.
Рассматриваются
системные
инструменты
администрирования информационных систем, компьютерных сетей и баз данных
компании Microsoft и прикладное программное обеспечение. Изучение
теоретических аспектов позволит сформировать теоретическую базу, необходимую
для того, чтобы начать работать системным администратором.
Учебное
пособие
соответствует
федеральным
государственным
образовательным стандартам высшего образования по направлениям подготовки
«Информационные системы и технологии» и «Математическое обеспечение
и администрирование информационных систем» и может быть использовано
студентами, обучающимися по программе как бакалавриата, так и магистратуры.
При необходимости пособие может быть использовано и для других направлений
подготовки, на которых могут быть введены соответствующие дисциплины.
СОДЕРЖАНИЕ
ПРЕДИСЛОВИЕ…………………………………………………….
ПЕРЕЧЕНЬ ОСНОВНЫХ ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ
И СОКРАЩЕНИЙ………………………………………………….
ВВЕДЕНИЕ…………………………………………………………..
1. ВВЕДЕНИЕ В АДМИНИСТРИРОВАНИЕ
ИНФОРМАЦИОННЫХ СИСТЕМ……………………………….
1.1. Системный администратор, его функции,
основные понятия…………………………………………………….
1.2. Корпоративная информационная система
и её структура……………………………………………………........
1.3. Составные части информационной системы………………..
1.4. Распределённая информационная система и схемы
её построения………………………………………………………….
Контрольные вопросы…………………………………………….
2. АДМИНИСТРИРОВАНИЕ ВЫЧИСЛИТЕЛЬНЫХ
СЕТЕЙ………………………………………………………………...
2.1. Сетевое оборудование и топологии
вычислительных сетей………………………………………………..
2.2. Эталонная модель взаимодействия открытых систем
(ЭМВОС/OSI) и её основные аспекты…………………………........
2.3. Физический уровень…………………………………………..
2.4. Канальный уровень……………………………………………
2.5. Сетевой уровень…………………………………………........
2.6. Транспортный уровень………………………………………..
2.7. Сеансовый уровень……………………………………………
2.8. Представительский уровень…………………………………..
2.9. Прикладной уровень…………………………………………..
2.10. Адресация и маршрутизация в компьютерных сетях……..
2.11. Стандарты интернета………………………………………..
2.12. Модели безопасности в вычислительных сетях.
Рабочая группа и домен………………………………………….......
Контрольные вопросы…………………………………………….
3. ДОМЕННАЯ МОДЕЛЬ БЕЗОПАСНОСТИ
В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ…………………………………
3.1. Понятие службы каталогов, её назначение,
задачи, основные положения…………………………………………
3.2. Домен: понятие, физическая и логическая организация……
3.3. Служба каталогов Active Directory: физическая
и логическая структура, репликация данных……………………….
3.4. Управление учётными записями и группами
в операционной системе Windows Server……………………………
3
3.5. Методы обеспечения безопасности в Active Directory,
аутентификация Kerberos…………………………………………….
3.6. Групповые политики и управление ими……………………..
Контрольные вопросы…………………………………………….
Задание……………………………………………………………...
4. СИСТЕМА ДОМЕННЫХ ИМЁН DNS И СЛУЖБА DHCP…
4.1. Основные понятия, назначение и характеристики DNS……
4.2. DNS-запросы и разрешение имён……………………………
4.3. Ресурсные записи и DNS-зоны……………………………….
4.4. Роли DNS-серверов, уровни безопасности.
Планирование пространства имён в корпоративной сети………….
4.5. Служба DHCP и технология NAT……………………….......
Контрольные вопросы…………………………………………….
Задание……………………………………………………………..
5. УДАЛЁННОЕ АДМИНИСТРИРОВАНИЕ……………………
Контрольные вопросы……………………………………………
Задание…………………………………………………………….
6. АДМИНИСТРИРОВАНИЕ СЕРВЕРА БАЗ ДАННЫХ……..
6.1. Задачи администрирования баз данных. Платформа
MS SQL Server и её инструменты……………………………………
6.2. Обеспечение отказоустойчивости сервера баз данных…….
6.3. Интегрированная платформа для работы
с интеллектуальными ресурсами предприятия……………………..
6.4. Обеспечение безопасности данных………………………….
6.5. Методы, модели и средства восстановления данных………
6.6. Технология RAID……………………………………………..
Контрольные вопросы…………………………………………….
Задание……………………………………………………………..
7. ВЕБ-СЛУЖБЫ И СЕРВИСЫ.
АДМИНИСТРИРОВАНИЕ ИНТЕРНЕТ-УЗЛОВ………………
7.1. Понятие веб-службы, URI, URL. Структура URL…………
7.2. Службы Интернет Windows Server. Возможности,
режимы работы………………………………………………………..
7.3. Обеспечение безопасности в веб-службах…………………..
7.4. Администрирование веб-служб и веб-узлов, построение
веб-представительства компании……………………………………
7.5. Системы управления контентом……………………………..
Контрольные вопросы…………………………………………….
Задание……………………………………………………………..
8. ВИРТУАЛИЗАЦИЯ…...………………………………………….
Контрольные вопросы……………………………………………
Задание……………………………………………………………..
ЗАКЛЮЧЕНИЕ………………………………………………….......
БИБЛИОГРАФИЧЕСКИЙ СПИСОК…………………………….
4
ПРЕДИСЛОВИЕ
Современный мир сложно представить без компьютеров, цифровых
технологий и крупных информационных систем. Мы живём в век цифро
вых машин, которые повсюду. У директора предприятия, в бухгалтерии, в
кабинетах начальников отделов, у рядовых сотрудников - у всех стоят
компьютеры на рабочих местах. Корпоративная почта, новости, рынок,
банк - все эти блага современного трудового коллектива помогают выжить
в жестоком мире бизнеса. Но как заставить всё это работать сообща? Как
сделать так, чтобы сотрудники не в «ВК» и «Одноклассниках» сидели в
рабочее время, а занимались делом? Как уберечь секретную информацию с
рабочего компьютера от хакеров? Вот для этого и существует такая про
фессия, как системный администратор. Внароде такого специалиста назы
вают просто «админ» или «сисадмин».
Должность системного администратора присутствует практически
во всех фирмах и учреждениях, где используется большое количество
компьютеров. Небольшие фирмы часто пользуются услугами внештатных
специалистов. Поэтому профессия системного администратора является
одной из самых востребованных в сфере информационных систем и техно
логий, так как в общем смысле охватывает, пожалуй, наибольшую часть
умений и навыков, которыми должен обладать специалист данной отрасли.
В долгосрочной перспективе ожидается ее совершенствование и дальней
шее развитие.
Многие пользователи путают профессию системного администрато
ра со смежными, называя его компьютерщиком или программистом. По
этой причине иногда круг обязанностей сисадмина либо сужается до про
сто технической поддержки работающей сети, либо неимоверно расширя
ется до специалиста, способного решить любую возникшую проблему,
связанную с компьютерами. По факту же специализация в системном ад
министрировании зависит от конкретного участка работ и от стадии жиз
ненного цикла информационной системы. Могут быть следующие разно
видности профессии: администратор веб-сервера в хостинговой компании,
администратор баз данных, администратор сети, системный инженер или
системный архитектор и др.
Итак, системный администратор, выражаясь простым языком, - это
человек, задача которого - обеспечение устойчивой работы компьютерной
техники. Все задачи, которые необходимо для этого решить, в зависимости
от того, что имеется под рукой на момент начала Вашей работы, и того,
какой у Вас будет штат помощников, ложатся именно на Ваши плечи. Если
Вам требуется сначала построить корпоративную информационную систе
му, то Вы же и должны будете определить, какие аппаратные средства по
требуются и в каком количестве, поэтому Вы должны разбираться в техни
ческих вопросах компьютерных средств, оргтехники и комплектующих,
5
программного обеспечения. Всё это устанавливать и настраивать тоже бу
дете Вы. А как Вы думали?
При занятии этим делом главное проложить компьютерные коммуни
кации так, чтобы даже самый изощрённый работник не выдернул ногой
штекер и не залил кофе системный блок. Самое сложное в работе систем
ного администратора - объяснить красивой блондинке-секретарше шефа,
что не надо прикалывать провод мышки кнопками к столу, даже если он
сильно мешает.
Настройка программ и обеспечение их стабильной, надёжной работы
будет являться, пожалуй, самым трудоёмким в работе системного админи
стратора. Программное обеспечение может быть абсолютно разным, в з а висимости от специфики предприятия. Основной проблемой в работе про
граммного обеспечения является, к сожалению, именно человеческий фак
тор, так как обычно жалобы сотрудников сисадмину начинаются со слов:
«не туда нажала, и всё вдруг куда-то пропало». Синхронизировать работу
программ, выставить правильную защиту «от дураков», следить, чтобы у
всех всё работало, - это половина работы системного администратора.
Кроме того, администратор должен знать и уметь правильно настро
ить параметры доступа, чтобы каждый работник мог включить только свой
компьютер, свой профиль, запустить только те программы, к которым
имеет доступ согласно своему статусу в кампании. Если работа сотрудни
ков связана с Интернетом, то системному администратору предстоит на
строить параметры доступа во всемирную паутину так, дабы ни «ВК», ни
так любимые офисными работниками «Одноклассники» не были доступны
с рабочих компьютеров.
Системный администратор - это весьма весомая фигура в компании,
подобно коню на шахматной доске. С одной стороны, не самая важная
персона, с другой без него невозможно. Иногда достаточно закончить кур
сы системного администратора, чтобы стать властителем офисных компь
ютеров, которые имеют свойство ломаться, причём как у рядового сотруд
ника, так и у генерального директора.
К достоинствам работы можно отнести почти полную самостоятель
ность, ведь найти человека на фирме, который будет разбираться в компь
ютерах на уровне системного администратора и будет проверять вашу ра
боту, практически невозможно. Именно системный администратор являет
ся «виртуальным директором» в кампании, поэтому, грамотно настроив
оборудование и дав ценные указания «офисному планктону», можно смело
проводить трудовые будни, предаваясь социальным сетям или поглощаю
щим современную молодёжь онлайн-играм. Кроме того, решение проблем
с техникой начальства и высшего руководства (топ-менеджер, главный
бухгалтер, кадровики и т.д.) обеспечит продвижение по служебной лест
нице.
Бумажной волокиты у представителей этой профессии значительно
меньше, чем у других работников. Как показывает практика, пока началь6
ники отделов и подчинённые усиленно пишут отчёты, сводят счета и под
водят итоги, системные администраторы у себя в кабинете крутят солдати
ков из витой пары. А с а м о е главное - данная работа обычно достаточно
хорошо оплачивается, если Вы покажете себя настоящим властителем
компьютерной техники, способным решить любую проблему.
Существуют, конечно, и минусы данной работы. Чем нерадивее поль
зователи, тем чаще ломаются компьютеры. Что бы ни сломалось у сотруд
ников, за всё обычно отвечает администратор. Возможности карьерного
роста тоже несколько ограничены, если деятельность компании не связана
с оказанием услуг в сфере информационных технологий, однако в каждой
работе можно найти свои недостатки, а востребованность и хорошая опла
та работы системного администратора вполне позволяют данные недостат
ки преодолеть.
В то же время системный администратор должен иметь хорошее тех
ническое образование. С управлением крупными корпоративными инфор
мационными системами связано множество терминов и понятий, которые
необходимо просто знать и понимать, что это такое, зачем нужно и как ис
пользуется. Знаний того, что у компьютера есть системный блок и мони
тор, и как переустановить операционную систему, Вам будет явно недос
таточно, и для решения этой проблемы и предназначено данное пособие.
Крайне желательно знание английского языка на уровне выше базового,
так как техническое описание многих программных средств прилагается на
английском языке. И, наконец, Вы должны быть коммуникабельны, по
этому учитесь находить подход к людям - это поможет зарабатывать пре
мии.
В учебном пособии изложен материал, лежащий в основе курса «Ад
министрирование информационных систем», читаемого на кафедре ин
формационных систем и технологий Юго-Западного государственного
университета. Учебное пособие соответствует федеральным государствен
ным образовательным стандартам высшего образования по направлениям
подготовки «Информационные системы и технологии» и «Математическое
обеспечение и администрирование информационных систем» и м о ж е т
быть использовано студентами, обучающимися по программе как бакалав
риата, так и магистратуры. При необходимости пособие может быть ис
пользовано и для других направлений подготовки.
7
ПЕРЕЧЕНЬ ОСНОВНЫХ ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ
И СОКРАЩЕНИЙ
Active Directory (AD) - служба каталогов для операционных систем семей
ства Windows Server, позволяющая выполнять централизованное управле
ние корпоративной сетью.
CMS - система управления контентом.
CN - компонент (класс) отличительного имени в Active Directory, отра
жающий общее имя объекта.
DC - компонент (класс) отличительного имени в Active Directory, отра
жающий имя домена, в котором находится объект.
Destination SAT - трансляция внешнего адреса назначения (Outside local) в
адрес назначения (Outside global).
DHCP - служба автоматизации выдачи и учёта IP-адресов.
DHCPDISCOVER - сообщение, рассылаемое клиентом компьютерной сети,
адресованное DHCP-серверу, содержащее запрос на получение IP-адреса.
DHCPOFFER
сообщение-ответ
DHCP-сервера
на
сообщение
DHCPDISCOVER, содержит предлагаемые клиенту, отправившему
DHCPDISCOVER, настройки сети.
DHCPACK
сообщение-ответ
DHCP-сервера
на
сообщение
DHCPREQUEST, подтверждающее разрешение клиенту применить пред
ложенные сервером настройки сети.
DHCPREQUEST
- сообщение-ответ клиента, запросившего аренду IPадреса, если запрошенные настройки предложены более чем одним DHCPсервером, содержит предложенные настройки сети и IP-адрес выбранного
клиентом сервера, который их предложил.
DNS - система доменных имён, отвечающая за преобразование доменного
имени в IP-адрес и обратно.
DNS-зона - часть пространства имён DNS, за которую отвечает определён
ный сервер или группа серверов, представляющая собой особую базу дан
ных, которая содержит полномочную информацию, необходимую для раз
решения имён.
DNS-cepeep - компьютер или программное обеспечение, обслуживание
DNS-запросы пользователей компьютерных сетей.
DNS-запрос - запрос на получение IP-адреса узла по доменному имени или
доменных имён по IP-адресу.
ECC-памятъ - оперативная память, в которой обеспечивается исправление
однократных ошибок и обнаружение двукратных ошибок.
Ethernet - семейство технологий пакетной передачи данных между устрой
ствами в компьютерных сетях.
FTP - протокол передачи файлов в компьютерных сетях.
FTP-cepeep - сервер, предназначенный для обмена файлами, работающий
по протоколу FTP.
8
HTTP - протокол прикладного уровня ЭВМОС для передачи данных в ви
де гипертекстовых страниц.
IP-адрес - сетевой адрес устройства, используемый на сетевом уровне
ЭВМОС.
IPv4 - первая широко используемая версия протокола IP, согласно которой
IP-адрес представляется четырьмя 8-битными числами, часть из которых
показывает адрес подсети, другая часть - адрес узла.
IPv6 - новая версия протокола IP, призванная заменить IPv4, в которой
представление IP-адреса расширено до 128 бит и переведено в 16-ричный
формат.
IRC - протокол прикладного уровня для обмена сообщениями в режиме
реального времени.
Kerberos - сетевой протокол аутентификации, который предлагает меха
низм взаимной аутентификации клиента и сервера перед установлением
связи между ними, учитывающий, что начальный обмен информацией ме
жду клиентом и сервером происходит в незащищённой среде, а передавае
мые пакеты могут быть перехвачены и модифицированы.
LDAP - облегчённый протокол прикладного уровня для доступа к службе
каталогов.
MAC-adpec - физический адрес устройства, постоянно закреплённый за
ним и используемый на канальном уровне ЭМВОС.
NAT - механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса
транзитных пакетов.
OU - компонент (класс) отличительного имени в Active Directory, отра
жающий организационное подразделение, в котором находится объект.
POP3 - протокол входящих сообщений в электронной почте.
RAID - избыточный массив независимых жёстких дисков.
SET - стандарт безопасных транзакций в сети Интернет, применяемый в
платёжных системах.
SIP - протокол передачи данных, описывающий способ установки и за
вершения пользовательского интернет-сеанса, включающего обмен муль
тимедийным содержимым.
SMTP - протокол исходящих сообщений в электронной почте.
SSL - криптографический протокол защиты данных в компьютерных сетях,
в основе которого лежит система цифровых сертификатов.
Source SAT - трансляция внутреннего адреса источника (Inside local) в з а регистрированный адрес источника (Inside global).
Static Address Translation (SAT) - замена IP-адреса источника или приёмни
ка на некоторый адрес, при этом возможна одновременная замена порта.
TCP-сегмент - единица данных протокола TCP.
TCP-IP - основная сетевая модель передачи данных, основанная на двух
важнейших протоколах - TCP и IP.
Telnet - сетевой протокол для реализации текстового терминального ин
терфейса по сети.
9
UDP-датаграмма - единица данных протокола UDP.
URI - унифицированный идентификатор ресурса.
URL - единый указатель ресурса, определяющий его местоположение.
Visa - крупнейшая зарубежная платёжная система.
WWW - распределённая система предоставления доступа к связанным ме
жду собой документам на компьютерах, подключённых к сети Интернет.
Windows Server - семейство серверных сетевых операционных систем кор
порации Microsoft.
Авторизация - процесс установления системой соответствия запрошенных
прав доступа к ресурсу и фактических прав пользователя на ресурс и фор
мирования управляемой реакции: разрешить или отвергнуть доступ поль
зователя к ресурсу.
Авторитативность
(авторитетность) DNS-cepeepa - характеристика,
означающая, что сервер хранит запрашиваемую зону.
Адаптивная маршрутизация - основной вид алгоритмов маршрутизации,
применяющихся маршрутизаторами в современных сетях со сложной то
пологией, основан на том, что маршрутизаторы периодически обменива
ются специальной топологической информацией об имеющихся в интерсе
ти сетях, а также о связях между маршрутизаторами.
Администратор - должностное лицо, ответственное за работоспособность
и надлежащее функционирование всех частей ИБС.
Активное сетевое оборудование - цифровые устройства, обеспечивающие
интеграцию вычислительных установок в компьютерную сеть, требующие
питания и выполняющие цифровую обработку сигналов.
Аппаратный RAID - массив жёстких дисков, реализуемый в виде множе
ства физических устройств.
Аппаратное обеспечение ИБС - физические устройства ИБС и средства их
сопряжения, обеспечивающие объединение устройств в единую информа
ционно-вычислительную систему.
Архитектура клиент-сервер - вычислительная или сетевая архитектура, в
которой задания или сетевая нагрузка распределены между поставщиками
услуг, называемыми серверами, изаказчиками услуг, называемыми клиен
тами.
Архитектура файл-сервер - вычислительная или сетевая архитектура, в
которой обработка заданий заказчика услуг концентрируется на рабочих
станциях.
Асимметричное шифрование - метод шифрования, при котором использу
ется один открытый и один закрытый ключ, то есть операции шифрования
производятся с помощью разных ключей.
Аудит/контроль использования ресурсов - процесс контроля использова
ния ресурсов, включающий возможность ведения журнала попыток досту
па к ресурсам.
Аутентификация - процедура проверки подлинности пользователя.
10
База данных (БД) - именованная совокупность данных, отражающая со
стояние объектов и их отношений в конкретной предметной области.
Брандмауэр (firewall) - прикладное программное обеспечение, защищаю
щее вычислительную установку от атак вредоносного программного обес
печения.
Бюджет/учётная запись пользователя (account) - запись в специализиро
ванной БД (БД учетных записей), содержащая информацию о пользователе
ИБС.
Веб-служба - идентифицируемая веб-адресом программная система со
стандартизированными интерфейсами.
Веб-узел - информационный ресурс, дающий возможность предоставлять
доступ к информации, организовать работу пользователей с информацион
ной системой.
Виртуализация - программная эмуляция процесса или объекта.
Виртуальная машина - программная абстракция, эмулирующая компью
тер, запускаемая на платформе реальных аппаратно-программных систем.
Виртуализация платформ - вид виртуализации, продуктом которого вир
туализации являются виртуальные машины.
Виртуализация ресурсов - вид виртуализации, который преследует своей
целью комбинирование или упрощение представления аппаратных ресур
сов для пользователя и получение неких пользовательских абстракций
оборудования, пространств имен, сетей и т.п.
Виртуализация уровня операционной системы - виртуализация физиче
ского сервера на уровне операционной системы в целях создания несколь
ких защищенных виртуализованных серверов на одном физическом.
Виртуализация уровня приложений - вид виртуализации, при котором
приложение помещается в контейнер с необходимыми элементами для
своей работы: файлами реестра, конфигурационными файлами, пользова
тельскими и системными объектами.
Витая пара - изолированные медные провода, попарно скрученные и за
ключённые в гибкую оболочку, используемые в локальных компьютерных
сетях.
Внешние глобальные адреса - IP-адреса, назначаемые владельцами узлов,
этим узлам для использования во внешней сети.
Внешние локальные адреса - IP-адреса внешних узлов, в том виде как они
известны узлам внутренней сети.
Внутренние глобальные адреса - зарегистрированные IP-адреса, назначае
мые провайдером службы или выделяемые из регионального регистра
Internet (Regional Internet Registries, RIR).
Внутренние локальные адреса - IP-адреса, назначенные хосту во внутрен
ней сети, соответствующие RFC 1918.
Внутренние операции базы данных - действия СУБД, вызываемые в ответ
на выполнение запросов логики данных, такие как поиск записи по опре
деленным признакам.
11
Встроенная учётная запись - учётная запись, создаваемая операционной
системой, которая не может быть удалена.
Высокая готовность - способность системы сохранять рабочее состояние
без продолжительных периодов простоя, приближая отношение времени
пребывания в рабочем состоянии ко времени существования системы к
единице.
Вычислительная установка (BY) - составная часть информационновычислительной системы, представляющая собой компьютер, выполняю
щий роль сервера или рабочей станции.
Гибридная адаптивная маршрутизация - вид адаптивной маршрутизации,
основанный на использовании таблицы, периодически рассылаемой цен
тром, и на анализе длины очереди в самом узле.
Глобальная адаптивная маршрутизация - вид адаптивной маршрутизации,
основанный на использовании информации, получаемой от соседних уз
лов.
Глобальная группа - группа безопасности, которая может содержать толь
ко глобальные учётные записи пользователей «своего» домена, и е ё п р а в а
доступа могут действовать на ресурсы любого домена в лесу.
Глобальная сеть Интернет - всемирная система объединённых компью
терных сетей для хранения и передачи информации.
Глобальный каталог - перечень всех объектов, которые существуют в лесу
Active Directory.
Группа безопасности - вид групп пользователей в AD, предназначенный
для назначения прав доступа к ресурсам.
Группа распределения - вид групп пользователей в AD, предназначенный
для настройки массовой рассылки сообщений пользователям.
Групповая политика - совокупность параметров рабочего окружения ком
пьютеров и пользовательской рабочей среды.
Двухзвенная схема распределённого приложения - способ построения рас
пределённого приложения, при котором приложение выполняется на двух
видах вычислительных установках - сервере и клиенте.
Дерево доменов - набор доменов, которые используют единое связанное
пространство имён, и связаны друг с другом отношениями "дочерний7"родительский".
Динамическая маршрутизация - процесс протокола маршрутизации, опре
деляющий взаимодействие устройства с соседними маршрутизаторами.
Дифференциальное резервное копирование - копирование данных, изме
нённых со времени последнего полного копирования.
Домен - компьютерная сеть с централизованным управлением и единой
для всех компьютеров базой данных служб каталогов. Доменом также на
зывается модель безопасности в такой компьютерной сети.
Домен второго уровня - домен пользовательского уровня иерархии систе
мы DNS, который можно зарегистрировать в компьютерной сети, отделя
ется от домена первого уровня точкой в полном доменном имени.
12
Домен первого уровня - домен следующего за корневым доменом уровня
иерархии в системе DNS, который, как правило, является региональным
или тематическим и не подлежит пользовательской регистрации.
Доменная учётная запись - учётная запись, хранимая в специальных кон
тейнерах AD.
Дополнительная DNS-зона - второстепенный вид зон, который не может
храниться в Active Directory, не разрешает создавать ресурсные записи, и
используется для повышения отказоустойчивости основной DNS-зоны.
Дополнительное оборудование - оборудование, необходимое для более
эффективной и надежной работы основного оборудования ИВС.
Зона-заглушка DNS - вид зон, который имеет только записи NS и SOA и
служит для повышения эффективности разрешения имён.
Зона обратного просмотра - DNS-зона, обслуживающая обратные DNSзапросы.
Зона прямого просмотра - DNS-зона, обслуживающая прямые DNSзапросы.
Инкрементное резервное копирование - копирование данных, изменённых
со времени последнего полного или инкрементного копирования.
Информационно-вычислительная
система (ИВС) - комплекс программных
и аппаратных средств для обеспечения автоматизации производства и дру
гих сфер жизнедеятельности человека, включающий в качестве составных
частей серверное и сетевое оборудование.
Информационное обеспечение КИС - совокупность информационных мас
сивов данных, единой системы классификации и кодирования информа
ции, унифицированных систем документации, схем информационных по
токов, циркулирующих в организации, а также методология построения
баз данных.
Итеративный DNS-запрос - вид DNS-запроса, заключающийся в само
стоятельном опросе DNS-сервером авторитативных DNS-серверов в поис
ке IP-адреса для запрошенного доменного имени.
Кадр - единица данных канального уровня ЭМВОС.
Капало- и сетеобразующее оборудование - оборудование для сопряжения
кабельной системы ИВС с ВУ, а также различных частей кабельной систе
мы.
Канальный уровень ЭМВОС - второй после физического уровень ЭМВОС,
который обеспечивает обмен информацией между аппаратной частью
включенного в сеть компьютера и сетевым программным обеспечением.
Клиентская операционная система - операционная система, которая хра
нится на дисках рабочей станции (или на дисках сервера), выполняется на
процессоре рабочей станции, обеспечивая пользователю ИВС базовый ин
терфейс (средство взаимодействия) для доступа к ресурсам ИВС.
Ключ шифрования - секретная информация, используемая криптографиче
ским алгоритмом при шифровании и расшифровке сообщений, постановке
ипроверке цифровой подписи, вычислении кодов аутентичности.
13
Коаксиальный кабель - изолированная медная жила, помещённая в медную
оплётку, покрытую гибкой изоляционной оболочкой, используемый в ло
кальных компьютерных сетях и системах цифрового телевидения.
Коммутатор - устройство соединения компьютеров в сеть на канальном
уровне ЭМВОС.
Коммутационное оборудование - концентраторы, мосты и коммутаторы,
маршрутизаторы, которые служат для связи частей кабельной системы в
единую сетевую инфраструктуру.
Контейнер групповой политики - объект каталога Active Directory, храня
щий свойства объекта групповой политики.
Контроллер домена - специальный сервер, которые хранит соответствую
щую данному домену часть базы данных Active Directory.
Концентратор - устройство соединения компьютеров в сеть на физиче
ском уровне ЭМВОС.
Корневой DNS-cepeep - DNS-сервер из пула общеизвестных серверов,
обеспечивающий работу корневого домена.
Корневой домен - домен самого верхнего (нулевого) уровня в системе
DNS, обозначаемый в имени символом точки, которую допускается не ука
зывать.
Корпоративная информационная система (КИС) - масштабируемая сис
тема, предназначенная для комплексной автоматизации всех видов хозяй
ственной деятельности больших и средних предприятий, в том числе кор
пораций, состоящих из группы компаний, требующих единого управления.
Лавинная маршрутизация - передача сообщения из узла во всех направле
ниях, кроме направления, по которому сообщение поступило в узел.
Лес доменов - одно или несколько деревьев, которые разделяют общую
схему, серверы глобального каталога и конфигурационную информацию, и
все домены в нём объединены транзитивными двухсторонними довери
тельными отношениями.
Логика данных - функциональная часть распределённого приложения,
представляющая собой операции с данными, хранящимися в некоторой ба
зе, которые нужно выполнить для реализации прикладной логики.
Логика представления данных - функциональная часть распределённого
приложения, которая описывает правила и возможные сценарии взаимо
действия пользователя с приложением.
Логическая топология ЛВС - правила взаимодействия сетевых станций
при передаче данных.
Локальная адаптивная маршрутизация - вид адаптивной маршрутизации,
при котором каждый узел содержит информацию о состоянии линии связи,
длины очереди и таблицу маршрутизации.
Локальная база данных (SAM) - локальная база данных учётных записей,
которая хранится в реестре операционной системы.
14
Локальная вычислительная сеть (ЛВС) - компьютерная сеть, покрываю
щая обычно относительно небольшую территорию или небольшую группу
зданий (дом, офис, фирму, институт).
Локальная доменная группа - группа, которая может содержать глобаль
ные группы из любого домена, универсальные группы, глобальные учёт
ные записи пользователей из любого домена леса, и её права доступа могут
действовать только на ресурсы "своего" домена.
Локальная учётная запись - учётная запись локальной базы данных.
Маска подсети - битовая маска для определения по IP-адресу адреса под
сети и адреса узла этой подсети.
Математическое и программное обеспечение КИС - совокупность мате
матических методов, моделей, алгоритмов и программ для реализации це
лей и задач информационной системы, а также нормального функциониро
вания комплекса технических средств.
Маршрутизатор - специализированный компьютер, который пересылает
пакеты между различными сегментами сети на основе правил и таблиц
маршрутизации.
Маршрутизация - процесс определения маршрута следования данных в
сетях связи.
Маршрутизация по предыдущему опыту - способ маршрутизации, при ко
тором каждый пакет имеет счётчик числа пройденных узлов, в каждом уз
ле связи анализируется счетчик, и запоминается тот маршрут, который со
ответствует минимальному значению счетчика.
Масштабируемость - возможность наращивания мощности ВУ (количе
ство и быстродействие процессоров, объем оперативной и внешней памя
ти) для пропорционального увеличения скорости и плотности (определён
ное количество запросов в единицу времени) обработки запросов, а также
объёмов хранимой информации.
«МИР» - национальная платёжная система Российской Федерации.
Многопутевая фиксированная маршрутизация - вид фиксированной мар
шрутизации, при котором может быть установлено несколько возможных
путей, и вводится правило выбора пути.
Назначение прав доступа к ресурсу - процедура создания в системе специ
альной записи, с помощью которой учетной записи пользователя или ее
аналогу (например, учетной записи группы пользователей) присваиваются
определенные права доступа к ресурсу.
Обратный DNS-запрос - запрос доменного имени для IP-адреса.
Объект групповой политики - общее название набора файлов, каталогов и
записей в базе Active Directory (если это не локальный объект), которые
хранят настройки и определяют, какие параметры можно изменить с по
мощью групповых политик.
Однопутевая фиксированная маршрутизация - вид фиксированной мар
шрутизации, при котором между двумя абонентами устанавливается един
ственный путь.
15
Оконечное оборудование - сетевые платы и модемы, которые устанавли
ваются в ВУ и обеспечивают подключение ВУ к сети.
Оптоволоконный кабель - стеклянная жила (световод), заключённая в
гибкую оболочку, используемая для передачи данных между территори
ально удалёнными на большие расстояния компьютерными сетями.
Организационная единица (подразделение) - контейнеры внутри Active Di
rectory, которые создаются для объединения объектов в целях делегирова
ния административных прав и применения групповых политик в домене.
Организационное обеспечение КИС - совокупность методов и средств, рег
ламентирующих взаимодействие работников с техническими средствами и
между собой в процессе разработки и эксплуатации информационной сис
темы.
Основная DNS-зона - главный вид DNS-зон, даёт возможность читать и
создавать ресурсные записи и может храниться как в файлах, так и в Active
Directory.
Отказоустойчивость (Fault-tolerance) - возможность системы полностью
восстанавливать свою работоспособность при аппаратных сбоях.
Отказоустойчивый кластер - кластер (группа серверов), спроектирован
ный в соответствии с методиками обеспечения высокой доступности и га
рантирующий минимальное время простоя за счёт аппаратной избыточно
сти.
Пакет - единица данных сетевого уровня ЭМВОС.
Паравиртуализация - вид виртуализации, при котором вместо симуляции
аппаратных средств используется специальный программный интерфейс
(API) для взаимодействия с гостевой операционной системой.
Пассивное сетевое оборудование - физические элементы компьютерной
сети, не требующие питания и не выполняющие цифровой обработки сиг
налов.
Периферийное оборудование - оборудование, расширяющее функциональ
ные возможности ВУ (прежде всего функциями ввода, вывода), подклю
чаемое к ВУ посредством специализированных интерфейсов, либо по
средством канало- и сетеобразующего оборудования.
Полная эмуляция (симуляция) - вид виртуализации, при котором виртуаль
ная машина полностью виртуализует все аппаратное обеспечение при со
хранении гостевой операционной системы в неизменном виде.
Полное резервное копирование - резервное копирование, затрагивающее
всю систему и все файлы.
Полоса пропускания - диапазон частот, в пределах которого амплитудночастотная характеристика (АЧХ) акустического, радиотехнического, опти
ческого или механического устройства достаточно равномерна для того,
чтобы обеспечить передачу сигнала без существенного искажения его
формы.
16
Пользователь (User) - физическое лицо, имеющее доступ к определенным
ресурсам ИВС, идентифицируемое бюджетом пользователя (учетной запи
сью).
Почтовая система - программная система, которая служит для взаимо
действия пользователей ИВС посредством самой ИВС, аналог обычной
почты, реализованный в электронном виде.
Права доступа к ресурсу - степень свободы действий пользователя (про
смотр, использование, владение) по отношению к данному ресурсу.
Правовое обеспечение КИС - совокупность правовых норм, определяющих
создание, юридический статус и функционирование информационных сис
тем, регламентирующих порядок получения, преобразования и использо
вания информации.
Представительский уровень ЭМВОС - шестой уровень ЭМВОС, обеспе
чивающий трансформацию данных в универсальный распознаваемый обо
ими участниками обмена формат без изменения содержания, атакже воз
можность шифровки и дешифровки данных для обеспечения секретности.
Прикладная логика - функциональная часть распределённого приложения,
отражающая набор правил для принятия решений, вычислительные проце
дуры и операции.
Прикладное программное обеспечение - класс программного обеспечения,
который служит для выполнения информационно-вычислительных задач,
решаемых обычными пользователями ИВС.
Прикладной уровень ЭМВОС - самый верхний уровень ЭМВОС, обеспечи
вающий прикладному программному обеспечению доступ к ЭМВОС,
взаимодействие сети и пользователя, а также отвечающий за передачу
служебной информации, предоставление приложениям информации об
ошибках и формирование запросов к представительскому уровню.
Программный RAID - виртуальный массив независимых жёстких дисков.
Прокси-сервер - промежуточный сервер (комплекс программ) в компью
терных сетях, выполняющий роль посредника между пользователем и ц е левым сервером (при этом о посредничестве могут как знать, так и не знать
обе стороны), позволяющий клиентам как выполнять косвенные запросы
(принимая и передавая их через прокси-сервер) к другим сетевым служ
бам, так и получать ответы.
Пропускная способность - максимально возможная скорость передачи
данных, которую может обеспечить канал связи.
Простая маршрутизация - способ маршрутизации, не изменяющийся при
изменении топологии и состоянии сети передачи данных.
Пространство имён X.500 - иерархическая структура имён, которая иден
тифицирует уникальный ключ контейнеру службы каталога.
Прямой DNS-запрос - запрос IP-адреса для доменного имени.
Рабочая группа - компьютерная сеть и модель безопасности, характери
зующаяся автономным управлением каждого компьютера, входящего в
17
сеть, и наличием у каждого компьютера своей базы данных учётных запи
сей.
Рабочая станция - вычислительная установка, которая преимущественно
используется как индивидуальное рабочее место пользователя ИВС и слу
жит точкой входа в ИВС.
Разрешение имён - процесс преобразования доменного имени в IP-адрес.
Распределённая информационная система - любая информационная сис
тема, позволяющая организовать взаимодействие независимых, но связан
ных между собой ЭВМ.
Распределённая модель вычислений - обработка и хранение данных на двух
иболееВУ.
Распределённое ПО - приложение, реализующее распределённую модель
вычислений.
Регистрация пользователя в системе - создание администратором ИВС
(или другим уполномоченным липом) бюджета пользователя для данного
физического липа.
Рекурсивный DNS-запрос - вид DNS-запроса, при котором DNS-сервер
клиента возлагает задачу поиска IP-адреса на другой сервер с целью полу
чить готовый ответ на вопрос клиента.
Репликация данных - механизм синхронизации содержимого нескольких
копий объекта, например, содержимого базы данных, процесс, под кото
рым понимается копирование данных из одного источника на другой или
на множество других и наоборот.
Ресурсная запись DNS - специальная запись DNS-сервера о соответствии
имени и служебной информации в системе доменных имён.
Ресурсная запись А - основная запись, определяющая, какой IP-адрес соот
ветствует запрашиваемому доменному имени.
Ресурсная запись CNAME - вспомогательная ресурсная запись, опреде
ляющая альтернативное доменное имя, которое можно применять к узлу с
заданным доменным именем.
Ресурсная запись MX - запись, содержащая адрес почтового шлюза
для домена.
Ресурсная запись NS - запись, содержащая адрес узла, отвечающего
за доменную зону.
Ресурсная запись PTR - запись, обратная записи А, связывает IP-адрес сер
вера с его каноническим именем (доменом).
Ресурсная запись SOA - запись, указывающая, на каком сервере хранится
эталонная информация о доменном имени.
Ресурсы ИБС - физические и логические объекты ИВС, имеющие опреде
ленную функциональность, доступную для использования.
Роль Cashing-only -роль DNS-сервера, означающая, что он не хранит на
себе никаких зон, только хранится кэш запросов.
Роль Conditional forwards - роль DNS-сервера, отличающаяся от Forwardonly явным заданием параметра условной пересылки запроса.
18
Роль Forward-only - роль DNS-сервера, означающая, что он занимается
только пересылкой запросов на другие сервера (обычный рекурсивный за
прос отключён).
Роль Non-recursive - роль DNS-сервера, означающая, что на сервере хра
нится DNS-зона, и у него отключена возможность рекурсивного разреше
ния имени.
Роль сервера - программный комплекс, который обеспечивает выполнение
сервером определённой функции.
Световод - закрытое устройство для направленной передачи (канализа
ции) света.
Сеансовый уровень ЭВМОС - пятый уровень ЭМВОС, обеспечивающий
синхронизацию обмена информацией между устройствами сети.
Сервер - вычислительная установка, которая служит преимущественно для
совместного использования его информационно-вычислительных ресур
сов, к которым относятся, прежде всего, центральный процессор или про
цессоры (например, если это SMP-система), оперативная и внешняя память
(прежде всего, жесткие диски).
Серверная операционная система - операционная система, которая хра
нится на дисках сервера и выполняется на процессоре(-ах) сервера, обслу
живая другие информационно-вычислительные задачи (СУБД, почтовая
система и т.д.).
Сетевой протокол - набор правил, позволяющий осуществлять соедине
ние и обмен данными между двумя и более включёнными в сеть компью
терами.
Сетевой уровень ЭМВОС - третий уровень ЭМВОС, полностью обеспечи
вающий передачу пакета от исходной до целевой системы.
Симметричное шифрование - метод шифрования, основанный на исполь
зовании закрытых, секретных ключей, когда и шифрование, и дешифрация
производятся с помощью одного и того же ключа.
Система управления базами данных (СУБД) - совокупность языковых и
программных средств для создания, ведения и совместного использования
базы данных пользователями.
Система
управления
контентом
информационная
систе
ма или компьютерная программа, используемая для обеспечения и органи
зации совместного процесса создания, редактирования и управления со
держимым.
Системное программное обеспечение - класс программного обеспечения,
который служит для выполнения задач по обслуживанию ИВС, прежде
всего ее аппаратного обеспечения.
Служба каталогов - комплекс серверных программных средств, обеспе
чивающих управление доменом и его участниками.
Случайная маршрутизация - передача сообщения из узла в любом случай
но выбранном направлении, за исключением направлений, по которым со
общение поступило узел.
19
Смешанная топология ЛВС - объединение компьютеров в ЛВС с комби
нированием базовых топологий сети.
Совместное использование ресурса ИВС - использование ресурса двумя и
более пользователями ИВС.
Список управления доступом (Access control list/ACL) - отдельные записи,
которые хранят информацию о том, кто обладает правами на ресурс и ка
ковы эти права.
Схема Active Directory - набор определений типов, или классов, объектов в
базе данных Active Directory.
Таблица маршрутизации - электронная таблица (файл) или база данных,
хранящаяся на маршрутизаторе или сетевом компьютере, которая описы
вает соответствие между адресами назначения и интерфейсами, через ко
торые следует отправить пакет данных до следующего маршрутизатора.
Техническое обеспечение КИС - комплекс технических средств, предна
значенных для работы информационной системы, а также соответствую
щая документация на эти средства и технологические процессы.
Топология ЛВС - общая схема соединения компьютеров в локальную сеть.
Топология "звезда" - подключение компьютеров к сети через единый цен
тральный узел.
Топология "кольцо" - подключение компьютеров к сети посредством кабе
ля, замкнутого в кольцо.
Топология "общая шина" - линейное соединение компьютеров в сеть од
ним кабелем.
Транспортный уровень ЭМВОС - четвёртый уровень ЭМВОС, дополняю
щий функции сетевого уровня и обеспечивающий необходимую степень
надёжности передачи информации.
Трёхзвенная схема распределённого приложения - способ построения рас
пределённого приложения, при котором приложение выполняется на трёх
видах вычислительных установок - клиенте, сервере приложений и серве
ре баз данных.
Удалённое администрирование - управление компьютером через компью
терную сеть с другого компьютера.
Универсальная группа - группа безопасности, которая может содержать
другие универсальные группы всего леса, глобальные группы всего леса,
глобальные учётные записи пользователей из любого домена леса, и е ё
права доступа могут действовать на ресурсы любого домена в лесу.
Управляемость - возможность удаленного управления, сбора сведений о
работе подсистем сервера.
Файловые операции - стандартные операции над файлами и файловой сис
темой, которые обычно являются функциями операционной системы.
Физическая топология ЛВС - способ соединения носителей данных в ЛВС.
Физический уровень ЭМВОС - нижний уровень модели, на котором оп
ределяются характеристики элементов оборудования сети.
20
Фиксированная маршрутизация - вид маршрутизации, применяемый в се
тях с простой топологией связей и основанный на ручном составлении
таблицы маршрутизации администратором сети.
Центр распределения ключей Kerberos - сторонний посредник между кли
ентом и сервером в протоколе Kerberos, который ручается за подлинность
клиента.
Централизованная адаптивная маршрутизация - вид адаптивной маршру
тизации, предполагающий центральный узел, который формирует управ
ляющие пакеты, содержащие таблицы маршрутизации, ирассылает их в
узлы связи.
Централизованная обработка данных - двухзвенная схема распределённо
го приложения, при которой компьютер пользователя работает как терми
нал, выполняющий лишь функции представления данных, тогда как все
остальные функции передаются центральному компьютеру.
Цифровой сертификат - выпущенный удостоверяющим центром элек
тронный или печатный документ, подтверждающий принадлежность вла
дельцу открытого ключа или каких-либо атрибутов.
Частичная виртуализация - вид виртуализации, при котором виртуальная
машина симулирует несколько экземпляров аппаратного окружения, в ч а стности, пространства адресов.
Частичная эмуляция (нативная виртуализация) - вид виртуализации, при
котором виртуальная машина виртуализует лишь необходимое количество
аппаратного обеспечения, чтобы она могла быть запущена изолированно.
Шаблон групповой политики - структура папок в системном каталоге жё
сткого диска контроллера домена, содержащая ряд параметров политики
безопасности, административные шаблоны, файлы сценариев и прочие
файлы, связанные с объектами групповой политики.
Шлюз - сетевое устройство, предназначенное для объединения двух сетей,
которые обладают различными характеристиками, используют различные
протоколы или технологии.
Электронная подпись - реквизит электронного документа, полученный в
результате криптографического преобразования информации сиспользованием закрытого ключа, позволяющий проверить отсутствие искажения
информации в электронном документе с момента формирования подписи
(целостность), принадлежность подписи владельцу сертификата ключа
подписи (авторство), а в случае успешной проверки подтвердить факт под
писания электронного документа.
Эталонная модель взаимодействия открытых систем (ЭВМОС/OSI) единая 7-уровневая модель взаимодействия сетевых устройств, опреде
ляющая универсальную схему работы мировых компьютерных сетей.
21
ВВЕДЕНИЕ
Работа системного администратора связана с владением теоретиче
ской частью многих аспектов построения и сопровождения информацион
ных систем и технологий. Это и понимание аппаратной части информаци
онной системы, владение наиболее распространёнными операционными
системами, как клиентскими, так и серверными, умение устанавливать и
настраивать прикладное программное обеспечение. Администратор дол
жен также знать основные методы обеспечения информационной безопас
ности, владеть технологиями построения компьютерных сетей и управле
ния ими.
Положительно влияет на уровень администратора владение интерфей
сом командной строки и операционными системами семейства UNIX. Из
вестно, что данные операционные системы обладают большей защищённо
стью, чем продукция компании Microsoft, однако операционные системы
Windows более просты в освоении, поэтому начинать изучение системного
администрирования рекомендуется на примере серверных операционных
систем Windows c графическим интерфейсом.
Данное учебное пособие посвящено основным вопросам, которыми
должен владеть любой системный администратор:
1. Задачи и обязанности системного администратора.
2. Типовые схемы построения корпоративных информационных сис
тем.
3. Основные положения построения и функционирования вычисли
тельных сетей.
4. Модели безопасности в вычислительных сетях, доменная модель,
функционирование DNS ислужбы DHCP.
5. Удалённое администрирование.
6. Основы администрирования баз данных и веб-служб.
7. Виртуализация.
Изучение вышеописанных вопросов позволит сформировать теорети
ческую базу, которая понадобится Вам для того, чтобы начать работать
системным администратором.
22
1. ВВЕДЕНИЕ В АДМИНИСТРИРОВАНИЕ
ИНФОРМАЦИОННЫХ СИСТЕМ
1.1. Системный администратор, его функции, основные понятия
Деятельность системного администратора в компании состоит в общей
организации и поддержании работы корпоративной информационной сис
темы этой компании, обеспечение бесперебойной и корректной работы
системы, выполнение всех связанных с этим технических задач [1]. Долж
ность системного администратора относится к общепринятой категории
специалистов. В больших компаниях администратор обычно подчиняется
руководителю информационного-технического отдела, а в небольших
структурах, как правило, все функции технического и информационного
обеспечения возложены на одного человека. В период отсутствия специа
листа на небольшой срок эти функции могут быть возложены на другого
сотрудника по решению непосредственного начальника. В своей работе
администратор обязан следовать всем положениям своей должностной ин
струкции и другим внутренним положениям и инструкциям организации, а
также соблюдать законодательные акты и общепринятые российские стан
дарты и инструкции в работе с техническим оборудованием, персональ
ными данными сотрудников и клиентов компании и т.д.
Специалист, претендующий на эту должность, должен иметь высшее
образование. Считается также, что для претендентов на эту должность
важно иметь аттестованную квалификационную группу по электробезо
пасности не ниже 3. Системный администратор должен знать:
1) общепринятую российскую законодательную базу: законы «об ин
формации, информационных технологиях и о защите информации»,
«о персональных данных», «о связи», «озащите прав потребите
лей» ит. д.;
2) различные технические инструкции и нормативные акты по экс
плуатации инженерного оборудования, вычислительного оборудо
вания;
3) правила информационной безопасности, современные способы за
щиты и хранения информации для предотвращения несанкциони
рованного доступа или какого-либо повреждения информации;
4) положения техники безопасности, охраны труда, противопожарную
безопасность;
5) основные нормы и правила, существующие в области обработки и
защиты персональных данных, коммерческой тайны и иной конфи
денциальной информации;
6) внутренние положения и инструкции компании;
7) технические характеристики, устройство и конструктивные основ
ные особенности, правила эксплуатации оборудования, задейство
ванного в информационных локальных сетях компании, оргтехники;
23
8) технические характеристики, устройство и конструктивные особен
ности, правила технической эксплуатации оборудования телефон
ных станций и иных средств связи, используемых в организациях;
9) основные методы классификации и защитной кодировки переда
ваемой информации, действующие современные стандарты по об
работке и передаче информации в глобальных сетях;
10) правила и порядок оформления различной технической документа
ции;
11) новейшее программное обеспечение, используемое российскими
компаниями;
уметь:
1) налаживать локальную сетевую инфраструктуру организации;
2) проводить диагностику и несложный ремонта аппаратного обеспе
чения компании;
3) вести необходимый учет и оформлять сопутствующую документа
цию организации по своему профессиональному профилю.
Администратор должен быть технически грамотным специалистом, со
блюдать этику делового общения, быть коммуникабельным и вни
мательным.
Перечень ключевых функций и обязанностей довольно широк и может
разделяться между верховным администратором и его подчинён
ными и выглядит следующим образом:
1) налаживать и поддерживать работу технического оборудования, за
действованного в вычислительных локальных сетях компании и ло
кальных сетях связи;
2) устанавливать, налаживать и поддерживать работу прикладных
программ, которые используются или могут быть использованы в
организации для обеспечения ее деятельности;
3) налаживать и поддерживать работу серверов, вычислительных ло
кальных сетей компании;
4) работать с персоналом организации в рамках своих профессиональ
ных компетенций - консультировать работников по возникающим
вопросам и обучать их необходимым навыкам работы с локальны
ми служебными программами, регистрировать новых пользователей
в локальных сетях компании, обеспечивать их доступ к необходи
мой им по должности служебной информации и базам данных ком
пании;
5) осуществлять своевременную оперативную техническую и про
граммную поддержку локальных пользователей компании;
6) при необходимости обучать отдельных работников организации по
вопросам электробезопасности, проводить им вводный инструктаж;
24
7) принимать меры по соблюдению информационной безопасности
баз данных фирмы на ее серверах и служебной цифровой информа
ции компании в целом;
8) осуществлять своевременное необходимое периодическое резерв
ное копирование и архивирование служебной цифровой информа
ции компании;
9) контролировать использование ресурсов цифровых сетей компании
и устанавливать необходимые права доступа сотрудников к инфор
мации по различным сегментам;
10) своевременно принимать меры по восстановлению работоспособ
ности вышедшего из строя вычислительного и сетевого оборудова
ния, оргтехники, средств связи, задействованного в локальных се
тях компании;
11) своевременно и оперативно принимать все необходимые меры по
восстановлению нормальной работоспособности программного
обеспечения и локальных баз данных, используемых в компании;
12) оперативно выявлять ошибки отдельных пользователей и про
граммного обеспечения, своевременно принимать меры по их ис
правлению;
13) осуществлять текущий мониторинг локальных сетей компании и
предлагать меры развития ее цифровой инфраструктуры, внедре
нию нового программного обеспечения;
14) обеспечивать локальную сетевую безопасность компании - защиту
от внешнего несанкционированного доступа к служебной информа
ции фирмы;
15) осуществлять мониторинг антивирусной защиты сетей компании,
используя необходимое стандартное программное обеспечение;
16) готовить и вносить предложения по приобретению и модернизации
вычислительного оборудования и оргтехники, нового программного
обеспечения;
17) при необходимости контролировать установку, наладку или ремонт
оборудования компании специалистами сторонних организаций в
рамках своих компетенций;
18) информировать руководство о фактах нарушения предусмотренных
правил обращения с оборудованием компании, ее локальных сетей,
программного обеспечения, баз данных или иной служебной циф
ровой информацией;
19) своевременно и качественно вести предусмотренный в компании
технический учет вычислительного оборудования и оргтехники, со
ставлять необходимую внутреннюю служебную документацию и
отчетность;
20) оперативно выполнять поручения руководства в рамках своих про
фессиональных компетенций;
25
21) взаимодействовать с другими подразделениями компании в рамках
своих должностных обязанностей и компетенций;
22) соблюдать все необходимые требования нормативных документов по
защите служебной конфиденциальной информации компании, пер
сональных данных сотрудников и контрагентов фирмы;
23) соблюдать действующую в компании трудовую и производственную
дисциплину, положения трудового договора, внутренние распоряже
ния и инструкции фирмы;
24) соблюдать все необходимые технические регламенты по работе и об
служиванию технического оборудования, требования по технике
безопасности и пожаробезопасности;
25) повышать свою квалификацию самостоятельно, участвовать в до
полнительных образовательных мероприятиях.
Системный администратор может запрашивать дополнительную инфор
мацию у других сотрудников компании и сторонних специалистов, а
также руководства, в рамках своих компетенций, необходимую ему
для выполнения своих текущих служебных обязанностей, в том чис
ле получать необходимые для этого документы и материалы. Адми
нистратор вправе устанавливать правила пользования корпоративной
сетью и вносить свои предложения по устранению существующих
недостатков и улучшению работы информационной системы, требо
вать от руководства обеспечения организационно-технических усло
вий для нормального функционирования корпоративной информа
ционной системы и выполнения своих должностных обязанностей.
При этом он не может каким-либо образом разглашать внутреннюю
служебную конфиденциальную информацию компании, делать слу
жебную информацию компании каким-либо образом достоянием
общественности, отвечать на любые внешние запросы или давать
личные комментарии, без согласования с руководством компании.
Системный администратор несёт персональную ответственность:
1) за ненадлежащее исполнение своих должностных обязанностей, пре
дусмотренных своей должностной инструкцией, согласно мерам от
ветственности, предусмотренным российским законодательством
(трудовым, гражданским, административным, уголовным кодексами
ит.д.);
2) за совершенные правонарушения, при некорректном выполнении его
обязанностей при работе с техническим оборудованием или конфи
денциальной информацией;
3) за сохранность и поддержание в рабочем состоянии технического
оборудования компании, входящего в зону его профессиональных
обязанностей;
4) за причинение материального ущерба компании в соответствии с
действующим законодательством;
26
Для компании очень важна бесперебойная корректная работа оборудо
вания и локальных сетей, системные сбои наносят существенный матери
альный ущерб организации, поэтому в случаях их возникновения, требуют
ся незамедлительные высококвалифицированные действия системного ад
министратора, и за его бездействие или грубые некорректные действия,
предусматривается отдельная дисциплинарная ответственность, налагаются
взыскания, штрафы. Системный администратор обязан исполнять все свои
текущие обязанности оперативно и быть внимательным при их выполнении,
так как несвоевременное исполнение его обязанностей также влечет убытки
для компании, за что может быть предусмотрена дисциплинарная ответст
венность, налагаться взыскания, штрафы. За ненадлежащее выполнение или
невыполнение распоряжений и поручений руководства организации или его
непосредственного начальника предусмотрена дисциплинарная или иная
ответственность, согласно законодательству РФ. За неверное или недосто
верное ведение учета, составление отчетности и иной документации воз
можно привлечение системного администратора к ответственности, соглас
но, внутренних положений компании и законодательства РФ, в зависимости
от конкретного нарушения.
Системный администратор также несет ответственность за сохранность
вверенного ему имущества компании, а также программных продуктов при
надлежащих или приобретенных фирмой у третьих лиц. За разглашение
служебной или конфиденциальной информации без согласия руководства
компании, системный администратор несет гражданско-правовую ответст
венность, предусмотренную российским законодательством. Поэтому лю
бую передачу конфиденциальной служебной информации третьим лицам,
или официальные комментарии, системный администратор должен согласо
вывать с руководителем фирмы.
Рассмотрим основные понятия, используемые в работе системного ад
министратора [2].
Информационно-вычислительная система (ИВС) - комплекс программ
ных и аппаратных средств для обеспечения автоматизации производства и
других сфер жизнедеятельности человека, включающий в качестве состав
ных частей серверное и сетевое оборудование.
Пользователь ИВС (User) - физическое лицо, имеющее доступ к опреде
ленным ресурсам ИВС, идентифицируемое бюджетом пользователя (учет
ной записью). Администратор ИВС также является пользователем ИВС, об
ладая, в общем случае, неограниченным доступом ко всем ресурсам ИВС.
Администратор ИВС (Administrator) - должностное лицо, ответственное
за работоспособность и надлежащее функционирование всех частей ИВС.
У администратора большой ИВС в подчинении могут находиться адми
нистраторы частей и подсистем ИВС - например, администратор локальновычислительной сети, администратор сетевой ОС, администратор базы дан
ных (БД), а также технический персонал. Администратор подсистемы ИВС
27
отвечает за работоспособность и надлежащее функционирование вверенных
ему компонентов этой подсистемы ИВС.
Бюджет/учетная запись пользователя (Account) - запись в специализи
рованной БД (БД учетных записей), содержащая информацию о пользовате
ле ИВС. Используется для идентификации пользователя в системе, провер
ки полномочий пользователя и обеспечения доступа пользователя к тем или
иным ресурсам системы. Характеризуется атрибутами, например, имя для
входа, пароль, профиль в системе, список принадлежности к группам и т.п.
Пароль служит для защиты бюджета от несанкционированного использова
ния.
Регистрация пользователя в системе (Registration) - создание админист
ратором ИВС (или другим уполномоченным липом) бюджета пользователя
для данного физического липа.
Аутентификация в системе (Authentication) - процесс установления под
линности пользователя ИВС. Заключается в предъявлении пользователем
своего имени для входа и пароля, а также в проверке системой наличия
бюджета в БД бюджетов пользователей и соответствия указанного пользо
вателем пароля и пароля, хранящегося в БД. После успешной аутентифика
ции в системе для пользователя на время сеанса работы создается дескрип
тор безопасности, отражающий его цифровой идентификатор в системе, а
также принадлежность группам пользователей, профилям и другим объек
там системы безопасности.
Ресурсы ИВС (Resources) - физические и логические объекты ИВС,
имеющие определенную функциональность, доступную для использования.
Примеры физических ресурсов - сервер ЛВС, каталог совместного исполь
зования на сервере, сетевой принтер; логических ресурсов - пользователь,
группа пользователей, профиль в системе, очередь на печать и т.д.
Совместное использование ресурса (Resource sharing) - использование
ресурса двумя и более пользователями ИВС.
Права доступа к ресурсу (Access rights to the resource) - степень свободы
действий пользователя (просмотр, использование, владение) по отношению
к данному ресурсу. Имеют специфику применительно к разным ресурсам и
подсистемам ИВС (создание, чтение, запись, удаление файлов и каталогов для файловой службы; создание, печать документов/управление очередью
на печать — для службы печати и т.д.). По определению, администратор
ИВС имеет полные права на все ресурсы ИВС. Администратор части ИВС полные права на ресурсы части ИВС. Права доступа на прямую связаны с
ответственностью пользователя, которую он несет, пользуясь этими пра
вами.
Назначение прав доступа к ресурсу (User's rights assignment) - процедура
создания в системе специальной записи, с помощью которой учетной запи
си пользователя или ее аналогу (например, учетной записи группы пользо
вателей) присваиваются определенные права доступа к ресурсу. Назначение
прав доступа в современных информационно-вычислительных системах
28
осуществляется через списки управления доступом (Access Control
List/ACL).
Аудит/Контроль использования ресурсов (Audit) - процесс контроля ис
пользования ресурсов, включающий возможность ведения журнала попыток
доступа к ресурсам. Журнал аудита ведется на основе данных, поступаю
щих от процедур авторизации.
Список управления доступом (Access Control List /ACL) - в виде отдель
ных записей хранит информацию о том, кто обладает правами на ресурс и
каковы эти права. Например, для одного пользователя в ACL каталога фай
ловой системы могут быть указаны права на чтение, а для другого пользова
теля - правана чтениеизапись.
Авторизация/Проверка прав доступа (Authorization/ Rights verification) процесс установления системой соответствия запрошенных прав доступа к
ресурсу и фактических прав пользователя на ресурс и формирования управ
ляемой реакции: разрешить или отвергнуть доступ пользователя к ресурсу.
Например, пользователь выполняет операцию открытия файла на запись
(запрашиваемые права), обладая при этом только правом просмотра (факти
ческие права). Система запретит выполнение операции, мотивируя свое по
ведение недостатком прав у пользователя.
У администратора есть несколько «золотых правил»:
1. Никогда не проводить экспериментов на работающей системе. Если
это все-таки необходимо, сделать сначала полную резервную копию дан
ных.
2. Никогда не менять конфигурацию сервера (как аппаратную, так и
программную), не сделав предварительно полную резервную копию дан
ных.
3. Всегда документировать свои действия в журнале администратора.
Если это возможно - пользоваться встроенными в серверные ОС средства
ми аудита и журналирования.
4. Если можно переложить часть работы на подчиненного, переклады
вать. Но если не уверен, что подчиненный справится с заданием должным
образом, делать самостоятельно.
5. Всегда соотносить назначаемые права с мерой ответственности, свя
занной с теми или иными правами, т.е. пользователь, имеющий больше
прав, берет на себя больше ответственности. Администратор должен обла
дать полными правами на вверенную ему систему.
6. При работе с ресурсами ИВС в качестве пользователя (например, при
выполнении таких действий, как редактирование документов, просмотр и
отправка почтовых сообщений, разработка ПО и т. п.) использовать учет
ную запись с обычными правами доступа, а не учетную запись администра
тора.
7. Регулярно менять пароль учетной записи администратора. Но не пола
гаться на свою память - записывать пароль на бумаге и ограничить доступ
29
посторонних лиц (сейф, от которого ключи только у администратора и, мо
жет быть, его прямого начальника).
1.2. Корпоративная информационная система и её структура
Корпоративная информационная система (КИС) - это масштабируе
мая система, предназначенная для комплексной автоматизации всех видов
хозяйственной деятельности больших и средних предприятий, в том числе
корпораций, состоящих из группы компаний, требующих единого управ
ления [3]. Объединяет систему управления персоналом, материальными,
финансовыми и другими ресурсами компании, используется для поддерж
ки планирования и управления компанией, для поддержки принятия
управленческих решений ее руководителями. Под КИС можно понимать
управленческую идеологию, объединяющую бизнес-стратегию и инфор
мационные технологии.
КИС предполагает возможность работы системы в распределенной
структуре (корпорации) по вертикали и горизонтали.
Основные принципы, на которых должна быть построена КИС:
• интеллектуальность (управление организацией - регистрация и на
копление информации);
• интегрированность (сквозное прохождение документов через раз
личные службы);
• модульность (возможность поэтапного внедрения системы);
• доступность;
• открытость (возможность взаимодействовать с другими программа
ми);
• адаптивность (мощность механизма настроек).
Основные требования КИС:
• использование архитектуры клиент-сервер с возможностью приме
нения промышленных СУБД;
• обеспечение безопасности методами контроля и разграничения дос
тупа к информационным ресурсам;
• поддержка распределенной обработки информации;
• модульный принцип построения из оперативно-независимых функ
циональных блоков с расширением за счет открытых стандартов
(API, COM и другие).
Структуру информационной системы можно рассматривать как сово
купность подсистем независимо от сферы применения. Подсистема - это
часть системы, выделенная по какому-либо признаку. В э т о м с л у ч а е г о в о рят о структурном признаке классификации, а подсистемы называют обес
печивающими.
Таким образом, структура любой информационной системы может
быть представлена совокупностью обеспечивающих подсистем.
30
Среди обеспечивающих подсистем обычно выделяют информацион
ное, техническое, математическое, программное, организационное и пра
вовое обеспечение.
Информационное обеспечение - совокупность информационных мас
сивов данных, единой системы классификации и кодирования информа
ции, унифицированных систем документации, схем информационных по
токов, циркулирующих в организации, а также методология построения
баз данных. Назначение подсистемы информационного обеспечения со
стоит в своевременном формировании и выдаче достоверной информации
для принятия управленческих решений.
Техническое обеспечение - комплекс технических средств, предна
значенных для работы информационной системы, а также соответствую
щая документация на эти средства и технологические процессы.
Комплекс технических средств составляют:
• компьютеры любых моделей;
• устройства сбора, накопления, обработки, передачи и вывода ин
формации;
• устройства передачи данных и линий связи;
• оргтехника и устройства автоматического съема информации;
• эксплуатационные материалы и др.
Документацией оформляются предварительный выбор технических
средств, организация их эксплуатации, технологический процесс обработ
ки данных, технологическое оснащение. Документацию можно условно
разделить на три группы:
• общесистемную, включающую государственные и отраслевые
стандарты по техническому обеспечению;
• специализированную, содержащую комплекс методик по всем эта
пам разработки технического обеспечения;
• нормативно-справочную, используемую при выполнении расчетов
по техническому обеспечению.
К настоящему времени сложились две основные формы организации
технического обеспечения (формы использования технических средств):
централизованная и частично или полностью децентрализованная.
Централизованное техническое обеспечение базируется на использо
вании в информационной системе больших ЭВМ и вычислительных цен
тров. Такая форма организации облегчает управление и внедрение стан
дартизации, но понижает ответственность и инициативу персонала.
Децентрализация технических средств предполагает реализацию
функциональных подсистем на персональных компьютерах непосредст
венно на рабочих местах. В этом случае от персонала требуется больше
персональной ответственности, руководству труднее внедрять стандарти
зацию.
В настоящее время более распространен частично децентрализован
ный подход - организация технического обеспечения на базе распределен31
ных сетей, состоящих из персональных компьютеров и большой ЭВМ для
хранения баз данных, общих для любых функциональных подсистем.
Математическое и программное обеспечение - совокупность матема
тических методов, моделей, алгоритмов и программ для реализации целей
и задач информационной системы, а также нормального функционирова
ния комплекса технических средств.
К средствам математического обеспечения относятся:
• средства моделирования процессов управления;
• типовые задачи управления;
• методы математического программирования, математической ста
тистики, теории массового обслуживания и др.
В состав программного обеспечения входят общесистемные и специ
альные программные продукты, а также техническая документация.
К общесистемному программному обеспечению относятся комплексы
программ, ориентированных на пользователей и предназначенных для ре
шения типовых задач обработки информации. Они служат для расширения
функциональных возможностей компьютеров, контроля и управления про
цессом обработки данных.
Специальное программное обеспечение представляет собой совокуп
ность программ, разработанных при создании конкретной информацион
ной системы. В его состав входят пакеты прикладных программ (ППП),
реализующие разработанные модели разной степени адекватности, отра
жающие функционирование реального объекта.
Техническая документация на разработку программных средств
должна содержать описание задач, задание на алгоритмизацию, экономи
ко-математическую модель задачи, контрольные примеры.
Организационное обеспечение - это совокупность методов и средств,
регламентирующих взаимодействие работников с техническими средства
ми и между собой в процессе разработки и эксплуатации ИС.
Организационное обеспечение реализует следующие функции:
• анализ существующей системы управления организацией, где будет
использоваться ИС, ивыявление задач, подлежащих автоматизации;
• подготовку задач к решению на компьютере, включая техническое
задание на проектирование ИС и технико-экономическое обоснование ее
эффективности;
• разработку управленческих решений по составу и структуре орга
низации, методологии решения задач, направленных на повышение эффек
тивности системы управления.
Организационное обеспечение создается по результатам предпроектного обследования на 1-м этапе построения БД.
Правовое обеспечение - совокупность правовых норм, определяющих
создание, юридический статус и функционирование информационных сис
тем, регламентирующих порядок получения, преобразования и использо
вания информации.
32
Главной целью правового обеспечения является укрепление законно
сти. В состав правового обеспечения входят законы, указы, постановления
государственных органов власти, приказы, инструкции и другие норма
тивные документы министерств, ведомств, организаций, местных органов
власти. В правовом обеспечении можно выделить общую часть, регули
рующую функционирование любой информационной системы, илокальную часть, регулирующую функционирование конкретной системы.
Правовое обеспечение этапов разработки информационной системы
включает нормативные акты, связанные с договорными отношениями раз
работчика и заказчика и правовым регулированием отклонений от договора.
Правовое обеспечение этапов функционирования информационной
системы включает:
• статус информационной системы;
• права, обязанности и ответственность персонала;
• порядок создания и использования информации и др.
Этот набор подсистем носит общий характер практически для всех
типов автоматизированных информационных систем (АИС). Однако
структура и сложность обеспечивающих подсистем зависит от типа АИС,
области применения и других факторов. Так, подсистема математического
обеспечения имеет место в АИС оригинальной разработки программного
обеспечения (ПО) - в А И С стиповым ПО, она отсутствует. Подсистема
правового обеспечения может отсутствовать в АИС внутрифирменного на
значения - в этом случае можно ограничиться подсистемой организацион
ного обеспечения, в которой в том числе решаются вопросы правового
обеспечения; АИС самостоятельного назначения, например, системы ин
формационного обслуживания, могут иметь подсистему правового обеспе
чения. АИС, имеющие БД фактографического характера, имеют только
подсистему информационного обеспечения, в которой может возникать
необходимость решения отдельных лингвистических вопросов. Докумен
тальные системы имеют развитую подсистему лингвистического обеспе
чения, так как в этих системах решаются сложные задачи обеспечения
смысловой релевантности запросов пользователей содержанию выданных
документов. А э т о , как правило, не только программные модули морфоло
гического анализа, но и совокупность словарей и правил их ведения.
33
1.3. Составные части информационной системы
Аппаратное обеспечение является основой ИВС и определяет вы
числительную мощность ИВС в целом. Все аппаратное обеспечение
можно разделить на вычислительные установки, кабельное, канало- и с е теобразующее, периферийное и дополнительное оборудование [2].
Вычислительные установки (ВУ) служат для выполнения основных
вычислительных задач, т.е. задач по хранению и обработке информации.
Вычислительные установки можно разделить на две большие группы:
серверы и рабочие станции.
Сервер (Server) - это вычислительная установка, которая служит
преимущественно для совместного использования его информационновычислительных ресурсов, к которым относятся, прежде всего, централь
ный процессор или процессоры (например, если это SMP-система), опера
тивная и внешняя память (прежде всего, жесткие диски).
Основные требования к современному серверу:
1. Масштабируемость (Scalability) - возможность наращивания
мощности ВУ (количество и быстродействие процессоров, объем опера
тивной и внешней памяти) для пропорционального увеличения скорости и
плотности (определенное количество запросов в единицу времени) обра
ботки запросов, а также объемов хранимой информации.
2. Отказоустойчивость (Fault-tolerance) - возможность системы пол
ностью восстанавливать свою работоспособность при аппаратных сбоях и
высокая доступность (High Level of Availability) - возможность системы
продолжать обслуживание запросов при аппаратных сбоях. Обеспечивает
ся дублированием (Duplexing) основных аппаратных компонентов ВУ, ча
ше всего выходящих из строя (обычно имеющих механические части, а
также избыточностью (Redundancy) хранящейся информации.
3. Управляемость (Manageability) - возможность удаленного управ
ления, сбора сведений о работе подсистем сервера. Обеспечивается специ
альными программно-аппаратными комплексами, разрабатываемыми и
поставляемыми производителями серверов.
Для обеспечения отказоустойчивости и высокой доступности в со
временных серверах используются следующие технологии и компоненты:
- горячая замена компонент (Hot Swapping) - позволяет менять ком
поненты аппаратного обеспечения, не отключая электропитания от ВУ.
Есть решения для жестких дисков, источников питания, вентиляторов и
плат расширения;
- оперативная память (ОЗУ) с хранением избыточной информации;
- память с паритетом (Parity Checking) - обеспечивается обнаруже
ние однократных ошибок в ОЗУ;
- ЕСС-память (Enhanced Correction Code - улучшенный код коррек
ции), обеспечивается исправление однократных ошибок и обнаружение
двукратных ошибок в ОЗУ;
34
- Массивы независимых резервных дисков (Redundant Array of Inde
pendent Disks / RAID). Применяются в серверах для обеспечения отказо
устойчивости внешней памяти.
Классификация RAID по способу исполнения:
1. Аппаратный RAID. Существует две реализации:
- в виде хост-адаптера - вместо SCSI-адаптера шина со SCSIдисками подключается к RAID-адаптеру;
- SCSI-to-SCSI - такой RAID является обычным SCSI-устройством с
точки зрения SCSI-адаптера, при этом можно организовать более емкую
внешнюю память, являющуюся отказоустойчивой.
2. Программный RAID. Реализуется системным ПО на уровне ядра ОС.
Классификация по принципу функционирования:
1. RAID0 - разделение ;
2. RAID1 - зеркалирование (дублирование) данных;
3. RAID4 - разделение данных с избыточностью (свыделеннымдиском четности);
4. RAID5 - разделение данных с избыточностью (с равноправными
дисками, т.е. информация о четности размыта по дискам).
Кластер - это объединение двух и более ВУ (точнее, пары «про
цессор + оперативная память»), называемых узлами кластера, для работы
с общей внешней памятью. При выходе из строя одного из узлов кластера,
остальные узлы кластера берут на себя нагрузку по обслуживанию кли
ентских подключении. Для клиентов кластер выглядит как один узел сети.
Рабочая станция (Workstation) - это вычислительная установка, ко
торая преимущественно используется как индивидуальное рабочее место
пользователя ИВС и служит точкой входа в ИВС.
Основные требования к рабочей станции:
1. Удобство работы (Convenience) - обеспечивается прежде всего
установкой и поддержкой высокоскоростной графической подсистемой
ввода-вывода (графическая плата, монитор, мышь).
2. Управляемость (Managability) - обеспечивается ПО, разрабаты
ваемым и поставляемым производителями рабочих станций, а также неза
висимыми производителями.
Кабельное оборудование (кабельная система) представляет собой
физическую среду, которая связывает воедино разрозненные ВУ и другое
оборудование ИВС. Кабельное оборудование представлено кабелями раз
личных типов, а также специальными розетками и вилками для подклю
чения кабельных сегментов друг к другу и к сетевому оборудованию.
Распространенные типы кабелей:
- коаксиальный кабель;
- витая пара;
-оптоволоконный кабель.
35
Коаксиальный кабель (Coaxial Cable) - представляет собой изолиро
ванную медную жилу, помещенную в медную оплетку, покрытую гибкой
изоляционной оболочкой.
Кабель на основе «витых пар» (Twisted Pairs Cable) - представляет
собой изолированные медные провода, попарно скрученные и заключен
ные в гибкую оболочку. Существует неизолированный (UTP) и изолиро
ванный (STP) варианты данного типа кабеля. В последнем случае скру
ченные пары проводов заключаются в медную оплетку, которая заземля
ется. Характеризуется так называемой категорией, в частности, для сетей
на базе технологии Ethernet допускается использование кабеля категории
3 ивыше. С кабелем данного типа используются вилки и розетки стандар
та RJ-45. Используется для построения сети по топологии «звезда».
Оптоволоконный кабель (Fiber Optical Cable) - представляет собой
стеклянную жилу (световод), заключенную в гибкую оболочку. Исполь
зуется для построения сети по топологии «точка-точка». Применяется
для построения магистралей, т.е. создания каналов связи между удален
ными частями сети, а также для подключения серверов.
Существуют две разновидности данного кабеля:
- многомодовый - допускается передача нескольких пучков света
(«мод») по одному световоду, при этом обеспечивается дальность связи до
2 км:
- одномодовый - вследствие меньшего диаметра световода возможна
передача только одного пучка света, при этом обеспечивается дальность
связи до 80 км (теоретически возможная).
Канало- и сетеобразующее оборудование (или просто «сетевое обо
рудование») - это оборудование для сопряжения кабельной системы ИВС
с В У , а также различных частей кабельной системы. Каналообразующее
оборудование обеспечивает функции канального уровня модели OSI для
организации сети, а сетеобразующее - функции канального и сетевого
уровня модели OSI.
Сетевое оборудование можно разделить на две группы:
Оконечное оборудование - сетевые платы и модемы, которые уста
навливаются в ВУ и обеспечивают подключение ВУ к сети.
Коммутационное оборудование - концентраторы, мосты и коммута
торы, маршрутизаторы, которые служат для связи частей кабельной сис
темы в единую сетевую инфраструктуру.
Периферийное оборудование - это оборудование, расширяющее
функциональные возможности ВУ (прежде всего функциями ввода, выво
да). Периферийное оборудование подключается прямо к ВУ посредством
специализированных интерфейсов, либо посредством канало- исетеобразующего оборудования. Включает мониторы, клавиатуры, мыши, принте
ры, сканеры, дисковые массивы и т.д.
Дополнительное оборудование - оборудование, необходимое для
более эффективной и надежной работы основного оборудования ИВС.
36
Включает, преждевсего, источники бесперебойного питания (далее ИБП),
а также анализаторы сети, датчики состояния окружающей среды и т.п.
Существуют два подхода к защите оборудования от неисправностей
электропитания, предусматривающих использование ИБП:
Централизованный подход - все компьютерное оборудование под
ключено к одному мощному ИБП, который постоянно работает и обеспе
чивает это оборудование электропитанием в течение достаточно продол
жительного периода времени в случае сбоев.
Подход на основе распределенной схемы защиты электропитания каждый узел сети (рабочая станция, сервер, маршрутизатор и т.д.) под
ключается при необходимости к отдельному ИБП, который и обеспечива
ет некоторое время работу узла сети в случае сбоев в электропитании.
Программное обеспечение (Software) служит посредником между
аппаратным обеспечением ИВС и пользователем ИВС при доступе по
следнего к ресурсам ИВС и выполнении различных информационновычислительных задач.
Деление по функциональным возможностям:
1. Серверная операционная система (далее СОС) - хранится на дис
ках сервера и выполняется на процессоре(-ах) сервера, обслуживая другие
информационно-вычислительные задачи (СУБД, почтовая система и т.д.).
В зависимости от производителя и версии СОС обладает различной функ
циональностью и возможностями.
2. Клиентская операционная система (далее КОС) - хранится на
дисках рабочей станции (или на дисках сервера), выполняется на процес
соре рабочей станции, обеспечивая пользователю ИВС базовый интерфейс
(средство взаимодействия) для доступа к ресурсам ИВС. Также может об
служивать дополнительные задачи.
3. Система управления базами данных (далее СУБД) - служит для
эффективного хранения и обработки большого объема упорядоченной оп
ределенным способом информации. На сегодняшний день чаше всего ис
пользуются СУБД, поддерживающие реляционную модель хранения дан
ных.
4. Почтовая система - служит для взаимодействия пользователей
ИВС посредством самой ИВС, аналог обычной почты, реализованный в
электронном виде. Система групповой работы (Groupware) - более совер
шенное средство взаимодействия пользователей, позволяет упорядочить и
формализовать обмен сообщениями.
5. Средства обеспечения взаимодействия с Internet/Intranet — рабо
та пользователей в ИВС на базе ГВС предполагает на сегодня работу в In
ternet. Intranet - ИВС предприятия, использующая средства Internet для
транспортировки своих информационных потоков между разбросанными
по земному шару частями ИВС.
6. ПО для обеспечения прикладных сервисов - серверы WWW. FTP,
SMTP/POP3 ит.п.
37
7. ПО для получения доступа к прикладным сервисам - броузеры
Интернет, FTP-клиенты, РОРЗ-клиенты.
8. ПО на границе ЛВС/ГВС для обеспечения безопасности корпора
тивных сетей - брандмауэры (Firewalls), прокси-серверы (Proxy), шлюзы
(Gateways), туннели (Tunnels).
9. Средства сетевого и системного управления. Администратору
большой ИВС требуется специальный инструментарий, позволяющий
легко выполнять задачи по администрированию, сопровождению и управ
лению частями и компонентами ИВС.
10. Прикладное ПО - не связанное напрямую с ресурсами ИВС ПО.
Служит для решения задач прикладной области: работа в офисе, автома
тизация работы бухгалтерии, графическое макетирование и издательская
деятельность и т.п.
11. Дополнительное ПО - облегчающее и делающее более удобной
работу пользователей ИВС.
Деление ПО на системное и прикладное:
- системное ПО - служит для выполнения задач по обслуживанию
ИВС, прежде всего ее аппаратного обеспечения. К системному ПО отно
сится большая часть программных компонент в составе ОС, а также раз
личное ПО для обслуживания аппаратного обеспечения ИВС: ПО для ре
зервного копирования, ПО для настройки сетевого оборудования и т.д.
- прикладное ПО - служит для выполнения информационновычислительных задач, решаемых обычными пользователями ИВС. К
прикладному ПО относятся СУБД, почтовая система, программные паке
ты для работы в офисе и т.д.
Деление по месту выполнения:
- Серверное ПО - выполняющееся как один и более процессов на
ВУ, выполняющей роль сервера.
- Клиентское ПО - выполняющееся как один и более процессов на
ВУ, выполняющей роль рабочей станции.
- Клиент-серверное ПО - распределенное ПО, выполняющееся как
два и более процесса на двух и более ВУ.
Современное ПО не является монолитным и чаще всего строится по
модульному принципу на основе уровневой архитектуры. В современном
ПО можно выделить следующие основные уровни (или слои):
1. Уровень представления информации (уровень интерфейса с поль
зователем) - является передним краем приложения (FrantEnd), обращен
ным к пользователям. На этом уровне реализуется ввод информации для
последующей обработки функциональными блоками и вывод обработан
ной информации. На сегодняшний день этот уровень чаще всего реализу
ется через функции программного интерфейса ОС, реализующие работу с
примитивами графического интерфейса (например, Windows GDI API):
окна, меню, панели инструментов, кнопки.
38
2. Уровень бизнес-правил (функциональный уровень) - является
функциональной частью приложения и отвечает за проверку на допусти
мость, обработку и преобразование информации. На сегодняшний день
налицо тенденция распределять слой бизнес-правил по нескольким ВУ.
3. Уровень именования и идентификации - отвечает за именование и
идентификацию информационных ресурсов, а также аутентификацию
пользователей в рамках программной системы. Данный уровень может
использовать внешнюю службу именования и идентификации ресурсов и
пользователей (например, службу справочника в составе серверной ОС).
4. Уровень безопасности - отвечает за разграничение прав доступа
пользователей и проверку полномочий при доступе к информационным
ресурсам через уровень представления. Данный уровень тесно взаимодей
ствует с уровнем именования и идентификации, поэтому также может ис
пользовать внешнюю службу для обеспечения безопасности.
5. Уровень оптимизации - выполняет анализ занятости вычисли
тельных ресурсов и оптимально перераспределяет вычислительную и т.п.
(см. выше рассмотренные уровни) нагрузку по установкам, доступным
приложению.
6. Уровень хранения и извлечения информации - является базовой и
наиболее удаленной от пользователей частью приложения, обращенной к
ресурсам ВУ (BackEnd), обеспечивает эффективные структуры хранения
введенной через приложение информации, а также алгоритмы извлечения
информации для последующей обработки и отображения. Может исполь
зовать внешнюю СУБД либо самостоятельно реализовывать вышеуказан
ные структуры н алгоритмы (например, файловая система в составе ОС).
На сегодняшний день программное обеспечение разрабатывается на
основе нескольких моделей вычислений в зависимости от места реализа
ции тех или иных уровней приложения:
Локализованная / централизованная модель вычислений - обработка
и хранение данных осуществляется на одной ВУ. На основе этой модели
реализуется большинство примеров современного прикладного ПО, неко
торые почтовые системы и т.д.
Модель вычислений на основе файлового хранилища - разновид
ность локальной модели вычислений, только данные хранятся не на ло
кальном диске ВУ, а на файловом сервере.
Распределенная модель вычислений - обработка и хранение данных
осуществляется на двух и более ВУ. Наиболее яркими и распространен
ными на сегодняшний день разновидностями являются:
- клиент-серверная модель. Такая модель вычислений реализована в
современных СУБД с поддержкой SQL, также в современных почтовых
системах и ПО групповой работы. С использованием этой модели работа
ет большинство служб сетевых ОС, имеются успешные попытки встраи
вания этой модели вычислений в ОС для выполнения прикладного ПО.
39
- модель на основе сервера приложений/монитора транзакций реализуется пока ограниченно, чаше для доступа к ресурсам обычных
клиент-серверных приложений через Web-интерфейс. Также есть попытки
встраивания в ОС.
ПО, реализующее распределенную модель вычислений, называется
распределенным ПО. В составе распределенного ПО должен быть реали
зован уровень взаимодействия - дополнительный уровень, который обес
печивает взаимодействие программных компонент, выполняющихся на
разных ВУ.
1.4. Распределённая информационная система и схемы
её построения
Под распределенными понимаются ИС, которые не располагаются
на одной контролируемой территории, на одном объекте.
Распределенная информационная система (РИС) - любая информа
ционная система, позволяющая организовать взаимодействие независи
мых, но связанных между собой ЭВМ. Эти системы предназначены для ав
томатизации таких объектов, которые характеризуются территориальной
распределенностью пунктов возникновения и потребления информации.
В о б щ е м случае распределенная информационная система (РИС)
представляет собой множество сосредоточенных ИС, связанных в единую
систему с помощью коммуникационной подсистемы.
Сосредоточенными ИС могут быть:
• отдельные ЭВМ, в том числе и ПЭВМ,
• вычислительные системы и комплексы,
• локальные вычислительные сети (ЛВС).
В настоящее время практически не используются неинтеллектуаль
ные абонентские пункты, не имеющие в своем составе ЭВМ. Поэтому пра
вомочно считать, что наименьшей структурной единицей РИС является
ЭВМ (рис. 1).
Распределенные ИС строятся по сетевым технологиям и представ
ляют собой вычислительные сети.
Термин «распределенная система», подразумевает взаимосвязанный
набор автономных компьютеров, процессов или процессоров. Компьюте
ры, процессы или процессоры упоминаются как узлы распределенной сис
темы. Будучи определенными как «автономные», узлы должны быть, по
крайней мере, оборудованы своим собственным блоком управления. Таким
образом, параллельный компьютер с одним потоком управления и не
сколькими потоками данных (SIMD) не подпадает под определение рас
пределенной системы. Чтобы быть определенными как «взаимосвязанны
ми», узлы должны иметь возможность обмениваться информацией.
Так как процессы могут играть роль узлов системы, определение
включает программные системы, построенные как набор взаимодейст40
вующих процессов, даже если они выполняются на одной аппаратной
платформе. В большинстве случаев, однако, распределенная система бу
дет, по крайней мере, содержать несколько процессоров, соединенный
коммутирующей аппаратурой.
Коммуникационная подсистема включает в себя:
• коммуникационные модули (КМ);
• каналы связи;
• концентраторы;
• межсетевые шлюзы (мосты).
Основной функцией коммуникационных модулей является передача
полученного пакета к другому КМ или абонентском пункту в соответствии
с маршрутом передачи. Коммуникационный модуль называют также цен
тром коммутации пакетов.
К сегменту 2
Рисунок 1 - Фрагмент распределенной информационной системы
Каналы связи объединяют элементы сети в единую сеть, каналы мо
гут иметь различную скорость передачи данных.
Концентраторы используются для уплотнения информации перед
передачей ее по высокоскоростным каналам.
Межсетевые шлюзы и мосты используются для связи сети с ЛВС или
для связи сегментов глобальных сетей. С помощью мостов связываются
сегменты сети с одинаковыми сетевыми протоколами.
В любой РИС в соответствии с функциональным назначением может
быть выделено три подсистемы:
41
Объединение компьютеров в сеть предоставляет возможность про
граммам, работающим на отдельных компьютерах, оперативно взаимодей
ствовать и сообща решать задачи пользователей. Связь между некоторыми
программами может быть настолько тесной, что их удобно рассматривать
в качестве частей одного приложения, которое называют в этом случае
распределенным, или сетевым.
Распределенные приложения обладают рядом потенциальных пре
имуществ по сравнению с локальными. Среди этих преимуществ более вы
сокая производительность, отказоустойчивость, масштабируемость и при
ближение к пользователю.
Значительная часть приложений, работающих в компьютерах сети,
являются сетевыми, но, конечно, не все. Действительно, ничто не мешает
пользователю запустить на своем компьютере полностью локальное при
ложение, не использующее имеющиеся сетевые коммуникационные воз
можности. Достаточно типичным является сетевое приложение, состоящее
из двух частей. Например, одна часть приложения работает на компьюте
ре, хранящем базу данных большого объема, а вторая — на компьютере
пользователя, который хочет видеть на экране некоторые статистические
характеристики данных, хранящихся в базе. Первая часть приложения вы
полняет поиск в базе записей, отвечающих определенным критериям, а
вторая занимается статистической обработкой этих данных, представлени
ем их в графической форме на экране, а также поддерживает диалог с
пользователем, принимая от него новые запросы на вычисление тех или
иных статистических характеристик. Можно представить себе случаи, ко
гда приложение распределено и между большим числом компьютеров.
Распределенным в сетях может быть не только прикладное, но и сис
темное программное обеспечение - компоненты операционных систем.
Как и в случае локальных служб, программы, которые выполняют некото
рые общие и часто встречающиеся в распределенных системах функции,
обычно становятся частями операционных систем и называются сетевыми
службами.
Целесообразно выделить три основных параметра организации рабо
ты приложений в сети. К ним относятся:
• способ разделения приложения на части, выполняющиеся на разных
компьютерах сети;
• выделение специализированных серверов в сети, на которых выпол
няются некоторые общие для всех приложений функции;
• способ взаимодействия между частями приложений, работающих на
разных компьютерах.
Очевидно, что можно предложить различные схемы разделения при
ложений на части, причем для каждого конкретного приложения можно
предложить свою схему. Существуют и типовые модели распределенных
приложений. В следующей достаточно детальной модели предлагается
разделить приложение на шесть функциональных частей [4]:
43
• средства представления данных на экране, например, средства гра
фического пользовательского интерфейса;
• логика представления данных на экране описывает правила и воз
можные сценарии взаимодействия пользователя с приложением: выбор из
системы меню, выбор элемента из списка и т.п.;
• прикладная логика - набор правил для принятия решений, вычисли
тельные процедуры и операции;
• логика данных - операции с данными, хранящимися в некоторой ба
зе, которые нужно выполнить для реализации прикладной логики;
• внутренние операции базы данных - действия СУБД, вызываемые в
ответ на выполнение запросов логики данных, такие как поиск записи по
определенным признакам;
• файловые операции - стандартные операции над файлами и файло
вой системой, которые обычно являются функциями операционной систе
мы.
На основе этой модели можно построить несколько схем распределе
ния частей приложения между компьютерами сети.
Распределение приложения между большим числом компьютеров
может повысить качество его выполнения (скорость, количество одновре
менно обслуживаемых пользователей и т.д.), но при этом существенно ус
ложняется организация самого приложения, что может просто не позво
лить воспользоваться потенциальными преимуществами распределенной
обработки. Поэтому на практике приложение обычно разделяют на две или
три части и достаточно редко - на большее число частей. Наиболее рас
пространенной является двухзвенная схема, распределяющая приложение
между двумя компьютерами. Перечисленные выше типовые функциональ
ные части приложения можно разделить между двумя компьютерами раз
личными способами.
Рассмотрим сначала два крайних случая двухзвенной схемы, когда на
грузка в основном ложится на один узел - либо на центральный компью
тер, либо на клиентскую машину.
В централизованной схеме (рис. 2 а) компьютер пользователя работа
ет как терминал, выполняющий лишь функции представления данных, то
гда как все остальные функции передаются центральному компьютеру. Ре
сурсы компьютера пользователя используются в этой схеме в незначи
тельной степени, загруженными оказываются только графические средства
подсистемы ввода-вывода ОС, отображающие на экране окна и другие
графические примитивы по командам центрального компьютера, атакже
сетевые средства ОС, принимающие из сети команды центрального ком
пьютера и возвращающие данные о нажатии клавиш и координатах мыши.
Программа, работающая на компьютере пользователя, часто называется
эмулятором терминала - графическим или текстовым, в зависимости от
поддерживаемого режима. Фактически эта схема повторяет организацию
многотерминальной системы на базе мэйнфрейма с тем лишь отличием,
44
что вместо терминалов используются компьютеры, подключенные не че
рез локальный интерфейс, а через сеть, локальную или глобальную.
Главным и очень серьезным недостатком централизованной схемы
является ее недостаточная масштабируемость и отсутствие отказоустойчи
вости. Производительность центрального компьютера всегда будет огра
ничителем количества пользователей, работающих с данным приложени
ем, а отказ центрального компьютера приводит к прекращению работы
всех пользователей. Именно из-за этих недостатков централизованные вы
числительные системы, представленные мэйнфреймами, уступили место
сетям, состоящим из мини-компьютеров, RISC-серверов и персональных
компьютеров. Тем не менее централизованная схема иногда применяется
как из-за простоты организации программы, которая почти целиком рабо
тает на одном компьютере, так и из-за наличия большого парка не распре
деленных приложений.
Компью тер 1
Эмуляция
терминала
сервера
Компью тер 2
ч—w
Логик а
прилож ения
и обращения
к базе данных
Операции
базы данных
Файловые
операции
Сервер
Клиент
Компью тер 1
б
Интерфейс
пользователя
Логик а
прилож ения
и обращения
к базе данных
Компью тер 2
Файловые
Операции
базы данных
Ч
операции
W
Сервер
Клиент
Компью тер 1
в
Интерфейс
пользователя
Компью тер 2
Логик а
прилож ения
и обращения
к базе данных
Клиент
Операции
Файловые
базы данных
операции
Сервер
Рис. 2 - Варианты распределений частей приложения
по двухзвенной схеме
В схеме «файловый сервер» (рис. 2, б) на клиентской машине выпол
няются все части приложения, кроме файловых операций. В сети имеется
достаточно мощный компьютер, имеющий дисковую подсистему большо
го объема, который хранит файлы, доступ к которым необходим большому
числу пользователей. Этот компьютер играет роль файлового сервера,
представляя собой централизованное хранилище данных, находящихся в
разделяемом доступе. Распределенное приложение в этой схеме мало от
личается от полностью локального приложения. Единственным отличием
является обращение к удаленным файлам вместо локальных. Для того что
бы в этой схеме можно было использовать локальные приложения, в сете45
вые операционные системы ввели такой компонент сетевой файловой
службы, как редиректор, который перехватывает обращения к удаленным
файлам (с помощью специальной нотации для сетевых имен, такой, на
пример, как //server"!/doc/file1.txt) и направляет запросы в сеть, освобождая
приложение от необходимости явно задействовать сетевые системные вы
зовы.
Файловый сервер представляет собой компонент наиболее популяр
ной сетевой службы - сетевой файловой системы, которая лежит в основе
многих распределенных приложений и некоторых других сетевых служб.
Первые сетевые ОС (NetWare компании Novell, I B M PC L A N Program,
Microsoft MS-Net) обычно поддерживали две сетевые службы - файловую
службу и службу печати, оставляя реализацию остальных функций разра
ботчикам распределенных приложений.
Такая схема обладает хорошей масштабируемостью, так как дополни
тельные пользователи иприложения добавляют лишь незначительную на
грузку на центральный узел - файловый сервер. Однако эта архитектура
имеет и свои недостатки:
• во многих случаях резко возрастает сетевая нагрузка (например,
многочисленные запросы к базе данных могут приводить к загрузке всей
базы данных в клиентскую машину для последующего локального поиска
нужных записей), что приводит к увеличению времени реакции приложения;
• компьютер клиента должен обладать высокой вычислительной мощ
ностью, чтобы справляться с представлением данных, логикой приложе
ния, логикой данных и поддержкой операций базы данных.
Другие варианты двухзвенной модели более равномерно распределя
ют функции между клиентской и серверной частями системы. Наиболее
часто используется схема, в которой на серверный компьютер возлагаются
функции проведения внутренних операций базы данных и файловых опе
раций (рис. 2, в). Клиентский компьютер при этом выполняет все функции,
специфические для данного приложения, а сервер - функции, реализация
которых не зависит от специфики приложения, из-за чего эти функции мо
гут быть оформлены в виде сетевых служб. Поскольку функции управле
ния базами данных нужны далеко не всем приложениям, то в отличие от
файловой системы они чаще всего не реализуются в виде службы сетевой
ОС, а являются независимой распределенной прикладной системой. Сис
тема управления базами данных (СУБД) является одним из наиболее часто
применяемых в сетях распределенных приложений. Не все СУБД являются
распределенными, но практически все мощные СУБД, позволяющие под
держивать большое число сетевых пользователей, построены в соответст
вии с описанной моделью клиент-сервер. Сам термин «клиент-сервер»
справедлив для любой двухзвенной схемы распределения функций, но ис
торически он оказался наиболее тесно связанным со схемой, в которой
сервер выполняет функции по управлению базами данных (и, конечно,
46
файлами, в которых хранятся эти базы) и часто используется как синоним
этой схемы.
Трёхзвенная архитектура позволяет еще лучше сбалансировать на
грузку на различные компьютеры в сети, а также способствует дальнейшей
специализации серверов и средств разработки распределенных приложе
ний. Примером трёхзвенной архитектуры может служить такая организа
ция приложения, при которой на клиентской машине выполняются средст
ва представления и логика представления, а также поддерживается про
граммный интерфейс для вызова частей приложения второго звена - про
межуточного сервера (рис. 3).
Промежуточный сервер называют в этом варианте сервером приложе
ний, так как на нем выполняются прикладная логика и логика обработки
данных, представляющих собой наиболее специфические и важные части
большинства приложений. Слой логики обработки данных вызывает внут
ренние операции базы данных, которые реализуются третьим звеном схе
мы - сервером баз данных.
Сервер баз данных, как и в двухзвенной модели, выполняет функции
двух последних слоев - операции внутри базы данных и файловые операции.
Компью тер 1
Интерфейс
пользователя
Клиент
Компью тер 2
Компью тер 3
Логик а
прилож ения
Ч W
и обращения Ч
к базе данных
Сервер прилож ений
w
Операции
Файловые
базы данных
операции
Сервер баз данных
Рисунок 3 - Трёхзвенная схема распределения частей приложения
Централизованная реализация логики приложения решает проблему
недостаточной вычислительной мощности клиентских компьютеров для
сложных приложений, а также упрощает администрирование и сопровож
дение. В том случае, когда сервер приложений сам становится узким ме
стом, в сети можно применить несколько серверов приложений, распреде
лив каким-то образом запросы пользователей между ними. Упрощается и
разработка крупных приложений, так как в этом случае четко разделяются
платформы и инструменты для реализации интерфейса и прикладной ло
гики, что позволяет с наибольшей эффективностью реализовывать их си
лами специалистов узкого профиля.
Монитор транзакций представляет собой популярный пример про
граммного обеспечения, не входящего в состав сетевой ОС, но выполняю
щего функции, полезные для большого количества приложений. Такой мо
нитор управляет транзакциями с базой данных и поддерживает целост
ность распределенной базы данных.
Трехзвенные схемы часто применяются для централизованной реали
зации в сети некоторых общих для распределенных приложений функций,
47
отличных от файлового сервиса и управления базами данных. Программ
ные модули, выполняющие такие функции, относят к классу middleware, то
есть промежуточному слою, располагающемуся между индивидуальной
для каждого приложения логикой и сервером баз данных.
В крупных сетях для связи клиентских и серверных частей приложе
ний также используется и ряд других средств, относящихся к классу
middleware, в том числе:
• средства асинхронной обработки сообщений (message-oriented
middleware, MOM);
• средства удаленного вызова процедур (Remote Procedure Call, RFC);
• брокеры запроса объектов (Object Request Broker, ORB), которые на
ходят объекты, хранящиеся на различных компьютерах, и п о м о г а ю т и х и с пользовать в одном приложении или документе.
Эти средства помогают улучшить качество взаимодействия клиентов
с серверами за счет промышленной реализации достаточно важных и
сложных функций, а также упорядочить поток запросов от множества кли
ентов к множеству серверов, играя роль регулировщика, распределяющего
нагрузку на серверы.
Сервер приложений должен базироваться на мощной аппаратной
платформе (мультипроцессорные системы, специализированные кластер
ные архитектуры). ОС сервера приложений должна обеспечивать высокую
производительность вычислений, азначит, поддерживать многопоточную
обработку, вытесняющую многозадачность, мультипроцессирование, вир
туальную память и наиболее популярные прикладные среды.
Контрольные
вопросы
1. Перечислите, что должен знать системный администратор.
2. Перечислите, что должен уметь системный администратор.
3. За что несёт ответственность администратор?
4. Что такое ИВС?
5. Что такое учётная запись пользователя?
6. Что такое аутентификация?
7. Что такое авторизация?
8. Что такое права доступа к ресурсу?
9. Что такое учётная запись пользователя?
10. Что такое список управления доступом?
11. Назовите «золотые правила» администратора.
12. Что понимается под корпоративной информационной системой?
13. Что понимается под техническим обеспечением КИС?
14. Что понимается под математическим и программным обеспечени
ем КИС?
15. Что понимается под информационным обеспечением КИС?
16. Что понимается под организационным обеспечением КИС?
48
2. АДМИНИСТРИРОВАНИЕ ВЫЧИСЛИТЕЛЬНЫХ
СЕТЕЙ
2.1. Сетевое оборудование и топологии вычислительных сетей
Активное (конфигурируемое) сетевое оборудование обладает гибкой
функциональностью, зачастую, модульностью. Это оборудование, в отли
чие от пассивного сетевого оборудования, выполняет ту или иную цифро
вую обработку сигналов, тогда как пассивное сетевое оборудование вы
полняет только передачу сигналов в том виде, в каком получает.
Примеры активного оборудования:
- коммутатор (Switch);
- маршрутизатор (Router);
- конвертер среды передачи данных (Gateway).
Активное сетевое оборудование почти всегда поставляется в состоя
нии, готовом к немедленной работе, но действует оно так же, как не ак
тивное. Исключение составляют конвертеры сред передачи данных.
Для использования всего функционала подобных сетевых устройств
необходима дополнительная настройка.
В крупных организациях сетевая инфраструктура постоянно изменяет
ся, это влечёт за собой перенастройку (замену) сетевых устройств. Неак
тивное оборудование создаёт большое количество "проблем" при измене
нии топологии сети, самой большой из которых является реакция на уве
личивающийся размер сетевых сегментов.
Физическая организация активного сетевого оборудования во многом
повторяет архитектуру любого персонального компьютера, изменённую
под выполнение специальных задач:
- шина данных обладает большей шириной (128-2048 бит против 32-64
бит);
- большое количество разнообразных сетевых интерфейсов;
- для многих задач используются сопроцессоры;
- дублирование отдельных блоков или целых устройств для повыше
ния отказоустойчивости.
Логическая структура активного сетевого оборудования опирается на
UNIX-подобную ОС, в которой для администратора открыты все возмож
ности настройки сетевых протоколов и интерфейсов.
Каждая используемая технология может иметь общую для всех интер
фейсов часть, но обязательно должна быть применена к сетевому интер
фейсу устройства и настроена в соответствии с требованиями среды пере
дачи данных.
Сложность архитектуры современного сетевого оборудования, во мно
гом, обусловлена неодновременным появлением технологий. Устройства
должны поддерживать как современные технологии, так и технологии,
возраст которых нередко превышает два десятилетия (x.25).
50
Таким образом, наиболее сложной задачей для сетевого администра
тора является нахождение таких настроек оборудование, чтобы переход
данных между областями применения различных технологий осуществ
лялся максимально эффективно.
Пассивное сетевое оборудование представляет собой трассу и тракт, а
именно это - кабели и розетки соответственно. И т о , и другое оборудова
ние обеспечивает соединения, но разными способами, однако один вид без
другого просто не мог бы существовать.
Пассивное оборудование отличается от активного в первую очередь
тем, что не питается непосредственно от электросети и передает сигнал без
его усиления. Пассивное сетевое оборудование делится условно на две
группы. Первая группа включает в себя оборудование, являющееся трас
сой для кабелей: кронштейны, кабельные каналы и аксессуары для них,
металлические лотки, закладные трубы, клипсы, гофрошланги и коммута
ционные шкафы. Во вторую группу входит оборудование, которое служит
трактом передачи данных. Сюда относят розетки, кабели и коммутацион
ные панели.
Общая схема соединения компьютеров в локальные сети называется
топологией сети.
Топология - это физическая конфигурация сети в совокупности с ее
логическими характеристиками, это стандартный термин, который исполь
зуется при описании основной компоновки сети. Если понять, как исполь
зуются различные топологии, то можно будет определить, какими возмож
ностями обладают различные типы сетей.
Существует два основных типа топологий:
• физическая;
• логическая.
Логическая топология описывает правила взаимодействия сетевых
станций при передаче данных.
Физическая топология определяет способ соединения носителей дан
ных.
Термин "топология сети" характеризует физическое расположение
компьютеров, кабелей и других компонентов сети. Топология физических
связей может принимать разные «геометрические» формы, при этом суще
ственным является не геометрическое расположение кабеля, а лишь нали
чие связи между узлами (замкнутость/незамкнутость, наличие центра и
т.д.). Топология сети обуславливает ее характеристики.
Выбор той или иной топологии влияет на:
• состав необходимого сетевого оборудования;
• характеристики сетевого оборудования;
• возможности расширения сети;
• способ управления сетью.
Конфигурация сети может быть или децентрализованной (когда ка
бель "обегает" каждую станцию в сети), или централизованной (когда каж51
дая станция физически подключается к некоторому центральному устрой
ству, распределяющему фреймы и пакеты между станциями). Примером
централизованной конфигурации является звезда с рабочими станциями,
располагающимися на концах ее лучей. Децентрализованная конфигурация
похожа на цепочку альпинистов, где каждый имеет свое положение в связ
ке, а все вместе соединены одной веревкой. Логические характеристики
топологии сети определяют маршрут, проходимый пакетом при передаче
по сети.
При выборке топологии нужно учитывать, чтобы она обеспечивала
надежную и эффективную работу сети, удобное управление потоками се
тевых данных. Желательно также, чтобы сеть по стоимости создания и со
провождения получилась недорогой, но в то же время оставались возмож
ности для ее дальнейшего расширения и, желательно, для перехода к более
высокоскоростным технологиям связи. Чтобы решить эту непростую зада
чу, необходимо знать, какие бывают сетевые топологии.
По топологии связей различают:
• сети с топологией "общая шина (шина)";
• сети с топологией "звезда";
• сети с топологией "кольцо"»;
• сети с древовидной топологией;
• сети со смешанной топологией.
Базовыми являются топологии «шина», «звезда» и «кольцо».
"Шиной" называется топология, в которой компьютеры подключены
вдоль одного кабеля.
"Звездой" называется топология, в которой компьютеры подключены
к сегментам кабеля, исходящим из одной точки или концентратора.
"Кольцом" называется топология, если кабель, к которому подключе
ны компьютеры, замкнут в кольцо.
Хотя сами по себе базовые топологии несложны, в реальности часто
встречаются довольно сложные комбинации, объединяющие свойства не
скольких топологий.
В шинной топологии все компьютеры соединяются друг с другом од
ним кабелем. Каждый компьютер присоединяется к общему кабелю, на
концах которого устанавливаются терминаторы. Сигнал проходит по сети
через все компьютеры, отражаясь от конечных терминаторов.
Топология "шина" порождается линейной структурой связей между
узлами. Аппаратно такая топология может быть реализована, например,
путём установки на центральные компьютеры двух сетевых адаптеров. В
целях предотвращения отражения сигнала на концах кабеля должны быть
установлены терминаторы, поглощающие сигнал.
В сети с топологией "шина" компьютеры адресуют данные конкрет
ному компьютеру, передавая их по кабелю в виде электрических сигналов
- аппаратных MAC-адресов. Чтобы понять процесс взаимодействия ком
пьютеров по шине, нужно уяснить следующие понятия:
52
• передача сигнала;
• отражение сигнала;
• терминатор.
1. Передача сигнала
Данные в виде электрических сигналов, передаются всем компьюте
рам сети; однако информацию принимает только тот, адрес которого соот
ветствует адресу получателя, зашифрованному в этих сигналах. Причем в
каждый момент времени только один компьютер может вести передачу.
Так как данные в сеть передаются лишь одним компьютером, ее произво
дительность зависит от количества компьютеров, подключенных к шине.
Чем их больше, т.е. чем больше компьютеров, ожидающих передачи дан
ных, тем медленнее сеть. Однако вывести прямую зависимость между
пропускной способностью сети и количеством компьютеров в ней нельзя.
Ибо, кроме числа компьютеров, на быстродействие сети влияет множество
факторов, в том числе:
• характеристики аппаратного обеспечения компьютеров в сети;
• частота, с которой компьютеры передают данные;
• тип работающих сетевых приложений;
• тип сетевого кабеля;
• расстояние между компьютерами в сети.
Шина - пассивная топология. Это значит, что компьютеры только
"слушают" передаваемые по сети данные, но не перемещают их от отпра
вителя к получателю.Поэтому, если один из компьютеров выйдет из
строя, э т о н е с к а ж е т с я н а р а б о т е остальных. В активных топологиях ком
пьютеры регенерируют сигналы и передают их по сети.
2. Отражение сигнала
Данные, или электрические сигналы, распространяются по всей сети от одного конца кабеля к другому. Если не предпринимать никаких специ
альных действий, сигнал, достигая конца кабеля, будет отражаться и не по
зволит другим компьютерам осуществлять передачу. Поэтому, после того
как данные достигнут адресата, электрические сигналы необходимо пога
сить.
3. Терминатор
Чтобы предотвратить отражение электрических сигналов, на каждом
конце кабеля устанавливают заглушки (терминаторы, terminators), погло
щающие эти сигналы. Все концы сетевого кабеля должны быть к чемунибудь подключены, например, к компьютеру или к баррел-коннектору для увеличения длины кабеля. К любому свободному (неподключенному
ни к чему) концу кабеля должен быть подсоединен терминатор, чтобы
предотвратить отражение электрических сигналов.
Нарушение целостности сети может произойти, если разрыв сетевого
кабеля происходит при его физическом разрыве или отсоединении одного
из его концов. Возможна также ситуация, когда на одном или нескольких
концах кабеля отсутствуют терминаторы, что приводит к отражению элек53
трических сигналов в кабеле и прекращению функционирования сети. Сеть
"падает". Сами по себе компьютеры в сети остаются полностью работо
способными, но до тех пор, пока сегмент разорван, они не могут взаимо
действовать друг с другом. У такой топологии сети есть достоинства и не
достатки.
Достоинства:
• небольшое время установки сети;
• дешевизна (требуется меньше кабеля и сетевых устройств);
• простота настройки;
• выход из строя рабочей станции не отражается на работе сети.
Недостатки:
• такие сети трудно расширять (увеличивать число компьютеров в се
ти и количество сегментов - отдельных отрезков кабеля, их соединяю
щих);
• поскольку шина используется совместно, в каждый момент времени
передачу может вести только один из компьютеров;
• "шина" является пассивной топологией - компьютеры только "слу
шают" кабель и не могут восстанавливать затухающие при передаче по се
ти сигналы;
• надёжность сети с топологией "шина" невысокая. Когда электриче
ский сигнал достигает конца кабеля, он (если не приняты специальные ме
ры) отражается, нарушая работу всего сегмента сети.
Проблемы, характерные для топологии "шина", привели к тому, что
эти сети сейчас уже практически не используются.
Топология сети типа "шина" известна как логическая топология
Ethernet 10 Мбит/с.
При топологии "звезда" все компьютеры подключаются к централь
ному компоненту, именуемому концентратором (hub). Каждый компьютер
подсоединяется к сети при помощи отдельного соединительного кабеля.
Сигналы от передающего компьютера поступают через концентратор ко
всем остальным.
В «звезде» всегда есть центр, через который проходит любой сигнал в
сети. Функции центрального звена выполняют специальные сетевые уст
ройства, причём передача сигнала в них может идти по-разному: в одних
случаях устройство направляет данные всем узлам, кроме узлаотправителя, в других устройство анализирует, какому узлу предназнача
ются данные и направляет их только ему.
Эта топология возникла на заре вычислительной техники, когда ком
пьютеры были подключены к центральному, главному, компьютеру.
Достоинства топологии "звезда":
• выход из строя одной рабочей станции не отражается на работе
всей сети в целом;
• хорошая масштабируемость сети;
• лёгкий поиск неисправностей и обрывов в сети;
54
• высокая производительность сети (при условии правильного проек
тирования);
• гибкие возможности администрирования.
Недостатки топологии "звезда":
• выход из строя центрального концентратора обернётся неработо
способностью сети (или сегмента сети) в целом;
• для прокладки сети зачастую требуется больше кабеля, чем для
большинства других топологий;
• конечное число рабочих станций в сети (или сегменте сети) ограни
чено количеством портов в центральном концентраторе.
Одна из наиболее распространённых топологий, поскольку проста в
обслуживании. В основном используется в сетях, где носителем выступает
кабель витая пара. UTP категория 3 или 5. (Категории кабеля «витая пара»,
которые нумеруются от 1 до 7 и определяют эффективный пропускаемый
частотный диапазон. Кабель более высокой категории обычно содержит
больше пар проводов, и каждая пара имеет больше витков на единицу дли
ны).
Топология типа "звезда" нашла свое отражение в технологии Fast
Ethernet6.
При топологии "кольцо" компьютеры подключаются к кабелю, замк
нутому в кольцо. Поэтому у кабеля просто не может быть свободного кон
ца, ккоторому надо подключать терминатор. Сигналы передаются по
кольцу в одном направлении и проходят через каждый компьютер. В отли
чие от пассивной топологии "шина", здесь каждый компьютер выступает в
роли репитера (повторителя), усиливая сигналы и передавая их следующе
му компьютеру. Поэтому, если выйдет из строя один компьютер, прекра
щает функционировать вся сеть.
Функционирование замкнутой топологии «кольцо» основано на пере
даче маркера.
Маркер - пакет данных, разрешающий компьютеру передавать дан
ные в сеть. Маркер последовательно, от одного компьютера к другому, пе
редается до тех пор, пока его не получит тот, который "хочет" передать
данные. Компьютер, желающий начать передачу, «захватывает» маркер,
изменяет его, помещает адрес получателя в данные и посылает их по коль
цу получателю.
Данные проходят через каждый компьютер, пока не окажутся у того,
чей адрес совпадает с адресом получателя, указанным в данных. После
этого принимающий компьютер посылает передающему сообщение, где
подтверждает факт приёма данных. Получив подтверждение, передающий
компьютер создаёт новый маркер и возвращает его в сеть.
На первый взгляд кажется, что передача маркера отнимает много вре
мени, однако на самом деле маркер передвигается практически со скоро
стью света. В кольце диаметром 200 метров маркер может циркулировать с
частотой 10 000 оборотов в секунду.
55
Достоинства топологии "кольцо":
• простота установки;
• практически полное отсутствие дополнительного оборудования;
• возможность устойчивой работы без существенного падения ско
рости передачи данных при интенсивной загрузке сети, поскольку исполь
зование маркера исключает возможность возникновения коллизий.
Недостатки топологии "кольцо":
• выход из строя одной рабочей станции, и другие неполадки (обрыв
кабеля), отражаются на работоспособности всей сети;
• сложность конфигурирования и настройки;
• сложность поиска неисправностей.
Наиболее широкое применение получила в оптоволоконных сетях.
Используется в стандартах FDDI8, Token ring9.
Реальные компьютерные сети постоянно расширяются и модернизи
руются. Поэтому почти всегда такая сеть является гибридной, т.е. ее топо
логия представляет собой комбинацию нескольких базовых топологий.
Легко представить себе гибридные топологии, являющиеся комбинацией
"звезды" и "шины", либо "кольца" и "звезды".
Топологию "дерево" (tree), можно рассматривать как объединение не
скольких "звезд". Именно эта топология сегодня является наиболее попу
лярной при построении локальных сетей.
В древовидной топологии есть корень дерева, от которого произра
стают ветви и листья.
Дерево может быть активным или истинным и пассивным. При актив
ном дереве в центрах объединения нескольких линий связи находятся цен
тральные компьютеры, а при пассивном - концентраторы (хабы).
Довольно часто применяются комбинированные топологии, среди них
наиболее распространены звездно-шинная и звездно-кольцевая.
В звездно-шинной (star-bus) топологии используется комбинация ши
ны и пассивной звезды.
К концентратору подключаются как отдельные компьютеры, так и це
лые шинные сегменты. На самом деле реализуется физическая топология
шина, включающая все компьютеры сети. В данной топологии может ис
пользоваться и несколько концентраторов, соединенных между собой и
образующих так называемую магистральную, опорную шину. К каждому
из концентраторов при этом подключаются отдельные компьютеры или
шинные сегменты. В результате получается звездно-шинное дерево. Таким
образом, пользователь может гибко комбинировать преимущества шинной
и звездной топологий, а также легко изменять количество компьютеров,
подключенных к сети. С точки зрения распространения информации дан
ная топология равноценна классической шине.
В случае звездно-кольцевой (star-ring) топологии в кольцо объединя
ются не сами компьютеры, а специальные концентраторы, к которым в
56
свою очередь подключаются компьютеры с помощью звездообразных
двойных линий связи.
В действительности все компьютеры сети включаются в замкнутое
кольцо, так как внутри концентраторов линии связи образуют замкнутый
контур. Данная топология дает возможность комбинировать преимущества
звездной и кольцевой топологий. Например, концентраторы позволяют со
брать в одно место все точки подключения кабелей сети. Если говорить о
распространении информации, данная топология равноценна классическо
му кольцу.
Наконец, следует упомянуть о сетчатой, или сеточной (mesh) тополо
гии, в которой все либо многие компьютеры и другие устройства соедине
ны друг с другом напрямую.
Такая топология исключительно надежна - при обрыве любого канала
передача данных не прекращается, поскольку возможно несколько мар
шрутов доставки информации. Сеточные топологии (чаще всего не пол
ные, а частичные) используются там, где требуется обеспечить максималь
ную отказоустойчивость сети, например, при объединении нескольких
участков сети крупного предприятия или при подключении к Интернету,
хотя за это, конечно, приходится платить: существенно увеличивается рас
ход кабеля, усложняется сетевое оборудование и его настройка.
В настоящее время, подавляющее большинство современных сетей
используют топологию "звезда" или гибридную топологию, представляю
щую собой объединение нескольких "звезд" (например, топологию типа
"дерево"), и метод доступа к среде передачи CSMA/CD (множественный
доступ с контролем несущей и обнаружением столкновений).
2.2. Эталонная модель взаимодействия открытых систем
(ЭМВОС/OSI) и её основные аспекты
Эталонная модель взаимодействия открытых систем была создана с
целью унификации принципов построения и функционирования компью
терных сетей, чтобы позволить любым компьютерным средствам во всём
мире объединиться в глобальную сеть и обеспечить правильное взаимо
действие между собой при обмене данными посредством различных сете
вых технологий. Если бы каждый компьютер интегрировался в компью
терную сеть по своим стандартам, построить глобальную сеть Интернет
было бы невозможно.
Для наглядности процесс работы сети в эталонной модели OSI разде
лен на семь уровней. Эта теоретическая конструкция облегчает изучение и
понимание довольно сложных концепций. В верхней части модели OSI
располагается приложение, которому нужен доступ к ресурсам сети, в
нижней - сама сетевая среда. По мере того как данные продвигаются от
уровня к уровню вниз, действующие на этих уровнях протоколы постепен
но подготавливают их для передачи по сети. Добравшись до целевой сис57
темы, данные продвигаются по уровням вверх, причем те же протоколы
выполняют те же действия, только в обратном порядке. В 1983
г. Международная
организация
по
стандартизации
(International
Organization
for
Standardization,
ISO)
и
Сектор
стандартиза
ции телекоммуникаций Международного телекоммуникационного сою
за (Telecommunication Standardization Sector of International Telecommu
nication Union, ITU-T) опубликовали документ «The Basic Reference Model
for Open Systems Interconnection), где была описана модель распределения
сетевых функций между 7 различными уровнями [5].
Предполагалось, что эта семиуровневая структура станет основой
для нового стека протоколов, но в коммерческой форме он так и не был
реализован. Вместо этого модель OSI используется с существующими сте
ками протоколов в качестве обучающего и справочного пособия. Большая
часть популярных в наши дни протоколов появилась до разработки модели
OSI, поэтому в точности с ее семиуровневой структурой они не согласуют
ся. Зачастую в одном протоколе совмещены функции двух или даже не
скольких уровней модели, да и границы протоколов часто не соответству
ют границам уровней OSI. Тем не менее модель OSI остается отличным
наглядным пособием для исследования сетевых процессов, и профессио
налы часто связывают функции и протоколы с определенными уровнями.
По сути, взаимодействие протоколов, работающих на разных уров
нях модели OSI, проявляется в том, что каждый протокол добавля
ет заголовок (header) или (в одном случае) трейлер (footer) к информации,
которую он получил от уровня, расположенного выше. Например, прило
жение генерирует запрос к сетевому ресурсу. Этот запрос продвигается по
стеку протоколов вниз. Когда он достигает транспортного уровня, прото
колы этого уровня добавляют к запросу собственный заголовок, состоящий
из полей с информацией, специфической для функций данного протокола.
Сам исходный запрос становится для протокола транспортного уровня по
лем данных (полезной нагрузкой). Добавив свой заголовок, протокол
транспортного уровня передает запрос сетевому уровню. Протокол сетево
го уровня добавляет к заголовку протокола транспортного уровня свой
собственный заголовок. Таким образом, для протокола сетевого уровня
полезной нагрузкой становятся исходный запрос и заголовок протокола
транспортного уровня. Вся эта конструкция становится полезной нагруз
кой для протокола канального уровня, который добавляет к ней заголовок
и трейлер.
Итогом этой деятельности является пакет (packet), готовый для пе
редачи по сети. Когда пакет достигает места назначения, процесс повторя
ется в обратном порядке. Протокол каждого следующего уровня стека (те
перь снизу-вверх) обрабатывает и удаляет заголовок эквивалентного про
токола передающей системы. Когда процесс завершен, исходный запрос
достигает приложения которому он предназначен, в том же виде, вкаком
он был сгенерирован. Процесс добавления заголовков к запросу (рис. 1.8),
58
сгенериро ванному приложением, называется инкапсуляцией данных (data
encapsulation). По сути эта процедура напоминает процесс подготовки
письма для отправки по почте. Запрос — это само письмо, а добавление
заголовков аналогично вкладыванию письма в конверт, написанию адреса,
штемпелеванию и собственно отправке.
2.3. Физический уровень
На самом нижнем уровне модели OSI - физическом (physical) - оп
ределяются характеристики элементов оборудования сети - сетевая среда,
способ установки, тип сигналов, используемых для передачи по сети дво
ичных данных. Кроме того, на физическом уровне определяется, какой тип
сетевого адаптера нужно установить на каждом компьютере и какой ис
пользовать концентратор (если это нужно). На физическом уровне мы име
ем дело с медным или оптоволоконным кабелем, или с каким-либо беспро
водным соединением. В ЛВС спецификации физического уровня напря
мую связаны с используемым в сети протоколом канального уровня. Вы
брав протокол канального уровня, Вы должны использовать одну из спе
цификаций физического уровня, поддерживаемую этим протоколом. На
пример, протокол канального уровня Ethernet поддерживает несколько
различных вариантов физического уровня - один из двух типов коаксиаль
ного кабеля, любой кабель типа «витая пара», оптоволоконный кабель. Па
раметры каждого из этих вариантов формируются из многочисленных све
дений о требованиях физического уровня, например, к типу кабеля и разъ
емов, допустимой длине кабелей, числу концентраторов и др. Соблюдение
этих требований необходимо для нормальной работы протоколов. Напри
мер, в чересчур длинном кабеле система Ethernet может не заметить колли
зию пакетов, а если система не в состоянии обнаружить ошибки, она не
может и исправить их, результат - потеря данных. Стандартом протокола
канального уровня определяются не все аспекты физического уровня. Не
которые из них определяются отдельно.
Одна из наиболее часто используемых спецификаций физического
уровня описана в документе «Commercial Building Telecommunications
Cabling Standard», известном как EIA/TIA 568A. Он опубликован совмест
но Американским
национальным
институтом
стандартов (American
National Standards Institute, ANSI), Ассоциации отраслей электронной про
мышленности (Electronics Industry Association, EIA) и Ассоциацией про
мышленности средств связи (Telecommunications Industry Association,
TIA). В этот документ включено подробное описание кабелей для сетей
передачи данных в промышленных условиях, в том числе минимальное
расстояние от источников электромагнитных помех и другие правила про
кладки кабеля.
Сегодня кладку кабеля в больших сетях чаще всего поручают специа
лизированным фирмам. Нанятый подрядчик должен быть хорошо знаком с
59
EIA/TIA 568A и другими подобными документами, атакже справилами
эксплуатации зданий в городе. Другой коммуникационный элемент, опре
деляемый на физическом уровне, — тип сигнала для передачи данных по
сетевой среде. Для кабелей с медной основой таким сигналом является
электрический заряд, для оптоволоконного кабеля — световой импульс. В
сетевых средах других типов могут использоваться радиоволны, инфра
красные импульсы и другие сигналы. Помимо природы сигналов, на физи
ческом уровне устанавливается схема их передачи, т. е. комбинация элек
трических зарядов или световых импульсов, используемая для кодирова
ния двоичной информации, которая сгенерирована вышестоящими уров
нями. В системах Ethernet применяется схема передачи сигналов, извест
ная как манчестерская кодировка (Manchester encoding), а в системах
Token Ring используется дифференциальная манчестерская (Differential
Manchester) схема.
2.4. Канальный уровень
Протокол канального (data-link) уровня обеспечивает обмен инфор
мацией между аппаратной частью включенного в сеть компьютера и сете
вым ПО. Он подготавливает для отправки в сеть данные, переданные ему
протоколом сетевого уровня, и передает на сетевой уровень данные, полу
ченные системой из сети. При проектировании и создании ЛВС исполь
зуемый протокол канального уровня - самый важный фактор для выбора
оборудования и способа его установки. Для реализации протокола каналь
ного уровня необходимо следующее аппаратное и программное обеспече
ние:
• адаптеры сетевого интерфейса (если адаптер представляет собой от
дельное устройство, подключаемое к шине, его называют платой сетевого
интерфейса или просто сетевой платой);
• драйверы сетевого адаптера;
• сетевые кабели (или другая сетевая среда) и вспомогательное со
единительное оборудование;
• сетевые концентраторы (в некоторых случаях).
Как сетевые адаптеры, так и концентраторы разрабатываются для оп
ределенных протоколов канального уровня. Некоторые сетевые кабели
также приспособлены для конкретных протоколов, но есть и кабели, под
ходящие для разных протоколов. Безусловно, сегодня (как и всегда) самый
популярный протокол канального уровня - Ethernet. Далеко отстал от него
Token Ring, за которым следуют другие протоколы, например, FDDI (Fiber
Distributed Data Interface). В спецификацию протокола канального уровня
обычно включаются три основных элемента:
• формат кадра (т. е. заголовок и трейлер, добавляемые к данным сете
вого уровня перед передачей в сеть);
• механизм контроля доступа к сетевой среде;
60
• одна или несколько спецификаций физического уровня, приме
няемые с данным протоколом.
Протокол канального уровня добавляет к данным, полученным от
протокола сетевого уровня, заголовок и трейлер, превращая их
в кадр (frame). Если снова прибегнуть к аналогии с почтой, заголовок и
трейлер - это конверт для отправки письма. В них содержатся адреса сис
темы-отправителя и системы-получателя пакета. Для протоколов ЛВС, по
добных Ethernet и Token Ring, эти адреса представляют собой 6-байтные
шестнадцатеричные строки, присвоенные сетевым адаптерам на заводеизготовителе. Они, в отличие от адресов, используемых на других уровнях
модели OSI, называются аппаратными адресами (hardware address) или
MAC-адресами.
Примечание. Протоколы различных уровней модели OSI по-разному
называют структуры, создаваемые ими путем добавления заголовка к дан
ным, пришедшим от вышестоящего протокола. Например, то, что протокол
канального уровня называет кадром, для сетевого уровня будет дейта
граммой. Более общим названием для структурной единицы данных на
любом уровне является пакет.
Важно понимать, что протоколы канального уровня обеспечивают
связь только между компьютерами одной и той же ЛВС. Аппаратный ад
рес в заголовке всегда принадлежит компьютеру в той же ЛВС, даже если
целевая система находится в другой сети. Другие важные функции кадра
канального уровня - идентификация протокола сетевого уровня, сгенери
ровавшего данные в пакете, и информация для обнаружения ошибок. На
сетевом уровне могут использоваться различные протоколы, и потому в
кадр протокола канального уровня обычно включается код, с помощью ко
торого можно установить, какой именно протокол сетевого уровня сгене
рировал данные в этом пакете. Руководствуясь этим кодом, протокол ка
нального уровня компьютера-получателя пересылает данные соот
ветствующему протоколу своего сетевого уровня. Для выявления ошибок
передающая система вычисляет циклический избыточный код (cyclical
redundancy check, CRC) полезной нагрузки и записывает его в трейлер кад
ра. Получив пакет, целевой компьютер выполняет те же вычисления и
сравнивает результат с содержимым трейлера. Если результаты совпадают,
информация передана без ошибок. В противном случае получатель пред
полагает, что пакет испорчен, и не принимает его.
Компьютеры в ЛВС обычно используют общую полудуплексную се
тевую среду. При этом вполне возможно, что передавать данные начнут
одновременно два компьютера. В таких случаях происходит своего рода
столкновение пакетов, коллизия (collision), при котором данные в обоих
пакетах теряются. Одна из главных функций протокола канального уровня
- управление доступом к сетевой среде (media access control, MAC), т. е.
контроль за передачей данных каждым из компьютеров и сведение к ми
нимуму случаев столкновения пакетов. Механизм управления доступом к
61
среде - одна из важнейших характеристик протокола канального уровня. В
Ethernet для управления доступом к среде используется механизм с кон
тролем несущей и обнаружением коллизий (Carrier Sense Multiple Access
with Collision Detection, CSMA/CD). В некоторых других протоколах, на
пример, в Token Ring, используется передача маркера (token passing).
Протоколы канального уровня, используемые в ЛВС, часто поддер
живают более одной сетевой среды, и в стандарт протокола включены од
на или несколько спецификаций физического уровня. Канальный и физи
ческий уровни тесно связаны, т. к. свойства сетевой среды существенно
влияют на то, как протокол управляет доступом к среде. Поэтому можно
сказать, что в локальных сетях протоколы канального уровня осуществля
ют также функции физического уровня. В глобальных сетях используются
протоколы канального уровня, в которые информация физического уровня
не включается, например, SLIP (Serial Line Internet Protocol) и PPP (Pointto-Point Protocol).
2.5. Сетевой уровень
На первый взгляд может показаться, что сетевой (network) уровень
дублирует некоторые функции канального уровня. Но это не так: про
токолы сетевого уровня «отвечают» за сквозные (end-to-end) связи, тогда
как протоколы канального уровня функционируют только в пределах ЛВС.
Иными словами, протоколы сетевого уровня полностью обеспечивают пе
редачу пакета от исходной до целевой системы. В зависимости от типа се
ти, отправитель и получатель могут находиться в одной ЛВС, в различных
ЛВС в пределах одного здания или в ЛВС, разделенных тысячами кило
метров. Например, когда Вы связываетесь с сервером в Интернете, на пути
к нему пакеты, созданные Вашим компьютером, проходят через десятки
сетей. Подстраиваясь под эти сети, протокол канального уровня неодно
кратно изменится, но протокол сетевого уровня на всем пути останется тем
же самым. Краеугольным камнем набора протоколов TCP/IP (Transmission
Control Protocol/Internet Protocol) и наиболее часто используемым протоко
лом сетевого уровня является протокол IP (Internet Protocol). У Novell
NetWare есть собственный сетевой протокол IPX (Internetwork Packet
Exchange), а в небольших сетях Microsoft Windows обычно используется
протокол NetBEUI (NetBIOS Enhanced User Interface). Большинство функ
ций, приписываемых сетевому уровню, определяются возможностями про
токола IP. Подобно протоколу канального уровня, протокол сетевого уров
ня добавляет заголовок к данным, которые он получил от вышестоящего
уровня (рис. 1.10). Элемент данных, созданный протоколом сетевого уров
ня, состоит из данных транспортного уровня и заголовка сетевого уровня и
называется дейтаграммой (datagram).
Заголовок протокола сетевого уровня, как и заголовок протокола ка
нального уровня, содержит поля с адресами исходной и целевой систем.
62
Однако в данном случае адрес целевой системы принадлежит конечному
назначению пакета и может отличаться от адреса получателя в заголовке
протокола канального уровня. Например, когда Вы вводите в адресной
строке браузера адрес Web-узла, в пакете, сгенерированном Вашим ком
пьютером, в качестве адреса целевой системы сетевого уровня указан ад
рес Web-сервера, тогда как на канальном уровне на целевую систему ука
зывает адрес маршрутизатора в Вашей ЛВС, обеспечивающего выход в
Интернет. В IP используется собственная система адресации, которая со
вершенно не зависит от адресов канального уровня. Каждому компьютеру
в сети с протоколом IP вручную или автоматически назначается 32битовый IP- адрес, идентифицирующий как сам компьютер, так и сеть, в
которой он находится. В IPX же для идентификации самого компьютера
используется аппаратный адрес, кроме того, специальный адрес использу
ется для идентификации сети, в которой находится компьютер. В NetBEUI
компьютеры различаются по NetBIOS-именам, присваиваемым каждой
системе во время ее установки.
Дейтаграммам сетевого уровня на пути к месту назначения приходит
ся проходить через множество сетей, сталкиваясь при этом со специ
фическими свойствами и ограничениями различных протоколов ка
нального уровня. Одно из таких ограничений - максимальный размер па
кета, разрешенный протоколом. Например, размер кадра Token Ring может
достигать 4500 байт, тогда как размер кадров Ethernet не может превышать
1500 байтов. Когда большая дейтаграмма, сформированная в сети Token
Ring, передается в сеть Ethernet, протокол сетевого уровня должен разбить
ее на несколько фрагментов размером не более 1500 байт. Этот процесс
называется фрагментацией (fragmentation). В процессе фрагментации про
токол сетевого уровня разбивает дейтаграмму на фрагменты, размер кото
рых соответствует возможностям используемого протокола канального
уровня. Каждый фрагмент становится самостоятельным пакетом и про
должает путь к целевой системе сетевого уровня. Исходная дейтаграмма
формируется лишь после того, как места назначения достигнут все фраг
менты. Иногда на пути к целевой системе фрагменты, на которые разбита
дейтаграмма, приходится фрагментировать повторно.
Маршрутизацией (routing) называется процесс выбора в сети самого
эффективного маршрута для передачи дейтаграмм от системы-отправителя
ксистеме-получателю. В сложных интерсетях, например, в Интернете или
больших корпоративных сетях, часто от одного компьютера к другому
можно добраться несколькими путями. Проектировщики сетей специально
создают избыточные связи, чтобы трафик нашел дорогу к месту назначе
ния даже в случае сбоя одного из маршрутизаторов. С помощью маршру
тизаторов соединяют отдельные ЛВС, входящие в интерсеть. Назначение
маршрутизатора — принимать входящий трафик от одной сети и переда
вать его конкретной системе в другой. В интерсетях различают системы
двух видов: оконечные (end systems) и промежуточные (intermediate
63
systems). Оконечные системы являются отправителями и получателями па
кетов. Маршрутизатор - промежуточная система. В оконечных системах
используются все семь уровней модели OSI, тогда как пакеты, поступаю
щие в промежуточные системы, не поднимаются выше сетевого уровня.
Там маршрутизатор обрабатывает пакет и отправляет его вниз по стеку для
передачи следующей целевой системе.
Чтобы верно направить пакет к цели, маршрутизаторы хранят в памя
ти таблицы с информацией о сети. Эта информация может быть внесена
администратором вручную или собрана автоматически с других маршру
тизаторов с помощью специализированных протоколов. В состав типично
го элемента таблицы маршрутизации входят адрес другой сети и адрес
маршрутизатора, через который пакеты должны добираться до этой сети.
Кроме того, в элементе таблицы маршрутизации содержится метрика
маршрута - условная оценка его эффективности. Если к некой системе
имеется несколько маршрутов, маршрутизатор выбирает из них самый эф
фективный и отправляет дейтаграмму на канальный уровень для передачи
маршрутизатору, указанному в элементе таблицы с наилучшей метрикой.
В больших сетях маршрутизация может быть необычайно сложным про
цессом, но чаще всего она осуществляется автоматически и незаметно для
пользователя.
Так же, как в заголовке канального уровня указан протокол сетевого
уровня, сгенерировавший и передавший данные, в заголовке сетевого
уровня содержится информация о протоколе транспортного уровня, от ко
торого эти данные были получены. В соответствии с этой информацией
система-получатель передает входящие дейтаграммы соответствующему
протоколу транспортного уровня.
2.6. Транспортный уровень
Функции, выполняемые протоколами транспортного (transport) уров
ня, дополняют функции протоколов сетевого уровня. Часто протоколы
этих уровней, используемые для передачи данных, образуют взаимосвя
занную пару, что видно на примере TCP/IP: протокол TCP функционирует
на транспортном уровне, IP - на сетевом. В большинстве наборов протоко
лов имеется два или несколько протоколов транспортного уровня, выпол
няющих разные функции. Альтернативой TCP является протокол UDP
(User Datagram Protocol). В набор протоколов IPX также включено не
сколько протоколов транспортного уровня, в том числе NCP (NetWare Core
Protocol) и SPX (Sequenced Packet Exchange). Разница между протоколами
транспортного уровня из определенного набора заключается в том, что не
которые из них ориентированы на соединение, а другие - нет. Системы,
использующие протокол, ориентированный на соединение (connectionoriented), перед передачей данных обмениваются сообщениями, чтобы ус-
64
тановить связь друг с другом. Это гарантирует, что системы включены и
готовы к работе. Протокол TCP, например, ориентирован на соединение.
Когда Вы с помощью браузера подключаетесь к серверу Интернета,
браузер и сервер для установления связи сначала выполняют так называе
мое трехшаговое рукопожатие (three-way handshake). Лишь после этого
браузер передает серверу адрес нужной Web-страницы. Когда передача
данных завершена, системы выполняют такое же рукопожатие для пре
кращения связи. Кроме того, протоколы, ориентированные на соединение,
выполняют дополнительные действия, например, отправляют сигнал под
тверждения приема пакета, сегментируют данные, управляют потоком, а
также обнаруживают и исправляют ошибки. Как правило, протоколы этого
типа используются для передачи больших объемов информации, в которых
не должно содержаться ни единого ошибочного бита, например, файлов
данных или программ. Дополнительные функции протоколов с ориентаци
ей на соединение гарантируют корректную передачу данных. Вот почему
эти протоколы часто называют надежными (reliable). Надежность в дан
ном случае является техническим термином и означает, что каждый пере
даваемый пакет проверяется на наличие ошибок, кроме того, системаотправитель уведомляется о доставке каждого пакета.
Недостаток протоколов этого типа состоит в значительном объеме
управляющих данных, которыми обмениваются две системы. Во-первых,
дополнительные сообщения передаются при установлении и завершении
связи. Во-вторых, заголовок, добавляемый к пакету протоколом с ориента
цией на соединение, существенно превосходит по размеру заголовок про
токола, не ориентированного на соединение. Например, заголовок прото
кола TCP/IP занимает 20 байт, а заголовок UDP - 8 байт. Протокол, не ори
ентированный на соединение (connectionless), не устанавливает соединение
между двумя системами до передачи данных. Отправитель просто переда
ет информацию целевой системе, не беспокоясь о том, готова ли она при
нять данные и существует ли эта система вообще. Обычно системы прибе
гают к протоколам, не ориентированным на соединение, например, к UDP,
для коротких транзакций, состоящих только из запросов и ответных сигна
лов. Ответный сигнал от получателя неявно выполняет функцию сигнала
подтверждения о передаче.
Примечание. Ориентированные и не ориентированные на соединение
протоколы есть не только на транспортном уровне. Например, протоколы
сетевого уровня обычно не ориентированы на соединение, по скольку
обеспечение надежности связи они возлагают на транспортный уровень.
Протоколы транспортного уровня (как и сетевого и канального уров
ней) обычно содержат информацию с вышестоящих уровней. Например, в
заголовки TCP и UDP включаются номера портов, идентифицирующие
приложение, породившее пакет, и приложение, которому он предназначен.
65
2.7. Сеансовый уровень
На сеансовом (session) уровне начинается существенное расхождение
между реально применяемыми протоколами и моделью OSI. В отличие от
нижестоящих уровней, выделенных протоколов сеансового уровня не су
ществует. Функции этого уровня интегрированы в протоколы, которые
выполняют также функции представительского и прикладного уровней.
Транспортный, сетевой, канальный и физический уровни занимаются соб
ственно передачей данных по сети. Протоколы сеансового и вышестоящих
уровней к процессу связи отношения не имеют. К сеансовому уровню от
носятся 22 службы, многие из которых задают способы обмена информа
цией между системами, включенными в сеть. Наиболее важны службы
управления диалогом и разделения диалога. Обмен информацией между
двумя системами в сети называется диалогом (dialog). Управление диало
гом (dialog control) заключается в выборе режима, в котором системы бу
дут обмениваться сообщениями. Таких режимов два: полудуплексный (twoway alternate, TWA) и дуплексный (two-way simultaneous, TWS). В полуду
плексном режиме две системы вместе с данными передают также маркеры.
Передавать информацию можно только компьютеру, у которого в данный
момент находится маркер. Так удается избежать столкновения сообщений
в пути. Дуплексная модель сложнее. Маркеров в ней нет; обе системы мо
гут передавать данные в любой момент, даже одновременно. Разделение
диалога (dialog separation) состоит во включении в поток данных кон
трольных точек (checkpoints), позволяющих синхронизировать работу
двух систем. Степень сложности разделения диалога зависит от того, вкаком режиме он осуществляется. В полудуплексном режиме системы вы
полняют малую синхронизацию, заключающуюся в обмене сообщениями о
контрольных точках. В дуплексном режиме системы выполняют полную
синхронизацию с помощью главного/активного маркера.
2.8. Представительский уровень
На представительском (presentation) уровне выполняется единствен
ная функция: трансляция синтаксиса между различными системами. Ино
гда компьютеры в сети применяют разные синтаксисы. Представительский
уровень позволяет им «договориться» об общем синтаксисе для обмена
данными. Устанавливая соединение на представительском уровне, систе
мы обмениваются сообщениями с информацией о том, какие синтаксисы в
них имеются, и выбирают тот, который они будут использовать во время
сеанса.
У обеих систем, участвующих в соединении, есть абстрактный син
таксис (abstract syntax) - их «родная» форма связи. Абстрактные синтак
сисы различных компьютерных платформ могут отличаться. В процессе
согласования системы выбирают общий синтаксис передачи данных
(transfer syntax). Передающая система преобразует свой абстрактный син66
таксис в синтаксис передачи данных, асистема-получатель по завершению
передачи — наоборот. При необходимости система может выбрать синтак
сис передачи данных с дополнительными функциями, например, сжатием
или шифрованием данных.
2.9. Прикладной уровень
Прикладной уровень - это точка входа, через которую программы по
лучают доступ к модели OSI и сетевым ресурсам. Большинство про токолов прикладного уровня предоставляет службы доступа к сети. Например,
протоколом SMTP (Simple Mail Transfer Protocol) большинство программ
электронной почты пользуется для отправки сообщений. Другие протоко
лы прикладного уровня, например, FTP (File Transfer Protocol), сами явля
ются программами. В протоколы прикладного уровня часто включают
функции сеансового и представительского уровня. В результате типичный
стек протоколов содержит четыре отдельных протокола, которые работают
на прикладном, транспортном, сетевом и канальном уровнях.
2.10. Адресация и маршрутизация в компьютерных сетях
Базовыми понятиями компьютерных сетей, относящимися к каналь
ному и сетевому уровню ЭМВОС, являются понятия MAC-адреса, IPадреса, маски подсети, а также протокола TCP/IP.
MAC-адрес - уникальный идентификатор, присваиваемый каждой
единице активного оборудования или некоторым их интерфейсам
в компьютерных сетях Ethernet.
IP-адрес - уникальный сетевой адрес узла в компьютерной сети, по
строенной на основе стека протоколов TCP/IP.
В сети Интернет требуется глобальная уникальность адреса; вслучае
работы в локальной сети требуется уникальность адреса в пределах сети. В
версии протокола IPv4IP-aflpec имеет длину 4 байта, а в версии протоко
ла IPv6 IP-адрес имеет длину 16 байт.
IPv4 (Интернет Протокол версии 4) является четвёртой версией Ин
тернет Протокола (IP), и используется для идентификации устройств в се
ти через адресную систему, позволяя, так же, соединять устройства через
глобальную сеть.
IPv4 использует 32-битную адресную схему, позволяя существование
2 (более 4 миллиардов) адресов. При этом вместе с ростом Интернета
ожидается, что количество неиспользуемых IPv4 адресов достаточно быст
ро закончится, так как каждое устройство, включая компьютеры, смартфо
ны и игровые консоли при подключении к Интернету требует для себя IPадрес. Новый адресная система Интернет использующая ИнтернетПротокол версии 6 (IPv6) разрабатывалась для того, чтобы полностью
32
67
удовлетворить возрастающую потребность в необходимом числе свобод
ных интернет-адресов [6].
IPv6 (Интернет-протокол версии 6) также называемый IPng (Internet
Protocol next generation - Интернет-протокол следующего поколения) - это
обновлённая версия интернет-протокола (IP) созданная с учётом стандар
тов Инженерного Совета Интернета для замены текущей версии IPv4.
IPv6 является наследником IPv4, и был задуман как революционное обнов
ление существующей доныне версии Интернет Протокола, ивнастоящее
время сосуществует с более старым IPv4. Новый IPv6 создан чтобы обес
печить интернету устойчивый и надёжный рост, касающийся как номера
наличных хостов, так и общего количества передаваемого траффика, под
держивая 2 адресов - намного больше устаревшего протокола IPv4. IPv6
часто называют «следующей генерацией» стандартов Интернета, который
постоянно развивается с середины 1990х до сегодняшнего дня. Он был ро
ждён как ответ на тревоги о том, что количество требуемых IP-адресов
скоро превысит граничные возможности сети Интернет.
После того, как мы узнали, что такое IPv6, рассмотрим дополнения,
существующие вней.
Вместе с увеличением количества возможных адресов, существуют и
другие важные технологические изменения в IPv6 по сравнению с IPv4:
1. Нет необходимости в NAT (трансляции сетевых адресов).
2. Авто-конфигурация.
3. Нет коллизий приватных адресов.
4. Упрощённая, более эффективная маршрутизация.
5. Лучшая многоадресная маршрутизация.
6. Более простой формат заголовка.
7. Подтверждённое качество обслуживания (QoS), также называемое
«маркировкой потока».
8. Встроенная аутентификация и поддержка конфиденциальности.
При этом, в IPv6 существуют несколько вариантов адресов:
1. Unicast (одноадресные) - используется в сервисах персонального
характера, направляется из одного, определённого, источника к одному IPaflpecy.
2. Anycast (групповые) - позволяет посылать данные ко всем абонен
там определённой ip-сети.
3. Multicast (многоадресные) - данные передаются для неограничен
ного количества абонентов.
IP-адрес являет собой двоичное число, но он также может быть запи
сан в более удобном для человека формате. Например, 32-битный число
вой адрес, используемый в IPv4, может быть оформлен в десятичной сис
теме 4 цифрами, причём каждое цифра может иметь значение от 0 до 255.
Например, это могут быть цифры 172.16.254.1.
128
68
Адреса протокола IPv6 являются 128-битными, иоформлены вшестнадцатеричной системе. К примеру, адрес в IPv6 может быть записан как
3ffe:1904:4546:3:201:f8ff:fe22:68cf.
Маска подсети - битовая маска для определения по IP-адресу адреса
подсети и адреса узла этой подсети. В отличие от IP-адреса маска подсети
не является частью IP-пакета.
Благодаря маске можно узнать, какая часть IP-адреса узла се
ти относится к адресу сети, а какая к адресу самого узла в этой сети.
Transmission Control Protocol (TCP, протокол управления передачей) один изосновных протоколов передачи данных интернета, предназначен
ный для управления передачей данных. Сети и подсети, в которых совме
стно используются протоколы TCP и IP, называются сетями TCP/IP.
Маршрутизатором, или шлюзом, называется узел сети с несколькими
IP-интерфейсами (содержащими свой MAC-адрес и IP-адрес), подключен
ными к разным IP-сетям, осуществляющий на основе решения задачи
маршрутизации перенаправление дейтаграмм из одной сети в другую для
доставки от отправителя к получателю.
Маршрутизаторы представляют собой либо специализированные вы
числительные
машины, либо
компьютеры
с несколькими IPинтерфейсами, работа которых управляется специальным программным
обеспечением.
Маршрутизация служит для приема пакета от одного устройства и пе
редачи его по сети другому устройству через другие сети [7]. Если в сети
нет маршрутизаторов, то не поддерживается маршрутизация. Маршрутиза
торы направляют (перенаправляют) трафик во все сети, составляющие
объединенную сеть.
Для маршрутизации пакета маршрутизатор должен владеть следую
щей информацией:
• Адрес назначения
• Соседний маршрутизатор, от которого он может узнать об удален
ных сетях
• Доступные пути ко всем удаленным сетям
• Наилучший путь к каждой удаленной сети
• Методы обслуживания и проверки информации о маршрутизации
Маршрутизатор «узнаёт» об удаленных сетях от соседних маршрути
заторов или от сетевого администратора. Затем маршрутизатор строит таб
лицу маршрутизации, которая описывает, как найти удаленные сети.
Если сеть подключена непосредственно к маршрутизатору, он уже
знает, как направить пакет в эту сеть. Если же сеть не подключена напря
мую, маршрутизатор должен узнать (изучить) пути доступа к удаленной
сети с помощью статической маршрутизации (ввод администратором
вручную местоположения всех сетей в таблицу маршрутизации) или с по
мощью динамической маршрутизации.
69
Динамическая маршрутизация - это процесс протокола маршрутиза
ции, определяющий взаимодействие устройства с соседними маршрутиза
торами. Маршрутизатор будет обновлять сведения о каждой изученной им
сети. Если в сети произойдет изменение, протокол динамической маршру
тизации автоматически информирует об изменении все маршрутизаторы.
Если же используется статическая маршрутизация, обновить таблицы
маршрутизации на всех устройствах придется системному администрато¬
РУ
IP-маршрутизация - простой процесс, который одинаков в сетях лю
бого размера. Например, на рисунке показан процесс пошагового взаимо
действия хоста А с хостом В в другой сети. В примере пользователь хоста
А запрашивает по ping IP-адрес хоста В. Дальнейшие операции не так про
сты, поэтому рассмотрим их подробнее:
• В командной строке пользователь вводит ping 172.16.20.2. На хос
те А генерируется пакет с помощью протоколов сетевого уровня
IP и ІСМР.
.
Хост А
172.16.10.2/24
Хост А
172.1В.20.2/24
Ріпд 172 16.202
•
•
•
•
IP обращается к протоколу ARP для выяснения сети назначения
для пакета, просматривая IP-адрес и маску подсети хоста А. Это
запрос к удаленному хосту, т.е. пакет не предназначен хосту ло
кальной сети, поэтому пакет должен быть направлен маршрутиза
тору для перенаправления в нужную удаленную сеть.
Чтобы хост А смог послать пакет маршрутизатору, хост должен
знать аппаратный адрес интерфейса маршрутизатора, подключен
ный к локальной сети. Сетевой уровень передает пакет и аппарат
ный адрес назначения канальному уровню для деления на кадры и
пересылки локальному хосту. Для получения аппаратного адреса
хост ищет местоположение точки назначения в собственной памя
ти, называемой кэшем ARP.
Если IP-адрес еще не был доступен и не присутствует в кэше ARP,
хост посылает широковещательную рассылку ARP для поиска ап
паратного адреса по IP-адресу 172.16.10.1. Именно поэтому пер
вый запрос Ping обычно заканчивается тайм-аутом, но четыре ос
тальные запроса будут успешны. После кэширования адреса таймаута обычно не возникает.
Маршрутизатор отвечает и сообщает аппаратный адрес интерфей
са Ethernet, подключенного к локальной сети. Теперь хост имеет
всю информацию для пересылки пакета маршрутизатору по ло70
кальной сети. Сетевой уровень спускает пакет вниз для генерации
эхо-запроса ICMP (Ping) на канальном уровне, дополняя пакет ап
паратным адресом, по которому хост должен послать пакет. Пакет
имеет IP-адреса источника и назначения вместе с указанием на тип
пакета (ICMP) в поле протокола сетевого уровня.
Канальный уровень формирует кадр, в котором инкапсулируется
пакет вместе с управляющей информацией, необходимой для пе
ресылки по локальной сети. К такой информации относятся аппа
ратные адреса источника и назначения, а также значение в поле
типа, установленное протоколом сетевого уровня (это будет поле
типа, поскольку IP по умолчанию пользуется кадрами Ethernet_II).
Рисунок 3 показывает кадр, генерируемый на канальном уровне и
пересылаемый по локальному носителю. На рисунке 3 показана
вся информация, необходимая для взаимодействия с маршрутиза
тором: аппаратные адреса источника и назначения, IP-адреса ис
точника и назначения, данные, а также контрольная сумма CRC
кадра, находящаяся в поле FCS (Frame Check Sequence).
Канальный уровень хоста А передает кадр физическому уровню.
Там выполняется кодирование нулей и единиц в цифровой сигнал
с последующей передачей этого сигнала по локальной физической
.
Хост Л
172.16.10.2/24
Хост
Интерфейс ЕО:
172.1610.1
Р іпд
А
172.15.202/24
Интерфейс Е 1 :
172.16.20.1
172,16.20.2
З а прос AR P :
к ик п й а ппяра т ньа й
^
адрес
172.16.10.17
О т ве т A R P :
М о й а п п а р а т н ый а д р е с
ГО19657(5с7І6ІІ0
Г е н е р а ц и я к а дра и п е р е с ыл к е
Сигнал достигает интерфейса Ethernet 0 маршрутизатора, который
синхронизируется по преамбуле цифрового сигнала для извлече
ния кадра. Интерфейс маршрутизатора после построения кадра
проверяет CRC, а в конце приема кадра сравнивает полученное
значение с содержимым поля FCS. Кроме того, он проверяет про
цесс передачи на отсутствие фрагментации и конфликтов носителя.
Проверяется аппаратный адрес назначения. Поскольку он совпада
ет с адресом маршрутизатора, анализируется поле типа кадра для
определения дальнейших действий с этим пакетом данных. Вполе
типа указан протокол IP, поэтому маршрутизатор передает пакет
процессу протокола IP, исполняемому маршрутизатором. Кадр
71
удаляется. Исходный пакет (сгенерированный хостом А) помеща
ется в буфер маршрутизатора.
• Протокол IP смотрит на IP-адрес назначения в пакете, чтобы опре
делить, не направлен ли пакет самому маршрутизатору. Поскольку
IP-адрес назначения равен 172.16.20.2, маршрутизатор определяет
по своей таблице маршрутизации, что сеть 172.16.20.0 непосредст
венно подключена к интерфейсу Ethernet 1.
• Маршрутизатор передает пакет из буфера в интерфейс Ethernet 1.
Маршрутизатору необходимо сформировать кадр для пересылки
пакета хосту назначения. Сначала маршрутизатор проверяет свой
кэш ARP, чтобы определить, был ли уже разрешен аппаратный ад
рес во время предыдущих взаимодействий с данной сетью. Если
адреса нет в кэше ARP, маршрутизатор посылает широковеща
тельный запрос ARP в интерфейс Ethernet 1 для поиска аппаратно
го адреса для IP-адреса 172.16.20.2.
• Хост В откликается аппаратным адресом своего сетевого адаптера
на запрос ARP. Интерфейс Ethernet 1 маршрутизатора теперь име
ет все необходимое для пересылки пакета в точку окончательного
приема. На рисунке показывает кадр, сгенерированный маршрути
затором и переданный по локальной физической сети.
Хост А
V..J Л и:/>.і
Ответ AR P :
М о й а п п а р а т н ый завес
0 Q 7 a 1 2 3 2 ri1 1 B S f
=0
В HftU пдк ѳ т г*
Кадр, сгенерированный интерфейсом Ethernet 1 маршрутизатора,
имеет аппаратный адрес источника от интерфейса Ethernet 1 и аппаратный
адрес назначения для сетевого адаптера хоста В. Важно отметить, что, не
смотря на изменения аппаратных адресов источника и назначения, в каж
дом передавшем пакет интерфейсе маршрутизатора, IP-адреса источника и
назначения никогда не изменяются. Пакет никоим образом не модифици
руется, но меняются кадры.
• Хост В принимает кадр и проверяет CRC. Если проверка будет ус
пешной, кадр удаляется, а пакет передается протоколу IP. Он анали
зирует IP-адрес назначения. Поскольку IP-адрес назначения совпада
ет с установленным в хосте В адресе, протокол IP исследует поле
протокола для определения цели пакета.
72
•
В нашем пакете содержится эхо-запрос ICMP, поэтому хост В гене
рирует новый эхо-ответ ICMP с IP-адресом источника, равным адре
су хоста В, и IP-адресом назначения, равным адресу хоста А. Про
цесс запускается заново, но в противоположном направлении. Одна
ко аппаратные адреса всех устройств по пути следования пакета уже
известны, поэтому все устройства смогут получить аппаратные адре
са интерфейсов из собственных кэшей ARP.
В крупных сетях процесс происходит аналогично, но пакету придет
ся пройти больше участков по пути к хосту назначения.
Встеке TCP/IP маршрутизаторы и конечные узлы принимают реше
ния о том, кому передавать пакет для его успешной доставки узлу назначе
ния, на основании так называемых таблиц маршрутизации (routing tables).
Таблица 1 представляет собой типичный пример таблицы маршру
тов, использующей IP-адреса сетей, для сети, представленной на рисунке 4.
Таблица 1 - Пример таблицы маршрутов
Сетевой адрес
В таблице 1 представлена таблица маршрутизации многомаршрутная,
так как содержится два маршрута до сети 116.0.0.0. В случае построения
одномаршрутной таблицы маршрутизации, необходимо указывать только
один путь до сети 116.0.0.0 по наименьшему значению метрики.
Как нетрудно видеть, в таблице определено несколько маршрутов с
разными параметрами. Читать каждую такую запись в таблице маршрути
зации нужно следующим образом:
Чтобы доставить пакет в сеть с адресом из поля Сетевой адрес и
маской из поля Маска сети, нужно с интерфейса с IP-адресом из поля
Интерфейс послать пакет по IP-адресу из поля Адрес шлюза, а «стои
мость» такой доставки будет равна числу из поля Метрика.
В этой таблице в столбце "Адрес сети назначения" указываются адре
са всех сетей, которым данный маршрутизатор может передавать пакеты.
Встеке TCP/IP принят так называемый одношаговый подход к оптимиза
ции маршрута продвижения пакета (next-hop routing) - каждый маршрути
затор и конечный узел принимает участие в выборе только одного шага
передачи пакета. Поэтому в каждой строке таблицы маршрутизации ука
зывается не весь маршрут в виде последовательности IP-адресов маршру
тизаторов, через которые должен пройти пакет, а только один IP-адрес адрес следующего маршрутизатора, которому нужно передать пакет. Вме
сте с пакетом следующему маршрутизатору передается ответственность за
выбор следующего шага маршрутизации. Одношаговый подход к маршру73
тизации означает распределенное решение задачи выбора маршрута. Это
снимает ограничение на максимальное количество транзитных маршрути
заторов на пути пакета.
Router 2
129.13.0.1
Рисунок 4 - Схема маршрутизации
Для отправки пакета следующему маршрутизатору требуется знание
его локального адреса, но в стеке TCP/IP в таблицах маршрутизации при
нято использование только IP-адресов для сохранения их универсального
формата, не зависящего от типа сетей, входящих в интерсеть. Для нахож
дения локального адреса по известному IP-адресу необходимо воспользо
ваться протоколом ARP.
Одношаговая маршрутизация обладает еще одним преимуществом она позволяет сократить объем таблиц маршрутизации в конечных узлах и
маршрутизаторах за счет использования в качестве номера сети назначе
ния так называемого маршрута по умолчанию - default (0.0.0.0), который
обычно занимает в таблице маршрутизации последнюю строку. Если в
таблице маршрутизации есть такая запись, то все пакеты с номерами сетей,
которые отсутствуют в таблице маршрутизации, передаются маршрутиза
тору, указанному в строке default. Поэтому маршрутизаторы часто хранят в
своих таблицах ограниченную информацию о сетях интерсети, пересылая
пакеты для остальных сетей в порт и маршрутизатор, используемые по
умолчанию. Подразумевается, что маршрутизатор, используемый по умол
чанию, передаст пакет на магистральную сеть, а маршрутизаторы, под
ключенные к магистрали, имеют полную информацию о составе интерсети.
Кроме маршрута default, в таблице маршрутизации могут встретиться
два типа специальных записей - запись о специфичном для узла маршруте
и запись об адресах сетей, непосредственно подключенных к портам мар
шрутизатора.
74
Специфичный для узла маршрут содержит вместо номера сети пол
ный IP-адрес, то есть адрес, имеющий ненулевую информацию не только в
поле номера сети, но и в поле номера узла. Предполагается, что для такого
конечного узла маршрут должен выбираться не так, как для всех осталь
ных узлов сети, к которой он относится. В случае, когда в таблице есть
разные записи о продвижении пакетов для всей сети N и ее отдельного уз
ла, имеющего адрес N,D, при поступлении пакета, адресованного узлу
N,D, маршрутизатор отдаст предпочтение записи для N,D.
Записи в таблице маршрутизации, относящиеся к сетям, непосредст
венно подключенным к маршрутизатору, вполе "Метрика" содержат нули
(«подключено»).
В о б щ е м виде к алгоритмам маршрутизации предъявляются следую
щие требования:
• точность;
• простота;
• надёжность;
• стабильность;
• справедливость;
• оптимальность.
Существуют различные алгоритмы построения таблиц для одношаговой маршрутизации. Их можно разделить на три класса:
• алгоритмы простой маршрутизации;
• алгоритмы фиксированной маршрутизации;
• алгоритмы адаптивной маршрутизации.
Независимо от алгоритма, используемого для построения таблицы
маршрутизации, результат их работы имеет единый формат. За счет этого в
одной и той же сети различные узлы могут строить таблицы маршрутиза
ции по своим алгоритмам, а затем обмениваться между собой недостаю
щими данными, так как форматы этих таблиц фиксированы. Поэтому
маршрутизатор, работающий по алгоритму адаптивной маршрутизации,
может снабдить конечный узел, применяющий алгоритм фиксированной
маршрутизации, сведениями о пути к сети, о которой конечный узел ниче
го не знает.
Простая маршрутизация - это способ маршрутизации, не изменяю
щийся при изменении топологии и состоянии сети передачи данных
(СПД).
Простая маршрутизация обеспечивается различными алгоритмами,
типичными из которых являются следующие:
• Случайная маршрутизация - это передача сообщения из узла в лю
бом случайно выбранном направлении, за исключением направлений, по
которым сообщение поступило узел.
• Лавинная маршрутизация - это передача сообщения из узла во всех
направлениях, кроме направления, по которому сообщение поступило в
75
узел. Такая маршрутизация гарантирует малое время доставки пакета, за
снет ухудшения пропускной способности.
• Маршрутизация по предыдущему опыту - каждый пакет имеет
счетчик числа пройденных узлов, в каждом узле связи анализируется счёт
чик, и запоминается тот маршрут, который соответствует минимальному
значению счетчика. Такой алгоритм позволяет приспосабливаться к изме
нению топологии сети, но процесс адаптации протекает медленно и неэф
фективно.
В целом, простая маршрутизация не обеспечивает направленную пе
редачу пакета и имеет низкую эффективности. Основным ее достоинством
является обеспечение устойчивой работы сети при выходе из строя раз
личных частей сети.
Фиксированная маршрутизация применяется в сетях с простой топо
логией связей и основан на ручном составлении таблицы маршрутизации
администратором сети. Алгоритм часто эффективно работает также для
магистралей крупных сетей, так как сама магистраль может иметь простую
структуру с очевидными наилучшими путями следования пакетов в подсе
ти, присоединенные к магистрали, выделяют следующие алгоритмы:
• Однопутевая фиксированная маршрутизация - это когда между
двумя абонентами устанавливается единственный путь. Сеть с такой мар
шрутизацией неустойчива к отказам и перегрузкам.
• Многопутевая фиксированная маршрутизация - может быть уста
новлено несколько возможных путей и вводится правило выбора пути.
Эффективность такой маршрутизации падает при увеличении нагрузки.
При отказе какой-либо линии связи необходимо менять таблицу маршру
тизации, для этого в каждом узле связи храниться несколько таблиц.
Адаптивная маршрутизация - это основной вид алгоритмов маршру
тизации, применяющихся маршрутизаторами в современных сетях со
сложной топологией. Адаптивная маршрутизация основана на том, что
маршрутизаторы периодически обмениваются специальной топологиче
ской информацией об имеющихся в интерсети сетях, атакже о связяхмежду маршрутизаторами. Обычно учитывается не только топология связей,
но и их пропускная способность и состояние.
Адаптивные протоколы позволяют всем маршрутизаторам собирать
информацию о топологии связей в сети, оперативно отрабатывая все изме
нения конфигурации связей. Эти протоколы имеют распределенный харак
тер, который выражается в том, что в сети отсутствуют какие-либо выде
ленные маршрутизаторы, которые бы собирали и обобщали топологиче
скую информацию: эта работа распределена между всеми маршрутизато
рами, выделяют следующие алгоритмы:
• Локальная адаптивная маршрутизация - каждый узел содержит ин
формацию о состоянии линии связи, длины очереди и таблицу маршрути
зации.
76
• Глобальная адаптивная маршрутизация - основана на использова
нии информации, получаемой от соседних узлов. Для этого каждый узел
содержит таблицу маршрутизации, в которой указано время прохождения
сообщений. На основе информации, получаемой из соседних узлов, значе
ние таблицы пересчитывается с учетом длины очереди в самом узле.
• Централизованная адаптивная маршрутизация - существует неко
торый центральный узел, который занимается сбором информации о со
стоянии сети. Этот центр формирует управляющие пакеты, содержащие
таблицы маршрутизации, и рассылает их в узлы связи.
• Гибридная адаптивная маршрутизация - основана на использовании
таблицы, периодически рассылаемой центром, инаанализе длиныочереди
в самом узле.
Маршрутные таблицы содержат информацию, которую используют
программы коммутации для выбора наилучшего маршрута. Чем характе
ризуется построение маршрутных таблиц? Какова особенность природы
информации, которую они содержат? В данном разделе, посвященном по
казателям алгоритмов, сделана попытка ответить на вопрос о том, каким
образом алгоритм определяет предпочтительность одного маршрута по
сравнению с другими.
В алгоритмах маршрутизации используется множество различных по
казателей. Сложные алгоритмы маршрутизации при выборе маршрута мо
гут базироваться на множестве показателей, комбинируя их таким обра
зом, что в результате получается один гибридный показатель. Ниже пере
числены показатели, которые используются в алгоритмах маршрутизации:
• Длина маршрута.
• Надежность.
• Задержка.
• Ширина полосы пропускания.
Длина маршрута является наиболее общим показателем маршрутиза
ции. Некоторые протоколы маршрутизации позволяют администраторам
сети назначать произвольные цены на каждый канал сети. В этом случае
длиной тракта является сумма расходов, связанных с каждым каналом, ко
торый был траверсирован. Другие протоколы маршрутизации определяют
"количество пересылок" (количество хопов), т. е. показатель, характери
зующий число проходов, которые пакет должен совершить на пути от ис
точника до пункта назначения через элементы объединения сетей (такие
как маршрутизаторы).
Надежность, в контексте алгоритмов маршрутизации, относится к на
дежности каждого канала сети (обычно описываемой в терминах соотно
шения бит/ошибка). Некоторые каналы сети могут отказывать чаще, чем
другие. Отказы одних каналов сети могут быть устранены легче или быст
рее, чем отказы других каналов. При назначении оценок надежности могут
быть приняты в расчет любые факторы надежности. Оценки надежности
77
обычно назначаются каналам сети администраторами. Как правило, это
произвольные цифровые величины.
Под задержкой маршрутизации обычно понимают отрезок времени,
необходимый для передвижения пакета от источника до пункта назначения
через объединенную сеть. Задержка зависит от многих факторов, включая
полосу пропускания промежуточных каналов сети, очереди в порт каждого
маршрутизатора на пути передвижения пакета, перегруженность сети на
всех промежуточных каналах сети и физическое расстояние, на которое
необходимо переместить пакет. Т. к. здесь имеет место конгломерация не
скольких важных переменных, задержка является наиболее общим и по
лезным показателем.
Полоса пропускания относится к имеющейся мощности трафика како
го-либо канала. При прочих равных показателях, канал Ethernet 10 Mbps
предпочтителен любой арендованной линии с полосой пропускания 64
Кбайт/с. Хотя полоса пропускания является оценкой максимально дости
жимой пропускной способности канала, маршруты, проходящие через ка
налы с большей полосой пропускания, не обязательно будут лучше мар
шрутов, проходящих через менее быстродействующие каналы.
2.11. Стандарты интернета
Своим существованием Интернет обязан открытым стандартам. Под
открытостью будем понимать равную доступность стандарта различным
группам заинтересованных лиц (разработчикам программного и аппарат
ного обеспечения, пользователям, международным организациям по стан
дартизации и т.д.).
Созданием стандартов в интернете занимаются различные междуна
родные организации, причем каждая из них специализируется на своих на
правлениях (сетевые протоколы, доменные имена, стандарты языков пред
ставления данных и т.д.). Далеко не все стандарты интернета имеют при
вычную форму строгих документов наподобие стандартов ISO, IEC, DIN
или ГОСТ. Стандарты интернета изменяются так же, как и сам интернет, в
котором появляются новые технологии, новые устройства, и это постоян
ное обновление приводит к новым техническим требованиям и обновле
нию стандартов.
Сетевой протокол - набор правил и действий (очередности дейст
вий), позволяющий осуществлять соединение и обмен данными между
двумя и более включенными в сеть устройствами.
Сетевые протоколы содержат:
• структуру или формат сообщения;
• методы обмена информацией о маршрутах сетей между собой;
• форму передачи устройствами сообщений об ошибках и систем
ных сообщений;
78
• информацию о способе и времени завершения передачи данных по
сети.
Основой успеха сети Интернет стала разработка стека протоколов
TCP/IP (Transmission Control Protocol/Internet Protocol), входящего в семи
уровневую модель ISO/OSI.
TCP/IP - это стек протоколов передачи данных, используемый в се
тях, включая сеть Интернет. Название протокола TCP/IP происходит из на
званий двух протоколов - Transmission Control Protocol (TCP) и Internet
Protocol (IP). Оба указанных протокола являются главными протоколами
семейства. Они были разработаны первыми и описаны в данном стандарте.
TCP (Transmission Control Protocol) - протокол управления передачей
данных, это один из основных протоколов передачи интернета, который
работает на транспортном уровне модели OSI.
Этот протокол устанавливает логическое соединение между отправи
телем и получателем, а также обеспечивает связь между этими узлами, со
храняя порядок потока пакетов. Протокол гарантирует доставку информа
ции, осуществляя контроль ее целостности.
IP (Internet Protocol) - межсетевой протокол - это маршрутизируемый
протокол сетевого уровня из стека TCP/IP. Главной частью протокола яв
ляется адресация сети. Протокол IP объединяет отдельные сегменты сети в
единую сеть и обеспечивает доставку пакетов адресату. Главная задача
протокола IP - маршрутизация пакетов. Он не отвечает за сохранение по
рядка потока пакетов (могут прийти несколько копий одного пакета), за
надежность доставки информации, ее целостность. Безошибочную достав
ку гарантирует протокол транспортного уровня TCP.
Для обмена данными между приложениями или процессами исполь
зуются протоколы приложений. Рассмотрим наиболее часто используемые
протоколы этого уровня:
• SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) протоколы электронной почты;
• SNMP (Simple Network Management Protocol) - протокол управления
сетями;
• FTP (File Transport Protocol) - протокол, предназначенный для пе
редачи файлов;
• Telnet (Terminal Network) - сетевой протокол удаленного доступа.
Чтобы позволить терминальным устройствам и терминальным процессам
взаимодействовать друг с другом, необходим данный протокол. Этот про
токол может быть использован как для связи вида « терминал — терми
нал», так и для связи «процесс — процесс» в распределенных вычислениях;
• SIP (Session Initiation Protocol) - протокол установления сеанса,
один из протоколов, который лежит в основе технологии VoIP ( Voice over
IP) ;
79
• HTTP (Hyper Text Transfer Protocol) - протокол уровня приложения,
предназначен для передачи гипертекста, управляет процессом взаимодей
ствия веб-сервера и веб-клиента.
Существуют и другие протоколы. Уровень безопасности, например,
обеспечивают:
• SSL (Secure Socket Layer) - сетевой протокол с шифрованием для
безопасной передачи данных;
• SET (Security Electronics Transaction) - стандарт безопасных тран
закций в сети Интернет. Этот протокол является открытым стандартным
протоколом для безопасных платежей с использованием пластиковых карт.
Общее число протоколов насчитывает не один десяток, поэтому в
данном разделе приведены наиболее важные из них.
2.12. Модели безопасности в вычислительных сетях.
Рабочая группа и домен
Современные сети часто состоят из множества различных программ
ных платформ, большого разнообразия оборудования и программного
обеспечения. Пользователи зачастую вынуждены запоминать большое ко
личество паролей для доступа к различным сетевым ресурсам. Права дос
тупа могут быть различными для одного и того же сотрудника в зависимо
сти от того, с какими ресурсами он работает. Всё это множество взаимо
связей требует от администратора и пользователя огромного количества
времени на анализ, запоминание и обучение.
Решение проблемы управления такой разнородной сетью было найде
но с разработкой службы каталога. Службы каталога предоставляют воз
можности управления любыми ресурсами и сервисами из любой точки не
зависимо от размеров сети, используемых операционных систем и сложно
сти оборудования. Информация о пользователе, заносится единожды в
службу каталога, и после этого становится доступной в пределах всей сети.
Адреса электронной почты, принадлежность к группам, необходимые пра
ва доступа и учетные записи для работы с различными операционными
системами - всё это создается и поддерживается в актуальном виде авто
матически. Любые изменения, занесенные в службу каталога администра
тором, сразу обновляются по всей сети. Администраторам уже не нужно
беспокоиться об уволенных сотрудниках - просто удалив учётную запись
пользователя из службы каталога, он сможет гарантировать автоматиче
ское удаление всех прав доступа на ресурсы сети, предоставленные ранее
этому сотруднику.
В настоящее время большинство служб каталогов различных фирм
базируются на стандарте X.500. Для доступа к информации, хранящейся в
службах каталогов, обычно используется протокол Lightweight Directory
Access Protocol (LDAP). В связи со стремительным развитием сетей
80
TCP/IP, протокол LDAP становится стандартом для служб каталогов и
приложений, ориентированных на использование службы каталога [8].
Служба каталогов Active Directory является основой логической
структуры корпоративных сетей, базирующихся на системе Windows. Тер
мин "Каталог" в самом широком смысле означает "Справочник", а служба
каталогов корпоративной сети - это централизованный корпоративный
справочник. Корпоративный каталог может содержать информацию об
объектах различных типов. Служба каталогов Active Directory содержит в
первую очередь объекты, на которых базируется система безопасности се
тей Windows, - учётные записи пользователей, групп и компьютеров.
Учётные записи организованы в логические структуры: домен, дерево, лес,
организационные подразделения.
Основа сетевой безопасности - база данных учётных записей
(accounts) пользователей, групп пользователей и компьютеров, с помощью
которой осуществляется управление доступом к сетевым ресурсам. Преж
де чем говорить о службе каталогов Active Directory, сравним две модели
построения базы данных служб каталогов и управления доступом к ресур
сам.
Данная модель управления безопасностью корпоративной сети «Рабо
чая группа» - самая примитивная. Она предназначена для использования в
небольших одноранговых сетях (3 - 10 компьютеров) и основана на том,
что каждый компьютер в сети с операционными системами Windows имеет
свою собственную локальную базу данных учетных записей и с помощью
этой локальной БД осуществляется управление доступом к ресурсам дан
ного компьютера. Локальная БД учетных записей называется база данных
SAM (Security Account Manager) и хранится в реестре операционной систе
мы. Базы данных отдельных компьютеров полностью изолированы друг от
друга и никак не связаны между собой. Пример управления доступом при
использовании такой модели изображен на рис. 5.
Рисунок 5 - Рабочая группа
81
В данном примере изображены два сервера (SRV-1 и SRV-2) идве ра
бочие станции (WS-1 и WS-2). Их базы данных SAM обозначены соответ
ственно SAM-1, SAM-2, SAM-3 и SAM-4 (на рисунке базы SAM изобра
жены в виде овала). В каждой БД есть учетные записи пользователей User1
и User2. Полное имя пользователя User1 на сервере SRV-1 будет выглядеть
как "SRV-1\User1", а полное имя пользователя User1 на рабочей станции
WS-1 будет выглядеть как "WS-1\User1". Представим, что на сервере SRV1 создана папка Folder, к которой предоставлен доступ по сети пользовате
лям User1 - на чтение (R), User2 - чтение и запись (RW). Главный момент
в этой модели заключается в том, что компьютер SRV-1 ничего "не знает"
об учетных записях компьютеров SRV-2, WS-1, WS-2, а также всех ос
тальных компьютеров сети. Если пользователь с именем User1лoкaльнo
зарегистрируется в системе на компьютере, например, WS-2 (или, как еще
говорят, "войдет в систему с локальным именем User1 на компьютере WS2"), то при попытке получить доступ с этого компьютера по сети к папке
Folder на сервере SRV-1 сервер запросит пользователя ввести имя и пароль
(исключение составляет тот случай, если у пользователей с одинаковыми
именами одинаковые пароли).
Модель "Рабочая группа" более проста для изучения, здесь нет необ
ходимости изучать сложные понятия Active Directory. Но при использова
нии в сети с большим количеством компьютеров и сетевых ресурсов ста
новится очень сложным управлять именами пользователей и их паролями
- приходится на каждом компьютере (который предоставляет свои ресур
сы для совместного использования в сети) вручную создавать одни и те же
учётные записи с одинаковыми паролями, что очень трудоемко, либо де
лать одну учетную запись на всех пользователей с одним на всех паролем
(или вообще без пароля), что сильно снижает уровень защиты информа
ции. Поэтому модель "Рабочая группа" рекомендуется только для сетей с
числом компьютеров от 3 до 10 ( а е щ е л у ч ш е - не более 5), при условии,
что среди всех компьютеров нет ни одного с системой Windows Server.
В доменной модели существует единая база данных служб каталогов,
доступная всем компьютерам сети. Для этого в сети устанавливаются спе
циализированные серверы, называемые контроллерами домена, которые
хранят на своих жестких дисках эту базу. На рис. 6. изображена схема до
менной модели. Серверы DC-1 и DC-2 - контроллеры домена, они хранят
доменную базу данных учетных записей (каждый контроллер хранит у се
бя свою собственную копию БД, но все изменения, производимые в БД на
одном из серверов, реплицируются на остальные контроллеры).
В такой модели, если, например, на сервере SRV-1, являющемся
членом домена, предоставлен общий доступ к папке Folder, то права дос
тупа к данному ресурсу можно назначать не только для учетных записей
локальной базы SAM данного сервера, но, самое главное, учетным запи
сям, хранящимся в доменной БД. На рисунке для доступа к папке Folder
даны права доступа одной локальной учетной записи компьютера SRV-1 и
82
нескольким учетным записям домена (пользователя и группам пользовате
лей). В доменной модели управления безопасностью пользователь регист
рируется на компьютере ("входит в систему") со своей доменной учетной
записью и, независимо от компьютера, на котором была выполнена реги
страция, получает доступ к необходимым сетевым ресурсам. И н е т необ
ходимости на каждом компьютере создавать большое количество локаль
ных учетных записей, все записи созданы однократно в доменной БД. И с
помощью доменной базы данных осуществляется
централизованное
управление доступом к сетевым ресурсам независимо от количества ком
пьютеров в сети.
Рис. 6 - Доменная модель
Итак, модель «Рабочая группа» не представляет интереса с точки
зрения основ системного администрирования, так как не требует рассмот
рения сложных понятий управления сетью, поэтому в следующей главе
речь пойдёт о доменной модели безопасности.
Контрольные
вопросы
1. Что называется активным сетевым оборудованием?
2. Что называется пассивным сетевым оборудованием?
3. Приведите примеры активного сетевого оборудования.
4. Приведите примеры пассивного сетевого оборудования.
5. В ч ё м заключается топология «шина»?
6. В ч ё м заключается топология «звезда»?
83
7. В чём заключается топология «кольцо»?
8. Перечислите достоинства и недостатки топологии «шина».
9. Перечислите достоинства и недостатки топологии «звезда».
10. Перечислите достоинства и недостатки топологии «кольцо».
11. Что такое ЭМВОС?
12. С какого уровня ЭВМОС начинается работа браузера в сети?
13. Какие действия происходят на физическом уровне?
14. Какие действия происходят на канальном уровне?
15. Какие действия происходят на сетевом уровне?
16. Какие действия происходят на транспортном уровне?
17. Какие действия происходят на сеансовом уровне?
18. Какие действия происходят на представительском уровне?
19. Какие действия происходят на прикладном уровне?
20. Что является блоком данных на канальном уровне?
21. Что является блоком данных на сетевом уровне?
22. Что такое MAC-адрес?
23. Что такое IP-адрес?
24. Что такое маска подсети?
25. Что такое TCP/IP?
26. В ч ё м отличие протокола IPv6 от протокола IPv4?
27. Что такое маршрутизация?
28. Какие требования предъявляются к маршрутизации?
29. Что такое простая маршрутизация?
30. Что такое фиксированная маршрутизация?
31. Что такое адаптивная маршрутизация?
32. Какие бывают виды адаптивной маршрутизации?
33. Что такое пропускная способность?
34. Что такое динамическая маршрутизация?
35. Что такое статическая маршрутизация?
36. Что такое сетевой протокол?
37. Что содержат сетевые протоколы?
38. Что такое FTP?
39. Что такое SSL?
40. Что такое SET?
41. Какие модели безопасности используются в компьютерных се
тях?
42. Для каких сетей применяется рабочая группа?
43. Какие сети организуются в домен?
44. Чем отличается домен от рабочей группы?
45. Что такое SAM?
46. Что такое LDAP?
84
3. ДОМЕННАЯ МОДЕЛЬ БЕЗОПАСНОСТИ
В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
3.1. Понятие службы каталогов, её назначение, задачи, основные
положения
Каталог (справочник) может хранить различную информацию, отно
сящуюся к пользователям, группам, компьютерам, сетевым принтерам,
общим файловым ресурсам и так далее - будем называть вс' это объекта
ми. Каталог хранит также информацию о самом объекте, или его свойства,
называемые атрибутами. Например, атрибутами, хранимыми в каталоге о
пользователе, может быть имя его руководителя, номер телефона, адрес,
имя для входа в систему, пароль, группы, в которые он входит, имногое
другое. Для того чтобы сделать хранилище каталога полезным для пользо
вателей, должны существовать службы, которые будут взаимодействовать
с каталогом. Например, можно использовать каталог как хранилище ин
формации, по которой можно аутентифицировать пользователя, или как
место, куда можно послать запрос для того, чтобы найти информацию об
объекте.
Active Directory отвечает не только за создание и организацию этих
небольших объектов, но также и за большие объекты, такие как домены,
OU (организационные единицы или подразделения) и сайты.
Служба каталогов Active Directory (сокращенно AD) обеспечивает
эффективную работу сложной корпоративной среды, предоставляя сле
дующие возможности:
• Единая регистрация в сети. Пользователи могут регистрироваться
в сети с одним именем и паролем и получать при этом доступ ко всем се
тевым ресурсам и службам (службы сетевой инфраструктуры, службы
файлов и печати, серверы приложений и баз данных и т. д.);
• Безопасность информации. Средства аутентификации и управления
доступом к ресурсам, встроенные в службу Active Directory, обеспечивают
централизованную защиту сети;
• Централизованное управление. Администраторы могут централизо
ванно управлять всеми корпоративными ресурсами;
• Администрирование с использованием групповых политик. При за
грузке компьютера или регистрации пользователя в системе выполняются
требования групповых политик; их настройки хранятся в объектах группо
вых политик (GPO) и применяются ко всем учетным записям пользовате
лей и компьютеров, расположенных в сайтах, доменах или организацион
ных подразделениях;
• Интеграция с DNS. Функционирование служб каталогов полностью
зависит от работы службы DNS. В свою очередь серверы DNS могут хра
нить информацию о зонах в базе данных Active Directory;
85
• Расширяемость каталога. Администраторы могут добавлять в
схему каталога новые классы объектов или добавлять новые атрибуты к
существующим классам;
• Масштабируемость. Служба Active Directory может охватывать
как один домен, так и множество доменов, объединенных в дерево доме
нов, а из нескольких деревьев доменов может быть построен лес;
• Репликация (копирование) информации. В службе Active Directory
используется репликация служебной информации в схеме со многими ве
дущими (multi-master), что позволяет модифицировать БД Active Directory
на любом контроллере домена. Наличие в домене нескольких контролле
ров обеспечивает отказоустойчивость и возможность распределения сете
вой нагрузки;
• Гибкость запросов к каталогу. БД Active Directory может исполь
зоваться для быстрого поиска любого объекта AD, используя его свойства
(например, имя пользователя или адрес его электронной почты, тип прин
тера или его местоположение и т. п.);
• Стандартные интерфейсы программирования. Для разработчиков
программного обеспечения служба каталогов предоставляет доступ ко
всем возможностям (средствам) каталога и поддерживает принятые стан
дарты и интерфейсы программирования (API).
В Active Directory может быть создан широкий круг различных объек
тов. Объект представляет собой уникальную сущность внутри Каталога и
обычно обладает многими атрибутами, которые помогают описывать и
распознавать его. Учетная запись пользователя является примером объек
та. Этот тип объекта может иметь множество атрибутов, таких как имя,
фамилия, пароль, номер телефона, адрес и многие другие. Таким же обра
зом общий принтер тоже может быть объектом в Active Directory иего ат
рибутами являются его имя, местоположение и т.д. Атрибуты объекта не
только помогают определить объект, но также позволяют вам искать объ
екты внутри Каталога.
Служба каталогов системы Windows Server построена на общеприня
тых технологических стандартах. Изначально для служб каталогов был
разработан стандарт X.500, который предназначался для построения ие
рархических древовидных масштабируемых справочников с возможно
стью расширения как классов объектов, так и наборов атрибутов (свойств)
каждого отдельного класса. Однако практическая реализация этого стан
дарта оказалась неэффективной с точки зрения производительности. Тогда
на базе стандарта X.500 была разработана упрощенная (облегченная) вер
сия стандарта построения каталогов, получившая название LDAP
(Lightweight Directory Access Protocol). Протокол LDAP сохраняет все ос
новные свойства X.500 (иерархическая система построения справочника,
масштабируемость, расширяемость), но при этом позволяет достаточно
эффективно реализовать данный стандарт на практике. Термин
"lightweight" ('облегченный") в названии LDAP отражает основную цель
86
разработки протокола: создать инструментарий для построения службы
каталогов, которая обладает достаточной функциональной мощью для ре
шения базовых задач, но не перегружена сложными технологиями, де
лающими реализацию служб каталогов неэффективной. В настоящее время
LDAP является стандартным методом доступа к информации сетевых ка
талогов и играет роль фундамента во множестве продуктов, таких как сис
темы аутентификации, почтовые программы и приложения электронной
коммерции. Сегодня на рынке присутствует более 60 коммерческих серве
ров LDAP, причем около 90% изних представляют собой самостоятельные
серверы каталогов LDAP, а остальные предлагаются в качестве компонен
тов других приложений.
Протокол LDAP четко определяет круг операций над каталогами, ко
торые может выполнять клиентское приложение. Эти операции распада
ются на пять групп:
• установление связи с каталогом;
• поиск в нем информации;
• модификация его содержимого;
• добавление объекта;
• удаление объекта.
Кроме протокола LDAP служба каталогов Active Directory использует
также протокол аутентификации Kerberos и службу DNS для поиска в сети
компонент служб каталогов (контроллеры доменов, серверы глобального
каталога, службу Kerberos идр.).
3.2. Домен: понятие, физическая и логическая организация
Основной единицей системы безопасности Active Directory является
домен. Домен формирует область административной ответственности. База
данных домена содержит учетные записи пользователей, групп и компью
теров. Большая часть функций по управлению службой каталогов работа
ет на уровне домена (аутентификация пользователей, управление доступом
к ресурсам, управление службами, управление репликацией, политики
безопасности).
Имена доменов Active Directory формируются по той же схеме, что и
имена в пространстве имен DNS. Иэто не случайно. Служба DNS является
средством поиска компонент домена - в первую очередь контроллеров до
мена.
Контроллеры домена - специальные серверы, которые хранят соот
ветствующую данному домену часть базы данных Active Directory. Основ
ные функции контроллеров домена:
• хранение БД Active Directory (организация доступа к информации,
содержащейся в каталоге, включая управление этой информацией и ее мо
дификацию);
87
• синхронизация изменений в AD (изменения в базу данных AD мо
гут быть внесены на любом из контроллеров домена, любые изменения,
осуществляемые на одном из контроллеров, будут синхронизированы c
копиями, хранящимися на других контроллерах);
• аутентификация пользователей (любой из контроллеров домена
осуществляет проверку полномочий пользователей, регистрирующихся на
клиентских системах).
Настоятельно рекомендуется в каждом домене устанавливать не менее
двух контроллеров домена. Во-первых, для защиты от потери БД Active
Directory в случае выхода из строя какого-либо контроллера, во-вторых,
для распределения нагрузки между контроллерами.
Дерево является набором доменов, которые используют единое свя
занное пространство имен. В этом случае "дочерний" домен наследует свое
имя от "родительского" домена. Дочерний домен автоматически устанав
ливает двухсторонние транзитивные доверительные отношения с роди
тельским доменом. Доверительные отношения означают, что ресурсы од
ного из доменов могут быть доступны пользователям других доменов.
Пример деревьев Active Directory изображен на рис. 7. В данном при
мере домен company.ru является доменом Active Directory верхнего уровня.
От корневого домена отходят дочерние домены it.company.ru и
fin.company.ru. Эти домены могут относиться соответственно к ИТ-службе
компании и финансовой службе. У д о м е н а it.company.ru есть поддомен
dev.it.company.ru, созданный для отдела разработчиков ПО ИТ-службы.
Рисунок 7 - Деревья Active Directory
88
Корпорация Microsoft рекомендует строить Active Directory в виде од
ного домена. Построение дерева, состоящего из многих доменов необхо
димо в следующих случаях:
• для децентрализации администрирования служб каталогов (напри
мер, вслучае, когда компания имеет филиалы, географически удаленные
друг от друга, и централизованное управление затруднено по техническим
причинам);
• для повышения производительности (для компаний с большим ко
личеством пользователей и серверов актуален вопрос повышения произво
дительности работы контроллеров домена);
• для более эффективного управления репликацией (если контролле
ры доменов удалены друг от друга, то репликация в одном может потребо
вать больше времени и создавать проблемы с использованием несинхронизированных данных);
• для применения различных политик безопасности для различных
подразделений компании;
• при большом количестве объектов в БД Active Directory.
Наиболее крупная структура в Active Directory - лес. Лес объединяет
деревья, которые поддерживают единую схему (схема Active Directory набор определений типов, или классов, объектов в БД Active Directory). В
лесу между всеми доменами установлены двухсторонние транзитивные
доверительные отношения, что позволяет пользователям любого домена
получать доступ к ресурсам всех остальных доменов, если они имеют со
ответствующие разрешения на доступ. По умолчанию, первый домен, соз
даваемый в лесу, считается его корневым доменом, в корневом домене
хранится схема AD.
Новые деревья в лесу создаются в том случае, когда необходимо по
строить иерархию доменов с пространством имен, отличным от других
пространств леса. В примере на рис. 7 российская компания могла открыть
офис за рубежом и для своего зарубежного отделения создать дерево с до
меном верхнего уровня company.com. При этом оба дерева являются час
тями одного леса с общим "виртуальным" корнем.
При управлении деревьями и лесами нужно помнить два очень важ
ных момента:
• первое созданное в лесу доменов дерево является корневым дере
вом, первый созданный в дереве домен называется корневым доменом де
рева (tree root domain);
• первый домен, созданный в лесу доменов, называется корневым до
меном леса (forest root domain), данный домен не может быть удален (он
хранит информацию о конфигурации леса и деревьях доменов, его обра
зующих).
Организационные подразделения (Organizational Units, OU) - контей
неры внутри AD, которые создаются для объединения объектов в целях
делегирования административных прав и применения групповых политик в
89
домене. ОП существуют только внутри доменов и могут объединять
только объекты из своего домена. ОП могут быть вложенными друг в
друга, что позволяет строить внутри домена сложную древовидную иерар
хию из контейнеров и осуществлять более гибкий административный кон
троль. Кроме того, ОП могут создаваться для отражения административ
ной иерархии и организационной структуры компании.
Глобальный каталог является перечнем всех объектов, которые суще
ствуют в лесу Active Directory. По умолчанию, контроллеры домена со
держат только информацию об объектах своего домена. Сервер Глобаль
ного каталога является контроллером домена, в котором содержится ин
формация о каждом объекте (хотя и не обо всех атрибутах этих объектов),
находящемся в данном лесу.
В службе каталогов должен быть механизм именования объектов, по
зволяющий однозначно идентифицировать любой объект каталога. В ката
логах на базе протокола LDAP для идентификации объекта в масштабе
всего леса используется механизм отличительных имен (Distinguished
Name, DN). В Active Directory учетная запись пользователя с именем User
домена company.ru, размещенная в стандартном контейнере Users, будет
иметь следующее отличительное имя: "DC=ru, DC=company, OU=Users,
CN=User".
В имени используются следующие обозначения:
• DC (Domain Component) - указатель на составную часть доменного
имени;
• OU (Organizational Unit) - указатель на организационное подразде
ление (ОП);
• CN (Common Name) - указатель на общее имя.
Если отличительное имя однозначно определяет объект в масштабе
всего леса, то для идентификации объекта относительно контейнера, в к о тором данный объект хранится, существует относительное отличительное
имя (Relative Distinguished Name, RDN). Для пользователя User из преды
дущего примера RDN-имя будет иметь вид " CN=User ".
Кроме имен DN и RDN, используется основное имя объекта (User
Principal Name, UPN). Оно имеет формат @. Для того же пользователя из примера основное имя будет выгля
деть как User@company.ru.
Имена DN, RDN могут меняться, если объект перемещается из одного
контейнера AD в другой. Для того чтобы не терять ссылки на объекты при
их перемещении в лесу, всем объектам назначается глобально уникальный
идентификатор (Globally Unique Identifier, GUID), представляющий собой
128-битное число.
Планирование пространства имен и структуры AD - очень ответст
венный момент, от которого зависит эффективность функционирования
будущей корпоративной системы безопасности. При этом надо иметь в ви
ду, что созданную вначале структуру в процессе эксплуатации будет очень
90
трудно изменить (например, в Windows 2000 изменить имя домена верхне
го уровня вообще невозможно, а в более поздних версиях операционной
системы решение этой задачи требует выполнения жестких условий и тща
тельной подготовки данной операции). При планировании AD необходимо
учитывать следующие моменты:
• тщательный выбор имен доменов верхнего уровня;
• качество коммуникаций в компании (связь между отдельными под
разделениями и филиалами);
• организационная структура компании;
• количество пользователей и компьютеров в момент планирования;
• прогноз темпов роста количества пользователей и компьютеров.
3.3. Служба каталогов Active Directory: физическая и логическая
структура, репликация данных
Служба каталогов Active Directory организована в виде иерархической
структуры, построенной из различных компонентов, которые представля
ют элементы корпоративной сети. В этой структуре есть, например, поль
зовательские объекты, компьютерные объекты, и различные контейнеры.
Способ организации этих элементов представляет собой логическую
структуру Active Directory в корпоративной сети. Логическая структура
Active Directory включает в себя уже упомянутые ранее леса, деревья, до
мены, а также организационные подразделения (ОП). Напомним, что озна
чают эти понятия.
Домен - это логическая группа пользователей и компьютеров, которая
поддерживает централизованное администрирование и управление безо
пасностью. Домен является единицей безопасности - это означает, что ад
министратор для одного домена, по умолчанию, не может управлять дру
гим доменом. Домен также является основной единицей для репликации все контроллеры одного домена должны участвовать в репликации друг с
другом. Домены в одном лесу имеют автоматически настроенные довери
тельные отношения, что позволяет пользователям из одного домена полу
чать доступ к ресурсам в другом. Необходимо также знать, что можно соз
давать доверительные отношения с внешними доменами, не входящими в
лес.
Дерево является набором доменов, которые связаны отношениями
"дочерний"/"родительский", а также используют связанные (смежные, или
прилегающие) пространства имен. При этом дочерний домен получает имя
от родительского. Например, можно создать дочерний домен, называемый
it, в домене company.com, тогда его полное имя будет it.company.com (рис.
8). Между доменами автоматически устанавливаются двухсторонние тран
зитивные доверительные отношения (домен it.company.com доверяет сво
ему "родительскому" домену, который в свою очередь "доверяет" домену
sales.company.com - таким образом, домен it.company.com доверяет домену
91
sales.company.com, и наоборот). Это означает, что доверительные отноше
ния могут быть использованы всеми другими доменами данного леса для
доступа к ресурсам данного домена. Заметим, что домен it.company.com
продолжает оставаться самостоятельным доменом, в том смысле, что он
остается единицей для управления системой безопасности и процессом ре
пликации.
Поэтому,
например,
администраторы
из
домена
sales.company.com не могут администрировать домен it.company.com до
тех пор, пока им явно не будет дано такое право.
i t . c o m pan у - c o m
sales.company.com
Рисунок 8 - Дерево доменов
Лес - это одно или несколько деревьев, которые разделяют общую
схему, серверы Глобального каталога и конфигурационную информацию. В
лесу все домены объединены транзитивными двухсторонними доверитель
ными отношениями.
Каждая конкретная инсталляция Active Directory является лесом, даже
если состоит всего из одного домена.
Организационное подразделение (ОП) является контейнером, который
помогает группировать объекты для целей администрирования или приме
нения групповых политик. ОП могут быть созданы для организации объек
тов в соответствии с их функциями, местоположением, ресурсами и так
далее. Примером объектов, которые могут быть объединены в ОП, могут
служить учетные записи пользователей, компьютеров, групп и т.д. Напом
ним, что ОП может содержать только объекты из того домена, в котором
они расположены.
Подводя итог, можно сказать, что логическая структура Active
Directory позволяет организовать ресурсы корпоративной сети таким обра
зом, чтобы они отражали структуру самой компании.
Физическая структура Active Directory служит для связи между логи
ческой структурой AD и топологией корпоративной сети.
Основные элементы физической структуры Active Directory - кон
троллеры домена и сайты.
92
Контроллеры домена были подробно описаны в предыдущем разделе.
Сайт - группа IP-сетей, соединенных быстрыми и надежными комму
никациями. Назначение сайтов - управление процессом репликации между
контроллерами доменов и процессом аутентификации пользователей. По
нятие "быстрые коммуникации" очень относительное, оно зависит не толь
ко от качества линий связи, но и от объема данных, передаваемых по этим
линиям.
Структура сайтов никак не зависит от структуры доменов. Один до
мен может быть размещен в нескольких сайтах, и в одном сайте могут на
ходиться несколько доменов (рис. 8).
Поскольку сайты соединяются друг с другом медленными линиями
связи, механизмы репликации изменений в AD внутри сайта и между сай
тами различные. Внутри сайта контроллеры домена соединены линиями с
высокой пропускной способностью. Поэтому репликация между контрол
лерами производится каждые 5 минут, данные при передаче не сжимаются,
для взаимодействия между серверами используется технология вызова
удаленных процедур (RPC). Для репликации между сайтами кроме RPC
может использоваться также протокол SMTP, данные при передаче сжи
маются (в результате сетевой трафик составляет от 10 до 40% от первона
чального значения), передача изменений происходит по определенному
расписанию. Если имеется несколько маршрутов передачи данных, то сис
тема выбирает маршрут с наименьшей стоимостью.
Кроме управления репликацией, сайты используются при аутентифи
кации пользователей в домене. Процесс аутентификации может вызвать
заметный трафик, особенно если в сети имеется большое количество поль
зователей (особенно в начале рабочего дня, когда пользователи включают
компьютеры и регистрируются в домене). При входе пользователя в сеть
его аутентификация осуществляется ближайшим контроллером домена. В
процессе поиска "ближайшего" контроллера в первую очередь использует
ся информация о сайте, к которому принадлежит компьютер, на котором
регистрируется пользователь. Ближайшим считается контроллер, располо
женный в том же сайте, что и регистрирующийся пользователь. Поэтому
рекомендуется в каждом сайте установить, как минимум, один контроллер
домена.
В процессе аутентификации большую роль играет также сервер гло
бального каталога (при использовании универсальных групп). Поэтому в
каждом сайте необходимо также размещать как минимум один сервер гло
бального каталога (или на одном из контроллеров домена в каждом сайте
настроить кэширование членства в универсальных группах). Пользователи
сети (в том числе компьютеры и сетевые службы) используют серверы
глобального каталога для поиска объектов. Вслучае, если доступ к серверу
глобального каталога осуществляется через линии связи с низкой пропуск
ной способностью, многие операции службы каталога будут выполняться
медленно. Это обстоятельство также стимулирует установку сервера гло93
бального каталога в каждом сайте (более подробно о серверах глобального
каталога будет рассказано ниже).
Сайты
Рисунок 9 - Структура сайтов
В самом начале создания леса автоматически создается сайт по умол
чанию с именем Default-First-site-Name. В дальнейшем сетевой админист
ратор должен сам планировать и создавать новые сайты и определять вхо
дящие в них подсети, атакже перемещать в сайты соответствующие кон
троллеры доменов. При создания нового контроллера на основании выде
ленного ему IP-адреса служба каталога автоматически отнесет его к соот
ветствующему сайту.
Репликация изменений в AD между контроллерами домена происхо
дит автоматически, каждые 5 минут. Топологию репликации, т.е. порядок,
в котором серверы опрашивают друг друга для получения изменений в ба
зе данных, серверы строят автоматически (эту задачу выполняет компо
нента служб каталогов, называемая Knowledge Consistency Checker, или
KCC, вариант перевода данного термина - «наблюдатель показаний цело
стности»). При достаточно большом количестве контроллеров KCC стро
ит кольцевую топологию репликации, причем для надежности образует
несколько колец, по которым контроллеры передают данные репликации.
Наглядно увидеть топологию репликации можно с помощью администра
тивной консоли "Active Directory - сайты и службы. Если в этой консоли
раскрыть последовательно контейнеры Sites, Defauit-First-site-Name,
94
Servers, далее - конкретный сервер (например, DC1) и установить на узле
NTDS Settings, то в правой половине окна видно, что сервер DC1 запраши
вает изменения с сервера DC2.
Возможностей управления репликацией у администратора сети в дан
ном случае немного. Можно лишь вызвать принудительную репликацию в
той же консоли " Active Directory - сайты и службы ".
Разбивать большую корпоративную сеть на отдельные сайты необхо
димо по следующим причинам: отдельные подсети корпоративной сети,
расположенные в удаленных офисах, могут быть подключены друг к другу
медленными каналами связи, которые сильно загружены в течение рабоче
го дня; поэтому возникает необходимость осуществления репликации в те
часы, когда сетевой трафик минимален, и передавать данные репликации
со сжатием.
С точки зрения механизма репликации Active Directory представляет
собой не цельную иерархическую структуру, а отдельные фрагменты. Ка
ждый фрагмент, являясь частью каталога, представляет собой самостоя
тельное дерево. В терминологии службы Active Directory подобная сово
купность ветвей называется прилегающим поддеревом (contiguous subtree)
или контекстом имен (naming context).
Разделение пространства имен каталога на фрагменты позволяет оп
тимизировать процесс синхронизации копий каталога между множеством
его носителей. Это достигается за счет того, что в каждом контексте имен
хранится определенного вида информация. По умолчанию каталог Active
Directory поделен на три контекста имен, которые называются разделы ка
талога (directory partition):
• доменный раздел каталога (Domain partition) используется для раз
мещения информации о сетевых ресурсах, принадлежащих к определен
ному домену. Реплики доменного раздела располагаются на всех контрол
лерах указанного домена. Соответственно изменения, происходящие в
этом разделе, реплицируются только на эти реплики;
• раздел схемы (Schema partition). Понятие схемы каталога было дано
вначалеглавы. Для ее хранения используется специальный раздел катало
га. Поскольку схема является общей для всех доменов леса, изменения в
ней распространяются на все носители копии каталога;
• раздел конфигурации (Configuration partition) содержит информа
цию, используемую различными системными службами, в том числе и са
мой службой каталога. В частности, в разделе конфигурации хранится ин
формация, описывающая топологию репликации между контроллерами
домена. Эта информация необходима для успешного функционирования
службы каталога в целом, поэтому изменения в данном разделе реплици
руются на все носители каталога в лесе доменов.
Реплики трех указанных разделов каталога присутствуют в обязатель
ном порядке на всех контроллерах домена. Доменный раздел каталога ин-
95
дивидуален для каждого домена. Реплики раздела схемы и раздела конфи
гурации одинаковы для всех контроллеров домена в лесу.
На серверах глобального каталога присутствует еще один раздел - со
держащий подмножество атрибутов объектов всех доменных разделов ка
талога. При этом данный раздел доступен только для чтения информации.
Любой контроллер домена Active Directory может производить изме
нения в собственных репликах в любой момент времени. При этом все
произведенные изменения будут синхронизированы с другими репликами.
Подобная модель репликации получила название репликация с множест
вом равноправных участников (multimaster replication).
3.4. Управление учётными записями и группами в операционной
системе Windows Server
Учетные записи (account) пользователей, компьютеров и групп - один
из главных элементов управления доступом к сетевым ресурсам, азначит,
и всей системы безопасности сети в целом.
В Active Directory существует 3 главных типа пользовательских учёт
ных записей:
• Локальные учётные записи пользователей. Эти учетные записи су
ществуют в локальной базе данных SAM (Security Accounts Manager) на
каждой системе, работающей под управлением Windows Server. Эти учёт
ные записи создаются с использованием инструмента Local Users and
Groups (Локальные пользователи и группы) консоли Computer Management
(Управление компьютером). Заметим, что для входа в систему по локаль
ной учётной записи эта учетная запись обязательно должна присутствовать
в базе данных SAM на системе, в которую Вы пытаетесь войти. Это делает
локальные учёные записи непрактичными для больших сетей, вследствие
больших накладных расходов по их администрированию.
• Учётные записи пользователей домена. Эти учётные записи хранят
ся в Active Directory и могут использоваться для входа в систему и доступа
к ресурсам по всему лесу AD. Учетные записи этого типа создаются цен
трализованно при помощи консоли "Active Directory Users and Computers"
("Active Directory - пользователи и компьютеры").
• Встроенные учётные записи. Эти учётные записи создаются самой
системой и не могут быть удалены. По умолчанию любая система, будь то
изолированная (отдельно стоящая) или входящая в домен, создает две
учётные записи - Administrator (Администратор) и Guest (Гость). По
умолчанию учётная запись Гость отключена.
Сосредоточим внимание на учётных записях пользователей домена.
Эти учётные записи хранятся на контроллерах домена, хранящих копию
базы данных Active Directory.
Существуют различные форматы, в которых могут быть представлены
имена для входа пользователей в систему, потому что они могут отличать96
ся для целей совместимости с клиентами, работающими под управлением
более ранних версий Windows. Два основных вида имён входа - это с ис
пользованием суффикса User Principal Name (основного имени пользовате
ля) и имя входа пользователя в системах пред-Windows 2000.
Основное имя пользователя (UPN, User Principle Name) имеет такой
же формат, как и электронный адрес. Он включает в себя имя входа поль
зователя, затем значок "@" и имя домена. По умолчанию доменное имя
корневого домена выделено в выпадающем окне меню, независимо от то
го, в каком домене учетная запись была создана (выпадающий список бу
дет также содержать имя домена, в котором вы создали эту учетную за
пись).
Также можно создавать дополнительные доменные суффиксы (та
часть имени, которая стоит после знака @), которые будут появляться в
выпадающем списке и могут быть использованы при образовании UPN,
если вы их выберете (это делается при помощи консоли "Active Directory домены и доверие" ("Active Directory Domain and Trusts'").
Существует только одно обязательное условие при этом - все UPN в
лесу должны быть уникальными, т.е. не повторяться. Если учётная запись
входа пользователя использует UPN для входа в систему Windows Server,
вам необходимо только указать UPN ипароль - б лее нет нужды помнить и
указывать доменное имя. Другое преимущество данной системы именова
ния состоит в том, что UPN часто соответствует электронному адресу
пользователя, что также уменьшает количество информации о пользовате
ле, которую необходимо запоминать.
Каждый компьютер с операционными системами Windows (если это
не сервер, являющийся контроллером домена) имеет локальную базу дан
ных учётных записей, называемую базой данных SAM. Эти базы обсужда
лись при описании модели безопасности "Рабочая группа". Локальные
пользователи и особенно группы используются при назначении прав дос
тупа к ресурсам конкретного компьютера даже в доменной модели безо
пасности. Общие правила использования локальных и доменных групп для
управления доступом будут описаны ниже.
Доменные учётные записи пользователей (а также компьютеров и
групп) хранятся в специальных контейнерах AD. Это могут быть либо
стандартные контейнеры Users для пользователей и Computers для компь
ютеров, либо созданное администратором Организационное подразделе
ние (ОП). Исключение составляют учетные записи контроллеров домена,
они всегда хранятся в ОП с названием Domain Controllers.
При выборе пароля для учётной записи необходимо придерживаться
следующих правил:
• длина пароля — не менее 7 символов;
• пароль не должен совпадать с именем пользователя для входа в
систему, а также с его обычным именем, фамилией, именами его родст
венников, друзей и т.д.;
97
• пароль не должен состоять из какого-либо слова (чтобы исключить
возможность подбора пароля по словарю);
• пароль не должен совпадать с номером телефона пользователя
(обычного или мобильного), номером его автомобиля, паспорта, водитель
ского удостоверения или другого документа;
• пароль должен быть комбинацией букв в верхнем и нижнем регист
рах, цифр и спецсимволов (типа @#$% *&()_+ ит.д.).
Еще одно правило безопасности - регулярная смена пароля (частота
смены зависит от требований безопасности в каждой конкретной компании
или организации). Вдоменах Windows существует политика, определяю
щая срок действия паролей пользователей.
Свойства учётной записи пользователя содержат большой набор раз
личных параметров, размещенных на нескольких закладках при просмотре
вконсоли "Active Directory - пользователи и компьютеры", причем при
установке различных программных продуктов набор свойств может рас
ширяться.
Рассмотрим наиболее важные с точки зрения администрирования
свойства. Откроем консоль "Active Directory - пользователи и компьюте
ры" и посмотрим свойства какого-нибудь пользователя. Меню свойств
пользователя откроет нам гораздо больше закладок, чем мы обычно видим
в клиентских операционных системах.
1. Закладка "Общие". На данной закладке содержатся в основном
справочные данные, которые могут быть очень полезны при поиске поль
зователей в лесу AD. Наиболее интересные из них:
• ""Имя";
• ""Фамилия";
• ""Выводимое имя";
• ""Описание";
• ""Номер телефона" ;
• ""Электронная почта".
2. Закладка "Адрес" - справочная информация для поиска в AD.
3. Закладка "Учётная запись" - очень важный набор параметров:
• кнопка "Время входа" - дни и часы, когда пользователь может вой
ти в домен;
• кнопка "Вход на..." - список компьютеров, с которых пользователь
может входить в систему (регистрироваться в домене);
• Поле типа чек-бокс "Заблокировать учетную запись" - этот пара
метр недоступен, пока учетная запись не заблокируется после определен
ного политиками некоторого количества неудачных попыток входа в сис
тему (попытки с неверным паролем), служит для защиты от взлома пароля
чужой учетной записи методом перебора вариантов; если будет сделано
определенное количество неудачных попыток, то учетная запись
пользователя автоматически заблокируется, поле станет доступным и в н е м
Л
98
будет установлена галочка, снять которую администратор может вручную,
либо она снимется автоматически после интервала, заданного политиками
паролей;
• "Параметрыучетной записи'":
- "Требовать смену пароля при следующем входе в систему"
- "Запретить смену пароля пользователем"
- "Срок действия пароля не ограничен"
- "Отключить учетную запись" - принудительное отключение учёт
ной записи (пользователь не сможет войти в домен);
- "Для интерактивного входа в сеть нужна смарт-карта" - вход в
домен будет осуществляться не при помощи пароля, а п р и помощи смарткарты (для этого на компьютере пользователя должно быть устройство для
считывания смарт-карт, смарт-карты должны содержать сертификаты, соз
данные Центром выдачи сертификатов);
• "Срок действия учетной записи" - устанавливает дату, с которой
данная учётная запись не будет действовать при регистрации в домене
(этот параметр целесообразно задавать для сотрудников, принятых на вре
менную работу, людей, приехавших в компанию в командировку, студен
тов, проходящих практику в организации и т.д.)
4. Закладки "Телефоны", "Организация" - справочная информация о
пользователе для поиска в AD.
5. Закладка "Профиль". Профиль (profile) - это настройки рабочей
среды пользователя. Профиль содержит: настройки рабочего стола (цвет,
разрешение экрана, фоновый рисунок), настройки просмотра папок ком
пьютера, настройки обозревателя Интернета и других программ (напри
мер, размещение папок для программ семейства Microsoft Office). Профиль
автоматически создается для каждого пользователя при первом входе на
компьютер. Различают следующие виды профилей:
• локальные - хранятся в папке "Documents and Settings" на том раз
деле диска, где установлена операционная система;
• перемещаемые (сетевые, или roaming) - хранятся на сервере в папке
общего доступа, загружаются в сеанс пользователя на любом компьютере,
с которого пользователь вошел (зарегистрировался) в д о м е н , давая воз
можность пользователю иметь одинаковую рабочую среду на любом ком
пьютере (путь к папке с профилем указывается на данной закладке в виде
адреса \\server\share\%username%, где server - имя сервера, share - имя пап
ки общего доступа, %username% - имя папки с профилем; использование
переменной среды системы Windows с названием %username% позволяет
задавать имя папки с профилем, совпадающее с именем пользователя);
• обязательные (mandatory) - настройки данного типа профиля поль
зователь может изменить только в текущем сеансе работы в Windows, при
выходе из системы изменения не сохраняются.
Параметр "Сценарий входа" определяет исполняемый файл, который
при входе пользователя в систему загружается на компьютер и исполняет99
ся. Исполняемым файлом может быть пакетный файл (.bat, .cmd), испол
няемая программа (.exe, .com), файл сценария (.vbs, js).
6. Закладка " Член групп'" позволяет управлять списком групп, в кото
рые входит данный пользователь.
7. Закладка " Входящие звонки "". Управление доступом пользователя в
корпоративную систему через средства удаленного доступа системы
Windows Server (например, через модем или VPN-соединение). В смешан
ном режиме домена Windows доступны только варианты '"Разрешить
доступ'" и "Запретить доступ", а также параметры обратного дозвона
("Ответный вызов сервера"). В режимах "Windows 2000 основной" и "
Windows 20xx" доступом можно управлять с помощью политик сервера
удаленного доступа (не путать с групповыми политиками).
8. Закладки "Профиль служб терминалов", "Среда", "Сеансы", "Уда
ленное управление" - данные закладки управляют параметрами работы
пользователя на сервере терминалов:
• управление разрешением пользователя работать на сервере терми
налов;
• размещение профиля при работе в терминальной сессии,
• настройка среды пользователя в терминальной сессии (запуск опре
деленной программы или режим рабочего стола, подключение локальных
дисков и принтеров пользователя в терминальную сессию);
• управление сеансом пользователя на сервере терминалов (длитель
ность сессии, тайм-аут бездействия сессии, параметры повторного под
ключения к отключенной сессии);
• разрешение администратору подключаться к терминальной сессии
пользователя
Учётные записи групп, как и учетные записи пользователей, могут
быть созданы либо в локальной базе SAM компьютера (сервера или рабо
чей станции), либо в доменной базе данных Active Directory.
Локальные группы простого сервера-члена домена или рабочей стан
ции могут включать в себя и локальные учётные записи данного компью
тера, и глобальные учётные записи любого пользователя или компьютера
всего леса, а также доменные локальные группы "своего" домена и гло
бальные и универсальные группы всего леса.
Рассмотрим подробнее, какие группы могут создаваться в Active
Directory. В Active Directory группы различаются по типу (группы безопас
ности и группы распространения) и по области действия (локальные в до
мене, глобальные и универсальные).
Каждая группа безопасности, так же, как и каждая учётная запись
пользователя, имеет идентификатор безопасности (Security Identifier, или
SID), поэтому группы безопасности используются для назначения разре
шений при определении прав доступа к различным сетевым ресурсам.
Группы распространения не имеют идентификатора безопасности, по
этому не могут использоваться для назначения прав доступа, их главное
100
назначение - организация списков рассылки для почтовых программ (на
пример, для Microsoft Exchange Server).
Локальные доменные группы могут содержать глобальные группы из
любого домена, универсальные группы, глобальные учётные записи поль
зователей из любого домена леса, и используются при назначении прав
доступа только к ресурсам "своего" домена.
Глобальные группы могут содержать только глобальные учётные за
писи пользователей "своего" домена, и используются при назначении прав
доступа к ресурсам любого домена в лесу.
Универсальные группы могут содержать другие универсальные груп
пы всего леса, глобальные группы всего леса, глобальные учётные записи
пользователей из любого домена леса, и используются при назначении
прав доступа к ресурсам любого домена в лесу.
В смешанном режиме домена универсальные группы недоступны для
использования. В о с н о в н о м р е ж и м е илирежиме Windows Server можно
создавать и использовать универсальные группы. Кроме того, в основном
режиме и режиме Windows Server глобальные группы могут включаться в
другие глобальные группы, а доменные локальные группы могут вклю
чаться в другие доменные локальные.
Специфика универсальных групп заключается в том, что эти группы
хранятся в Глобальном каталоге. Поэтому, если пользователь является
членом универсальной группы, то при регистрации в домене ему обяза
тельно должен быть доступен контроллер домена, являющийся сервером
глобального каталога, в противном случае пользователь не сможет войти в
сеть. Репликация между простыми контроллерами домена и серверами
глобального каталога происходит достаточно медленно, поэтому любое
изменение в составе универсальной группы требует больше времени для
репликации, чем при изменении состава групп с другими областями дейст
вия.
При регистрации в домене пользователю передается в его сессию на
компьютере т.н. маркер доступа (Access Token), называемый иногда мар
кером безопасности. Маркер доступа состоит из набора идентификаторов
безопасности: идентификатора безопасности (SID) самого пользователя и
идентификаторов безопасности тех групп, членом которых он является.
Впоследствии этот маркер доступа используется при проверке разрешений
пользователя на доступ к различным ресурсам домена.
При создании и использовании групп следует придерживаться сле
дующих правил:
1. Включать глобальные учетные записи пользователей (Accounts) в
глобальные группы (Global groups). Глобальные группы формируются
обычно по функциональным обязанностям сотрудников.
2. Включать глобальные группы в доменные локальные или локаль
ные на простом сервере или рабочей станции (Local groups). Локальные
группы формируются на основе разрешений для доступа к конкретным
101
ресурсам и используются преимущественно для включения в списки дос
тупа.
3. Давать разрешения (Permissions) на доступ к ресурсам локальным
группам.
Предложенные рекомендации позволяют избегать путаницы в назна
чении прав доступа пользователям, избавляют администратора от необхо
димости назначать права доступа каждой учётной записи в отдельности, а
также помогают упростить контроль назначенных и снятых прав доступа в
случае, если какой-либо учётной записью временно перестают пользовать
ся, например, в случае увольнения сотрудника, за которым она была закре
плена.
По первым буквам английских слов эту стратегию часто обозначают
сокращенно AGLP. В основном режиме и режиме Windows Server с и с пользованием универсальных групп эта стратегия может быть в более об
щем виде представлена как аббревиатура A G G . . . G U L L . . . L P . Такой под
ход облегчает управление доступом к ресурсам по сравнению с назначени
ем разрешений напрямую учетным записям пользователей. Например, при
переходе сотрудника с одной должности на другую или из одного подраз
деления в другое достаточно соответствующим образом поменять его
членство в различных группах, и разрешения на доступ к сетевым ресур
сам автоматически будут назначены уже исходя из его новой должности.
Кроме тех групп, которые создает администратор, на компьютерах
локально или во всемдоменесуществуют встроенные группы, созданные
во время установки системы или создания домена. Кроме встроенных
групп в процессе работы системы формируются динамические группы, со
став которых меняется в зависимости от ситуации.
Перечислим наиболее часто используемые на практике встроенные и
динамические группы.
Таблица 2 - Встроенные и динамические группы
Встроенные локальные группы
(на рабочей станции или простом сервере)
Название группы
Описание
Администраторы
Могут выполнять все административные задачи
на данном компьютере. Встроенная учетная за
пись Администратор, которая создается при
установке системы, является членом этой груп
пы. Если компьютер является членом домена, то
в эту группу включается глобальная группа Ад
министраторы домена.
Операторы
резерв
ного копирования
Члены группы могут выполнять вход на данный
компьютер, выполнять резервное копирование и
восстановление данных на этом компьютере, а
102
Продолжение таблицы 2
также завершать работу этого компьютера.
Администраторы
DHCP
(создается
при установке служ
бы DHCP Server)
Члены этой группы могут администрировать
службу DHCP Server.
Операторы сетевой
конфигурации
Члены группы могут изменять настройки
TCP/IP, а также обновлять и освобождать IPадреса, назначаемые автоматически.
Пользователи
мо
нитора
производи
тельности
Члены группы могут следить за счетчиками
производительности на конкретном сервере ло
кально или удаленным образом.
Пользователи
жур
нала
производи
тельности
Члены группы могут администрировать журна
лы производительности, счетчики и оповещения
на конкретном сервере локально или удаленным
образом.
Опытные
тели
Члены группы могут создавать и модифициро
вать учетные записи пользователей, а также ус
танавливать программы на локальном компью
тере, но не могут просматривать файлы других
пользователей. Члены группы могут создавать и
удалять локальные группы, а также добавлять и
удалять пользователей в группах, которые они
создали. Члены группы могут добавлять и уда
лять пользователей в группах Опытные пользо
ватели, Пользователи и Гости.
пользова
Операторы печати
Члены группы могут управлять принтерами и
очередями печати на конкретном сервере.
Пользователи
уда
ленного
рабочего
стола
Членам группы разрешается выполнять под
ключение к удаленному рабочему столу компь
ютера.
Пользователи
Члены этой группы могут локально входить в
систему на данном компьютере, работать с про
граммами, сохранять документы и завершать
работу данного компьютера. Они не могут уста
навливать программы или вносить изменения в
систему. Если компьютер является членом до
мена, то в эту группу включается глобальная
группа Пользователи домена. В э т у группу так
же включаются динамические группы Инте
рактивные и Прошедшие проверку.
Встроенные доменные локальные группы
103
Продолжение таблицы 2
Название группы
Описание
Администраторы
Членам группы предоставляются права админи
стратора на всех контроллерах домена и в са
мом домене. Учетная запись Администратор,
группы Администраторы предприятия и Ад
министраторы домена являются членами дан
ной группы.
Операторы учетных
записей
Члены группы могут создавать, удалять и
управлять учетными записями пользователей и
группами. Они не могут модифицировать груп
пу Администраторы, Администраторы доме
на, Контроллеры домена или любую из групп
Операторы.
Операторы резерв
ного копирования
Члены группы могут выполнять резервное ко
пирование и восстановление данных на всех
контроллерах домена, а также могут выполнять
вход на контроллеры домена и завершать их ра
боту.
Администраторы
DNS (создается при
установке службы
DNS)
Члены группы имеют административный дос
туп к серверам DNS.
Операторы сетевой
конфигурации
Члены группы могут изменять
TCP/IP на контроллерах доменов.
Пользователи мо
нитора производи
тельности
Члены группы могут следить за счетчиками
производительности на контроллерах домена.
Пользователи жур
нала производитель
ности
Члены группы могут управлять журналами
производительности, счетчиками и оповеще
ниями на контроллерах домена.
Операторы печати
Члены группы могут управлять работой прин
теров домена
Операторы сервера
Члены группы могут выполнять большинство
административных задач на контроллерах до
мена, за исключением изменения параметров
безопасности.
Пользователи
Члены этой группы локально могутвходить в
систему на данном компьютере, работать с про
граммами, сохранять документы и завершать
работу данного компьютера. Они не могут ус
танавливать программы или вносить изменения
104
настройки
Продолжение таблицы 2
всистему. Группа Пользователи домена явля
ется по умолчанию членом данной группы.
Встроенные глобальные группы
Название группы
Описание
Администраторы
домена
Эта группа автоматически включается в ло
кальную в домене группу
Администраторы,
поэтому члены группы Администраторы доме
на могут выполнять административные задачи
на любом компьютере данного домена. Учетная
запись Администратор включается в эту груп
пу по умолчанию.
Компьютеры
Все контроллеры, серверы и рабочие станции
домена являются членами этой группы.
домена
Контроллеры доме
на
Все контроллеры домена являются членами
этой группы.
Пользователи доме
на
Все глобальные учетные записи домена и вхо
дят в эту группу. Эта группа автоматически
включается в локальную доменную группу
Пользователи.
Администраторы
предприятия (созда
ется только в корне
вом домене леса)
Эта группа предназначена для пользователей,
которые должны иметь права администратора в
масштабах всего леса. Администраторы пред
приятия автоматически включается в группу
Администраторы на всех контроллерах домена
в данном лесу.
Администраторы
схемы (создается
только в корневом
домене леса)
Члены этой группы могут изменять
Active Directory.
схему
Динамические группы
Название группы
Описание
Интерактивные
В эту группу включается учетная запись любого
пользователя, который локально вошел в систе
му на данном компьютере.
Прошедшие провер
ку
Любой пользователь, зарегистрировавшийся в
данном домене или домене, имеющим с данным
доменом доверительные отношения.
Все
Любая учетная запись, включая те, которые не
прошли проверку на контроллерах доменов.
105
Назначением организационных подразделений (ОП, Organizational
Units, OU) является организация иерархической структуры объектов AD
внутри домена. Как правило, иерархия ОП в домене отражает организаци
онную структуру компании.
На практике использование ОП (кроме иерархической организации
объектов) сводится к двум задачам:
• делегирование административных полномочий на управление объ
ектами ОП какому-либо пользователю или группе пользователей;
• применение групповых политик к объектам, входящим в ОП.
Делегирование административных полномочий на управление объ
ектами ОП какому-либо пользователю или группе позволяет в больших
организациях распределить нагрузку по администрированию учетными за
писями между различными сотрудниками, не увеличивая при этом количе
ство пользователей, имеющих административные права на уровне всего
домена.
3.5. Методы обеспечения безопасности в Active Directory,
аутентификация Kerberos
Протокол Kerberos был создан в Массачусетсом технологическом
институте в рамках проекта Athena. Однако общедоступным этот протокол
стал, начиная с версии 4. После того, как специалисты изучили новый про
токол, авторы разработали и предложили очередную версию - Kerberos 5,
которая была принята в качестве стандарта IETF. Требования реализации
протокола изложены в документе RFC 1510, кроме того, вспецификации
RFC 1964 описывается механизм и формат передачи жетонов безопасности
в сообщениях Kerberos.
Протокол Kerberos предлагает механизм взаимной аутентификации
клиента и сервера перед установлением связи между ними, причём в про
токоле учтён тот факт, что начальный обмен информацией между клиен
том и сервером происходит в незащищённой среде, а передаваемые пакеты
могут быть перехвачены и модифицированы. Другими словами, протокол
идеально подходит для применения в Интернет и аналогичных сетях.
Основная концепция протокола Kerberos очень проста. Если есть сек
рет, известный только двоим, то любой из его хранителей может с лёгко
стью удостовериться, что имеет дело со своим напарником. Для этого ему
достаточно проверить, знает ли его собеседник общий секрет.
Протокол Kerberos решает эту проблему средствами криптографии с
секретным ключом. Вместо того, чтобы сообщать друг другу пароль, уча
стники сеанса связи обмениваются криптографическим ключом, знание
которого подтверждает личность собеседника. Но чтобы такая технология
оказалась работоспособной, необходимо, чтобы общий ключ был симмет
ричным, т.е., он должен обеспечивать как шифрование, так и дешифрова-
106
ние информации. Тогда один из участников использует его для шифрова
ния данных, а другой с помощью этого ключа извлекает их.
Простой протокол аутентификации с секретным ключом вступает в
действие, когда кто-то стучится в сетевую дверь и просит впустить его.
Чтобы доказать своё право на вход, пользователь предъявляет аутентификатор (authenticator) в виде набора данных, зашифрованного секретным
ключом. Получив аутентификатор, "привратник" расшифровывает его и
проверяет полученную информацию, чтобы убедиться в успешности де
шифрования. Разумеется, содержание набора данных должно постоянно
меняться, иначе злоумышленник может просто перехватить пакет и вос
пользоваться его содержимым для входа в систему. Если проверка прошла
успешно, то это значит, что посетителю известен секретный код, а так как
этот код знает только он и привратник, следовательно, пришелец на самом
деле тот, за кого себя выдаёт.
При использовании простых протоколов, типа, описанного выше, воз
никает одна важная проблема. Если каждому клиенту для поддержания
связи с каждой службой требуется индивидуальный ключ, и т а к о й ж е ключ
нужен каждой службе для каждого клиента, то проблема обмена ключами
быстро приобретает предельную остроту. Необходимость хранения и за
щиты такого множества ключей на огромном количестве компьютеров
создаёт невероятный риск для всей системы безопасности.
Само название протокола Kerberos говорит о том, как здесь решена
проблема управления ключами. Цербер или Кербер - персонаж греческой
мифологии. Этот свирепый пёс о трёх головах, по поверьям греков, охра
няет врата подземного царства мёртвых. Трём головам Цербера в протоко
ле Kerberos соответствуют три участника безопасной связи:
• клиент - система (пользователь), делающий запрос;
• сервер - система, которая обеспечивает сервис для систем, чью
подлинность нужно подтвердить.
• центр распределения ключей (Key Distribution Center, KDC) - сто
ронний посредник между клиентом и сервером, который ручается за под
линность клиента. В среде Windows, начиная с Windows 2000, в роли KDC
выступает контроллер домена со службой каталогов Active Directory.
Вереде Kerberos для входа в систему пользователь должен предоста
вить свое имя пользователя, пароль и имя домена, часто упоминаемое как
Realm, или "Сфера", в словаре Kerberos, в который он хочет войти. Эта
информация посылается KDC, который устанавливает подлинность поль
зователя. Если пользователь подлинный, ему предоставляется нечто, назы
ваемое "билет на получение билета" (ticket-granting ticket, TGT).
Однако, если вам необходим доступ к конкретному серверу, вам так
же необходим билет для этого сервера или вы не сможете создать сеанс
связи с ним.
Когда Вы хотите получить доступ к серверу, Вы сначала должны об
ратиться к KDC, предъявить свой билет TGT, как подтверждение своей
107
подлинности, а затем уже запросить "билет сеанса" для сервера, с которым
вам необходим контакт. Если вы аутентифицированы, Вы сможете полу
чить доступ к серверу в соответствии с правами, которыми обладаете. Би
лет сеанса и TGT, которые Вы получаете, имеют ограниченное время дей
ствия, которое может настраиваться в групповой политике. Значения по
умолчанию составляют для TGT (также упоминаемого как билет пользова
теля) - 7 дней, а для билета сеанса (также упоминаемого как билет служ
бы) - 10 часов.
В среде с одним доменом аутентификация Kerberos осуществляется
очень просто. Однако в среде со многими доменами, этот процесс проис
ходит в несколько этапов. Причина в том, что, когда Вы пытаетесь полу
чить билет сессии для сервера, он должен быть получен от KDC того до
мена, в котором расположен сервер. Поэтому Вы должны будете получить
несколько билетов сессии, для прохождения цепочки доверительных от
ношений по пути к KDC, к которому вам нужно получить доступ.
Пример, приведенный ниже, демонстрирует шаги, необходимые для
того, чтобы клиент, расположенный в домене it.company.ru, получил дос
туп к серверу в домене sales.company.ru:
• клиент входит в систему как пользователь в домене it.company.ru и
получает соответствующий TGT;
с сервером
в домене
• клиент
хочет
взаимодействовать
sales.company.ru, он контактирует с KDC в домене it.company.ru изапрашивает билет сеанса для KDC в домене company.ru;
• после получения этого билета он контактирует с KDC в домене
company.ru и запрашивает билет сеанса для KDC в д о м е н е
sales.company.ru;
• после получения этого билета он контактирует с KDC в домене
sales.company.ru и запрашивает билет для сервера, к которому ему необхо
дим доступ;
• получив билет сессии для доступа к серверу, клиент имеет доступ к
нему в соответствии с имеющимися у него разрешениями.
3.6. Групповые политики и управление ими
Управление рабочими станциями, серверами, пользователями в боль
шой организации - очень трудоемкая задача. Механизм Групповых поли
тик (Group Policy) позволяет автоматизировать данный процесс управле
ния. С помощью групповых политик (777) можно настраивать различные
параметры компьютеров и пользовательской рабочей среды сразу в мас
штабах сайта AD, домена, организационного подразделения (детализацию
настроек можно проводить вплоть до отдельного компьютера или пользо
вателя). Настраивать можно широкий набор параметров - сценарии входа
в систему и завершения сеанса работы в системе, параметры Рабочего
стола и Панели управления, размещения личных папок пользователя, на108
стройки безопасности системы (политики паролей, управления учетными
записями, аудита доступа к сетевым ресурсам, управления сертификатами
ит.д.), развертывания приложений и управления их жизненным циклом.
Совокупность этих параметров и называется групповой политикой.
Каждый объект групповых политик (GPO, Group Policy Object) состо
ит из двух частей: контейнера групповых политик (GPC, Group Policy
Container) хранящегося в БД Active Directory, и шаблона групповых поли
тик (GPT, Group Policy Template), хранящегося в файловой системе кон
троллера домена, в подпапках папки SYSVOL. Место, в котором хранятся
шаблоны политик, - это папка °/osystemroot/o\SYSVOL\sysvol\\Policies, и имя папки шаблона совпадает с глобальным уникальным
идентификатором (GUID) объекта Групповая политика.
Каждый объект политик содержит два раздела: конфигурация компь
ютера и конфигурация пользователя. Параметры этих разделов применя
ются соответственно либо к настройкам компьютера, либо к настройкам
среды пользователя.
По умолчанию в GPT содержатся подкаталоги User (конфигурация
пользователя) и Machine (конфигурация компьютера) и ф а й л gpt.ini. По
мере настройки объекта групповой политики в папке GPT появляются до
полнительные файлы и папки.
В общем случае структура GPT содержит следующие папки, перечис
ленные в таблице 3.
Таблица 3 - папки шаблона групповой политики
Папка
Содержимое
\Adm
Файлы административных шабло
нов .adm, формируемые на основе
информации в GPC и GPT. Эти
файлы обрабатываются Windows
Server для внесения изменений в
реестр
\User
Файл registry.pol с параметрами,
заносимыми в реестр для пользо
вателя
\User\Applications
Файл оповещения .aas, используе
Windows
мые
компонентом
Installer для публикации пакетов
установки ПО для пользователя
\User\Documents & Settings
Любые файлы, добавляемые на
рабочий стол, в м е н ю П у с к , папку
Мои документы и другие папки
профиля пользователя
109
Продолжение таблицы 3
\User\Scripts\Logon
Сценарии входа и дополнительные
файлы, используемые этими сце
нариями
\User\Scripts\Logoff
Сценарии выхода и дополнитель
ные файлы, используемые этими
сценариями
\Machine
Файл registry.pol с параметрами,
заносимыми в реестр компьютера
\Machine\Applications
Файл оповещения .aas, используе
Windows
мые
компонентом
Installer для публикации пакетов
установки ПО для всех пользова
телей компьютера
\Machine\Documents & Settings
Любые файлы, добавляемые на
рабочий стол, в м е н ю П у с к , папку
Мои документы и другие папки
профиля всех пользователя ком
пьютера
\Machine\Microsoft\WindowsNT\SecEdit
Файл GptTmpl.ini, используемый
редактором Security Editor
\Machine\Scripts\Startup
Сценарии запуска и дополнитель
ные файлы, используемые этими
сценариями
\Machine\Scripts\Shutdown
Сценарии выключения и дополни
тельные файлы, используемые
этими сценариями
В корневой папке каждого GPT должен содержаться файл Gpt.ini, ис
пользуемый для задания основных параметров объекта групповой полити
ки. Файл является обычным текстовым файлом и может содержать сле
дующие записи:
1. Version. Номер текущей версии объекта групповой политики. При
создании объекта групповой политики номер версии равен 0 и увеличива
ется на единицу при каждом изменении объекта групповой политики.
2. Disabled. Может принимать значения 0 или 1 и используется только
для локальных объектов групповой политики, указывая активен локальный
объект групповой политики или нет. В доменных объектах групповой по
литики этот параметр не используется, т.к. информация об активности
объекта групповой политики хранится в каталоге Active Directory в GPC.
110
Задание параметров групповых политик производится Редактором
групповых политик, который можно открыть в консоли управления соот
ветствующим объектом AD.
Каждый объект политик может быть привязан к тому или иному объ
екту AD - сайту, домену или организационному подразделению (а также к
нескольким объектам одновременно).
Задание параметров групповых политик производится Редактором
групповых политик, который можно открыть в консоли управления соот
ветствующим объектом A D ("Active Directory - сайты и службы", "Active
Directory - пользователи и компьютеры", локальная политика компьютера
редактируется консолью gpedit.msc, запускаемой из командной строки).
При загрузке компьютера и аутентификации в домене к нему приме
няются компьютерные разделы всех привязанных политик. При входе
пользователя в систему к пользователю применяется пользовательский
раздел всех групповых политик. Политики, привязанные к некоторому
уровню иерархии объектов A D (сайта, домена, подразделения) наследуют
ся всеми объектами AD, находящимися на более низких уровнях. Порядок
применения политик:
• локальная политика;
• политики сайта Active Directory;
• политики домена;
• политики организационных подразделений.
Если в процессе применения политик какие-либо параметры опреде
ляются в различных политиках, то действующими значениями параметров
будут значения, определенные позднее.
Имеются следующие методы управления применением групповых по
литик:
• блокировка наследования политик на каком-либо уровне иерархии
AD;
• запрет блокировки конкретного объекта групповых политик;
• управление приоритетом применения политик на конкретном уров
не AD;
• разрешение на применение политик (чтобы политики какого-либо
объекта ГП применялись к пользователю или компьютеру, данный пользо
ватель или компьютер должен иметь разрешения на этот объект ГП " Чте
ние" и "Применение групповой политики").
Кроме применения политик в момент загрузки компьютера или входа
пользователя в систему, каждый компьютер постоянно запрашивает об
новленные политикинаконтроллерах домена, загружает их и применяет
обновленные параметры (и к пользователю, и к компьютеру). Рабочие
станции домена и простые серверы запрашивают обновления каждые 90 ±
30 минут, контроллеры домена обновляют свои политики каждые 5 минут.
Обновить набор политик на компьютере можно принудительно из команд
ной строки командой gpupdate или командами " secedit /refreshpolicy
111
machine_policy " и " secedit /refreshpolicy user_policy " (на компьютерах с
системой Windows 2000).
Рассмотрим подробнее использование групповых политик для развер
тывания приложений в сетях под управлением Active Directory.
Групповые политики могут использоваться для установки приклад
ных программ в масштабах всего домена или отдельного организационно
го подразделения.
Используются следующие способы управления установкой приложений:
• назначение приложений компьютерам - при данном способе при
ложение, назначенное компьютеру, автоматически устанавливается при за
грузке компьютера;
• назначение приложений пользователям - приложение устанавлива
ется при первом вызове данного приложения - при открытии ярлычка при
ложения или файла, соответствующего данному приложению;
• публикация приложений пользователям - название приложения до
бавляется к списку доступных для установки программ в окне " Установка
и удаление программ" в Панели управления.
С помощью политик можно управлять установкой приложений, кото
рые устанавливаются с помощью компоненты Windows Installer, т.е. для
них установочный пакет должен быть создан в формате файла с расшире
нием ".msi ". Если приложение можно установить только с помощью уста
новочной программы типа setup.exe или install.exe, то такие приложения
могут быть опубликованы, но не назначены, после создания файла типа
".zap", в котором заданны соответствующие параметры, необходимые для
публикации средствами ГП.
Контрольные
вопросы
1. Что такое служба каталогов?
2. Какие возможности обеспечивает служба каталогов?
3. Что такое пространство имён Х.500?
4. Что такое LDAP?
5. Что такое репликация?
6. Что такое домен?
7. Что такое контроллер домена?
8. Что такое дерево доменов?
9. Что такое лес доменов?
10. Когда необходимо построение дерева?
11. Когда в лесу доменов строится более одного дерева?
12. Что такое подразделение в AD?
13. Какие составные части имеет доменное имя?
14. Что такое глобальный каталог?
15. Что необходимо учитывать при планировании пространства имён?
112
Что входит в физическую структуру службы каталогов?
Что входит в логическую структуру службы каталогов?
Какие контексты имён используются в каталоге?
Для чего используется доменный раздел?
Что содержится в разделе схемы?
Что содержится в разделе конфигурации?
Что такое учётная запись пользователей?
Какие виды учётных записей могут храниться в базе?
Каких правил нужно придерживаться при выборе пароля учётной
записи?
Что такое идентификатор безопасности?
Что такое группа безопасности?
Какова область действия локальной доменной группы?
Какие объекты могут входить в локальную доменную группу?
Какова область действия глобальной группы?
Какие объекты могут входить в глобальную группу?
Какова область действия универсальной группы?
Какие объекты могут входить в универсальную группу?
Какая группа обычно используется для назначения прав доступа?
Что такое Kerberos?
Что такое аутентификатор?
Что такое центр распределения ключей?
Опишите схему работы протокола Kerberos.
Что такое групповая политика?
Что такое объект групповой политики?
Что такое шаблон групповой политики?
Каков порядок применения групповых политик?
Назовите методы управления применением групповых политик.
Перечислите способы управления установкой приложений.
Задание
Установите на виртуальную машину на бесплатной прикладной
платформе виртуализации, например, VirtualBox, операционную систему
Windows Server c графическим интерфейсом и добавьте в диспетчере сер
веров следующие роли и компоненты:
1. Доменные службы Active Directory.
2. DNS-сервер.
Обратите внимание, что операционная система Windows Server, на
чиная с Windows Server 2012, имеет только 64-битную архитектуру, по
этому физический процессор Вашего компьютера обязательно должен
быть 64-разрядным. В противном случае можно установить систему не
старше Windows Server 2008.
4. СИСТЕМА ДОМЕННЫХ ИМЁН DNS И СЛУЖБА DHCP
4.1. Основные понятия, назначениеихарактеристики DNS
DNS (Domain Name System - система доменных имён) - это компью
терная распределённая система для получения информации о доменах.
Чаще всего используется для получения IP-адреса по имени хоста (компь
ютера или устройства), получения информации о маршрутизации почты,
обслуживающих узлах для протоколов в домене (SRV-запись).
Смысл системы DNS состоит в следующем. Как известно, компьюте
ры и мобильные устройства, интегрированные во Всемирную паутину,
связываются друг с другом по сетевым адресам, то есть IP-адресам. А IPадрес, как мы уже знаем - это некая числовая структура, которая простому
пользователю совершенно ни о чём не говорит, поэтому пользователя тре
буется избавлять от необходимости оперировать какими-то наборами чи
сел при работе в интернете, которые он никогда не запомнит. Так в сети
Интернет и происходит - в адресной строке браузера обычно содержатся
символьные имена ресурсов, а никак не IP-адреса серверов, на которых
они находятся.
Но теперь уже компьютеру символьное имя ресурса ни о чём не гово
рит, ведь его «не интересует», как «зовут» поисковик Яндекса или Google,
его «интересует», где «живёт» поисковик Яндекса, то есть ему нужен IPадрес - та самая числовая структура, в которой пользователь ничего не по
нимает. И чтобы разрешать эту ситуацию, в глобальной сети функциони
рует система DNS, задачей которой и является отвечать клиенту, какой IPадрес имеет компьютер с указанными доменным именем.
Распределённая база данных DNS поддерживается с помощью иерар
хии DNS-серверов, взаимодействующих по определённому протоколу.
Основой DNS является представление об иерархической структуре
доменного имени и зонах. Каждый сервер, отвечающий за имя, может де
легировать ответственность за дальнейшую часть домена другому серверу
(с административной точки зрения - другой организации или человеку),
что позволяет возложить ответственность за актуальность информации на
серверы различных организаций (людей), отвечающих только за «свою»
часть доменного имени.
Начиная с 2010 года в систему DNS внедряются средства проверки
целостности передаваемых данных, называемые DNS Security Extensions
(DNSSEC). Передаваемые данные не шифруются, но их достоверность
проверяется криптографическими способами. Внедряемый стандарт DANE
обеспечивает передачу средствами DNS достоверной криптографической
информации (сертификатов), используемых для установления безопасных
и защищенных соединений транспортного и прикладного уровней.
Дерево DNS принято делить по уровням: первый, второй, третий и так
далее. При этом начинается система с единственного корневого домена
115
(нулевой уровень). Интересно, что о существовании корневого домена
сейчас помнят только специалисты, благодаря тому, что современная DNS
позволяет не указывать этот домен в адресной строке. Впрочем, его можно
иуказать. Адресная строка с указанием корневого домена выглядит, на
пример, так: «site.test.ru.» - здесь корневой домен отделен последней,
крайней справа, точкой. Как несложно догадаться, адреса с использовани
ем DNS записываются в виде последовательности, отражающей иерархию
имен. Чем «выше» уровень домена, тем правее он записывается в строке
адреса. Разделяются домены точками. Разберем, например, строку
www.site.nic.ru. Здесь домен www - это домен четвертого уровня, а другие
упомянутые в этой строке домены расположены в домене первого уровня
RU. Например, site.nic.ru - это домен третьего уровня. Очень важно пони
мать, что привычный адрес веб-сайта, скажем, www.test.ru, обозначает до
мен третьего уровня (www), расположенный внутри домена второго уров
ня test.ru.
К орне вой дом е н
Д ом е н ве рхне го
уровня
Д оме н второго
уровня
Д оме н третьего
уровня
К омпьюте р
"winxp"
Рис. 10 - Пример структуры доменного имени
DNS обладает следующими характеристиками:
• Распределенность администрирования. Ответственность за разные
части иерархической структуры несут разные люди или организации.
• Распределенность хранения информации. Каждый узел сети в обя
зательном порядке должен хранить только те данные, которые входят в его
зону ответственности, и (возможно) адреса корневых DNS-серверов.
• Кеширование информации. Узел может хранить некоторое количе
ство данных не из своей зоны ответственности для уменьшения нагрузки
на сеть.
116
• Иерархическая структура, в которой все узлы объединены в дере
во, и каждый узел может или самостоятельно определять работу ниже
стоящих узлов, или делегировать (передавать) их другим узлам.
• Резервирование. За хранение и обслуживание своих узлов (зон) от
вечают (обычно) несколько серверов, разделённые как физически, так и
логически, что обеспечивает сохранность данных и продолжение работы
даже в случае сбоя одного из узлов.
Ключевыми понятиями DNS являются:
1. Домен - узел в дереве имён, вместе со всеми подчинёнными ему уз
лами (если таковые имеются), то есть именованная ветвь или поддерево в
дереве имён. Структура доменного имени отражает порядок следования
узлов в иерархии; доменное имя читается слева направо от младших доме
нов к доменам высшего уровня (в порядке повышения значимости)
2. Поддомен - подчинённый домен.
3. Ресурсная запись - единица хранения и передачи информации в
DNS. Каждая ресурсная запись имеет имя, то есть привязана к определён
ному доменному имени, узлу в дереве имён, тип и поле данных, формат и
содержание которого зависит от типа.
4. Зона - часть дерева доменных имён, включая ресурсные записи,
размещаемая как единое целое на некотором сервере доменных имён, а
чаще одновременно на нескольких серверах. Целью выделения части дере
ва в отдельную зону является передача ответственности за соответствую
щий домен другому лицу или организации. Это называется делегировани
ем. Как связная часть дерева, зона внутри тоже представляет собой дерево.
Если рассматривать пространство имён DNS как структуру из зон, а н е о т дельных узлов/имён, тоже получается дерево; оправданно говорить о ро
дительских и дочерних зонах, о старших и подчинённых. На практике
большинство зон 0-го и 1-го уровня ('.', ru, com, ...) состоят из единствен
ного узла, которому непосредственно подчиняются дочерние зоны. В
больших корпоративных доменах (2-го и более уровней) иногда встречает
ся образование дополнительных подчинённых уровней без выделения их в
дочерние зоны.
5. Делегирование - операция передачи ответственности за часть дере
ва доменных имён другому лицу или организации. За счёт делегирования в
DNS обеспечивается распределенность администрирования и хранения.
Технически делегирование выражается в выделении этой части дерева в
отдельную зону, и размещении этой зоны на DNS-сервере, управляемом
этим лицом или организацией. При этом вродительскую зону включаются
«склеивающие» ресурсные записи (NS и А ) , содержащие указатели на
DNS-сервера дочерней зоны, а вся остальная информация, относящаяся к
дочерней зоне, хранится уже на DNS-серверах дочерней зоны.
6. DNS-сервер - специализированное ПО для обслуживания DNS, а
также компьютер, на котором это ПО выполняется. DNS-сервер может
117
быть ответственным за некоторые зоны и/или может перенаправлять за
просы вышестоящим серверам.
7. DNS-клиент - специализированная библиотека (или программа) для
работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента.
8. Авторитетность - признак размещения зоны на DNS-сервере. Отве
ты DNS-сервера могут быть двух типов: авторитетные (когда сервер заяв
ляет, что сам отвечает за зону) и неавторитетные, когда сервер обрабаты
вает запрос, и возвращает ответ других серверов. В некоторых случаях
вместо передачи запроса дальше DNS-сервер может вернуть уже известное
ему (по запросам ранее) значение (режим кеширования).
9. DNS-запрос - запрос от клиента (или сервера) серверу. Запрос мо
жет быть рекурсивным или нерекурсивным.
Система DNS содержит иерархию DNS-серверов, соответствующую
иерархии зон. Каждая зона поддерживается как минимум одним автори
тетным сервером DNS, на котором расположена информация о домене.
Имя и IP-адрес не тождественны - один IP-адрес может иметь множе
ство имён, что позволяет поддерживать на одном компьютере множество
веб-сайтов (это называется виртуальный хостинг). Обратное тоже справед
ливо - одному имени может быть сопоставлено множество IP-адресов: это
позволяет создавать балансировку нагрузки.
Для повышения устойчивости системы используется множество сер
веров, содержащих идентичную информацию, а в протоколе есть средства,
позволяющие поддерживать синхронность информации, расположенной на
разных серверах. Существует 13 корневых серверов, их адреса практиче
ски не изменяются.
Протокол DNS использует для работы TCP- или UDP-порт 53 для от
ветов на запросы. Традиционно запросы и ответы отправляются в виде од
ной UDP-датаграммы. TCP используется, когда размер данных ответа пре
вышает 512 байт, идля AXFR-запросов
Итак, DNS важна для работы Интернета, так как для соединения с уз
лом необходима информация о его IP-адресе, а для людей проще запоми
нать буквенные (обычно осмысленные) адреса, чем последовательность
цифр IP-адреса. В некоторых случаях это позволяет использовать вирту
альные серверы, например, HTTP-серверы, различая их по имени запроса.
Первоначально преобразование между доменными и IP-адресами произво
дилось с использованием специального текстового файла hosts, который
составлялся централизованно и автоматически рассылался на каждую из
машин в своей локальной сети. С ростом Сети возникла необходимость в
эффективном, автоматизированном механизме, которым и стала DNS. DNS
была разработана Полом Мокапетрисом в 1983 году; оригинальное описа
ние механизмов работы содержится в RFC 882 и RFC 883. В 1987 публика
ция RFC 1034 и RFC 1035 изменила спецификацию DNS и отменила RFC
882, RFC 883 и RFC 973 как устаревшие.
118
Когда сервис DNS-сервера запускается, то в оперативную память по
мещаются данные из всех зон. В памяти будет также храниться кэш DNS
запросов. Полезно знать системные требования для DNS серверов:
1. DNS сервер без зон занимает порядка 4 Мб в оперативной памяти
2. При добавлении зон данные загружаются в оперативную память
3. Каждая запись занимает порядка 100 байт. Так если у вас 1000 за
писей это займет еще 100 кб.
4.2. DNS-запросы и разрешение имён
Система DNS функционирует по схеме рекурсивных или итеративных
запросов, когда компьютер-клиент обращается за IP-адресом указанного
пользователем доменного имени к DNS-серверу, явно указанному в свой
ствах его подключения к компьютерной сети или сообщаемому провайде
ром. В результате поиска DNS-сервер должен разрешить, то есть преобра
зовать доменное имя в IP-адрес и вернуть его клиенту.
При итеративном методе разрешения имён DNS-сервер выступает в
роли клиента и опрашивает другие DNS-сервера в порядке убывания, на
чиная от корневых DNS-серверов и заканчивая последним, авторитетным
за нужную DNS-зону. Рассмотрим, как работает данный метод:
1. Пользователь хочет получить доступ по имени www.inadmin.ru и
отправляет запрос на свой DNS-сервер.
2. DNS сервер видит, что пришёл запрос, и у него в кэше нет ответа,
какой IP-адрес у www.inadmin.ru.
3. Так как сервер не знает, где находится www.inadmin.ru, он обраща
ется к корневому DNS-серверу, и спрашивает, где находится
www.inadmin.ru.
4. Корневой DNS-сервер не знает, где хранятся записи для домена
www.inadmin.ru, но знает, кто ответственный за домен первого уровня .ru и
возвращает нашему DNS серверу его IP, например, 193.232.142.17.
5. Наш DNS сервер обращается к 193.232.142.17 с просьбой сооб
щить IP для www.inadmin.ru. Но этот DNS тоже не знает ничего про наш
адрес. Но знает, что есть DNS-сервер, который отвечает за inadmin.ru и
возвращает его IP, например, 195.128.64.3.
6. Наш DNS сервер обращается к 195.128.64.3 с просьбой сообщить IP
для www.inadmin.ru. А в о т этот сервер уже имеет нужную нам ресурсную
запись, в которой указан IP-адрес, который мы ищем, и возвращает его
нашему DNS-серверу.
7. Наш DNS сервер возвращает данный IP-адрес клиенту. Теперь кли
ент может подключиться по имени к серверу www.inadmin.ru.
При рекурсивном методе DNS-сервер просто пересылает данные дру
гому DNS-серверу, чтобы тот выполнил всю работу (рекурсивно или ите
ративно) и вернул искомые данные, то есть возлагает задачу «хождения»
по авторитетным DNS-серверам на своего «коллегу».
119
Кроме того, существует прямой и обратный DNS-запрос. Система
DNS преобразовывает имена в IP-адреса и обратно. Обратное преобразо
вание и осуществляется по обратному DNS-запросу. Для этого зарезерви
рован специальный домен in-addr.arpa, в котором хранятся PTR-записи.
Октеты IP адреса хранятся в обратном порядке. Так для ip 1.2.3.4 будет
создана запись вида 4.3.2.1.in-addr.arpa.
При запросе имени происходит несколько важных процедур, которые
необходимо учитывать. Во-первых, данные о связке имя - IP адрес может
храниться в нескольких местах (Hosts, DNS Cash, Lmhosts, DNS Server и
др). Для того что бы полностью понимать принцип работы - нужно знать
порядок, в котором Windows пытается разрешить любое имя.
1. При разрешении имени сверяется с локальным именем компьютера.
2. Если локальное имя не совпадает с запрашиваемым, то выполнятеся
поиск в DNS Cash. В DNS-кэш динамически загружаются данные из файла
HOSTS, поэтому поиск по файлу hosts не происходит, его данные всегда в
в
памяти ПК, что ускоряет обработку. Файл Hosts расположен
%systemroot% \System32\Drivers\Etc
3. Если имя не разрешилось в IP адрес, то пересылается на DNS сер
вер, который задан в сетевых настройках.
4. Если имя сервера плоское (к примеру: server1) и не может быть раз
решено с помощью DNS, то имя конвертируется в NetBIOS имя и ищется в
локальном кэше.
5. Если имя не может разрешиться, то ищется на WINS серверах.
6. Если имя не может быть определено и на WINS сервере, то ищется
с помощью BROADCAST запроса в локальной подсети.
7. Если имя не определилось, то ищется в файле LMHOSTS.
Поиск по всем 7-ми шагам прекращается, как только находится пер
вое вхождение, удовлетворяющие условиям. Посмотреть кэш можно по
команде ipconfig /displaydns. Очистить кэш можно по команде ipconfig
/flushdns.
4.3. Ресурсные записи и DNS-зоны
Ресурсная запись является главной структурной единицей системы
DNS, с помощью которой система выполняет свои функции. Фактически в
ресурсных записях DNS-сервера содержатся все сведения, которые необ
ходимы, чтобы дать ответ на поступивший DNS-запрос [9]. Рассмотрим
основные виды ресурсных записей.
Запись A (address) - это главная адресная запись, необходимая
для связи домена и IP-адреса сервера. Проще говоря, для работы сайта
и всех поддоменов. Для протокола IPv4 используется запись А, для прото
кола IPv6 - запись АААА.
120
Когда вы вводите название сайта в адресную строку браузера, именно
по записи A служба доменных имён определяет, с какого сервера нужно
открывать ваш сайт.
Примеры записи A:
Имя записи
Тип записи
Значение
site.ru
A
123.123.123.123
shop.site.ru
A
123.123.123.123
CNAME (Canonical name) — каноническое имя для псевдонима. За
пись CNAME чаще всего используется для переадресации поддомена
на другой домен. Примеры записи CNAME:
Имя записи
Тип записи Значение
www.site.ru
CNAME
site.ru
webmail.site.ru CNAME
webmail.hosting.reg.ru
В данном примере, если вы введете доменное имя webmail.site.ru
в строку
браузера,
вы будете
переадресованы
на сайт
webmail.hosting.reg.ru.
Одновременно добавить запись CNAME и запись A для одного и того
же поддомена невозможно, т.е. нельзя добавить и запись A и запись
CNAME для поддомена webmail.site.ru.
MX (Mail Exchanger) - адрес почтового шлюза для домена. Состоит
из двух частей - приоритета и адреса узла. Записи M X критически важны
для работы почты. Благодаря им отправляющая сторона «понимает»
на какой сервер нужно отправлять почту для вашего домена.
Пример записи MX:
Имя записи Тип записи Приоритет Значение
site.ru
MX
10
mx1.hosting.reg.ru
site.ru
MX
15
mx2.hosting.reg.ru
Записей M X может быть несколько. Делается это для того, чтобы
в случае недоступности одного из почтовых серверов, почта была все же
отправлена на другой. Приоритет записи определяет, на какой сервер нуж
но отправлять почту в первую очередь. Если приоритет одинаковый, сер
вер выбирается случайным образом.
NS (Authoritative name server) - адрес узла, отвечающего за доменную
зону. Проще говоря, запись NS указывает, какие DNS-серверы хранят ин
формацию о домене. Критически важна для работы службы DNS.
Обратная DNS-запись PTR связывает IP-адрес сервера с его канониче
ским именем (доменом). PTR-запись широко применяется в фильтрации
почты. Для всех серверов виртуального хостинга REG.RU обратные DNSзаписи уже прописаны. Если у вас виртуальный сервер VPS
или выделенный сервер, прописать PTR-запись можно по инструкции
121
SOA (Start of Authority) - указывает, на каком сервере хранится эта
лонная информация о доменном имени. Критически важна для работы
службы DNS.
SPF (Sender Policy Framework) - указывает сервера, которые могут
отправлять почту от имени домена. Запись SPF вносят в TXT-запись домена.
Пример записи SPF:
Имя записи
s i t e . r u
Тип записи
Значение
T
v=spf1 include:_spf.hosting.reg.ru
ip4:37.140.192.92 a mx ~all
В данном примере:
• v=spf1 - определяет версию используемой записи SPF;
• include:_spf.hosting.reg.ru - включает в запись SPF значение SPFзаписи другого домена. Т.е. для домена будут действовать в том числе все
значения записи SPF для домена «_spf.hosting.reg.ru»;
• ip4:37.140.192.92 - разрешает прием почты с IP-адреса 37.140.192.92;
• a - разрешает приём почты с сервера, IP-адрес которого стоит
в ресурсной A-записи домена. Проще говоря с сервера, где размещен сайт;
• mx - разрешает приём почты, если отправляющий сервер указан
в одной из записей M X для домена;
• —all - если письмо пришло с сервера, который не входит
в вышеперечисленный список, его стоит проанализировать более тщатель
но. Также иногда используется -all - в этом случае письмо не проходит
дополнительных проверок и сразу отвергается.
TXT (Text string) - содержит любую текстовую запись. Широко при
меняется для проверок на право владения доменом при подключении до
полнительных сервисов, а также для записи SPF иключа DKIM.
Записей TXT может быть сколько угодно. Вам может потребоваться
добавить записи TXT при подключении бесплатной Яндекс.Почты и при
получении бесплатного SSL-сертификата, и они не будут друг другу ме
шать, так как необходимы для подтверждения владения доменом в разных
сервисах, в первом случае - в Яндекс, во втором - в сертификационном
центре Global Sign.
Зоной (zone) называется часть пространства имен DNS со всеми ре
сурсными записями, за управление которой отвечает определенный сервер
или группа серверов DNS. Она является в DNS основным механизмом для
делегирования полномочий и применяется для установки границ, в преде
лах которых определенному серверу разрешено выполнять запросы. Лю
бой сервер, который обслуживает какую-то определенную зону, считается
полномочным или ответственным за эту зону.
Зона - это "зона ответственности" конкретного сервера доменных
имен, т.е. понятие домена шире, чем понятие зоны. Если домен разбивается
122
на поддомены, то у каждого из них может появиться свой сервер, отве
чающий за свою зону - в данном случае поддомен и поддомены более вы
сокого уровня.
При этом зоной ответственности сервера более высокого уровня будет
только та часть описания домена, которая не делегирована другим серве
рам. Разбиение домена на поддомены и организация сервера для каждого
из них называется делегирование прав управления зоной соответствующе
му серверу доменных имен, или просто делегированием зоны.
Помимо того, что существуют зоны прямого и обратного просмотра
для прямых и обратных DNS-запросов соответственно, существует 3 клас
са зон: основные, второстепенные и зоны-заглушки.
Основная зона используется в большинстве случаев и даёт возмож
ность читать и создавать ресурсные записи. Обычно основные зоны пере
даётся на сервера второстепенных зон в первый раз целиком, азатем толь
ко изменения после последней синхронизации. Основная зона может хра
ниться как в файле, так и в Active Directory.
Дополнительная зона не может храниться в Active Directory, в н е ё
нельзя делать запись, и она используется для повышения отказоустойчиво
сти DNS-зоны. Зона предоставляет возможность снизить объем трафика
запросов DNS в областях сети, где происходит интенсивное запрашивание
и использование данных зоны. Кроме того, в случае недоступности серве
ра, который управляет основной зоной, дополнительная зона может обес
печивать разрешение имен до тех пор, пока основной сервер снова не ста
нет доступным. Наконец, зона-заглушка имеет только записи NS и SOA и
служит для повышения эффективности разрешения имён.
Мастер создания новой зоны в Windows Server содержит следующие
страницы конфигурации:
- тип зоны (Zone Type);
- область репликации зоны, интегрированной в Active Directory (Ac¬
tive Directory Zone Replication Scope);
- зона прямого или обратного просмотра (Forward or Reverse Lookup
Zone);
- имя зоны (Zone Name);
- динамическое обновление (Dynamic Update).
На странице Область репликации зоны, интегрированной в Active Di
rectory (Active Directory Zone Replication Scope) мастера создания новой
зоны (New Zone Wizard) можно выбрать контроллеры домена в сети для
сохранения данных зоны. Эта страница, появляется только при выборе оп
ции сохранения зоны и Active Directory. Опции выбора области реплика
ции зонопределяют контроллеры домена, среди которых будет выпол
ниться репликация данных зон.
Па этой странице представлены такие опции:
- сохранение зоны на всех контроллерах домена, которые также яв
ляются DNS-серверами во всем лесе Active Directory;
123
- сохранение зоны на всех контроллерах домена, которые также слу
жит DNS-серверами и локальном домене Active Directory;
- сохранение зоны на всех контроллерах домена и локальном домене
Active Directory (используется для совместимости с Windows 2000);
- Сохранение зоны на всех контроллерах домена, указанных и области
настраиваемого раздела каталога Active Directory.
На странице Зона прямого или обратного просмотра (Forward or
Reverse Lookup Zone) мастера создания новой зоны (New Zone Wizard) не
обходимо выбрать тип создаваемой зоны; зона прямого просмотра
(Forward Lookup Zone) или зона обратного просмотра (Reverse Lookup
Zone).
В зонах прямого просмотра DNS-серверы сопоставляют полные до
менные имена FQDN с IP-адресами. В зонах обратного просмотра DNSсерверы сопоставляют IP-адреса именам FQDN. Таким образом, зоны пря
мого просмотра отвечают на запросы разрешения имен FQDN в IP-адреса,
а зоны обратного просмотра отвечают на запросы разрешения IP-адресов в
имена FQDN. Отметим, что зоны прямого просмотра получают имя в со
ответствии с доменными именами DNS, для которых выполняется разре
шение, например, google.com. Зоны обратного просмотра именуются и об
ратном порядке первых трех октетов адресного пространства, для которого
обеспечивается разрешение имен, плюс, дополнительный тег in-addr.arpa.
Например, при разрешении имен для подсети 192.168.1.0/24 зона обратно
го просмотра получит имя 1.168.192.in-addr.arpa. В зоне прямого просмот
ра отдельная запись базы данных, сопоставляющая имя узла с адресом, на
зывается записью узел (А). В зоне обратного просмотра отдельная запись
базы данных, сопоставляющая IP-адрес, сименемузла, называется указа
телем или PTR-записью.
Для одновременного создания зон прямого и обратного просмотра
можно использовать мастер настройки DNS-сервера (Configure A DNS
Server Wizard).
На странице Имя зоны (Zone Name) мастера создания новой зоны
(New Zone Wizard) можно выбрать имя создаваемой зоны прямого про
смотра, Зоны обратного просмотра получают особые имена в соответствии
с диапазоном IP-адресов, для которых являются полномочными.
Если зона создается для разрешения имен вдомене Active Directory,
лучше всего указать имя зоны, соответствующее имени домена Active
Directory. Например, если организация содержит два домена Active
Directory, с именами google.ru и translate.google.ru, инфраструктура разре
шения имен должна включать две зоны с именами, соответствующими
именам этих доменов.
В случае создания зоны для пространства имен DNS не в среде Active
Directory, нужно указать имя Интернет-домена организации, например,
wikipedia.org.
124
Чтобы добавить DNS-сервер на существующий контроллер домена,
обычно добавляется копия основной зоны, обеспечивающая разрешение
имен в локальном домене Active Directory. Для этого нужно просто создать
зону, имя которой соответствует имени существующей зоны в локальном
домене Active Directory. Новая зона будет заполнена данными с других
DNS-серверов в домене.
Клиентские компьютеры DNS могут регистрировать и динамически
обновлять свои записи ресурсов с помощью DNS-сервера. По умолчанию
DNS-клиенты со статическими IP-адресами обновляют записи узлов (А
или АААА) и указателей (PTR), a DNS-клиенты, являющиеся DHCPклиентами, - лишь записи узлов. В среде рабочей группы DHCP-сервер об
новляет записи указателя от лица DHCP-клиента при каждом обновлении
конфигурации IP.
Для успешного динамического обновления DNS зона, в которой кли
енты регистрируют или обновляют записи, должна быть отконфигурирована для приема динамических обновлений. Существует два типа такого
обновления:
- безопасное обновление (Secure updates) - «озволяет выполнять реги
страцию только с компьютеров домена Active Directory и обновление лишь
с того компьютера, который изначально выполнял регистрацию.
- небезопасные обновления (Nonsecure updates) - «озволяет выполнять
обновление с любого компьютера.
На странице Динамическое обновление (Dynamic Update) мастера соз
дания новой зоны (New Zone Wizard) для создаваемой зоны можно разре
шить безопасные, небезопасные динамические обновления или вообще за
претить обновление.
4.4. Роли DNS-серверов, уровни безопасности. Планирование
пространства имён в корпоративной сети
DNS-сервера могут выполнять следующие виды ролей:
1. Cashing-only - не хранят на себе никаких зон, являются только сер
верами, где хранится кэш запросов. Поэтому они не создают трафик зоны.
Такие сервера можно использовать в филиальном офисе для уменьшения
DNS трафика между ним и главным офисом.
2. Non-recursive - сервера, на которых хранится DNS-зона, и у которых
отключена возможность рекурсивного разрешения имени. Это приводит к
тому, что если сервер не может разрешить имя (не имеет ресурсной запи
си), то DNS запрос будет не разрешён. Такие сервера можно ставить в роли
внешних DNS серверов компаний. Также это защитит от использования
внешними пользователями ваших DNS серверов для разрешения DNS
имен в интернете.
3. Forward-only - сервера, которые занимаются только пересылкой за
просов на другие сервера (обычный рекурсивный запрос отключён). В т а 125
ком случае, если сервер не получит ответа от других, то запрос будет не
разрешён. Такие сервера можно использовать для управления DNSтрафиком между корпоративной сетью и интернетом. В таком сценарии
все внутренние сервера будет обращаться к Forward-only серверу с прось
бой разрешить внешние имена. Пятно контакта с интернет уменьшится до
одного DNS сервера.
4. Conditional forwards - отличается от Forward-only тем, что задаётся
связка какой домен на какой IP нужно пересылать.
Выделяют 3 уровня безопасности в DNS:
• Низкий уровень безопасности
1. Ваша DNS инфраструктура полностью выставлена в интернет.
2. Обычное разрешение имен DNS выполняют все сервера в вашей сети.
3. Все DNS сервера сконфигурированы на использование корневых
серверов.
4. Все DNS сервера позволяют перемещение зоны на любые сервера.
5. Все DNS сервера «слушают» на всех своих IP.
6. Отключена очистка от старых записей в кэше.
7. Динамическое обновление разрешено для всех зон.
8. На пограничном брандмауэре пропускается DNS трафик в обе сто
роны.
• Средний уровень безопасности
1. Ваша DNS инфраструктура имеет ограниченный доступ в интернет
2. Все DNS сервера настроены на использование пересылки запросов
на специальные серверы, когда они не могут разрешить имя локально.
3. Перемещении зоны разрешено только для своих NS серверов.
4. Сервера настроены «прослушивать» только на определенных IP.
5. Включена очистка «загрязнений» вкэше.
6. Общение между внутренним и внешними серверами происходит
через брандмауэр, который частично ограничивает запросы. Существу
ет жёсткий список, от кого и кому разрешены DNS запросы.
7. Внешние DNS серверы настроены на использование корневых сер
веров.
• Высокий уровень безопасности предполагает полное отсутствие
взаимодействия с интернетом. Это не стандартная конфигурация, но она
идеальна, если не нужен доступ в интернет.
1. Ваша DNS инфраструктура полностью не доступна из интернета.
2. Внутри сети используются DNS сервера, которые являются корне
выми и хранят все адресное пространство.
3. Сервера, настроенные для пересылки запросов, используют только
внутренние IP DNS серверов.
4. Перемещение зоны жёстко ограничено IP-адресами.
5. Сервера настроены прослушивать только на определенных IP.
6. Включена очистка загрязнений в DNS кэше.
126
7. Внутренние DNS сервера настроены на использование корневых
серверов, прикреплённых к корневым внутренним DNS, на которых хра
нится корневая зона для вашего пространства имен.
8. Все DNS сервера хранятся на контроллерах домена и име
ют ограниченный доступ (DACL).
9. Все зоны хранятся в Active Directory и имеют ограниченный доступ
(DACL).
10. Безопасные динамические обновления разрешены за исключением
верхнего уровня корневых зон.
При правильном планировании пространства DNS имен не будет про
блем с разрешением этих имен. В текущее время каждая компания нужда
ется в связи с внешним миром. Что это означает для нас?
1. Внутренние имена DNS серверов и служб не должны
быть доступны из интернета.
2. Внутренние сервера должны уметь разрешать внешние (интернет)
имена.
3. Внешние пользователи должны иметь возможность разрешать
внешние имена (к примеру, имя сайта, точка подключения VPN, Exchange
OWA ит.д.).
Правильным
решением
будет
расщепить
структуру
DNS
на области действия (локальная сеть и интернет). Есть несколько типовых
решений. Давайте их рассмотрим и решим, какие же выбрать.
• Одно пространство имен. К преимуществам можно отнести одно
пространство имен для локальной сети и интернет. При этом разные DNS
сервера отвечают за разные ресурсные записи. Если внутренний DNS ис
пользуется для Active Directory и подобных ресурсов, то внешний DNS ис
пользуется для WWW сайтов, VPN точки вхождения и т.д.
• Поддомен. Случай, когда для внутренней инфраструктуры мы выде
ляем из основного домена поддомен, что, в свою очередь
1. Проще в администрировании.
2. Делает понятной топологию сети
3. Внутреннее пространство имен остаётся невидимым для внешних
запросов.
• Отдельное пространство имен. Похоже на второй случай, мы тоже
разделяем пространство имен. Но в данном случае есть необходимость не
разделять публичный домен. В таком случае создаётся отдельный домен
для внутренних нужд, и отдельный для внешних.
127
4.5. Служба DHCP и технология NAT
Служба DHCP (Dynamic Host Configuration Protocol) - это одна из
служб поддержки протокола TCP/IP, разработанная для упрощения адми
нистрирования IP-сети за счет использования специально настроенного
сервера для централизованного управления IP-адресами и другими пара
метрами протокола TCP/IP, необходимыми сетевым узлам [10].
Работа протокола DHCP базируется на классической схеме клиентсервер. В роли клиентов выступают компьютеры сети, стремящиеся полу
чить IP-адреса в так называемую аренду (lease), а DHCP-серверы выпол
няют функции диспетчеров, которые выдают адреса, контролируют их ис
пользование и сообщают клиентам требуемые параметры конфигурации.
Параметры выделяются клиенту на определенный срок, после чего счита
ется свободным и может быть выдан другому клиенту.
Сервер поддерживает пул свободных адресов и, кроме того, ведет
собственную регистрационную базу данных. Взаимодействие DHCPсерверов со станциями-клиентами осуществляется путем обмена сообще
ниями.
Для взаимодействия DHCP-сервера и DHCP-клиента используется
специальный протокол DHCP, который является расширением протокола
BOOTP (Bootstrap Protocol). DHCP устраняет определенные ограничения,
которые BOOTP имел в качестве службы настройки узла.
Сервер DHCP избавляет сетевого администратора от необходимости
ручного выполнения таких операций, как:
• автоматическое назначение сетевым узлам IP-адресов и прочих па
раметров протокола TCP/IP (например, маска подсети, адрес основного
шлюза подсети, адреса серверов DNS и WINS);
• недопущение дублирования IP-адресов, назначаемых различным
узлам сети;
• освобождение IP-адресов узлов, удаленных из сети;
• ведение централизованной БД выданных IP-адресов.
Во взаимодействии по протоколу DHCP принимают участие две или
три стороны:
1. DHCP-клиент - тот, кто хочет получить параметры настройки
TCP/IP;
2. DHCP-сервер - тот, кто выдаёт эти параметры;
3. DHCP-ретранслятор (relay agent) - вспомогательный участник, ко
торый может играть роль посредника между клиентом и сервером. Он ис
пользуется в тех случаях, когда у клиента нет возможности обратиться к
серверу напрямую, в частности, в том случае, если они находятся в разных
широковещательных доменах. DHCP-ретранслятор обрабатывает стан
дартный широковещательный DHCP-запрос и перенаправляет его на
DHCP-сервер в виде целенаправленного (unicast) пакета, а полученный от
DHCP-сервера ответ, всвою очередь, перенаправляет DHCP-клиенту.
128
Как правило, DHCP-сервер выделяет IP-адреса (и прочие параметры
TCP/IP) одним из двух способов:
1. Случайным образом из предопределённого пула (в том случае, если
клиенту ранее уже выдавался какой-то адрес, он может попробовать полу
чить его вновь);
2. Жёстко зафиксированным образом, исходя из MAC-адреса клиента.
В роли DHCP сервера может выступать сервер под управлением сер
верной ОС семейства Linux или Windows, некоторые модели коммутаторов
и даже обычные компьютеры с клиентскими операционными системами, в
случае если на них установлено специализированное программное обеспе
чение.
Протокол DHCP поддерживает три механизма выделения адресов: ав
томатический, динамический и ручной. В первом случае клиент получает
постоянный IP-адрес, в последнем DHCP используется только для уведом
ления клиента об адресе, который администратор присвоил ему вручную.
Механизм получения динамического IP адреса клиентом DHCP кли
ентом достаточно прост, но требует более детального рассмотрения.
При включении компьютера, настроенного на автоматическое полу
чение параметров сети, он выполняет широковещательный запрос на IP
адрес 255.255.255.255, а в качестве своего IP адреса указывает 0.0.0.0 (так
как у него еще нет IP адреса). В ходе данного широковещательного запро
са рассылается сообщение DHCPDISCOVER, данное сообщение содержит
в себе информацию, позволяющую отличить его от других типов запро
сов/сообщений (то-есть указывает на то, что это сообщение предназначено
для DHCP сервера, для получения IP адреса), MAC адрес устройства,
сформировавшего запрос, а также предыдущий IP адрес устройства (если
он у него был).
Так как сообщение DHCPDISCOVER рассылается широковещатель
ным способом, оно попадает не только на DHCP сервер, но и на другие
устройства данного сегмента сети, но так как в сообщение
DHCPDISCOVER указывается, что оно предназначено только для DHCP
сервера, остальные устройства сети отвергают данное сообщение.
При получении сообщения DHCPDISCOVER DHCP сервером, он ана
лизирует его содержание и в соответствии со своими настройками выбира
ет подходящую конфигурацию для запросившего компьютера и отправля
ет ее обратно в сообщении DHCPOFFER. Обычно сообщение DHCPOFFER
отсылается только на MAC адрес компьютера, который был указан в со
общении DHCPDISCOVER, но иногда оно может рассылаться и методом
широковещательной рассылки.
В случае если в сети существует несколько DHCP серверов компью
тер может получить в ответ на сообщение DHCPDISCOVER несколько со
общений DHCPOFFER от разных DHCP серверов. Из них компьютер вы
бирает одно, обычно полученное первым. И отвечает на него сообщением
DHCPREQUEST, которое содержит в себе всю туже информацию, что и
129
сообщение DHCPDISCOVER + IP адрес выбранного DHCP сервера. Сооб
щение DHCPREQUEST рассылается широковещательным методом, для
того чтобы его могли получить все DHCP сервера сети, если их несколько.
Все устройства сети, не являющиеся DHCP серверами, игнорируют
сообщение DHCPREQUEST. DHCP сервера, IP адрес которых не содер
жится в сообщении DHCPREQUEST понимают, что их не выбрали в каче
стве DHCP сервера. DHCP сервер IP адрес которого указан в сообщении
DHCPREQUEST получает его и понимает, что именного его выбрали в ка
честве DHCP сервера для нового компьютера, на что он отвечает сообще
нием DHCPACK, которое как бы подтверждает данный выбор. Сообщение
DHCPACK отправляется на MAC адрес компьютера, указанного в сообще
нии DHCPREQUEST.
Компьютер, запрашивающий конфигурацию, получает сообщения
DHCPACK. И применяет конфигурацию, которая была получена в сооб
щении DHCPOFFER. Вот так путем несложного обмена сообщениями
функционирует протокол DHCP.
DHCP сервер может быть настроен по-разному, и в зависимости от
его конфигурации он будет выдавать IP адреса, запрашивающим компью
терам разными способами. Если на момент получения запроса
DHCPDISCOVER сервер не располагает свободными IP-адресами, он мо
жет направить уведомление о возникшей проблеме администратору. В
противном случае при выборе адреса обычно применяется следующий ал
горитм. Клиенту выделяется адрес, записанный за ним в данный момент.
Если это невозможно, сервер предложит адрес, которым пользовался кли
ент до окончания срока последней аренды (при условии, что данный адрес
свободен), либо адрес, запрошенный самим клиентом при помощи соот
ветствующей опции (опять же, если адрес не занят). Наконец, в том случае,
когда все предыдущие варианты не проходят, новый адрес выбирается из
пула доступных адресов с учетом подсети, из которой поступил клиент
ский запрос.
Исходя из определенной сетевым администратором политики и, соот
ветственно, настроек сервер может выдать клиенту адрес, отличающийся
от запрошенного (даже при доступности последнего), вообще отказать в
предоставлении адреса или предложить адрес, относящийся к другой под
сети. Более того, DHCP-сервер вообще не обязан реагировать на каждый
поступивший запрос DHCPDISCOVER. Это предоставляет администрато
ру возможность контролировать доступ к сети, например, разрешив серве
ру отвечать только тем клиентам, которые предварительно зарегистриро
вались с помощью специальной процедуры.
Спустя примерно половину этого срока клиент пытается возобновить
его. Если клиент не может обновить аренду, он будет пытаться сделать это
снова до окончания срока аренды. Если эти попытки не принесут успеха,
клиент
будет
пытаться
обратиться
к другому
DHCP-серверу.
При обновлении аренды клиент проходит два состояния - обновления ад130
peca (RENEWING) и обновления конфигурации (REBINDING). Первое на
ступает примерно на половине срока аренды адреса (так называемый мо
мент T1), второе - по истечении приблизительно 7/8 полного времени
аренды (момент T2); для рассинхронизации процессов реконфигурирования разных клиентов значения этих временных меток рандомизируются с
помощью случайной добавки.
Вмомент T1 клиент оправляет DHCP-серверу, выдавшему адрес, со
общение DHCPREQUEST с просьбой продлить срок аренды. Получив по
ложительный ответ (DHCPACK), клиент пересчитывает срок аренды и
продолжает работу в обычном режиме. Клиент ожидает прихода ответа от
сервера в течение (T2 - t)/2 с (при условии, что это значение не меньше 60
с), где t - время отсылки последнего сообщения DHCPREQUEST, после
чего отправляет данное сообщение повторно.
Если ответ от сервера не поступил к моменту T2, клиент переходит в
состояние REBINDING и передает уже широковещательное сообщение
DHCPREQUEST со своим текущим сетевым адресом. В этом случае мо
менты повторных выдач запросов DHCPREQUEST рассчитываются анало
гично предыдущему случаю, только вместо T2 фигурирует время оконча
ния срока аренды.
Не исключено, однако, что ответ DHCPACK не придет до окончания
срока аренды. Тогда клиент обязан немедленно прекратить выполнение
любых сетевых операций и заново начать процесс инициализации. Если
запоздавший ответ DHCPACK все-таки поступит, клиенту рекомендуется
сразу же возобновить работу под прежним адресом.
Невозобновленный IP-адрес возвращается в пул адресов. Если клиент
связался с сервером, но текущий IP-адрес не может быть возобновлен,
DHCP-сервер присваивает клиенту новый IP-адрес.
DHCP-сервер обычно не влияет на процедуру загрузки или входа в
есть. Загрузка клиентов и регистрация пользователей возможна даже при
нефункционирующем сервере DHCP.
Но самый главный плюс DHCP вовсе не в том, что с его помощью
можно автоматически раздавать IP-адреса. На этом функционал протокола
не заканчивается. Основная его ценность в другом: с его помощьювыможете назначать хостам и другие, не менее важные настройки. Например:
• Шлюзы по умолчанию. Если в вашей сети имеется несколько Ин
тернет-каналов (для обеспечения бесперебойной работы), вы можете на
значить хостам несколько шлюзов и порядок их предпочтения. В случае
выхода одного из каналов из строя, переключение на резервный канал
произойдет автоматически, без вашего вмешательства. Это же дает воз
можность организовать простейшую балансировку нагрузки между кана
лами, назначив по DHCP одной группе хостов один маршрутизатор в каче
стве шлюза, а другой группе - второй.
• Статические маршруты. Если в вашей сети есть несколько подсе
тей, соединенных маршрутизаторами, то при помощи DHCP можно авто131
матически оповещать хосты о наличии маршрутов в другие подсети. При
чем это, по желанию, можно сделать только для избранных - например,
используя привязку к MAC. Эта же опция полезна при организации VPNдоступа к корпоративной сети - VPN-клиентам можно сообщить маршру
ты лишь к нужным им подсетям, оставив другие подсети недоступными
для подключающихся по VPN пользователей.
• Смещение времени. Если ваши пользователи часто бывают в раз
личных временных поясах (например, мотаются из Питера во Владивосток
и обратно), то можно заставить системные часы их ноутбука адаптиро
ваться к вашему местному времени при помощи DHCP.
• Сервер синхронизации времени. Поскольку часы компьютеров сла
вятся своей неточностью, их желательно синхронизировать с какими-то
эталонными часами. Для этого используется служба NTP. Информацию о
сервере NTP можно раздавать хостам при помощи DHCP.
• DNS-серверы. С помощью этой опции вы можете назначать вашим
клиентам DNS-серверы как внутри сети, так и за ее пределами. Причем, в
отличие ручной настройки интерфейса, вы можете передать хосту обшир
ный список доступных DNS-серверов.
• Настройки сервера загрузки - настройки протокола TFTP/BOOTP,
необходимые для бездисковой загрузки хостов. Эта возможность востре
бована при наличии в сети бездисковых терминалов, загружающихся по
сети, и при организации дистанционной автоматической установки ОС на
компьютеры пользователей (об этом поговорим отдельно)
• Списки доступных SMTP и POP серверов.
• Настройки WINS и Netbios
• Размер MTU, время жизни кэша ARP, размер TTL идр.
Если у вас сеть разбита на несколько подсетей, разделенных маршру
тизаторами, то одним DHCP-сервером вам ограничиться не получится.
DHCP-запросы и ответы не маршрутизируются между подсетями и рас
пространяются в пределах лишь одного сегмента. Это связано в первую
очередь с тем, что протокол DHCP не использует для передачи данных IPадресацию, а работают на более низком уровне. Следовательно, вкаждом
из сегментов сети, имеющем свой диапазон IP-адресов, вам потребуется
отдельная DHCP- служба.
Трансляция сетевых адресов (NAT) - технология преобразования ад
ресов и/или портов источника и/или получателя IP-пакета. Эти преобразо
вания отслеживаются в соответствующих таблицах, что позволяет при по
лучении ответного пакета выполнить обратную трансляцию адреса/порта
[11]. Технология NAT имеет два важных достоинства:
1. При NAT-адресации внутренние хосты могут совместно использо
вать один или несколько зарегистрированных внешних IP-адресов. При
этом требуется относительно немного внешних адресов для поддержки
большого числа внутренних хостов, что экономит IP-адреса.
132
2. NAT позволяет маскировать (скрыть) внутреннюю структуру ло
кальной сети. За счёт выполнения трансляции адресов запросы компьюте
ров локальной сети к внешним хостам выглядят так, будто выполняются с
одного и того же компьютера. Также можно с помощью трансляции адреса
совместно с портом осуществлять сокрытие серверной инфраструктуры.
Важно отметить, что некоторые протоколы не поддерживают транс
ляцию адресов (например, PPTP), либо использование трансляции накла
дывает ограничения на использование некоторых служб. Для обхода таких
проблем NAT-маршрутизатор должен иметь возможность разбирать паке
ты, вносить изменения и собирать их снова
Различают два способа трансляции адресов:
1. Network Address Translation (NAT) - замена адреса источника на ад
рес маршрутизатора. При этом порт остаётся неизменным.
2. Static Address Translation (SAT) - замена адрес источника или при
ёмника на некоторый адрес, при этом возможна одновременная замена
порта.
SAT подразделяется на два типа:
1. Source SAT - трансляция внутреннего адреса источника (Inside
local) в зарегистрированный адрес источника (Inside global).
2. Destination SAT - трансляция внешнего адреса назначения (Outside
local) в адрес назначения (Outside global).
Адресация NAT обычно функционирует на маршрутизаторе Cisco, со
единяя двесети и транслируя частные локальные адреса внутренней сети в
открытые зарегистрированные адреса внешней сети и обратно. Как пока
зано на рисунке 11, внутреннему узлу требуется обменяться данными с
внешним узлом (128.23.2.2).
Рисунок 11 - Адресная таблица NAT
133
NAT выполняет преобразование локального адреса (10.0.0.2) в г л о бальный (179.9.8.80) и сохраняет это в своей NAT-таблице. Аналогично
внутренний адрес (10.0.0.3) преобразуется в глобальный (179.9.8.81).
NAT принимает ответный пакет, направленный из внешней сети во
внутреннюю, просматривает свою адресную таблицу для нахождения пре
образования данного глобального адреса в локальный. Такая статическая
NAT-адресация взаимного однозначного преобразования локальных и гло
бальных адресов (адрес - адрес) обычно используется для внутренних IPузлов, которые должны быть постоянно доступны из внешей сети (напри
мер, Internet), таких как сервер DNS или сервер электронной почты (e-mail
server).
Адресация NAT может быть сконфигурирована для представления
только одного внешнего адреса для всей внутренней сети с помощью од
нозначного преобразования номеров портов (много адресов - одинадрес с
назначенным портом). Эта функция адресации NAT называется PAT (Port
Address Translation). Такой способ эффективно скрывает внутреннюю
структуру сети от внешней сети и повышает уровень безопасности.
Использование адресации NAT позволяет выполнить трансляцию ряда
внутренних адресов, в то время как PAT может транслировать лишь один
или несколько внешних адресов. Как показано на рисунке 12, хосты
10.0.0.2 и 10.0.0.3 посылают пакеты во внешнюю сеть, используя один IPадрес 179.9.8.80 и разные порты.
10.0.0.3
Рисунок 12 - Таблица NAT/PAT
134
Поскольку номер порта записывается двумя байтами, общее количе
ство внутренних адресов, которые могут быть транслированы в один
внешний адрес, при использовании PAT теоретически может достигать 65
536 для каждого IP-адреса. PAT пытается сохранить первоначальный порт
источника. Если порт источника уже присвоен, то адресация PAT пытается
найти первый доступный номер порта в соответствующей группе портов 0¬
511, 512-1023 или 1024-65535. Если в соответствующей группе нет дос
тупных портов и конфигурируется более одного IP- адреса, то PAT пере
ходит к следующему IP-адресу и пытается вновь найти первоначальный
порт источника. Это процесс продолжается до тех пор, пока PAT не исчер
пает доступные порты и внешние IP-адреса.
Известная транснациональная компания по разработке и продаже се
тевого оборудования Cisco определила для NAT-адресации следующие
термины.
Внутренние локальные адреса (Inside local address) - IP-адреса, назна
ченные хосту во внутренней сети, соответствующие RFC 1918.
Внутренние
глобальные
адреса
(Inside
global
address)
зарегистрированные IP-адреса, назначаемые провайдером службы или вы
деляемые из регионального регистра Internet (Regional Internet Registries,
RIR). Они предоставляют один или более внутренних локальных IPадресов для связи с внешней сетевой средой.
Внешние локальные адреса (Outside local address) - IP-адреса внешних
узлов, в том виде как они известны узлам внутренней сети.
Внешние глобальные адреса (Outside global address) - IP-адрес, назна
чаемый владельцем узла, этому узлу для использования во внешней сети.
Вопросы конфигурирования NAT включают статическую и динамиче
скую трансляцию, а также перезагрузку NAT (PAT). Под статической
трансляцией понимается ручное конфигурирование адресов в просмотро
вой таблице. Для каждого внутреннего локального адреса при использова
нии статической NAT требуется внутренний глобальный адрес. Для того,
чтобы сконфигурировать статическую трансляцию внутреннего адреса,
требуется выполнить действия, описанные ниже.
1. Задать статическую трансляцию внутреннего локального адреса во
внутренний глобальный адрес.
Router (config) #ip nat inside source static local-ip global-ip
2. Задать внутренний интерфейс и указать его, как принадлежащий к
внутренней сети
Router (config) ^interface type number
Router (config-if) #ip nat inside
3. Задать выходной интерфейс и указать его, как подсоединенный из
вне
Router (config) ^interface type number
Router(config-if) #ip nat outside
Пример статической NAT-адресации показан на рис. 13.
135
При использовании динамической трансляции адресов преобразова
ния адресов не существуют в NAT-таблице до тех пор, пока маршрутиза
тор не получит данные, для которых такая трансляция требуется. Динами
ческие преобразования адресов являются временными и в конечном итоге
устаревают и удаляются. Для того, чтобы сконфигурировать трансляцию
внутренних адресов, следует выполнить действия, описанные ниже.
hostna me
GW
I
ip
nat inside
source s t a t i c
10.1.1. 2 192.168.1.2
interface EthemetO
i p a d d r e s s 10.1.1.1 255.255.255.0
ip nat inside
I
interface SerialO
i p a d d r e s s 192.168.1.1 255.255.255.0
ip nat outside
ip n a t inside
source s t a t i c
10.1.1.2 192.166.1.2
Рисунок 13 - Статическая NAT-адресация
1. Задать пул глобальных адресов, которые будут использоваться по
мере необходимости.
Router (config)#ip nat pool имя нач-ip конеч-ip {netmask маска | prefixlength длина-префикса}
2. Создать стандартный список доступа для идентификации тех адре
сов, которые нужно будет транслировать.
Router (config)#access-list номер-списка permit источник [шаблонисточник]
3. Сконфигурировать динамический NAT на основе адресов источника.
Router (config)#ip nat inside source list номер-списка-дост pool имя
4. Указать внутренний интерфейс
Router (config)#interface type number
Router (config-if)#ip nat inside
5. Указать внешний интерфейс
Router (config)#interface type number
Router(config-if)#ip nat outside
Список доступа должен определять только те адреса, которые следует
транслировать. Следует помнить о том, что неявная команда deny all при
сутствует в каждом списке доступа. Недостаточно строгий список доступа
может привести к непредсказуемым результатам. Рекомендуется не конфи
гурировать списки доступа, на которые ссылаются команды NAT с permit
136
any (т.е. разрешить трансляцию для всех). Использование permit any может
привести к тому, что NAT будет потреблять слишком много ресурсов
маршрутизатора, что может вызвать проблемы в сети.
Приведенные ниже команды конфигурируют соответствующие ин
терфейсы для выполнения внутренних и внешних функций.
Пример динамической NAT-адресации:
i p n a t p o o l n a t - p o o l l 179.9.8.80 179.9.8.95 netmask 255.255.255.0
ip nat i n s i d e source l i s t 1 pool nat-pooll
interface
fastethernetO/0
i p a d d r e s s 10.1.1.1 255.255.255.0
ip nat inside
I
interface SerialO/0
i p a d d r e s s 192.168.1.1 255.255.255.0
ip nat outside
10002
Рисунок 14 - Динамическая NAT-адресация
В примере происходит трансляция всех адресов, проходящих через
список доступа 1 (имеющие адрес источника от 10.0.0.0/16) в адрес из пула
сименем nat-pool. Этот пул содержит адреса из диапазона от 179.9.8.80/28
до 179.9.8.95/28.
Одной из наиболее мощных функций NAT является способность ис
пользовать PAT. Это иногда называется NAT-адресацией "много-в-один"
или перегрузкой адреса. При использовании перегрузки (overloading) сот
ни узлов с частными адресами могут получать доступ к внешней сети
(Internet), используя лишь один глобальный адрес. NAT-маршрутизатор
отслеживает различные сеансы связи, устанавливая соответствие TCP и
UDP номеров портов в таблице трансляции.
Для того, чтобы сконфигурировать перегрузку внутренних глобаль
ных адресов, следует выполнить действия, описанные ниже.
1. Определить стандартный список доступа, разрешающий те адреса,
которые должны транслироваться: Router (config)#access-list номер-списка
permit источник [шаблон-источник]
2. Сконфигурировать динамический NAT на основе адресов источни
ков, указать список доступа, определенный на предыдущем этапе. Router
137
(config)#ip nat inside source list номер-списка-дост interface интерфейс
overload
3. Задать набор глобальных адресов, которые будут использоваться
для перезагрузки.
Router (config)#ip nat pool имя ip-адрес {netmask маска | prefix-length
длина-префикса}
4. Задать трансляцию с перезагрузкой.
Router (config)#ip nat inside source list номер-списка-дост pool имя
overload
5. Указать внутренний интерфейс
Router (config)#interface type number
Router (config-if)#ip nat inside
6. Указать внешний интерфейс
Router (config)#interface type number
Router(config-if)#ip nat outside
Пример перезагрузки NAT
1. Перезагрузка на интерфейсе.
R o u t e r { c o n f i g ) # a c c e s a - l i s t 1 p e r m i t 10.0.0.0 0.0.255.255
Router(config)#ip nat I n s i d e source l i l t 1 i n t e r f a c e serialO/0
Router(config)#interface
sO
Router(con£ig-if)Sip n a t o u t s i d e
Router [ c o n f i g - i f ) tfinterface ethernet 0
R o u t e r ( c o n f i g - i f ) (tip n a t i n s i d e
overload
2. Перезагрузка с использованием пула.
R o u t e r ( c o n f i g ) t t a c c e s e - l i s t 1 p e r m i t 10.0.0.0 0.0.255.255
R o u t e r ( c o n f i g ) # i p n a t p o o l n a t - p o o l 2 179.9.8.20 netmask
255.255.255.240
Router(config)tip
n a t inside source l i s t lpool nat-pool2 overload
Router(config)#int«rface SO
Router(config-if)#ip
nat outside
Router(config-if}tinterfaca ethemet 0
Router(config-if)#ip
nat inside
Для тестирования функций NAT используется команда debug ip nat,
которая отображает информацию обо всех пакетах, транслируемых мар
шрутизатором. По команде debug ip nat detailed выводится описание каж
дого пакета, для которого предполагается трансляция. При этом также вы
водится информация об определенных ошибках или исключительных ус
ловиях, таких, например, как невозможность выделить глобальный адрес.
Команда debug сильно нагружает маршрутизатор - не злоупотребляйте ей
и отключайте её, как только закончили поиск ошибок.
138
Контрольные
вопросы
1. Что такое DNS?
2. В чём смысл использования DNS?
3. Назовите основные характеристики DNS.
4. Что такое поддомен?
5. Что такое ресурсная запись?
6. Что такое зона?
7. Что означает авторитетность?
8. Что такое делегирование?
9. Какое имя имеет корневой домен?
10. Что такое разрешение имён?
11. Что такое рекурсивный DNS-запрос?
12. Что такое итеративный DNS-запрос?
13. Опишите схему работы итеративного запроса.
14. Назовите назначение записи А.
15. Назовите назначение записи CNAME.
16. Назовите назначение записи NS.
17. Назовите назначение записи MX.
18. Назовите назначение записи PTR.
19. Назовите назначение записи SOA.
20. Что такое зона?
21. Чем отличается зона прямого просмотра от зоны обратного про
смотра?
22. Чем отличается основная зона от дополнительной?
23. Чем отличается зона-заглушка от основной и дополнительной?
24. Какие роли может выполнять DNS-сервер?
25. Опишите характеристики низкого уровня безопасности в DNS.
26. Опишите характеристики среднего уровня безопасности в DNS.
27. Опишите характеристики высокого уровня безопасности в DNS.
28. Какие существуют правила планирования пространства имён в
корпоративной сети?
29. Что такое DHCP?
30. Опишите схему работы DHCP при запросе аренды IP-адреса.
31. Что такое NAT?
32. Какие вы знаете способы трансляции IP-адресов?
33. Что такое внутренние локальные адреса?
34. Что такое внутренние глобальные адреса?
35. Что такое внешние локальные адреса?
36. Что такое внешние глобальные адреса?
5. УДАЛЁННОЕ АДМИНИСТРИРОВАНИЕ
Удаленное администрирование избавляет от необходимости постоян
ного присутствия в непосредственной близости от настраиваемого обору
дования, тем самым снижая накладные расходы на содержание штатного
системного администратора.
Управление компьютером или сервером производится по сети, в том
числе и через интернет. Доступ к компьютеру, или серверу осуществляется
с помощью специального программного обеспечения по защищенным ка
налам связи, гарантирующим безопасность передаваемой информации ме
жду компьютером или сервером клиента и администратора из службы
поддержки. Общение администратора с клиентом происходит по Skype,
или телефону.
Удаленное администрирование - легко реализуемая задача, которая
позволяет решить большинство возникающих вопросов в процессе исполь
зования компьютеров, серверов и программного обеспечения. Основное
условие, соблюдение которого необходимо для успешного удаленного ад
министрирования - это отсутствие проблем со связью. Если нарушена ра
бота сети, соответственно не будет возможности подключиться к удален
ной машине клиента.
Вопросы, которые решают, используя удалённое администрирование:
- установка, обновление и настройка программного обеспечения;
- настройка рабочего окружения пользователя и параметров ОС;
- проведение антивирусной профилактики, удаление вирусов и шпи
онского (вредоносного и нежелательного) ПО;
- администрирование бухгалтерских программ, в том числе специали
зированных (1С, Банк-Клиент и пр.);
- проведение консультаций по работе в прикладных программах;
- осуществление диагностики и устранение программных сбоев опе
рационной системы и программного обеспечения
- решения других срочных вопросов.
Программы удалённого администрирования - это программы или
функции операционных систем, позволяющие получить удалённый доступ
к компьютеру через Интернет или ЛВС и производить управление и адми
нистрирование удалённого компьютера в реальном времени. Программы
удалённого администрирования предоставляют почти полный контроль
над удалённым компьютером: они дают возможность удалённо управлять
рабочим столом компьютера, возможность копирования или удаления
файлов, запуска приложений и т. д.
Существует множество реализаций программ удалённого админист
рирования. Все реализации отличаются по интерфейсу и используемым
протоколам. Интерфейс может быть визуальный или консольный. Одними
из самых популярных и распространённых программ являются, например,
компонент Windows Remote Desktop Services с клиентом Remote Desktop
141
Connection, Radmin, DameWare, PuTTy, VNC, UltraVNC, Apple Remote
Desktop, Hamachi, LiteManager, TeamViewer, AnyDesktop, Remote
Manipulator System, Ammyy Admin и д р .
Собственно, для цели передачи команд администрирования и вывода
экрана используются протоколы удалённого администрирования: RDP,
VNC, X11, Telnet, Rlogin, RFB, ARD, ICA, ALP и собственные. Для шиф
рования трафика в программах удалённого администрирования использу
ются протоколы SSH, SSL, TLS идр.
Главное преимущество удаленного администрирования - это увели
чение скорости реакции обслуживающего ИТ персонала на проблемы
пользователей. ИТ специалисту не нужно идти в другой конец офиса, или
ехать в другой конец города (если офис распределен по нескольким точ
кам). Для решения поставленной задачи достаточно подключиться к сер
веру, или компьютеру пользователя и авторизоваться в системе. Вся эта
процедура занимает не больше тридцати секунд.
Наиболее популярной прикладной программой удалённого админист
рирования является пакет TeamViewer, работающий на платформах Win
dows, Linux, Mac OS X, а также мобильных платформах iOS и Android. Со
гласно пресс-релизам компании-разработчика «TeamViewer GmbH»,
TeamViewer используется более чем на 15 000 000 компьютеров, рабо
тающих в пятидесяти странах мира.
TeamViewer может работать с установкой или без неё - впоследнем
случае программа работает без администраторских прав доступа. Для ус
тановления связи TeamViewer должен быть запущен на обеих машинах.
При запуске TeamViewer создаётся ID компьютера и пароль. Чтобы уста
новить связь между компьютерами, клиент-оператор должен связаться с
удаленным оператором и узнать его ID ипароль, а затем ввести их в клиент-TeamViewer.
TeamViewer также может установить связь с удалённым компьюте
ром, используя браузер с технологией Flash.
TeamViewer позволяет устанавливать VPN (Virtual Private Network)
соединения между клиентом и сервером. Есть возможность скачать с сайта
производителя отдельные модули программы (клиентский и серверный).
Можно также на сайте производителя сконфигурировать клиентский мо
дуль с заранее предустановленным паролем доступа и собственным лого
типом, скомпилировать и сразу скачать его. Однако без лицензии связь в
этом случае возможна не более 5 минут за сеанс. Предлагаемые модули
без собственных предустановок не имеют таких ограничений.
Модули не требуют инсталляции и просты в использовании. Возмо
жен видео-, голосовой, и текстовый чат между компьютерами. Последняя
на данный момент 14 версия программы работает быстрее, чем раньше,
поскольку оптимизирована для работы с низкой пропускной способно
стью. Программа автоматически обнаруживает медленные соединения с
6. АДМИНИСТРИРОВАНИЕ СЕРВЕРА БАЗ Д А Н Н Ь К
6.1. Задачи администрирования баз данных. Платформа MS SQL
Server и её инструменты
Администрирование баз данных (БД) - одна из функций системно
го администратора, на выполнение которой часто назначается свой адми
нистратор. У такого сотрудника свои функции и свои основные задачи:
1. Проектирование базы данных.
2. Оптимизация производительности базы данных.
3. Обеспечение безопасности в базе данных.
4. Резервное копирование и Восстановление базы данных.
5. Обеспечение целостности баз данных.
6. Обеспечение перехода на новую версию СУБД.
По действующему стандарту для администратора базы данных за
дачи и должностные обязанности определяются, в зависимости от уровня
квалификации, из следующего списка:
1. Обеспечение функционирования БД, в которое входит:
• Резервное копирование БД
• Восстановление БД
• Управление доступом к БД
• Установка и настройка программного обеспечения (ПО) для обес
печенияработы пользователей с БД
• Установка и настройка ПО для администрирования БД
• Мониторинг событий, возникающих в процессе работы БД
• Протоколирование событий, возникающих в процессе работы БД
Оптимизация функционирования БД
• Мониторинг работы БД, сбор статистической информации о работе
БД
• Оптимизация распределения вычислительных ресурсов, взаимодей
ствующих с БД
• Оптимизация производительности БД
• Оптимизация компонентов вычислительной сети, взаимодейст
вующих с БД
• Оптимизация выполнения запросов к БД
• Оптимизация управления жизненным циклом данных, хранящихся
вБД
2. Предотвращение потерь и повреждений данных, включающее
следующие подзадачи:
• Разработка регламентов резервного копирования БД
• Контроль выполнения регламента резервного копирования
• Разработка стратегии резервного копирования БД
• Разработка регламентов восстановления БД
144
• Разработка автоматических процедур для создания резервных ко
пий БД
• Проведение процедуры восстановления данных после сбоя
• Контроль соблюдения регламента восстановления
• Анализ сбоев в работе БД и выявление их причин
• Разработка методических инструкций по сопровождению БД
• Мониторинг работы программно-аппаратного обеспечения БД
• Настройка работы программно-аппаратного обеспечения БД
• Подготовка
предложений
по
модернизации
программноаппаратных средств поддержки БД
• Прогнозирование и оценка рисков сбоев в работе БД
• Разработка автоматических процедур для горячего резервирования
БД
• Выполнение процедур по вводу в рабочий режим ресурсов горячей
замены
• Подготовка отчетов о функционировании БД
• Консультирование пользователей в процессе эксплуатации БД
• Подготовка предложений по повышению квалификации сотрудни
ков
3. Обеспечение информационной безопасности на уровне БД, со
стоящее в следующем:
• Разработка политики информационной безопасности на уровне БД
• Контроль соблюдения регламентов по обеспечению безопасности
на уровне БД
• Оптимизация работы систем безопасности с целью уменьшения на
грузки на работу БД
• Разработка регламентов и аудит системы безопасности данных
• Подготовка отчетов о состоянии и эффективности системы безо
пасности на уровне БД
• Разработка автоматизированных процедур выявления попыток не
санкционированного доступа к данным
4. Управление развитием БД
• Анализ системных проблем обработки информации на уровне БД,
подготовка предложений по перспективному развитию БД
• Разработка регламентов обновления версий программного обеспе
чения БД
• Разработка регламентов по миграции БД на новые платформы и но
вые версии ПО
• Изучение, освоение и внедрение в практику администрирования
новых технологий работы с БД
• Контроль обновления версий БД
• Контроль миграции БД на новые платформы и новые версии ПО
145
• Планирование организационной структуры подразделения и разви
тия кадрового потенциала
Microsoft SQL Server - система управления реляционными базами
данных (РСУБД), разработанная корпорацией Microsoft. Основной исполь
зуемый язык запросов - Transact-SQL, создан совместно Microsoft и
Sybase. Transact-SQL является реализацией стандарта ANSI/ISO по струк
турированному языку запросов (SQL) с расширениями. Используется для
работы с базами данных размером от персональных до крупных баз дан
ных масштаба предприятия; конкурирует с другими СУБД в этом сегменте
рынка.
Платформа Microsoft SQL Server обладает следующими основными
инструментами [12]:
• Аналоги SSMS
• Работасбэкапами
• Средства мониторинга и оповещений
• Встроенные инструменты SQL Server (например, bcp)
• Инструменты тестирования
• Генерация тестовых данных
• Средства по созданию документации
• Поисковые утилиты
• Инструменты по сравнению данных
• Инструменты по сравнению структуры базы данных
• Управление заданиями
• Управление индексами
• Работа со статистикой
• Проектирование баз данных
MS SQL Server включает средства управления для развитого управле
ния и настройки баз данных, так же, как и тесную интеграцию с такими
инструментами, как Microsoft Operations Manager (MOM) и Microsoft Sys
tems Management Server (SMS).
Стандартные протоколы доступа к данным существенно уменьшают
время, необходимое для интеграции данных SQL Server с существующими
системами.
Поддержка Web-служб позволяет обеспечить взаимодействие с дру
гими приложениями и платформами.
MS SQL Server предлагает интегрированные инструменты разработки
для ядра базы данных, извлечения, трансформации и загрузки данных, из
влечения информации, OLAP и отчётности, которые тесно интегрированы
с Microsoft Visual Studio® для предоставления сквозных возможностей
разработки приложений.
146
6.2. Обеспечение отказоустойчивости сервера баз данных
Зеркальное отображение базы данных - это решение, нацеленное на
повышение доступности базы данных SQL Server. Зеркальное отображение
каждой базы данных осуществляется отдельно и работает только с теми
базами данных, которые используют модель полного восстановления.
Зеркальное отображение базы данных — это простая стратегия обес
печения надежности, имеющая следующие преимущества:
• Повышает доступность базы данных.
• Повышает защиту данных.
• Повышает доступность рабочей базы данных при обновлениях.
Большинству предприятий требуются решения, обеспечивающие вы
сокую доступность всего экземпляра SQL Server, а не только отдельных
БД. Чтобы удовлетворить это требование, можно включать экземпляры
SQL Server 2008 вкластеры Microsoft Cluster Service. Клиенты восприни
мают кластер с восстановлением после сбоев как одиночный экземпляр
SQL Server 2008, однако при отказе одного из серверов такого кластера
осуществляется восстановление после сбоя, и нагрузка распределяется по
другим серверам кластера.
Некоторые ограничения прежних версий SQL Server не позволяли в
полной мере воспользоваться преимуществами кластерных решений. В ч а стности, кластерные решения должны были использовать одну букву дис
ка для каждого экземпляра SQL Server, а все узлы кластера должны были
относиться к одной и той же подсети. Вкластерныхсерверах SQL Server
2008, созданных на базе Windows Server 2008 (кодовое имя «Longhorn»),
эти ограничения отсутствуют, делая возможной более гибкую конфигура
цию кластеров.
Кроме того, для обслуживания критически важных приложений и
очень больших сред допускается создавать кластеры SQL Server 2008 с
числом узлов до 16 (при использовании поддержки кластеров Windows
Server 2008).
Отказоустойчивый кластер (англ. High-Availability cluster, HA cluster
— кластер высокой доступности) - кластер (группа серверов), спроектиро
ванный в соответствии с методиками обеспечения высокой доступности и
гарантирующий минимальное время простоя за счёт аппаратной избыточ
ности. Без кластеризации сбой сервера приводит к тому, что поддерживае
мые им приложения или сетевые сервисы оказываются недоступны до вос
становления его работоспособности. Отказоустойчивая кластеризация ис
правляет эту ситуацию, перезапуская приложения на других узлах класте
ра без вмешательства администратора в случае обнаружения аппаратных
или программных сбоев. Процесс перезапуска известен как аварийное пе
реключение. В рамках этого процесса программное обеспечение кластери
зации может дополнительно настроить узел перед запуском приложения на
нём (например, импортировать и смонтировать соответствующие файло147
вые системы, переконфигурировать сетевое оборудование или запустить
какие-либо служебные приложения).
Отказоустойчивые кластеры широко используются для поддержки
важных баз данных, хранения файлов в сети, бизнес-приложений и систем
обслуживания клиентов, таких как сайты электронной коммерции.
Реализации HA-кластеров представляют собой попытки достигнуть
отказоустойчивости кластера в целом путём исключения критических то
чек отказа, в том числе за счёт резервирования вычислительных мощно
стей, сетевых подключений и хранилищ данных, объединённых в избы
точную сеть хранения данных.
Моментальный снимок базы данных является статичным, доступным
только для чтения представлением базы данных SQL Server (базы данных источника). Моментальный снимок базы данных согласуется на уровне
транзакций с базой данных-источником в момент создания моментального
снимка. Моментальный снимок базы данных всегда находится на том же
экземпляре сервера, что и база данных-источник. При обновлении базы
данных-источника обновляется и моментальный снимок базы данных. Это
означает, что чем дольше существует моментальный снимок базы данных,
тем больше вероятность того, что он израсходует все доступное место на
диске.
Может существовать несколько моментальных снимков одной и той
же базы данных-источника. Каждый моментальный снимок базы данных
существует до тех пор, пока он не будет явно удален владельцем базы дан
ных.
Индекс является структурой на диске, которая связана с таблицей или
представлением и ускоряет получение строк из таблицы или представле
ния. Индекс содержит ключи, построенные из одного или нескольких
столбцов в таблице или представлении. Эти ключи хранятся в виде струк
туры сбалансированного дерева, которая поддерживает быстрый поиск
строк по их ключевым значениям в SQL Server.
Опция оперативного индекса позволяет одновременно производить
модификацию (вставки, изменения, удаления) таблицы или данных кла
стерного индекса и любых связанных индексов во время выполнения ко
манды DDL.
В MS SQL Server существует возможность выполнять операцию вос
становления во время работы экземпляра SQL Server.
Возможность оперативного восстановления улучшает доступность
SQL Server, так как недоступны только восстанавливаемые данные. Ос
тальная часть базы данных остаётся доступной.
Компонент SQL Server Database Engine автоматически изменяет ин
дексы при вставке, обновлении или удалении базовых данных. Со време
нем эти изменения могут привести к тому, что данные в индексе окажутся
разбросанными по базе данных (фрагментированными). Фрагментация
имеет место в тех случаях, когда в индексах содержатся страницы, для ко148
торых логический порядок, основанный на значении ключа, не совпадает с
физическим порядком в файле данных. Существенно фрагментированные
индексы могут серьезно снижать производительность запросов и служить
причиной замедления отклика приложения, особенно операций сканирова
ния.
Можно устранить фрагментацию путем реорганизации или пере
строения индекса. Для секционированных индексов, построенных на осно
ве схемы секционирования, можно использовать любой из этих методов
для всего индекса или отдельной его секции.
При перестроении старый индекс удаляется, и создается новый. Таким
образом, устраняется фрагментация, восстанавливается место на диске пу
тем сжатия страниц с учетом указанного или существующего коэффициен
та заполнения, переупорядочиваются индексные строки в последователь
ных страницах. Если A L L указано, то все индексы в таблице удаляются и
перестраиваются в ходе одной транзакции.
6.3. Интегрированная платформа для работы с
интеллектуальными ресурсами предприятия
В современном мире, данные и системы, управляющие данными,
должны быть постоянно защищены и доступны пользователям. MS SQL
Server включает главные улучшения управления данными предприятия в
следующих областях:
• Управляемость
• Доступность
• Масштабируемость
• Безопасность
MS SQL Server предоставляет единую консоль управления, которая
позволяет администраторам данных, отслеживать, управлять и настраивать
все базы данных и связанные службы по всему предприятию.
Серверное ПО предоставляет расширяемую инфраструктуру управле
ния средствами SQL Management Objects (SMO), позволяя пользователям
переделывать и расширять их среду управления.
SQL Server упрощает управление средствами единой интегрирован
ной консоли управления для мониторинга и управления реляционной ба
зой
данных
SQL
Server,
IntegrationServices,
AnalysisServices,
ReportingServices, NotificationServicesn SQL MobileHa большом числе
распределённых серверов и баз данных.
Администратор баз данных может выполнять следующие задачи:
• создание и выполнение запроса;
• просмотр серверных объектов;
• управление объектом;
• отслеживание активности системы;
• просмотр оперативной справки.
149
Возможности работы с интеллектуальными ресурсами предприятия
в MS SQL Server улучшены в следующих областях:
• Integration Services
• Analysis Services
• Reporting Services
• Интеграция с Microsoft Office System
Эти возможности реализованы в интегрированной платформе для ра
боты с интеллектуальными ресурсами предприятия.
Набор B I инструметов SQL Server предоставляет сквозную интегра
цию B I приложений. Business Intelligence Development Studio является пер
вой интегрированной средой разработки, созданной для разработчиков BI.
SQL Server Integration Services (SSIS) позволяют выполнять сложную
интеграцию данных, преобразования и синтеза на высокой скорости для
очень больших объёмов данных.
Модули Integration Services, Analysis Services и Reporting Services
взаимодействуют для предоставления цельного вида данных, полученных
из разнородных источников.
Data Mining включает новые алгоритмы, включая правило ассоциа
ции, временные ряды, регрессионные деревья, кластеризацию последова
тельностей, нейронные сети, простой Байес.
Reporting Services расширяют платформу B I Microsoft до уровня по
требителей, которые используют результаты анализа. Reporting Services
являются управляемой средой отчётов предприятия, встроенной и управ
ляемой через Web службы. Отчёты могут быть персонализированы и дос
тавлены во множестве форматов, с диапазоном интерактивных опций и
опций печати.
SQL Server Management Studio объединяет в себе функции управления
всеми компонентами SQL Server.
6.4. Обеспечение безопасности данных
MS SQL Server имеет улучшенную модель безопасности платформы
БД, с возможностью предоставить более точный и гибкий контроль для
обеспечения безопасности данных, характеризующуюся:
• применением политик для паролей учётных записей SQL Server в
области аутентификации;
• обеспечением большей модульности для указания разрешений на
различных уровнях в области авторизации;
• разделением владельца и схемы в области управления безопасно
стью.
Прежде чем перейти к средствам обеспечения отказоустойчивости,
перечислим основные причины повреждений баз данных:
• отключение питания сервера;
• дефекты оборудования.
150
• сбои самого сервера;
• повреждения индексов;
• повреждения таблиц;
• стихийные и техногенные бедствия;
• вредоносные программы;
• человеческий фактор.
Рассмотрим существующие средства обеспечения отказоустойчиво
сти. Oracle RAC - технология, обеспечивающая работу нескольких серве
ров Oracle с одной базой данных, при этом на каждом сервере функциони
рует отдельный экземпляр СУБД, однако все экземпляры работают с од¬
н и м и тем же файломданных. Такая структура позволяет обеспечить вы
сокую доступность и повысить производительность за счет того, что за
просы распределяются по нескольким серверам (узлам кластера). Выход из
строя одного узла не приводит к недоступности базы данных, а наличие
нескольких параллельно работающих узлов с динамическим распределе
нием нагрузки позволяет горизонтально масштабировать производитель
ность СУБД;
Oracle Data Guard представляет собой технологию синхронизации
данных из основной базы в резервную базу-копию, при этом может быть
обеспечено оперативное отражение изменений в режиме реального време
ни. Данная технология защищает от выхода из строя дискового массива
основной базы данных и позволяет быстро переключиться на резервную
базу данных, без существенных потерь времени. В Oracle Database 11g, в
технологию Oracle Data Guard внесен ряд усовершенствований, в частно
сти: возможность запускать запросы на чтение в режиме реального време
ни на резервной системе, возможность проводить обновления баз данных в
онлайн режиме, временно переводить резервную базу данных в режим
snapshot standby для проведения на ней тестов;
IBM DB2 pureScale - технология, предусматривающая доступ не
скольких серверов СУБД (аппаратных или виртуальных)кодной базе дан
ных I B M DB2, за счет чего достигается распараллеливание операций и
достигается высокий уровень отказоустойчивости, а также существенное
увеличение скорости обработки запросов, в особенности при выполнении
OLTP транзакций.Реализация технологии I B M DB2 pureScale предусмат
ривает наличие сервера-координатора, выполняющего функции централи
зованного управления блокировками, централизованного глобального кэ
ша для страниц данных (т.н. буферный пул группы group buffer pool) ит.д.;
DB2 HADR - технология, позволяющая создать высокодоступную ар
хитектуру СУБД DB2. Суть технологии заключается в наличии резервной
базы данных, и зеркалировании всех транзакций, выполняемых на основ
ной базе данных в резервную. При этом резервная база не активна, и н е
может использоваться для работы одновременно с основной (за исключе
нием операций «только на чтение», которые допустимо применять к ре151
зервной базе данных). В HADR есть 4 типа синхронизации между основ
ной и резервной базами: SYNC, NEARSYNC, ASYNC, SYPERASYNC. В
режиме SYNC за счет синхронного непрерывного отображения содержи
мого транзакционных логов из основной базы в резервную, ее состояние
может практически точно соответствует основной базе, и в случае выхода
ее из строя и переключения на резервную базу данных потери транзакций
не произойдет;
SQL Server Always On - технология обеспечения высокого уровня
доступности и отказоустойчивости для СУБД SQL Server, реализованная в
ПО MS SQL, начиная с версии SQL Server 2012. Функциональность
AlwaysOn реализуется на базе встроенных средств кластеризации Windows
Server Failover Cluster и включает два варианта реализации: Availability
Groups и Failover Cluster Instances. Группы доступности (Availability
Groups) подразумевают реплики базы данных, функционирующие на от
дельных узлах кластера, при этом выделяются первичные и вторичные ре
плики. Первичные реплики - базы данных с которыми непосредственно
происходит работа в режиме «чтение/запись», вторичные реплики являют
ся резервными, и предназначены для транслирования в них всех транзак
ций из журнала первичной реплики. Процесс применения транзакций к
вторичным репликам выстроен таким образом, что отказоустойчивость ба
зы данных при выходе из строя первичной реплики, осуществляется без
потери данных. Всего предусматривается возможность для создания до че
тырех реплик базы данных. Механизм контроля сбоя реализован без при
менения ресурса-свидетеля (witness), вместо которого используется опре
деления сбоя методом «голосования», то есть определение сбоя осуществ
ляется на основании контрольных данных состояния от большинства узлов
кластера. Кроме резервирования первичной реплики, вторичные реплики
выполняют роль доступа к данным в режиме «только на чтение», что по
зволяет наряду с обеспечением отказоустойчивости также достичь повы
шения производительности при выборке данных из базы.
В р е ж и м е FCI также предусматривается использование встроенного
механизма кластеризации Windows Server. Экземпляры базы данных также
функционируют на разных узлах кластера, однако в отличие от варианта с
Availability Groups, врежиме FCI существует одна общая база (вместо от
дельных реплик у каждого экземпляра). Активный экземпляр базы данных,
функционирующий на одном из узлов кластера принимает владение базой
данных, и в случае его выхода из строя, владение базой данных перехва
тывает экземпляр, функционирующий на другом узле кластера.
Восстановление базы данных - функция СУБД, которая в случае ло
гических и физических сбоев приводит базу данных в актуальное и конси
стентное состояние.
В случае логического отказа или сигнала отката одной транзакции
журнал изменений сканируется в обратном направлении, и все записи от
меняемой транзакции извлекаются из журнала вплоть до отметки начала
152
транзакции. Согласно извлеченной информации выполняются действия,
отменяющие действия транзакции. Этот процесс называется откат
(rollback).
В случае физического отказа, еслинижурнал изменений, ни сама база
данных не повреждены, то выполняется процесс прогонки (rollforward).
Журнал сканируется в прямом направлении, начиная от предыдущей кон
трольной точки. Все записи извлекаются из журнала вплоть до конца жур
нала. Извлеченная из журнала информация вносится в блоки данных
внешней памяти, у которых отметка номера изменений меньше, чем запи
санная в журнале. Если в процессе прогонки снова возникает сбой, то ска
нирование журнала вновь начнётся сначала, но восстановление фактиче
ски продолжится с той точки, где оно прервалось.
В случае физического отказа, если журнал изменений доступен, но
сама база данных повреждена, то должен быть выполнен процесс восста
новления базы из резервной копии. После восстановления база будет на
ходиться в состоянии на момент выполнения резервной копии. Для вос
становления базы данных на момент отказа необходимо выполнить про
гонку всех изменений, используя журнал изменений.
Вслучае физического отказа, если журнал изменений недоступен, но
сама база данных не повреждена, восстановление возможно только на мо
мент предыдущей контрольной точки.
В случае физического отказа, если повреждены как журнал измене
ний, так и сама база данных, то восстановление возможно только на мо
мент выполнения резервной копии.
6.5. Методы, модели и средства восстановления данных
SQL Server выполняются в контексте модели восстановления базы
данных. Модели восстановления предназначены для управления обслужи
ванием журналов транзакций. Модель восстановления — это свойство ба
зы данных, которое управляет процессом регистрации транзакций, опреде
ляет, требуется ли для журнала транзакций резервное копирование, атакже определяет, какие типы операций восстановления доступны. Существу
ет три модели восстановления: простая модель восстановления, модель
полного восстановления и модель восстановления с неполным протоколи
рованием. Обычно в базе данных используется модель полного восстанов
ления или простая модель восстановления. Базу данных можно в любой
момент переключить на использование другой модели восстановления.
Рассмотрим известные виды резервного копирования.
Полное копирование обычно затрагивает всю систему и все файлы.
Еженедельное, ежемесячное и ежеквартальное резервное копирование
подразумевает создание полной копии всех данных. Обычно оно выполня
ется тогда, когда копирование большого объёма данных не влияет на рабо
ту организации. Для предотвращения большого объёма использованных
153
ресурсов используют алгоритмы сжатия, а также сочетание этого вида с
другими: дифференциальным или инкрементным. Полное резервное копи
рование незаменимо в случае, когда нужно подготовить резервную копию
для быстрого восстановления системы с нуля.
При дифференциальном («разностном») резервном копировании каж
дый файл, который был изменён с момента последнего полного резервного
копирования, копируется каждый раз заново. Дифференциальное копиро
вание ускоряет процесс восстановления. Все копии файлов делаются в оп
ределённые моменты времени, что, например, важно при заражении виру
сами.
При добавочном («инкрементном») резервном копировании происхо
дит копирование только тех файлов, которые были изменены с тех пор, как
в последний раз выполнялось полное или добавочное резервное копирова
ние. Последующее инкрементное резервное копирование добавляет только
файлы, которые были изменены с момента предыдущего. Инкрементное
резервное копирование занимает меньше времени, так как копируется
меньшее количество файлов. Однако процесс восстановления данных за
нимает больше времени, так как должны быть восстановлены данные по
следнего полного резервного копирования, а также данные всех после
дующих инкрементных резервных копирований. В отличие от дифферен
циального копирования, изменившиеся или новые файлы не замещают
старые, а добавляются на носитель независимо.
Клонирование позволяет скопировать целый раздел или носитель
(устройство) со всеми файлами и каталогами в другой раздел или на дру
гой носитель. Если раздел является загрузочным, то клонированный раздел
тоже будет загрузочным.
Резервное копирование в виде образа предполагает создание точной
копии всего раздела или носителя (устройства), хранящаяся в одном файле.
Резервное копирование в режиме реального времени позволяет созда
вать копии файлов, каталогов и томов, не прерывая работу, без перезагруз
ки компьютера.
При холодном резервировании база данных выключена или закрыта
для потребителей. Файлы данных не изменяются, и копия базы данных на
ходится в согласованном состоянии при последующем включении.
При горячем резервировании база данных включена и открыта для по
требителей. Копия базы данных приводится в согласованное состояние пу
тём автоматического приложения к ней журналов резервирования по
окончании копирования файлов данных.
Врамках вашей стратегии резервного копирования вы, возможно, ре
шите выполнять полное резервное копирование раз в неделю и дополнять
его ежедневным, разностным или добавочным резервным копированием.
Преимущество полных резервных копий состоит в том, что они содержат
все выбранные вами файлы. Недостаток обычных резервных копий в том,
154
что они дольше создаются и занимают больше места, чем другие типы ре
зервных копий. Добавочные и разностные копии, с другой стороны, зани
мают меньше места и создаются быстрее, так как они являются частичны
ми. Их недостаток в том, что восстановление систем и файлов из добавоч
ных и резервных копий выполняется медленнее, чем при использовании
только обычной резервной копии. Чтобы понять, почему так происходит,
рассмотрим следующие примеры резервного копирования и восстановле
ния:
Обычное резервное копирование с ежедневным добавочным копиро
ванием. Полное резервное копирование выполняется каждое воскресенье,
а добавочное - с понедельника по субботу. Добавочная резервная копия,
созданная в понедельник, содержит изменения, выполненные с воскресе
нья. Добавочная копия, созданная во вторник, содержит изменения, вы
полненные с понедельника, и т д . Если сервер выйдет из строя в четверг и
вам будет необходимо восстановить его из резервной копии, вы сможете
сделать это, восстановив обычную резервную копию, созданную в воскре
сенье, добавочную копию, созданную в понедельник, добавочную копию,
созданную во вторник, и добавочную копию, созданную в среду, - именно
в таком порядке.
Обычное резервное копирование выполняется каждое воскресенье, а
разностное - с понедельника по субботу. Разностная копия, созданная в
понедельник, содержит изменения, выполненные с воскресенья, так же,
как и резервная копия, созданная во вторник, вереду, и т . д. Если сервер
выйдет из строя в четверг и вам надо будет восстановить его из резервной
копии, вы сможете сделать это, восстановив обычную резервную копию,
созданную в воскресенье, азатем - разностную копию, созданную в среду.
6.6. Технология RAID
Одним из распространённых средств обеспечения отказоустойчивости
сервера баз данных является RAID (англ. redundant array of
independent/inexpensive
disks) избыточный
массив
независи
мых/недорогих жёстких дисков - матрица из нескольких дисков управляе
мых контроллером, взаимосвязанных скоростными каналами и восприни
маемых как единое целое. В зависимости от типа используемого массива
может обеспечивать различные степени отказоустойчивости и быстродей
ствия. Служит для повышения надёжности хранения данных и/или для по
вышения скорости чтения/записи информации. RAID используется в не
скольких вариантах.
RAID 0 («Striping») представляет собой дисковый массив из 2 или бо
лее дисков, в котором информация разбита на блоки и последовательно за
писана на жесткие диски. Соответственно информация записывается и чи
тается одновременно, что увеличивает скорость.
155
К сожалению, при отказе одного из дисков информация необратимо
теряется, поэтому применяется либо в домашних условиях, либо для хра
нения файла подкачки, своп файла.
RAID 1 (Mirroring - «зеркалирование»). В данном случае один диск
полностью повторяет другой, что гарантирует работоспособность при по
ломке одного диска, но объем полезного пространства уменьшается вдвое.
Поскольку диски покупаются одновременно, в случае бракованной партии
возможен отказ обоих дисков. Скорость записи приблизительно равна ско
рости записи на один диск, возможно чтение сразу с двух дисков (если
контроллер поддерживает данную функцию), что увеличивает скорость.
Применяется чаще всего в малых офисах под базы данных, либо для
хранения операционной системы.
RAID 5. В данном случае все данные разбиваются на блоки и для ка
ждого набора считается контрольная сумма, которая хранится на одном из
дисков - циклически записывается на все диски массива (попеременно на
каждый), и используется для восстановления данных. Устойчив к потере
не более чем одного диска.
RAID 5 имеет высокие показатели чтения - информация считывается
почти со всех дисков, но уменьшенную производительность при записи требуется вычислять контрольную сумму. Но самая критичная операция
перезапись, так как она проходит в несколько этапов:
1) чтение данных;
2) чтение контрольной суммы;
3) сравнение новых и старых данных;
4) запись новых данных;
5) запись новой контрольной суммы.
RAID5 применяется при необходимости большого объема, ивысокой
скорости чтения.
RAID 10 (RAID 1+0). Сочетает в себе принципы RAID 0 и RAID 1.
При его применении каждый жесткий диск имеет свою «зеркальную пару»,
при это используется половина полезного объема. Работоспособен пока
существует один рабочий диск из каждой пары. Наиболее высокие показа
тели записи/перезаписи, сопоставимы с RAID 5 по скорости чтения. При
меняется для хранения баз данных, при высокой нагрузке.
RAID 6 (ADG). Логическое продолжение RAID 5. Отличие заключа
ется в том, что контрольная сумма высчитывается 2 раза, и, как следствие
имеет большую надежность (устойчив при поломке более 2 дисков), и
меньшую производительность.
Организация работы RAID обеспечивается RAID-контроллерами, ко
торые могут быть: встроенными в материнскую плату, внутренними (ввиде платы) и внешними.
7. ВЕБ-СЛУЖБЫ И СЕРВИСЫ. АДМИНИСТРИРОВАНИЕ
ИНТЕРНЕТ-УЗЛОВ
7.1. Понятие веб-службы, URI, URL. Структура URL
Веб-служба, веб-сервис (англ. web service) - это идентифицируемая
веб-адресом программная система со стандартизированными интерфейса
ми. Веб-службы могут взаимодействовать друг с другом и со сторонними
приложениями посредством сообщений, основанных на определённых
протоколах (SOAP, XML-RPC и т . д.) исоглашениях (REST). Веб-служба
при
использовании
сервисявляется
единицей
модульности
ориентированной архитектуры приложения.
В обиходе веб-сервисами называют услуги, оказываемые в Интернете.
В этом употреблении термин требует уточнения, идёт ли речь о поиске,
веб-почте, хранении документов, файлов, закладок и т. п. Такими вебсервисами можно пользоваться независимо от компьютера, браузера или
места доступа в Интернет. В основе сервисов лежат понятия URI и URL.
URI - это символьная строка, позволяющая идентифицировать какойлибо ресурс: документ, изображение, файл, службу, ящик электронной
почты и т. д. Прежде всего, речь идёт, конечно, о ресурсах сети Интернет и
Всемирной паутины. URI предоставляет простой и расширяемый способ
идентификации ресурсов. Расширяемость URI означает, что уже сущест
вуют несколько схем идентификации внутри URI, и ещё больше будет соз
дано в будущем.
Для доступа к любым сетевым ресурсам необходимо знать где они
размещены и как к ним можно обратиться. Во Всемирной паутине для об
ращения к веб-документам изначально используется стандартизованная
схема адресации и идентификации, учитывающую опыт адресации и иден
тификации таких сетевых сервисов, как e-mail, telnet, ftp ит.п. - URL, Uni
form Resource Locator.
URL (RFC 1738) - это унифицированный локатор (указатель) ресур
сов, стандартизированный способ записи адреса ресурса в www и с е т и И н тернет. Адрес URL имеет гибкую и расширяемую структуру для макси
мально естественного указания местонахождения ресурсов в сети. Для за
писи адреса используется ограниченный набор символов ASCII. Общий
вид адреса можно представить так:
://:@:/. Под схемой здесь подразумевается схема обращения к ресурсу,
под которой часто понимается протокол: http, ftp, gopher, mailto, news,
telnet, file, man, info, whatis, ldap, wais ит.п. Логин: пароль есть данные для
авторизации пользователя. Под хостом подразумевается доменное имя
хоста или его IP-адрес. Порт - это порт хоста для подключения. Полный
путь к ресурсу зависит от протокола.
158
7.2. Службы Интернет Windows Server. Возможности, режимы
работы
Службы Интернета - это системы, предоставляющие услуги пользо
вателям Интернета. Такие службы IIS (информационные службы Интерне
та) поставляются компанией Microsoft с операционными системами, начи
ная от Windows NT, и могут быть установлены как на сервер, так и на кли
ента. К услугам относятся: электронная почта, WWW, телеконференции,
списки рассылки, FTP, IRC, а также другие продукты, использующие Ин
тернет как среду передачи информации.
Услуги, предоставляемые Интернетом, можно разделить на две ос
новные категории.
1. Отложенные (off-line). Основным признаком этой группы является
наличие временного перерыва между запросом и получением информации.
2. Прямые (on-line). Характерны тем, что информация по запросу воз
вращается немедленно. Если от получателя информации требуется немед
ленная реакция на нее, то такая услуга носит интерактивный характер.
Самой первой и самой распространенной службой Интернета является
электронная почта (e-mail). Эта служба предоставляет услуги отложенного
чтения. Пользователь посылает сообщение, и адресат получает его на свой
компьютер через некоторый промежуток времени. Электронное письмо
состоит из заголовков, содержащих служебную информацию (об авторе
письма, получателе, пути прохождения по сети и т. д.), и содержимого
письма.
Электронное письмо можно снабдить цифровой подписью и зашиф
ровать. Скорость пересылки составляет в среднем несколько минут. При
этом стоимость электронной почты минимальна и не зависит от расстоя
ния. Основными достоинствами электронной почты являются простота,
дешевизна и универсальность.
Телеконференции - вторая по распространенности служба Интернета,
предоставляющая отложенные услуги.
Служба телеконференций состоит из множества тематических теле
конференций - групп новостей (newsgroup), поддерживаемых серверами
новостей. Сервер новостей - это компьютер, который может содержать
тысячи групп новостей самых разнообразных тематик. Каждый сервер но
востей, получивший новое сообщение, передает его всем узлам, с которы
ми он обменивается новостями. Группа новостей - это набор сообщений
по определенной теме. Новости разделены по иерархически организован
ным тематическим группам, и имя каждой группы состоит из имен поду
ровней. Например, конференция comp.sys.linux.setup принадлежит группе
«компьютеры», подгруппе «операционные системы», конкретнее - системе
Linux, а именно - её установке.
Существуют как глобальные иерархии, так и иерархии, локальные для
какой-либо организации, страны или сети. Набор групп, получаемых сер159
вером телеконференций, определяется его администратором и их наличием
на других серверах, с которыми данный сервер обменивается новостями.
Доступ к группам новостей осуществляется через процедуру подпис
ки, которая состоит в указании координат сервера новостей и выбора инте
ресующих пользователя групп новостей. Следует заметить, что каждый
сервер новостей имеет определенный набор конференций, и, если интере
сующая тематика на нем не найдена, можно попробовать использовать
другой сервер. Данная процедура, а также работа с группами новостей
осуществляется с помощью программного обеспечения, поддерживающего
эти функции, например, широко распространенным приложением компа
нии Microsoft Outlook Express.
В обсуждении темы телеконференции может участвовать множество
людей, независимо от того, где они находятся физически. Обычно, хотя
это и не является правилом, за порядком в конференциях следят специаль
ные люди, так называемые модераторы. В их обязанности входит поддер
жание порядка в конференции в соответствие с установленными в ней пра
вилами поведения и ее тематикой.
Наряду с описанной формой служб телеконференции широкое рас
пространение получили WWW-телеконференции, также называемые фо
румами. Отличие состоит в том, что они работают через web-интерфейс, и
размещаются не централизованно на серверах новостей, aHaweb-сайтах.
Списки рассылки (mail lists) - служба, не имеющая собственного про
токола и программы-клиента и работающая исключительно через элек
тронную почту.
Идея работы списка рассылки состоит в объединении под одним ад
ресом электронной почты адресов многих людей - подписчиков списка
рассылки. Когда письмо посылается на этот адрес, сообщение получают
все подписчики данного списка рассылки. Ведущими списка рассылки, как
правило, являются люди, хорошо владеющие его тематикой. Они отвечают
за подготовку и рассылку очередных выпусков. Получателями писем яв
ляются люди, собственноручно подписавшиеся на список. Кроме того, у
них есть право и возможность в любой момент отменить свою подписку.
Существуют открытые рассылки (для всех желающих), закрытые (для
людей определенного круга), бесплатные (существующие за счет энтузи
азма создателей, спонсорской поддержки, платных рекламодателей) и
платные.
В зависимости от числа подписчиков список рассылки обслуживается
на сервере программами различной сложности. Эти программы могут
обеспечивать или не обеспечивать полную функциональность, которая за
ключается в автоматической подписке клиентов и приеме их отказа от
подписки, проверке корректности электронных адресов, ведении архива
сообщений, обработке почтовых ошибок, поддержке работы в режиме
дайджеста (когда подписчик получает не каждое сообщение отдельным
160
письмом, а все сообщения за какой-то срок в одном письме), проверке со
общений администратором списка перед рассылкой и т. д.
Под словом чат (от английского chat) подразумеваются службы Ин
тернета, позволяющие проводить текстовые дискуссии в режиме реального
времени. От традиционной формы разговора их отличает то, что они ве
дутся в текстовом виде — путем набора текста на клавиатуре. Самым по
пулярным открытым стандартом, лежащим в основе чатов, является IRC
(InternetRelayChat).
IRC - это многопользовательская, предназначенная для чата многока
нальная сеть, с помощью которой пользователи могут беседовать в режиме
реального времени независимо от своего месторасположения.
Несмотря на то, что IRC существует достаточно много лет, в коммер
ческой деятельности современных компаний, например, в работе центров
обслуживания потребителей, этот стандарт практически не применяется.
Основным его предназначением остается обсуждение самого широкого
круга вопросов между пользователями Интернета.
В свое время чаты, в основе которых лежал стандарт IRC, получили
достаточно широкое распространение. Однако сегодня все более популяр
ными становятся чаты, проводимые на отдельных web-сайтах и в социаль
ных сетях, основывающиеся либо на языке HTML, либо на языке Java. Это
позволяет пользователям Интернета участвовать в них без установки до
полнительного программного обеспечения, используя только стандартный
браузер, тем самым число потенциальных участников становится макси
мальным. С другой стороны, возможность установки на корпоративном
сайте компании системы, обеспечивающей работу чата, позволяет широко
использовать эту службу в коммерческих целях, например, для обсужде
ния с потребителями тех или иных вопросов деятельности предприятия,
обсуждения продукции, системы обслуживания и т. д.
Промежуточное положение между электронной почтой и чатами по
динамичности и интерактивности общения занимают Интернет-пейджеры
или службы мгновенных сообщений. Интернет-пейджеры постепенно ста
новятся одними из самых популярных средств общения в Сети и по широ
те использования скоро смогут достичь электронную почту. Службы мгно
венных сообщений позволяют общаться в режиме реального времени, со
вмещая в себе преимущества электронной почты и телефона. Частью про
цесса обмена в подобных системах могут становиться текстовый диалог,
передача графики, голосовая и видео связь, обмен файлами. Примером по
добных программ служат Viber, WhatsApp, мобильные приложения круп
ных социальных сетей и др.
FTP (file transfer protocol) - это протокол передачи файлов, но при
рассмотрении FTP как службы Интернета имеется в виду не просто прото
кол, а именно служба доступа к файлам в файловых архивах. Одна изпри
чин достаточно высокой ее популярности объясняется огромным количе
ством информации, накопленной в FTP-архивах за десятилетия эксплуата161
ции компьютерных систем. Другая причина кроется в простоте доступа,
навигации и передачи файлов по FTP. Кроме того, FTP также служба пря
мого доступа, требующая полноценного подключения к Интернету.
WWW (World Wide Web) - служба прямого доступа, требующая пол
ноценного подключения к Интернету и позволяющая интерактивно взаи
модействовать с представленной на web-сайтах информацией. Это самая
современная и удобная служба Интернета. Она основывается на принципе
гипертекста и способна представлять информацию, используя все возмож
ные мультимедийные ресурсы: видео, аудио, графику, текст и т. д. Взаи
модействие осуществляется по принципу клиент-сервер с использованием
протокола передачи гипертекста (Hyper Text Transfer Protocol, HTTP). С
помощью протокола HTTP служба WWW позволяет обмениваться доку
ментами в формате языка разметки гипертекста - HTML (Hyper Text
Markup Language), который обеспечивает надлежащее отображение содер
жимого документов в браузерах пользователей.
Принцип гипертекста, лежащий в основе WWW, состоит в том, что
каждый элемент HTML-документа может являться ссылкой на другой до
кумент или его часть, при этом документ может ссылаться как на докумен
ты на этом же сервере, так и на других серверах Интернета. Ссылки WWW
могут указывать не только на документы, свойственные службе WWW, но
и на прочие службы и информационные ресурсы Интернета. Более того,
большинство программ-клиентов WWW - браузеров (browsers), обозрева
телей, или навигаторов, не просто понимают такие ссылки, но и являются
программами-клиентами соответствующих служб: FTP, сетевых новостей
Usenet, электронной почты и т. д. Таким образом, программные средства
WWW являются универсальными для различных служб Интернета, а сама
информационная система WWW выполняет по отношению к ним интегри
рующую функцию.
Необходимо подчеркнуть, что Интернет и WWW - это не тождест
венные понятия. Узкое определение Интернета представляет его как взаи
мосвязь компьютерных сетей на базе семейства протоколов TCP/IP, впространстве которой становится возможным функционирование протоколов
более высокого уровня, в том числе протокола передачи гипертекста
(HTTP) - протокола WorldWideWeb, гипертекстового сервиса доступа к
удаленной информации. Кроме WorldWideWeb, на этом уровне (он назы
вается прикладным или уровнем приложений) действуют и другие прото
колы, например, электронной почты (РОРЗ, SMTP, IMAP), общения в ре
жиме реального времени (IRC) и групп новостей (NNTP).
Таким образом, WorldWideWeb - это одна из служб Интернета, кото
рая предлагает простой в использовании интерфейс и дает возможность
пользователям, даже не слишком хорошо знающим компьютер, получать
доступ к web-службам в любой части Интернета.
В отдельную группу можно выделить службы Интернета, не имеющие
сегодня такого широкого распространения, как те, о которых было расска162
зано ранее и не имеющие всеми признанных единых стандартов. В и х о с нове также лежит использование Интернета как среды передачи информа
ции. В частности, к этой группе можно отнести:
- средства передачи голоса по каналам связи Интернета, предостав
ляющие услуги телефонной и факсимильной связи;
- программные средства для проведения видео- иаудио- конференций
через Интернет;
- системы широковещательной передачи мультимедийной информа
ции.
Особую группу составляют службы Интернета, поддерживаемые од
ной из групп его участников и причисляемые в данной категории благода
ря глобальному характеру предоставляемых ими услуг по поиску инфор
мации. Поиск информации является сегодня одной из ключевых проблем
Интернета, так как количество представленных в нем web-страниц сегодня
оценивается более чем в несколько сотен миллионов. Кроме того, воснове
проблем поиска информации лежат такие причины, как множественность и
фрагментарность источников, большое количество различных способов
хранения данных, дефицит времени на выборку и обработку информации,
стоимость получения информации, ненадежность данных, постоянное об
новление и добавление информации.
Ниже перечислены основные инструменты поиска информации в Ин
тернете, которым удается в значительной степени преодолевать вышена
званные трудности:
Поисковые машины (spiders, crawlers). Основная функция поисковых
машин состоит в исследовании Интернета с целью сбора данных о сущест
вующих в нем web-сайтах и выдаче по запросу пользователя информации
oweb-страницах, наиболее полно удовлетворяющих введенному запросу.
Каталоги представляют собой иерархически организованную темати
ческую структуру, в которую, в отличие от поисковых машин, информация
заносится по инициативе пользователей. Добавляемая страница жестко
привязывается к принятым в каталоге категориям.
Мета-средства поиска позволяют усовершенствовать процесс путем
запуска одновременно нескольких поисковых средств. Этот способ значи
тельно повышает скорость, однако не позволяет воспользоваться возмож
ностями построения сложных запросов, предлагаемыми большинством со
временных систем поиска.
7.3. Обеспечение безопасности в веб-службах
Одним из важнейших условий широкого применения Интернета было
и остается обеспечение адекватного уровня безопасности для всех тран
закций, проводимых через него. Это касается информации, передаваемой
между пользователями, информации сохраняемой в базах данных торго
вых систем, информации, сопровождающей финансовые транзакции.
163
Понятие безопасности информации можно определить, как состояние
устойчивости информации к случайным или преднамеренным воздействи
ям, исключающее недопустимые риски ее уничтожения, искажения и рас
крытия, которые приводят к материальному ущербу владельца или пользо
вателя информации. Поскольку Сеть полностью открыта для внешнего
доступа, то роль этих методов очень велика. Большая значимость фактора
безопасности также отмечается многочисленными исследованиями, прово
димыми в Интернете.
Решить проблемы безопасности призвана криптография - наука об
обеспечении безопасности данных. Криптография и построенные на ее ос
нове системы призваны решать следующие задачи:
1. Конфиденциальность. Информация должна быть защищена от не
санкционированного доступа как при хранении, так и при передаче. Дос
туп к информации может получить только тот, для кого она предназначена.
Обеспечивается шифрованием.
2. Аутентификация. Необходимо однозначно идентифицировать от
правителя, при однозначной идентификации отправитель не может отка
заться от послания. Обеспечивается электронной цифровой подписью и
сертификатом.
3. Целостность. Информация должна быть защищена от несанкциони
рованного изменения как при хранении, так и при передаче. Обеспечивает
ся электронной цифровой подписью.
В соответствии с названными задачами основными методами обеспе
чения безопасности выступают шифрование, цифровая подпись и серти
фикаты.
Осуществляя сделки в Сети, в первую очередь необходимо убедиться,
что важная информация надежно скрыта от посторонних лиц. Этому слу
жат технологии шифрования, преобразующие простой текст в форму, ко
торую невозможно прочитать, не обладая специальным шифровальным
ключом. Благодаря данным технологиям можно организовать безопасную
связь по общедоступным незащищенным каналам Интернета.
Любая система шифрования работает по определенной методологии,
включая в себя один или более алгоритмов шифрования (математических
формул), ключи, используемые этими алгоритмами, а также систему
управления ключами.
Согласно методологии шифрования, сначала к тексту применяются
алгоритм шифрования и ключ для получения из него шифрованного тек
ста. Затем шифрованный текст передается к месту назначения, где тот же
самый алгоритм и ключ используются для его расшифровки, чтобы полу
чить первоначальный текст. В методологию шифрования также входят
процедуры создания ключей и их распространения.
Наиболее распространены алгоритмы шифрования, которые объеди
няют ключ с текстом. Безопасность систем такого типа зависит от конфи
денциальности ключа, используемого в алгоритме шифрования, а н е о т
164
конфиденциальности самого алгоритма, который может быть общедосту
пен и благодаря этому хорошо проверен. Но основная проблема, связанная
с этими методами, состоит в безопасной процедуре генерации и передачи
ключей участникам взаимодействия.
В настоящее время существует два основных типа криптографических
алгоритмов:
1. Классические, или симметричные алгоритмы, основанные на ис
пользовании закрытых, секретных ключей, когда и шифрование, идешифрирование производятся с помощью одного и того же ключа.
2. Алгоритмы с открытым ключом, в которых используются один от
крытый и один закрытый ключ, то есть операции шифрования производят
ся с помощью разных ключей. Эти алгоритмы называются также асиммет
ричными.
Каждая методология требует собственных способов распределения
ключей и собственных типов ключей, а также алгоритмов шифрования и
расшифровки ключей.
Технология шифрования с секретным ключом (симметричный алго
ритм) требует, чтобы оба участника зашифрованной переписки имели
доступ к одному и тому же ключу. Это необходимо, так как отправитель
использует ключ для зашифровки сообщения, а получатель применяет его
же для расшифровки. Как следствие, возникает проблема безопасной пере
дачи этого ключа.
Алгоритмы симметричного шифрования используют ключи не очень
большой длины и могут быстро шифровать большие объемы данных.
Порядок использования систем с симметричными ключами выглядит
следующим образом:
1. Безопасно создается, распространяется и сохраняется симметрич
ный секретный ключ.
2. Отправитель использует симметричный алгоритм шифрования вме
сте с секретным симметричным ключом для получения зашифрованного
текста.
3. Отправитель передает зашифрованный текст. Симметричный сек
ретный ключ никогда не передается по незащищенным каналам связи.
4. Для восстановления исходного текста, получатель применяет к за
шифрованному тексту тот же самый симметричный алгоритм шифрования
вместе с тем же самым симметричным ключом, который уже есть у него.
Для решения проблемы распространения ключей при использовании
симметричных методов шифрования на основе результатов, полученных
классической и современной алгеброй, были предложены системы с от
крытым ключом, или асимметричные криптосистемы. Суть их состоит в
том, что каждым адресатом генерируются два ключа, связанные между со
бой по определенному правилу. Хотя каждый из пары ключей подходит
как для шифрования, так и для дешифрирования, данные, зашифрованные
одним ключом, могут быть расшифрованы только другим.
165
Один ключ объявляется открытым, а другой закрытым. Открытый
ключ публикуется и доступен любому, кто желает послать сообщение ад
ресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется
открытым ключом адресата и передается ему. Зашифрованный текст не
может быть расшифрован тем же открытым ключом. Дешифрирование со
общения возможно только с использованием закрытого ключа, известного
лишь самому адресату.
Криптографические системы с открытым ключом используют так на
зываемые необратимые или односторонние функции.
Понятие односторонней функции было введено в теоретическом ис
следовании о защите входа в вычислительные системы. Функция f(x) назы
вается односторонней (one-way function), если для всех значений х из ее
области определения легко вычислить значения y=f(x), но вычисление об
ратного значения практически неосуществимо. То есть по заданному зна
чению ув нельзя найти такое значение хв, для которого f(x0)=y>0. «Практи
чески неосуществимо» в данном случае означает, что требуется такой ог
ромный объем вычислений, который при существующем уровне развития
техники невозможно реализовать.
Множество классов необратимых функций порождает все разнообра
зие систем с открытым ключом.
Алгоритмы шифрования с открытым ключом получили широкое рас
пространение в современных информационных системах. Известно не
сколько криптосистем с открытым ключом. Наиболее развита на сегодня
система RSA, предложенная еще в 1978 г. Алгоритм RSA назван по пер
вым буквам фамилий его авторов: Р. Л. Райвеста (R. L. Rivest), А. Шамира
(A. Shamir) и Л . Адлемана (L. Adieman). Этот алгоритм стал мировым фак
тически признанным стандартом для открытых систем и рекомендован
МККТТ (Международный Консультативный Комитет по телефонии и те
леграфии). Также используются алгоритмы: ECC (криптосистема на осно
ве эллиптических кривых), алгоритм Эль-Гамаля.
Следует отметить, что алгоритмы систем шифрования с открытым
ключом можно использовать в качестве следующих инструментов: • как
самостоятельные средства защиты передаваемых и хранимых данных; •
как средства для распределения ключей (алгоритмы систем шифрования с
открытым ключом более трудоемки, чем традиционные криптосистемы,
поэтому на практике часто бывает рационально передать ключи, объем
информации в которых незначителен с их помощью, а потом с помощью
обычных алгоритмов осуществлять обмен большими информационными
потоками); как средства аутентификации пользователей (для создания
электронной цифровой подписи).
Все асимметричные криптосистемы являются объектом атак, в кото
рых применяется прямой перебор ключей, поэтому для обеспечения экви
валентного уровня защиты в них должны использоваться гораздо более
166
длинные ключи, чем в симметричных криптосистемах. Можно привести
следующие приблизительные данные об эквивалентности длин ключей.
Для того чтобы избежать низкой скорости алгоритмов асимметрично
го шифрования, методы шифрования с открытым ключом часто использу
ют для шифрования небольших объемов информации, например, для шиф
рования секретного ключа, на основе которого далее производится крипто
графическое закрытие информации симметричными методами.
Шифрование передаваемых через Интернет данных позволяет защи
тить их от посторонних лиц. Однако для полной безопасности должна
быть уверенность в том, что второй участник транзакции является тем ли
цом, за которое он себя выдает. В бизнесе наиболее важным идентифика
тором личности заказчика является его подпись. В электронной коммерции
применяется электронный эквивалент традиционной подписи - цифровая
подпись. С ее помощью можно доказать не только то, что транзакция была
инициирована определенным источником, но и то, что информация не бы
ла испорчена во время передачи.
Как и в шифровании, технология электронной подписи использует
либо секретный ключ (в этом случае оба участника сделки применяют
один и тот же ключ), либо открытый ключ (при этом требуется пара клю
чей - открытый и личный). И в данном случае более просты в использова
нии и более популярны методы с открытым ключом (такие, как RSA)
Хэш-функции являются одним из важных элементов криптосистем на
основе ключей и используются для обнаружения факта модификации со
общения, то есть для электронной подписи. Их относительно легко вычис
лить, но почти невозможно расшифровать. Хэш-функция имеет исходные
данные переменной длины и возвращает строку (иногда называемую дай
джестом сообщения - MD) фиксированного размера, обычно 128 бит.
Существует несколько защищенных хэш-функций: Message Digest 5
(MD-5), Secure Hash Algorithm (SHA) и д р . Они гарантируют, что разные
документы будут иметь разные электронные подписи, и что даже самые
незначительные изменения документа вызовут изменение его дайджеста.
Рассмотрим, как работает технология цифровой подписи, использую
щая алгоритм RSA. Предположим, вы хотите послать сообщение. В э т о м
случае порядок работы следующий:
1. При помощи хеш-функции вы получаете дайджест - уникальным
образом сжатый вариант исходного текста.
2. Получив дайджест сообщения, вы шифруете его с помощью лично
го ключа RSA, и дайджест превращается в цифровую подпись.
3. Вы посылаете вместе с самим сообщением цифровую подпись.
4. Получив послание, получатель расшифровывает цифровую под
пись с помощью вашего открытого ключа и извлекает дайджест сообще
ния.
5. Получатель, применяя для сообщения ту же хэш-функцию, что и
вы, получает свой сжатый вариант текста и сравнивает его с дайджестом,
167
восстановленным из подписи. Если они совпадают, то это значит, что под
пись правильная и сообщение действительно поступило от вас. В против
ном случае сообщение либо отправлено из другого источника, либо было
изменено после создания подписи.
При аутентификации личности отправителя открытый и личный клю
чи играют роли, противоположные тем, что они выполняли при шифрова
нии. Так, в технологии шифрования открытый ключ используется для за
шифровки, а личный - для расшифровки. При аутентификации с помощью
подписи все наоборот. Кроме того, подпись гарантирует только целост
ность и подлинность сообщения, но не его защиту от посторонних глаз.
Для этого предназначены алгоритмы шифрования. Например, стандартная
технология проверки подлинности электронных документов DSS (Digital
Signature Standard) применяется в США компаниями, работающими с го
сударственными учреждениями. Однако у технологии RSA более широкие
возможности в силу того, что она служит как для генерации подписи, так и
для шифрования самого сообщения. Цифровая подпись позволяет прове
рить подлинность личности отправителя: она основана на использовании
личного ключа автора сообщения и обеспечивает самый высокий уровень
сохранности информации.
Как было сказано выше, основной проблемой криптографических сис
тем является распространение ключей. В случае симметричных методов
шифрования эта проблема стоит наиболее остро, поэтому при шифровании
данных для передачи ключей через Интернет чаще всего используются
асимметричные методы шифрования.
Асимметричные методы более приспособлены для открытой архитек
туры Интернета, однако и здесь использование открытых ключей требует
их дополнительной защиты и идентификации для определения связи с сек
ретным ключом. Без такой дополнительной защиты злоумышленник может
выдать себя за отправителя подписанных данных или за получателя за
шифрованных данных, заменив значение открытого ключа или нарушив
его идентификацию. В этом случае каждый может выдать себя за другое
лицо. Все это приводит к необходимости верификации открытого ключа.
Для этих целей используются электронные сертификаты.
Электронный сертификат представляет собой цифровой документ, ко
торый связывает открытый ключ с определенным пользователем или при
ложением [13]. Для заверения электронного сертификата используется
электронная цифровая подпись доверенного центра - ЦС (Центра Серти
фикации). Исходя из функций, которые выполняет ЦС, он является основ
ным компонентом всей инфраструктуры открытых ключей (ИОК или PKI
- Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользо
ватель может проверить достоверность электронного сертификата, выпу
щенного ЦС, и воспользоваться его содержимым.
Для того чтобы сертификатам можно было доверять, независимая ор
ганизация, выполняющая функции ЦС и являющаяся их источником,
168
должна быть достаточно авторитетной. В настоящее время наиболее из
вестным
источником
сертификатов являются
компании Thawte
(www.thawte.com) и VeriSign (www.verisign.com), однако существуют и
другие системы, такие как World Registry (IBM), Cyber Trust (GTE) и En
trust (Nortel). В России дистрибьютором сертификатов SSL компании
Thawte сегодня является «РосБизнесКонсалтинг» (www.rbc.ru).
Технология цифровых сертификатов работает следующим образом.
Чтобы воспользоваться сертификатом, потенциальный покупатель должен,
прежде всего, получить его в надежном источнике. Для этого ему необхо
димо каким-то образом доказать подлинность своей личности, возможно,
явившись в эту организацию и предъявив соответствующий документ, а
также передать источнику сертификатов копию своего открытого ключа.
После этого при желании купить что-либо через Интернет, ему будет дос
таточно добавить к заказу свою электронную подпись и копию сертифика
та. Отдел обслуживания покупателей фирмы, в которой он совершил по
купку, проверяет сертификат, чтобы убедиться, что к заказу приложен
подлинный открытый ключ, а также выясняет, не аннулирован ли серти
фикат.
Следует отметить, что технология цифровых сертификатов является
двунаправленной. Это значит, что не только фирма может проверить под
линность заказа покупателя, но и сам покупатель имеет возможность убе
диться, что он имеет дело именно с той фирмой, за которую она себя выда
ет. Осуществив взаимную проверку, обе стороны спокойно заключают
сделку, так как обладают подлинными открытыми ключами друг друга и,
соответственно, могут шифровать передаваемые данные и снабжать их
цифровой подписью. Такой механизм обеспечивает надежность сделки,
ибо в этом случае ни одна из сторон не сможет отказаться от своих обяза
тельств.
Протоколы и стандарты безопасности
Описанные выше методы обеспечения безопасности являются осно
вой построения большинства Интернет-систем. Это могут быть системы
обмена информацией или платежные системы. Важность вопросов безо
пасности для их организации очень велика. Так, согласно проводимым ис
следованиям, одной из основных причин медленного роста электронной
коммерции сегодня остается озабоченность покупателей надежностью
средств, применяемых при расчетах в Интернете. Основные причины
обеспокоенности связаны со следующими факторами.
1. Отсутствие гарантии конфиденциальности - кто-либо может пере
хватить передаваемые данные и попытаться извлечь ценную информацию,
например, данные о кредитных картах. Это может произойти как во время
передачи информации, так и непосредственно после совершения покупки
через торговые web-сайты.
2. Недостаточный уровень проверки (аутентификации) участников
операции - покупатель, посещая электронный магазин, не уверен, что
169
представленная на нем компания именно та, за кого она себя выдает, а у
продавца нет возможности проверить, что покупатель, сделавший заказ,
является законным обладателем кредитной карты.
3. Нет гарантии целостности данных - даже если отправитель данных
может быть идентифицирован, то третья сторона может изменить их во
время передачи.
Наиболее распространенными механизмами, призванными устранить
указанные факторы и обеспечить безопасность проведения электронных
платежей через Интернет сегодня являются:
1. Протокол SSL (Secure Socket Layer), обеспечивающий шифрование
передаваемых через Интернет данных;
2. Стандарт SET (Secure Electronic Transactions), разработанный ком
паниями Visa и MasterCard и обеспечивающий безопасность и конфиден
циальность совершения сделок при помощи пластиковых карт.
Протокол SSL - один из существующих протоколов обмена данными,
обеспечивающий шифрование передаваемой информации. Внастоящее
время это наиболее распространенный метод защиты электронных тран
закций в Интернете.
Протокол SSL является стандартом, основанным на криптографии с
открытыми ключами. Протокол обеспечивает защиту данных, передавае
мых в сетях TCP/IP по протоколам приложений за счет шифрования и ау
тентификации серверов и клиентов. Это означает, что шифруется вся ин
формация, передаваемая и получаемая web-браузером, включая URLадреса, все отправляемые сведения (такие, как номера кредитных карт),
данные для доступа к 3 a K p b i T b i M w e b - c a f t T a M (имя пользователя и пароль), а
также все сведения, поступающие cweb-серверов.
Протокол SSL позволяет решить часть названных проблем безопасно
сти, однако его роль в основном ограничивается обеспечением шифрова
ния передаваемых данных. Поэтому для комплексного решения перечис
ленных выше проблем была разработана спецификация и создан набор
протоколов, известные как стандарт SET (Secure Electronic Transaction) безопасные электронные транзакции.
Официальной датой введения стандарта SET является 1 февраля 1996
г. В этот день Visa International и MasterCard International совместно с ря
дом технологических компаний объявили о разработке единого открытого
стандарта защищенных расчетов через Интернет с использованием пласти
ковых карт [14]. В декабре 1997 г. была создана некоммерческая организа
ция SETCo LLC, призванная координировать работы по развитию стандар
та и осуществлять тестирование и сертификацию предлагаемого на рынке
программного обеспечения для обеспечения контроля над соответствием
этого программного обеспечения спецификациям SET.
Благодаря использованию цифровых сертификатов и технологий
шифрования, SET позволяет как продавцам, так и покупателям произво
дить аутентификацию всех участников сделки. Кроме того, SET обеспечи170
вает надежную защиту номеров кредитных карт и другой конфиденциаль
ной информации, пересылаемой через Интернет, а открытость стандарта
позволяет разработчикам создавать решения, которые могут взаимодейст
вовать между собой. Также важным фактором, обеспечивающим продви
жение SET, является его опора на существующие карточные системы,
ставшие привычным финансовым инструментом с отлаженной технологи
ей и правовым механизмом.
Воснове системы безопасности, используемой SET, лежат стандарт
ные криптографические алгоритмы DES и RSA. Инфраструктура SET по
строена в соответствии с инфраструктурой открытого ключа (Public Key
Infrastructure, PKI) на базе сертификатов, соответствующих стандарту
X.509, утвержденному организацией по стандартизации (ISO).
Главная особенность SET - регламентация использования системы
безопасности, которая устанавливается международными платежными
системами [15]. Требования Visa и Europay к центру обработки на основе
SET включают, во-первых, традиционные требования к обработке пласти
ковых карт (защита помещений, контроль над доступом, резервное энерго
снабжение, аппаратная криптография и т. п.), и, во-вторых, специфические
дополнения - межсетевые экраны (firewalls) для защиты каналов Интерне
та. Такой подход позволяет использовать единые методики оценки рисков
при проведении электронных платежей вне зависимости от способа аутен
тификации клиента (традиционная карта с магнитной полосой, смарт-карта
или цифровой сертификат). Это позволяет участникам платежной системы
разрешать спорные ситуации по отработанным механизмам и сконцентри
роваться на развитии своего электронного бизнеса.
SET обеспечивает следующие требования защиты операций электрон
ной коммерции:
• секретность данных оплаты и конфиденциальность информации за
каза, переданной вместе с данными об оплате;
• сохранение целостности данных платежей, которая обеспечивается
при помощи цифровой подписи;
• специальную криптографию с открытым ключом для проведения
аутентификации;
• аутентификацию держателя кредитной карты, которая обеспечива
ется применением цифровой подписи и сертификатов держателя карты;
аутентификацию продавца и его возможности принимать платежи по пла
стиковым картам с применением цифровой подписи и сертификатов про
давца;
• подтверждение того, что банк продавца является действующей ор
ганизацией, которая может принимать платежи по пластиковым картам че
рез связь с обрабатывающей системой, что обеспечивается с помощью
цифровой подписи и сертификатов банка продавца;
171
• готовность оплаты транзакций в результате аутентификации серти
фиката с открытым ключом для всех сторон;
• безопасность передачи данных посредством использования крипто
графии.
SET позволяет сохранить существующие отношения между банком,
держателями карт и продавцами, и объединяется с действующими систе
мами, опираясь на открытость, международные стандарты платежных сис
тем, лежащие в его основе, а т а к ж е технологии и правовые механизмы,
существующие в финансовой отрасли.
Как известно, после геополитических событий 2014 года, когда ино
странные платёжные системы поставили под угрозу использование денеж
ных средств на банковских картах граждан России, российское правитель
ство было вынуждено запустить работы по созданию национальной пла
тёжной системы «МИР», независимой от иностранных компаний. На сего
дняшний день платёжная система введена в действие и успешно функцио
нирует.
После появления карты МИР за безопасность отвечала система
MirAccept, которую разработали наши специалисты, но она базировалась
на основе стандарта 3D Secure 1.0, созданного Visa [16]. Данная система
безопасности платежа в интернете основывается на том, что держателю
карты, который собирается оплатить товар или услугу онлайн, высылается
на мобильный телефон одноразовый пароль для подтверждения транзак
ции.
Пока все кары МИР работали на основе системы безопасности
MirAccept 1.0 версии, разработчики национальной платежной системы со
общили, что ими разработана новая платформа для безопасности платежей
в интернете версии 2.0. Новая система также базировалась на протоколе
3D Secure только версии 2.0, а о н а принадлежит не Visa, a EMVCo являю
щейся международной организацией, определяющей стандарты в области
электронной коммерции.
MirAccept версии 2.0 даст возможность владельцам карт МИР совер
шенно безопасно совершать платежи как на компьютерах, так и в мобиль
ных телефонах, планшетах и так далее.
Также осталась идентификация плательщика по одноразовому паро
лю, высылаемого в CMC-сообщении, и добавилась функция более глубо
кого анализа таких параметров как частота транзакций держателя карты
МИР, анализ устройств, с которых производится оплата и тому подобное.
Другими словами, новая система учитывает множество рисков и дополни
тельно защищает клиента от кражи денег с карты.
Все банки, выпускающие карты на основе национальной платёжной
системы МИР, уже переходят на новую систему безопасности MirAccept
2.0 идля тех, кто недавно оформил карты, первый год обслуживания будет
бесплатным.
172
7.4. Администрирование веб-служб и веб-узлов, построение вебпредставительства компании
Веб-узел - это информационный ресурс, дающий возможность пре
доставлять доступ к информации, организовать работу пользователей с
информационной системой. Веб-узел обеспечивает хранение и упорядочи
вание информационных ресурсов (документов, графических объектов,
ссылок, файлов мультимедиа).
Администрирование веб-узла предполагает решение следующих за
дач:
1. Управление содержимым веб-узла.
2. Обеспечение доступности и целостности хранимой информации.
3. Разграничение доступа к различным областям и объектам веб-узла.
4. Выполнение резервного копирования и восстановления данных.
5. Мониторинг производительности веб-приложения.
6. Аудит работы пользователей.
Построение веб-узла включает ряд подзадач:
• разработка информационного массива, хранящего данные;
• организация доступа к данным информационного ресурса;
• разработка наборов программных модулей для отбора и обработки
информации;
• разработка интерфейсных форм для организации работы с систе
мой.
Доступ к информационным ресурсам информационной системы орга
низуется с использованием архитектуры двухуровневого клиент-сервера.
Серверное решение включает в себя компьютер с установленным про
граммным обеспечением (платформой Microsoft):
• серверная операционная система, например, MS Windows Server;
• веб-сервер и необходимые серверные расширения, такие как ASP,
службы Windows SharePoint Services - решение для совместной работы на
основе веб-технологий;
• система управления базами данных, например, MS SQL Server;
• другие информационные ресурсы - гипертекстовые страницы, гра
фические файлы, другие документы.
Клиентами выступают персональные компьютеры с установленным
программным обеспечением - веб-клиентами (браузерами). Пользователи
системы - это лица, участвующие в процессе движения информации, по
рождающие информационные потоки.
В качестве пользователей выступают такие категории лиц:
• администраторы системы, осуществляющий общее администриро
вание и поддержку информационной системы;
• руководители организации и подразделений, осуществляющие кон
троль за работой сотрудников, просмотр и корректировка информации, от
носящейся к его деятельности;
173
• сотрудники, выполняющие ввод оперативной и иной информации,
просмотр результатов обработки данных в соответствии с правилами безо
пасности и должностными обязанностями;
• анонимные пользователи системы, просматривающие общедоступ
ную информацию.
Для хранения и обработки информации используются различные
средства управления, например, СУБД MS SQL Server, программные мо
дули обработки информации и ее представления в удобном для пользова
теля виде (средства генерации отчетов). Информация может быть пред
ставлена как статическими файлами, так и динамическими структурами,
генерируемыми в процессе работы информационной системы.
Интерфейсные формы информационной системы должны обеспечить
возможности просмотра и изменения данных, хранящихся в базах данных
информационной системы, различными группами пользователей. Для ото
бражения информации в информационных системах, основанных на webтехнологии, наиболее часто используются документы в формате html.
Использование языка HTML позволяет вывести в окне браузера раз
нообразную информацию, включающую форматированный текст, графи
ческую информацию, мультимедиа-информацию и т.п.
Представление данных в информационной системе обеспечивается
посредством набора интерфейсных формы. Возможным подходом к орга
низации интерфейса пользователя является реализация в виде вебприложений на основе различных технологий типа ASP.NET - Active
Server Pages. Данный подход позволяет обеспечить гибкое управление со
держимым портала и представлением данных. Технология ASP является
ключевой технологией разработки динамических web-страниц в рамках
решений Microsoft.
Технология ASP обладает гибкостью в использовании, позволяет соз
давать на веб-сервере динамические интерактивные страницы. Страницы
могут формироваться с учетом того типа браузера, который установлен на
машине пользователя. Сценарий ASP выполняется как внутренний процесс
сервера. Обработка сценариев является многопотоковым процессом.
Процесс создания динамических страниц с помощью сценариев ASP
может быть разделен на несколько этапов:
• браузер запрашивает ASP-страницу с web-сервера;
• ASP-файл загружается в машину обработки сценариев;
• выполняются команды файла сценария на стороне web-сервера;
• загружаются ADO-объекты, которые образуют интерфейс между
web-страницами и различными типами источников данных (отдельные
файлы, базы данных SQL-сервера);
• вызов баз данных и подстановка информации в web-страницы;
• отправка сгенерированных страниц в браузер клиента.
174
Системный администратор не всегда управляет веб-представительством
на всех уровнях, включая физический. Платформа для корпоративного веб
сайта может предоставляться и сторонней организацией, и в этом случае
задачи администратора ограничиваются логическим построением веб-узла и
управлением им через консоль, предоставляемую
разработчиком
платформы, однако в этом случае следует учитывать, что контроль веб-узла
не будет полностью находиться в руках отвечающего за него администра
тора, соответственно, и работоспособность такого веб-представительства
будет во многом зависеть от компании, которая предоставляет программноаппаратную платформу. Распространённым способом построения вебпредставительства является применение систем управления контентом,
о которых пойдёт речь в последнем параграфе.
7.5. Системы управления контентом
Любой Web-сайт состоит из набора страниц, а различия заключаются
лишь в том, как они организованы. Существует два вида организации Webсайта - статический и динамический. В первом случае специалисты, отве
чающие за создание и поддержку сайта, пишут в HTML-форме каждую в
отдельности страницу, включая ее оформление и контент. Во втором - в
основе любой Web-страницы лежит шаблон, определяющий расположение
в о к н е Web-браузера всех компонентов страницы, и вставка конкретной
информации производится с использованием стандартных средств, не тре
бующих от участника процесса знания языка HTML и достаточно сложных
для неспециалиста процедур публикации Web-страницы.
Если сайт состоит из множества страниц или он должен часто обнов
ляться, то преимущество динамической организации становится очевид
ным. Разработчикам Web-сайта не надо переписывать всю страницу при
изменении ее информационного наполнения или дизайна. Страницы не
хранятся целиком, а формируются динамически при обращении к ним.
Таким образом, отделение дизайна от контента является главной от
личительной особенностью динамических сайтов от статических. На этой
основе возможны дальнейшие усовершенствования структуры сайта, такие
как определение различных пользовательских функций и автоматизация
бизнес-процессов, а самое главное, контроль поступающего на сайт кон
тента.
Для создания динамического сайта возможны два пути. Во-первых,
это написание собственных программ, отвечающих за создание нужных
шаблонов и поддерживающих необходимые функции. При этом созданная
система будет полностью отвечать потребностям, однако возможно потре
бует больших программистских усилий и времени. Второй путь - это вос
пользоваться уже существующими системами, которые и называются сис
темами управления Web-контентом. Преимуществом этого пути является
уменьшение затрат времени и сил. К его недостаткам можно отнести сни175
жение гибкости, предоставление недостаточного или чрезмерного набора
возможностей.
Под контентом (дословный перевод английского термина content, оз
начающего содержание, содержимое) понимают информационное напол
нение сайта - то есть все типы материалов, которые находятся на сервере:
web-страницы, документы, программы, аудиофайлы, фильмы и так далее.
Таким образом, управление контентом - это процесс управления подоб
ными материалами. Он включает следующие элементы: размещение мате
риалов на сервере, удаление материалов с сервера, когда в них больше нет
необходимости, организацию (реорганизацию) материалов, возможность
отслеживать их состояние.
Системы управления контентом (в английском языке существует ус
тоявшийся термин - Content Management Systems или, сокращенно, CMS) это программные комплексы, автоматизирующие процедуру управления
контентом.
Функции систем управления контентом можно разделить на несколь
ко основных категорий:
1. Создание - предоставление авторам удобных и привычных средств
создания контента.
2. Управление - хранение контента в едином репозитории. Это позво
ляет следить за версиями документов, контролировать, кто и когда их из
менял, убеждаться, что каждый пользователь может изменить только тот
раздел, за который он отвечает. Кроме того, обеспечивается интеграция с
существующими информационными источниками и ИТ-системами. CMS
поддерживает контроль над рабочим потоком документов, т.е. контроль за
процессом их одобрения. Таким образом, управление контентом включает
в себя хранение, отслеживание версий, контроль за доступом, интеграцию
с другими информационными системами и управление потоком документов.
3. Публикация - автоматическое размещение контента на терминале
пользователя. Соответствующие инструменты автоматически адаптируют
внешний вид страницы к дизайну всего сайта.
4. Представление - дополнительные функции, позволяющие улуч
шить форму представления данных; например, можно строить навигацию
по структуре репозитория.
Системы управления контентом делятся на четыре основных катего
рии, которые частично перекрываются:
1. Системы управления исходными кодами традиционно поддержи
вают управление исходными кодами программ, и часто предоставляют не
который web-интерфейс, который может использоваться внутри корпора
тивной сети, а также вне ее для параллельной работы с исходными кодами.
2. Системы управления документами предназначены для организаций,
оперирующих с большим количеством документов, например, офисы
больших компаний, редакции и страховые компании.
176
3. Системы управления web-контентом представляют собой новую
индустрию программных продуктов. Эти системы предназначены для раз
работки и управления Web-сайтами различной степени сложности. Обыч
но такие системы поддерживают и некоторый тип управления потоками
работ.
4. Системы электронной коммерции - обеспечивают хранение и
управление электронными каталогами товаров. По сути, эти системы не
значительно отличаются друг от друга. Самое главное отличие этих систем
- это люди, которые их используют.
Использование CMS предоставляет следующие преимущества:
1. Оперативное обновление информации - информацию публикует со
трудник, владеющий информацией, без дополнительных посредников в
виде технических специалистов. CMS предназначены для автоматизации
процесс публикации информации на web-сайте, предоставляя пользовате
лям возможность самим публиковать материалы в WWW иопределять их
визуальное представление, используя для этого стандартные средства, не
требующие знания языка HTML и достаточно сложных для неспециалиста
процедур. Спомощью CMS можно, не будучи профессиональным разра
ботчиком, создавать и модифицировать информационное наполнение сай
тов.
2. Снижение стоимости поддержки - обновление информации произ
водится самостоятельно, нет необходимости оплачивать труд собственного
или внешнего web-мастера. Снижение стоимости происходит за счет сни
жения потерь времени на поиски документов,пресечения дублирования и
ошибок, увеличения скорости связи с партнерами и клиентами.
3. Предоставление дополнительных сервисов пользователю - часть
сервисов - поиск, форумы, голосования и т.д., требуют интерактивного
взаимодействия с пользователем. Они уже реализованы в рамках CMS.
4. Уменьшение сроков и стоимости разработки - наиболее востребо
ванная функциональность уже реализована в CMS и может быть сразу ис
пользована.
5. Повышение качества разработки - при разработке полностью или
частично используются готовые модули, которые уже прошли неодно
кратное тестирование.
6. Снижение стоимости дальнейших модификаций - CMS позволяют
разделить данные и их представление. Это позволяет гораздо проще изме
нить внешний вид сайта, чем в случае со статическим сайтом.
Среди CMS-систем часто выделяют так называемые каркасы (content
management framework, CMF) - инструментарии для создания системы.
Разработкой систем управления контентом занимаются многие ком
пании, в том числе крупнейшие разработчики информационных техноло
гий - IBM, Microsoft, Oracle, Macromedia.
В последнее время начали появляться организации, пытающиеся объ
единить разработчиков CMS, создать единую информационную среду для
177
потенциальных пользователей подобных систем, продвигать и утверждать
единые стандарты. Прежде всего, это ассоциации OSCOM (Open Source
Content Management), и CMSWatch.
OSCOM утвердила такие стандарты, как WebDav, RSS, ATOM и JSR170.
В свою очередь, CMSWatch ежегодно выпускает отчет, включающий
в себя обзор рынка CMS-систем, сравнение некоторых из них, описание
жизненного цикла контента и управления им в CMS-системах.
Существует классификация CMS, основанная на модели представле
ния данных - объектной, сетевой или модульной [18].
Объектная модель представления данных оперирует такими понятия
ми, как класс и объект. Классы определяют структуру данных и представ
ляют собой набор атрибутов (текстовая строка, целое число, изображение
ит.д.). Экземпляры класса (объекты) имеют определенную структуру и
могут содержать другие объекты, образуя произвольную иерархическую
структуру. Объекты могут наследовать свойства, содержание и поведение
объектов, которые в них содержатся. Примерами объектов служат доку
менты, картинки, папки и учетные записи пользователей. Класс контента
не хранит в себе реальных данных - такую информацию содержат объекты
(экземпляры класса). Определив один класс, можно создать множество его
представителей (контент объектов).
В CMS-системах данные обычно хранятся в реляционной или объект
ной базе данных. В первом случае объектная модель данных отображается
на реляционную модель базы данных.
Как правило, системы, основанные на объектно-ориентированной мо
дели данных, наиболее функциональные, гибкие, но, в то же время, инаиболее сложные.
Сетевая модель представления данных опирается на теорию графов:
структура информации представляется в виде узлов с помеченными связя
ми между ними. Фундаментом системы может служить как сетевая, так и
традиционная реляционная СУБД, на которую отображена сетевая модель
описания данных. В реляционных таблицах хранится информация об уз
лах, их атрибутах и связях между ними. Связь отличается от атрибута тем,
что в ней хранится ссылка на другой узел, а в атрибуте — собственно зна
чение. Для извлечения данных из направленного графа обычно использу
ются рекурсивные процедуры обработки, такие как составление списков
узлов, определение атрибутов узла по атрибутам родителя и др.
В модульных системах контент разделен на отдельные модули по ти
пам содержимого. Структура данных зависит от модуля, и вся работа с
контентом сосредоточена внутри модуля. Модули независимы и полно
стью отвечают за работу с документами данного типа. Документы описы
ваются с помощью фиксированного набора характеристик - типы доку
ментов строго фиксированы. Расширять функциональность можно за счет
добавления нового модуля, замены или редактирования существующего
178
кода. Чаще всего нет никакой системы связей между документами разных
модулей и между документами одного и того же модуля. Стандартный на
бор типов контента (модулей) таков: ссылки, статьи, файлы, новости, раз
делы, форум.
Несмотря на очевидную ограниченность модели данных, системы на
ее основе наиболее популярны благодаря своей простоте. У модульных
CMS-систем есть один общий недостаток - строго фиксированная в преде
лах модуля структура содержимого. Однако для расширения их функцио
нальности можно воспользоваться внешними модулями, которых в Сети
немало. Очевидное преимущество этих систем — возможность получения
почти полностью готового к использованию портала за короткое время.
Пользователи
^
Шаблоны
оформления-
*;
HacrpotraCMS
Дизайнеры
^
Группа внедрения
^ ^ Управление пользователям
^
Администраторы
Контент—
Авторы контента
Рисунок 15 - Схема функционирования CMS
Основная идея систем управления контентом - разделение визуально
го дизайна сайта и его информационного наполнения. При создании сайта
с помощью такой системы разрабатывается набор шаблонов страниц, в к о торых впоследствии размещается информация. В этом случае роль разра
ботчиков (фактически это группа внедрения) ограничивается только соз
данием "начальной" информационной системы на основе системы управ
ления контентом, затем пользователи сами публикуют требуемую инфор
мацию и определяют ее представление. Управление сайтом сводится к ми
нимуму, - администратору остается только управлять пользователями.
Пользователи CMS делятся на две группы - создатели шаблонов
страниц и авторы контента (информационного наполнения). Таким обра-
179
зом, одна группа пользователей создает структуру и оформление страниц,
а другая наполняет его содержанием.
Функции систем управления контентом структурированы согласно
жизненному циклу системы.
Сначала группа внедрения разворачивает ядро CMS и создает в СУБД
информационное хранилище контента - БД. Далее администратор предос
тавляет доступ к системе различным пользователям, затем создается кон
тент, он публикуется, и к н е м у применяются шаблоны оформления.
На первом этапе необходимо создать все типы контента и схемы их
метаописаний, а также настроить систему на определенный поток работ
(если система поддерживает создание потоков работ, а не использует
единственный встроенный). Понятие типа контента аналогично понятию
класса, а элементы контента представляют собой набор экземпляров таких
"классов". Типами контента являются, например, текст и изображение; эк
земпляром контента конкретный документ или картинка.
Следующая важная возможность - хранение информации о версии
контента. Это позволяет задать номер версии любых операций изменения
контента и при необходимости восстановить его. В любой момент можно
отказаться от изменений и, практически в режиме реального времени, от
катиться на одну из предыдущих зафиксированных версий. Строгий кон
троль версий необходим для определения ответственности отдельных лиц,
а также для резервного и аварийного восстановления системы.
Кроме управления контентом, система должна предоставлять возмож
ность создавать метаданные о нем. Метаданные - это сведения о данных,
свойства данных. Примером метаданных служат ключевые (характерные)
слова документов, предназначенные для поисковых или отчетных систем.
Системы управления контентом, рассматриваемые в данном обзоре, не
поддерживают метаданные, хотя можно специально ввести дополнитель
ные типы контента, представляющие собой метаданные.
После того, как все типы контента созданы, авторы информационного
наполнения начинают создавать, изменять и удалять элементы контента
указанного типа. CMS уже содержит некоторый набор визуальных компо
нентов, например, для редактирования текста, выбора изображений, выбо
ра шаблона представления.
Кроме непосредственно редактирования элементов контента, необхо
димо предусмотреть разбиение контента по категориям или рубрикам.
В качестве решения проблемы представления в системах управления
контентом используется технология шаблонов, определяющих внешний
вид страницы. Разработчику шаблонов не нужно знать никаких техниче
ских тонкостей. На ранних этапах существования WWW шаблоны пред
ставляли "заготовки" HTML-кода, из которого путем манипуляций в
HTML-редакторе получались готовые страницы. Сегодня такими заготов
ками манипулируют уже не дизайнеры в своих редакторах, а серверные
web-приложения. Таким образом, современный шаблон Web-страницы
180
представляет собой блок HTML, который благодаря специальным тегам
или внедренным сценариям, облегчает включение динамически сгенериро
ванного содержания на этапе выполнения. При использовании подобных
шаблонов программистам необходим некоторый стандартизированный ин
терфейс для работы с ними - шаблонный движок (в английском языке су
ществует устоявшийся термин - template engine), который может иметь
разнообразные дополнительные функции, например, поддерживать кэши
рование шаблонов, их динамическое обновление и т.д.
Механизм публикации информации в системе управления контентом
отвечает за процесс создания, редактирования и удаления шаблонов стра
ниц, а также за сопоставление типов контента и шаблонов страниц. В с о став дополнительных возможностей системы публикации может входить
предварительная генерация статической версии сайта. Эта опция очень по
лезна в случае размещения информационной системы на оборудовании с
ограниченными возможностями.
Типичный процесс публикации информации в World Wide Web реали
зован в Microsoft Content Management Server. Обычным приемом обеспече
ния оформления информационного наполнения являются шаблоны пред
ставления информации. Поэтому первым этапом процесса является созда
ние наборов шаблонов. Типичный шаблон содержит разметку HTML и
места, куда в дальнейшем будут вставлены данные (placeholder'bi в терми
нологии Microsoft). Далее на основе этих шаблонов авторы информацион
ного наполнения создают страницы и представляют их редакторам для
одобрения. Редакторы, в свою очередь, могут либо отклонить страницу и
вернуть ее автору на доработку, либо одобрить ее и передать модератору
сайта. В первом случае процесс повторяется снова, во втором же модера
тор сайта проверяет расположение страницы на сайте, дату и срок ее пуб
ликации. Если все в порядке, страница становится видна пользователям.
Несмотря на то, что рабочий процесс в Microsoft Content Management
Server фиксирован и не может быть изменен в дальнейшем, подобное ре
шение подходит большинству пользователей, которым необходимо публи
ковать информацию в World Wide Web.
Управление пользователями включает создание, изменение и удале
ние учетных записей отдельных пользователей и их групп, атакже назна
чение прав для работы с элементами контента. Важной частью требований
является наличие пользовательских профилей (profiles), с помощью кото
рых можно сгенерировать персональное представление информации для
каждого пользователя. Полезной является и возможность пользователя де
легировать свои права. Это позволяет пользователям переназначать испол
нителя конкретной работы и избегать простоев из-за отсутствия отдельно
го лица.
Системы управления контентом управляют учетными записями поль
зователей на основе собственных групп, не используя существующие
идентификационные системы, например, Windows. Аутентификация сред181
ствами Windows позволила бы значительно упростить администрирование.
При этом система управления контентом могла бы использовать операци
онную систему локального компьютера или контролера домена для про
верки и сопровождения учетной записи пользователя.
Представление информации создается на основе данных, а также
предпочтений конкретного пользователя. Персонификация достигается пу
тем использования профилей - специальных записей, в которых хранится
информация, специфичная для конкретных пользователей.
В самом общем виде архитектуру систем управления Web-контентом
можно представить следующим образом (рис. 16).
Управление
контентом
PG
ѳ
Езэа да нных
Ф а йлова я
систе ма
Рисунок 16 - Архитектура CMS
В основе данной технологии лежит трёхзвенная архитектура кли
ент/сервер. Такая архитектура разбивает процесс обработки данных между
клиентом, сервером приложений и хранилищем данных. В отличие от тра
диционной двухзвенной архитектуры здесь присутствует сервер приложе
ний как промежуточное звено между клиентом и хранилищем данных.
В системе присутствует два хранилища. Впервом (обычно реляцион
ная СУБД) хранятся все данные, которые публикуются на сайте. Во втором
(обычно файловая система) хранятся элементы представления - шаблоны,
графические изображения и т.д.
Получая запрос, сервер приложений обрабатывает его, связываясь с
хранилищем данных, в каком бы месте необходимые данные не находи
лись. Клиент лишь получает результат в виде HTML-файла. Таким обра
зом, сервер приложений является стандартизованной платформой для ди
намической доставки контента и построения основных приложений. Сер
веров приложений может быть много, а с в я з ь с н и м и происходит через
Web-сервер.
На сегодняшний день существует множество систем управления кон
тентом. Все CMS можно разделить на платные и бесплатные. Основным
и самым главным преимуществом платных CMS является полноценная
техническая поддержка. Это значит, что администратор в любой момент
может позвонить или написать специалистам, которые занимались разра
боткой CMS, и задать все интересующие вопросы, на которые впоследст
вии должен получить грамотные и развернутые ответы. Кроме того, что
Вы покупаете полностью настроенный и готовый к работе продукт, кото182
рый не требует никаких посторонних вмешательств в настройки, чего
нельзя сказать о бесплатных системах управления контентом. Другими
словами, после установки данной CMS на сервер, можно сразу же присту
пать к созданию сайта, и этот сайт будет корректно выполнять свои функ
ции. Например, если Вы создаёте интернет-магазин, то все функции по
купки, оплаты и доставки будут однозначно правильно работать, и В а м
ничего не нужно будет менять в настройках, а уж тем более, в исходном
коде.
Главным преимуществом бесплатных систем управления контентом
является то, что они бесплатные. Кроме того, в интернете большое число
бесплатных плагинов, модулей и шаблонов для этих CMS, спомощью ко
торых можно создать сайт абсолютно любой сложности. Однако со всем
этим разнообразием дополнений Вам придется разбираться самостоятель
но, и если Вы собираетесь сделать более-менее серьёзный сайт на бесплат
ной CMS, то Вам не обойтись без базовых знаний HTML, CSS, а может
быть и PHP.
Если взять в качестве примера интернет-магазин, то его разработка на
платной CMS займёт у начинающего пользователя около недели. Такой же
магазин на бесплатной системе управления контентом придется разраба
тывать больше времени. Таким образом, если у Вас много свободного вре
мени, есть навыки работы с компьютером, желание и интерес много рабо
тать, то есть все шансы создать сайт, который не будет уступать по красоте
и функционалу проектам, созданным на платных CMS.
Рассмотрим основные виды платных и бесплатных CMS, самые попу
лярные и часто используемые. Среди бесплатных выделяются следующие:
1. Joomla! Пожалуй, самая популярная на сегодняшний день бесплат
ная система управления контентом. Имеет множество модулей, пла
гинов и дополнений. Вместе с этим Joomla! имеет много ненужных
вещей, которые снижают производительность системы, а также соз
даёт множество дублей страниц, что не очень хорошо для продвиже
ния.
2. WordPress. Еще одна не менее популярная система. Изначально, раз
рабатывалась для создания блогов. Но, как показала практика, с п о мощью WordPress можно создавать корпоративные сайты, в том чис
ле интернет-магазины. Для WordPress также создано множество бес
платных плагинов, имеется документацию на русском языке.
3. Drupal. Еще одна бесплатная система управления контентом. В
большей степени это новостная система. Подходит для создания ин
тернет-сообществ, форумов или блогов, однако на ней можно соз
дать абсолютно любой сайт.
4. Ucoz. Здесь всё совсем просто. Чтобы создать сайт, необходимо про
сто зарегистрироваться на официальном сайте Ucoz. Вам даже не
обязательно знать HTML. Ucoz - это конструктор сайтов в самом
прямом смысле этого слова. Кроме того, Вам даже не придётся тра183
5.
6.
7.
1.
2.
3.
титься на хостинг, ucoz его предоставит. Впрочем, сервис является
условно бесплатным, и если Вы хотите, чтобы Ваш сайт был в без
рекламном пространстве, и он не относится к категории социальных,
то лучше и в этом сервисе пользоваться платными услугами.
PHPShop.CMS Free. Полностью бесплатная система с открытым ис
ходным кодом. На сайте разработчика можно найти шаблоны и мо
дули, которые встраиваются в CMS. Подходит для создания коммер
ческих корпоративных сайтов, а самое интересное - можно создавать
интернет-магазины. Техподдержка организована в виде форума.
Wolf CMS. Активно развивающаяся CMS, распространяется на усло
виях Free Software и опубликованная под GNU General Public License
v.3. Написана, как и большинство современных систем, на PHP.
Главным преимуществом этой системы является низкая требова
тельность к ресурсам и простота использования. Исходный код сайта
виден прямо в панели администратора. Однако для работы с ней по
требуются некоторые знания HTML и PHP.
OpenCMS. Созданный группой европейских разработчиков бесплат
ная система, которая подойдйт для профессиональной разработки
сайтов. Как и в Wolf CMS, здесь не так много готовых модулей и
шаблонов, поэтому, по большей части, придется всё делать само
стоятельно. Довольно быстрая и безопасная система.
К популярным платным система относятся:
1С-Битрикс. Самая популярная на сегодняшний день платная систе
ма управления контентом, на которой построен в том числе и офици
альный сайт Юго-Западного государственного университета. Систе
ма отличается большой разницей стоимости версий, которая заклю
чается в наличии тех или иных модулей. Так, на базовой лицензии
можно сделать, максимум, сайт-визитку. А для того, чтобы создать
интернет-магазин, потребуется существенно более дорогая лицензия.
Но для организации это не очень большие деньги, поэтому профес
сиональные разработчики сайтов активно используют эту CMS.
NetCat. Для её использования не требуется специальных знаний язы
ков программирования или разметки. В системе реализованы раз
личные функциональные возможности, например, интерактивное
общение с посетителями сайта. Стоит эта CMS гораздо дешевле Битрикс.
UMI.CMS. «Коробочная» CMS, которая позволяет управлять сайтом
и контентом без входа в административный интерфейс. Таким обра
зом, по заверению разработчиков, сайт может администрировать да
же ребёнок. Но на деле всё оказывается не так просто. Проблемы на
чинаются уже на стадии установки на хостинг, интерфейс также не
отличается удобством.
184
4. DataLife Engine подходит для новостных сайтов и имеет среднюю
стоимость. Можно найти достаточно модулей расширения, чтобы
создать многофункциональный сайт. Очень хорошо оптимизирован
для продвижения SEO-специалистами. Можно использовать бес
платную demo-версию, только с некоторыми ограничениями - за
крыт исходный код, ограничение на количество новостей и коммен
тариев.
5. HostCMS. Коммерческая система управления контентом, которая
имеет несколько вариантов лицензирования, в том числе бесплатную
версию. В бесплатной версии отсутствуют следующие модули: поиск
по сайту, формы, резервное копирование, пользователи сайта, фай
ловый менеджер, форумы, реклама и несколько других.
6. Amiro.CMS. Разработчики позиционируют эту систему, как самую
быструю CMS рунета. Система позволяет создавать и поддерживать
сайты любого уровня сложности. Одной из особенностей данной
CMS можно считать быструю настройку. Так, с готовым шаблоном
можно соорудить сайт за несколько часов.
В заключение можно сказать, что каждая существующая система
имеет свои достоинства и недостатки, поэтому каждый системный адми
нистратор по-своему определяет, какой продукт будет наиболее подходя
щим для организации и для управления контентом.
Контрольные
вопросы
1. Что такое веб-служба?
2. Что такое URL?
3. Что такое URI?
4. Что такое IRC?
5. Что такое FTP?
6. Что такое WWW?
7. Назовите функции криптографических систем.
8. Что означает понятие симметричного шифрования?
9. Что означает понятие асимметричного шифрования?
10. Что такое электронная подпись?
11. Что такое хэш-функция?
12. Что такое электронный сертификат?
13. Какие требования защиты операций обеспечивает SET?
185
Задание
На виртуальной машине с установленной операционной системой
Windows Server добавить роль веб-сервера и сервера приложений с под
держкой веб-сервера (IIS), общим доступом к TCP-портам и активацией
через HTTP. Для веб-сервера должна быть установлена служба FTPсервера. С помощью диспетчера служб IIS создать тестовый сайт, разме
щаемый на данном сервере.
Зарегистрироваться на сервисе ucoz.ru, создать тестовый сайт, изучить
средства создания и управления сайтом на данной платформе, после чего
удалить сайт.
186
8. ВИРТУАЛИЗАЦИЯ
В широком смысле, понятие виртуализации представляет собой со
крытие настоящей реализации какого-либо процесса или объекта от ис
тинного его представления для того, кто им пользуется [19]. Продуктом
виртуализации является нечто удобное для использования, на самом деле,
имеющее более сложную или совсем иную структуру, отличную от той,
которая воспринимается при работе с объектом. Иными словами, происхо
дит отделение представления от реализации чего-либо. В компьютерных
технологиях под термином «виртуализация» обычно понимается абстрак
ция вычислительных ресурсов и предоставление пользователю системы,
которая «инкапсулирует» (скрывает в себе) собственную реализацию.
Проще говоря, пользователь работает с удобным для себя представлением
объекта, и для него не имеет значения, как объект устроен в действитель
ности.
Сам термин «виртуализация» в компьютерных технологиях появился
в шестидесятых годах прошлого века вместе с термином «виртуальная
машина», означающим продукт виртуализации программно-аппаратной
платформы. В то время виртуализация была, скорее, интересной техниче
ской находкой, чем перспективной технологией. Разработки в сфере вир
туализации в шестидесятых-семидесятых годах проводились только ком
панией IBM. С появлением в компьютере I B M M44/44X эксперименталь
ной системы пэйджинга, впервые был употреблен термин «виртуальная
машина» (virtual machine), который заменил более ранний термин «псев
домашина» (pseudo machine). Затем в мэйнфреймах I B M серии System
360/370, можно было использовать виртуальные машины для сохранения
предыдущих версий операционных систем. До конца девяностых годов
никто кроме I B M так и не решался использовать эту оригинальную техно
логию всерьез. Однако в девяностых годах стали очевидны перспективы
подхода виртуализации: с ростом аппаратных мощностей, как персональ
ных компьютеров, так и серверных решений, вскоре представится возмож
ность использовать несколько виртуальных машин на одной физической
платформе.
В 1997 году компания Connectix выпустила первую версию Virtual PC
для платформы Macintosh, а в 1998 году VMware запатентовала свои тех
ники виртуализации. Компания Connectix впоследствии была куплена кор
порацией Microsoft, a VMware корпорацией EMC, и на данный момент обе
эти компании являются двумя основными потенциальными конкурентами
на рынке технологий виртуализации в будущем. Потенциальными - пото
му что сейчас VMware безоговорочный лидер на этом рынке, однако у
Microsoft, как всегда, есть козырь в рукаве.
Со времени своего появления термины «виртуализация» и «виртуаль
ная машина» приобрели множество различных значений и употреблялись в
187
разных контекстах. Давайте попробуем разобраться с тем, что такое вир
туализация на самом деле.
Понятие виртуализации условно можно разделить на две фундамен
тально различающиеся категории:
• виртуализация платформ - продуктом этого вида виртуализации
являются виртуальные машины - некие программные абстракции, запус
каемые на платформе реальных аппаратно-программных систем;
• виртуализация ресурсов - данный вид виртуализации преследует
своей целью комбинирование или упрощение представления аппаратных
ресурсов для пользователя и получение неких пользовательских абстрак
ций оборудования, пространств имен, сетей и т. п.
Рисунок 17 - Виды виртуализации
Под виртуализацией платформ понимают создание программных сис
тем на основе существующих аппаратно-программных комплексов, зави
сящих или независящих от них. Система, предоставляющая аппаратные
ресурсы и программное обеспечение, называется хостовой (host), асимулируемые ей системы — гостевыми (guest). Чтобы гостевые системы мог
ли стабильно функционировать на платформе хостовой системы, необхо
димо, чтобы программное и аппаратное обеспечение хоста было достаточ
но надежным и предоставляло необходимый набор интерфейсов для дос
тупа к его ресурсам. Есть несколько видов виртуализации платформ, в к а ждом из которых осуществляется свой подход к понятию «виртуализация».
Виды виртуализации платформ зависят от того, насколько полно осущест
вляется симуляция аппаратного обеспечения. До сих пор нет единого со
глашения о терминах в сфере виртуализации, поэтому некоторые из при
веденных далее видов виртуализации могут отличаться от тех, что предос
тавят другие источники.
Различают следующие виды виртуализации платформ:
1. Полная эмуляция (симуляция).
При таком виде виртуализации виртуальная машина полностью виртуализует все аппаратное обеспечение при сохранении гостевой опе
рационной системы в неизменном виде. Такой подход позволяет
эмулировать различные аппаратные архитектуры. Например, можно
188
запускать виртуальные машины с гостевыми системами для x86процессоров на платформах с другой архитектурой (например, на
RISC-серверах компании Sun). Долгое время такой вид виртуализа
ции использовался, чтобы разрабатывать программное обеспечение
для новых процессоров еще до того, как они были физически дос
тупными. Такие эмуляторы также применяют для низкоуровневой
отладки операционных систем. Основной минус данного подхода за
ключается в том, что эмулируемое аппаратное обеспечение весьма и
весьма существенно замедляет быстродействие гостевой системы,
что делает работу с ней очень неудобной, поэтому, кроме как для
разработки системного программного обеспечения, а также образо
вательных целей, такой подход мало где используется. Примеры
продуктов для создания эмуляторов: Bochs, PearPC, QEMU (без ус
корения), Hercules Emulator.
2. Частичная эмуляция (нативная виртуализация).
В этом случае виртуальная машина виртуализует лишь необходимое
количество аппаратного обеспечения, чтобы она могла быть запуще
на изолированно. Такой подход позволяет запускать гостевые опера
ционные системы, разработанные только для той же архитектуры,
что и у хоста. Таким образом, несколько экземпляров гостевых сис
тем могут быть запущены одновременно. Этот вид виртуализации
позволяет существенно увеличить быстродействие гостевых систем
по сравнению с полной эмуляцией и широко используется в настоя
щее время. Кроме того, в целях повышения быстродействия в плат
формах виртуализации, использующих данный подход, применяется
специальная «прослойка» между гостевой операционной системой и
оборудованием (гипервизор), позволяющая гостевой системе напря
мую обращаться к ресурсам аппаратного обеспечения. Гипервизор,
называемый также «Монитор виртуальных машин» (Virtual Machine
Monitor) - одно из ключевых понятий в мире виртуализации. Приме
нение гипервизора, являющегося связующим звеном между госте
выми системами и аппаратурой, существенно увеличивает быстро
действие платформы, приближая его к быстродействию физической
платформы. К минусам данного вида виртуализации можно отнести
зависимость виртуальных машин от архитектуры аппаратной плат
формы. Примеры продуктов для нативной виртуализации: VMware
Workstation, VMware Server, VMware ESX Server, Virtual Iron, Virtual
PC, VirtualBox, Parallels Desktop и другие.
3. Частичная виртуализация, а также «виртуализация адресного про
странства» («address space virtualization»).
При таком подходе, виртуальная машина симулирует несколько эк
земпляров аппаратного окружения (но не всего), в частности, про
странства адресов. Такой вид виртуализации позволяет совместно
использовать ресурсы и изолировать процессы, но не позволяет раз189
делять экземпляры гостевых операционных систем. Строго говоря,
при таком виде виртуализации пользователем не создаются вирту
альные машины, а происходит изоляция каких-либо процессов на
уровне операционной системы. В данный момент многие из извест
ных операционных систем используют такой подход. Примером мо
жет послужить использование UML (User-mode Linux), в котором
«гостевое» ядро запускается в пользовательском пространстве базо
вого ядра (в его контексте).
4. Паравиртуализация.
При применении паравиртуализации нет необходимости симулиро
вать аппаратное обеспечение, однако, вместо этого (или в дополне
ние к этому), используется специальный программный интерфейс
(API) для взаимодействия с гостевой операционной системой. Такой
подход требует модификации кода гостевой системы, что, с точки
зрения сообщества, Open Source не так и критично. Системы для па
равиртуализации также имеют свой гипервизор, а API-вызовы к гос
тевой системе, называются «hypercalls» (гипервызовы). Многие со
мневаются в перспективах этого подхода виртуализации, поскольку
в данный момент все решения производителей аппаратного обеспе
чения в отношении виртуализации направлены на системы с нативной виртуализацией, а поддержку паравиртуализации приходится
искать у производителей операционных систем, которые слабо верят
в возможности предлагаемого им средства. В настоящее время про
вайдерами паравиртуализации являются компании XenSource и
Virtual Iron, утверждающие, что быстродействие паравиртуализации
выше.
5. Виртуализация уровня операционной системы.
Сутью данного вида виртуализации является виртуализация физиче
ского сервера на уровне операционной системы в целях создания не
скольких защищенных виртуализованных серверов на одном физи
ческом. Гостевая система, в данном случае, разделяет использование
одного ядра хостовой операционной системы с другими гостевыми
системами. Виртуальная машина представляет собой окружение для
приложений, запускаемых изолированно. Данный тип виртуализации
применяется при организации систем хостинга, когда в рамках одно
го экземпляра ядра требуется поддерживать несколько виртуальных
серверов клиентов.
Примеры виртуализации уровня ОС: Linux-VServer, Virtuozzo,
OpenVZ, Solaris Containers и FreeBSD Jails.
6. Виртуализация уровня приложений.
Этот вид виртуализации не похож на все остальные: если в преды
дущих случаях создаются виртуальные среды или виртуальные ма
шины, использующиеся для изоляции приложений, то в данном слу
чае само приложение помещается в контейнер с необходимыми эле190
ментами для своей работы: файлами реестра, конфигурационными
файлами, пользовательскими и системными объектами. В результате
получается приложение, не требующее установки на аналогичной
платформе. При переносе такого приложения на другую машину и
его запуске, виртуальное окружение, созданное для программы, раз
решает конфликты между ней и операционной системой, а также
другими приложениями. Такой способ виртуализации похож на по
ведение интерпретаторов различных языков программирования (не
даром интерпретатор, Виртуальная Машина Java (JVM), тоже попа
дает в эту категорию). Примером такого подхода служат: Thinstall,
Altiris, Trigence, Softricity.
При описании виртуализации платформ мы рассматривали понятие
виртуализации в узком смысле, преимущественно применяя его к процессу
создания виртуальных машин. Однако если рассматривать виртуализацию
в широком смысле, можно прийти к понятию виртуализации ресурсов,
обобщающим в себе подходы к созданию виртуальных систем. Виртуали
зация ресурсов позволяет концентрировать, абстрагировать и упрощать
управление группами ресурсов, таких как сети, хранилища данных и про
странства имен. В сфере виртуализации ресурсов выделяют следующие
виды:
1. Объединение, агрегация и концентрация компонентов.
Под таким видом виртуализации ресурсов понимается организация
нескольких физических или логических объектов в пулы ресурсов
(группы), представляющих удобные интерфейсы пользователю.
Примеры такого вида виртуализации:
1. многопроцессорные системы, представляющиеся нам как од
на мощная система,
2. RAID-массивы и средства управления томами, комбинирую
щие несколько физических дисков в один логический,
3. виртуализация систем хранения, используемая при построе
нии сетей хранения данных SAN (Storage Area Network),
4. виртуальные частные сети (VPN) и трансляция сетевых адре
сов (NAT), позволяющие создавать виртуальные пространства
сетевых адресов и имен.
Кластеризация компьютеров и распределенные вычисления (grid
computing).
Этот вид виртуализации включает в себя техники, применяемые при
объединении множества отдельных компьютеров в глобальные сис
темы (метакомпьютеры), совместно решающие общую задачу.
Разделение ресурсов (partitioning).
При разделении ресурсов в процессе виртуализации происходит раз
деление какого-либо одного большого ресурса на несколько одно
типных объектов, удобных для использования. В сетях хранения
данных это называется зонированием ресурсов («zoning»).
191
Инкапсуляция.
Многим это слово известно как сокрытие объектом внутри себя сво
ей реализации. Применительно к виртуализации, можно сказать, что
это процесс создания системы, предоставляющей пользователю
удобный интерфейс для работы с ней и скрывающей подробности
сложности своей реализации. Например, использование централь
ным процессором кэша для ускорения вычислений не отражается на
его внешних интерфейсах.
Виртуализация ресурсов, в отличие от виртуализации платформ,
имеет более широкий и расплывчатый смысл и представляет собой массу
различных подходов, направленных на повышение удобства обращения
пользователей с системами в целом. Поэтому, далее мы будем опираться в
основном на понятие виртуализации платформ, поскольку технологии,
связанные именно с этим понятием, являются в данный момент наиболее
динамично развивающимися и эффективными.
Виртуализация операционных систем за последние три-четыре года
очень хорошо продвинулась вперед, как в технологическом, так и в марке
тинговом смысле. С одной стороны, пользоваться продуктами виртуализа
ции стало намного проще, они стали более надежными и функциональны
ми, а с другой - нашлось немало новых интересных применений виртуаль
ным машинам. Сферу применения виртуализации можно определить, как
«место, где есть компьютеры», однако на данный момент можно обозна
чить следующие варианты использования продуктов виртуализации:
1. Консолидация серверов.
В данный момент приложения, работающие на серверах в ITинфраструктуре компаний, создают небольшую нагрузку на аппа
ратные ресурсы серверов (всреднем 5 - 15 процентов). Виртуализа
ция позволяет мигрировать с этих физических серверов на виртуаль
ные и разместить их все на одном физическом сервере, увеличив его
загрузку до 60-80 процентов и, повысив тем самым коэффициент ис
пользования аппаратуры, что позволяет существенно сэкономить на
аппаратуре, обслуживании и электроэнергии.
2. Разработка и тестирование приложений.
Множество продуктов виртуализации позволяют запускать несколь
ко различных операционных систем одновременно, позволяя тем са
мым разработчикам и тестерам программного обеспечения тестиро
вать их приложения на различных платформах и конфигурациях.
Также удобные средства по созданию «снимков» текущего состоя
ния системы одним кликом мыши и такого же простого восстанов
ления из этого состояния, позволяют создавать тестовые окружения
для различных конфигураций, что существенно повышает скорость и
качество разработки.
3. Использование в бизнесе.
ниях. Множество достоинств виртуализации операционных систем позво
ляют компаниям экономить на обслуживании, персонале, аппаратном
обеспечении, обеспечении бесперебойной работы, репликации данных и
восстановлении после сбоев. Также рынок виртуализации начинает напол
няться мощными средствами управления, миграции и поддержки вирту
альных инфраструктур, позволяющими использовать преимущества вир
туализации наиболее полно. Давайте посмотрим, как именно виртуализа
ция позволяет компаниям, внедряющим у себя виртуальную инфраструк
туру, экономить деньги.
Сегодня можно привести 10 причин использовать виртуальные машины:
1. Экономия на аппаратном обеспечении при консолидации серверов.
Существенная экономия на приобретении аппаратного обеспечения
происходит при размещении нескольких виртуальных серверов на
одном физическом сервере. В зависимости, от вендора платформы
виртуализации, доступны возможности по балансировке рабочей на
грузки, контролю выделяемых ресурсов, миграции между физиче
скими хостами и восстановлению данных. Все это влечет за собой
реальную экономию денежных средств на обслуживании, управле
нии и администрировании инфраструктуры серверов.
2. Возможность поддержания старых операционных систем в целях
обеспечения совместимости. При выходе новой версии операцион
ной системы, старую версию можно поддерживать на виртуальной
машине, пока не будет полностью обкатана новая ОС. Инаоборот,
можно «поднять» новую ОС на виртуальной машине и опробовать ее
без ущерба для основной системы.
3. Возможность изолировать потенциально опасные окружения. Если
какое-то приложение или компонент вызывает сомнения в его на
дежности и защищенности, можно использовать его на виртуальной
машине без опасности повредить жизненно важные компоненты сис
темы. Такую изолированную среду называют также «песочницей»
(sandbox). Помимо этого, можно создавать виртуальные машины, ог
раниченные политиками безопасности (например, машина переста
нет запускаться через две недели).
4. Возможность создания требуемых аппаратных конфигураций. Ино
гда требуется использовать заданную аппаратную конфигурацию
(процессорное время, количество выделяемой оперативной и диско
вой памяти) при проверке работоспособности приложений в опреде
ленных условиях. Довольно сложно без виртуальной машины «за
гнать» физическую машину в такие условия. В виртуальных маши
нах — это пара кликов мыши.
5. Виртуальные машины могут создаватьпредставления устройств, ко
торых у вас нет. Например, многие системы виртуализации позво
ляют создавать виртуальные SCSI диски, виртуальные многоядерные
194
процессоры и т. п. Это может пригодиться для создания различного
рода симуляций.
6. На одном хосте может быть запущено одновременно несколько вир
туальных машин, объединенных в виртуальную сеть. Такая особен
ность предоставляет безграничные возможности по созданию моде
лей виртуальной сети между несколькими системами на одном фи
зическом компьютере. Особенно это необходимо, когда требуется
смоделировать некую распределенную систему, состоящую из не
скольких машин. Также можно создать несколько изолированных
пользовательских окружений (для работы, развлечений, работы в
Интернет), запустить их и переключаться между ними по мере необ
ходимости выполнения тех или иных задач.
7. Виртуальные машины предоставляют великолепные возможности по
обучению работе с операционными системами. Можно создать репозиторий готовых к использованию виртуальных машин с различны
ми гостевыми операционными системами и запускать их по мере не
обходимости в целях обучения. Их можно безнаказанно подвергать
всяческим экспериментам, поскольку в случае порчи системы, её
восстановление из сохраненного состояния займет пару минут.
8. Виртуальные машины повышают мобильность. Папка с виртуальной
машиной может быть перемещена на другой компьютер, и там вир
туальная машина может быть сразу запущена. Не требуется созда
вать никаких образов для миграции, и, к тому же, виртуальная ма
шина отвязана от конкретной аппаратуры.
9. Виртуальные машины могут быть организованы в «пакеты приложе
ний». Вы можете создавать виртуальной окружение для конкретного
варианта использования (например, дизайнерскую машину, машину
менеджера и т. п.), установив в ней все требуемое программное
обеспечение, и разворачивать десктопы по мере необходимости.
10. Виртуальные машины более управляемы. При использовании вир
туальных машин существенно повышается управляемость в отноше
нии создания резервных копий, создания снимков состояний вирту
альных машин и восстановлений после сбоев.
На этом, конечно, достоинства виртуальных машин не исчерпывают
ся, это лишь пища для размышления и исследования их возможностей.
Безусловно, как и у всякого нового и перспективного решения, у виртуаль
ных машин есть и свои недостатки:
1. Невозможность эмуляции всех устройств. В данный момент все ос
новные устройства аппаратных платформ поддерживаются вендора
ми систем виртуализации, однако если вы используете, например,
какие-либо контроллеры или устройства, не поддерживаемые ими,
придется отказаться от виртуализации такого окружения.
2. Виртуализация требует дополнительных аппаратных ресурсов. В н а стоящее время использование различных техник виртуализации по195
ЗАКЛЮЧЕНИЕ
В данном учебном пособии были рассмотрены главные теоретические
вопросы, которыми должен владеть любой системный администратор. Од
ним из факторов, определяющих его уровень, является владение термино
логией построения и управления компьютерными сетями, теоретической
базой сетевых технологий, а также администрирования баз данных, кото
рые также являются частью информационных систем и технологий, тре
бующих грамотного системного администратора.
Вместе с этим стоит отметить, что владения теоретической базой не
хватит для того, чтобы полноценно работать системным администратором.
Многие вещи, рассмотренные и не рассмотренные в данном учебном посо
бии желательно опробовать на практике, то есть поработать, что называет
ся, руками. В особенности это касается работы с командами интерфейса
командной строки, которыми нужно владеть не хуже языка программиро
вания, так как неправильно набранная команда не будет распознана опера
ционной системой подобно тому, как компилятор не скомпилирует про
грамму, написанную с нарушениями синтаксиса языка программирования.
Поэтому начинающим системным администраторам рекомендуется начи
нать с графических средств администрирования типа оболочки Диспетчер
серверов, автоматически запускаемой при старте операционной системы
Windows Server. В процессе работы можно осваивать командную строку, и
только убедившись, что овладение командами достигло требуемого уров
ня, можно переходить на использование Windows PowerShell и других
средств применения DOS-команд, в том числе на работу с консольной вер
сией операционной системы Windows Server.
Кроме того, осваивать серверные и другие незнакомые операционные
системы лучше всего с помощью программных средств виртуализации, ко
торые значительно упрощают управление новой операционной системой и
не приведут к неполадкам в компьютере хоста, к которым может привести
настоящая установка системы на физический жёсткий диск. Чем большим
количеством операционных систем владеет администратор, тем выше его
профессиональный уровень. Особенно приветствуется многими компа
ниями владение UNIX-подобными операционными системами, которые
требуют отдельного рассмотрения, поэтому не вошли в данное учебное по
собие.
Несмотря на то, что не все вопросы сферы системного администриро
вания были рассмотрены в пособии, данная книга может быть использова
на для закладки теоретической базы системного администратора широкого
профиля.
197
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Финанби - финансы и бизнес [Электронный ресурс] // Режим дос
https://www.finanbi.ru/sistemnyi-administrator-doljnostnayaтупа:
instrukciya-obyazannosti-funkcii-i-trebovaniya-316. Дата обращения:
10.07.18.
2. CyberPedia. Информационный ресурс [Электронный ресурс] // Ре
жим доступа: https://cyberpedia.su/10x8d7b.html. Дата обращения:
15.12.18.
3. Борисов, Д.И. Корпоративные информационные системы [Текст]:
учебно-методическое пособие / Д.И. Борисов. - Воронеж: Издательско-полиграфический центр Воронежского государственного
университета, 2007. - 98 c.
4. Российский новый университет. Администрирование в информа
ционных системах (лекция 1) [Электронный ресурс] // Режим дос
тупа:
http://rdv.rosnou.ru/IT433/it_ad_01.pdf. Дата обращения:
10.11.18.
5. Ikasteko.ru - IT-сфера, программное обеспечение и многое другое.
Эталоннаямодель OSI [Электронный ресурс] // Режим доступа
http://www.ikasteko.ru/page/etalonnaja-model-osi. Дата обращения:
8.09.2018.
6. Mircosoft Docs. Протокол IP версии 6 [Электронный ресурс] // Ре
жим доступа: https://docs.microsoft.com/ruru/dotnet/framework/network-programming/internet-protocol-version6. Дата обращения: 2.12.2018.
7. Вычислительные сети. Сетевая маршрутизация [Электронный ре
сурс]
//
Режим
доступа:
http://just-networks.ru/seti-tcp-ip/
marshrutizatsiya. Дата обращения: 4.12.2018.
8. Национальный открытый университет ИНТУИТ. Служба катало
гов Active Directory [Электронный ресурс] // Режим доступа:
http://www.intuit.ru/studies/courses/966/216/lecture/5567. Дата обра
щения: 25.11.2019.
9. Регистратор доменных имён РЕГ.РУ [Электронный ресурс] // Ре
жим доступа: https://www.reg.ru/. Дата обращения: 15.11.2018.
10. База знаний osLogic.ru. Основные понятия DHCP [Электронный
ресурс] // Режим доступа: https://www.oslogic.ru/ knowledge/ 761/
osnovnye-ponyatiya-dhcp/. Дата обращения: 30.11.2018.
11. Сурков, Л.В. Технология Network Address Translation [Электрон
ный ресурс]: методические указания к лабораторной работе по
курсу «Корпоративные сети» / Л.В. Сурков. - М.: МГТУ им. Бау
мана, 2011. - 10 с. - Режим доступа: e-learning.bmstu.ru. Дата об
ращения: 1.12.2018.
12. Mircosoft Docs. Документация по SQL Server [Электронный ре
сурс] // Режим доступа: https://docs.microsoft.com/ru-ru/sql/sql198
13.
14.
15.
16.
17.
18.
19.
server/sql-server-technical-documentation?view=sql-server-2017. Дата
обращения: 5.12.2018.
КриптоПро. Цифровой сертификат [Электронный ресурс] // Режим
http://www.cryptopro.ru/support/articles/2005/07/dig-cert.
доступа:
Дата обращения: 9.12.2018.
Кафедра цифровой экономики Поволжского государственного
университета телекоммуникаций и информатики. История элек
тронной коммерции [Элект ронный ресурс] // Режим доступа:
http://www.цифpoнoмикa.pф/
istoriya-elektronnoy-kommertsii.php.
Дата обращения: 12.11.2018.
Зайцева, Е.В. Основы электронного бизнеса [Электронный ре
сурс]: учебное пособие для специальности 080503 / Е.В. Зайцева. Томск: кафедра ТУ, ТУСУР, 2012. - 263 с. Режим доступа:
tu.tusur.ru/upload/posobia/z1.doc. Дата обращения: 15.12.2018.
Платёжная система «МИР». Безопасность карт «МИР» [Электрон
ный ресурс] // Режим
доступа: https://mironline.ru/aboutcard/security/. Дата обращения: 18.12.2018.
Российский новый университет. Администрирование в информа
ционных системах (лекция 9) [Электронный ресурс] // Режим дос
тупа: rdv.rosnou.ru/IT433/it_ad_10.pdf. Дата обращения: 5.09.2018.
Национальный открытый университет ИНТУИТ. Системы управ
ления контентом [Электронный ресурс] // Режим доступа:
www.intuit.ru/studies/courses/1036/239/lecture/6178. Дата обраще
ния: 20.12.18.
IXBT.COM. Виртуализация: новый подход к построению ITинфраструктуры [Электронный ресурс] // Режим доступа:
https://www.ixbt.com/cm/virtualization.shtml.
Дата
обращения:
25.12.2018.
199
Учебное издание
Бобынцев Денис Олегович
Марухленко Анатолий Леонидович
Марухленко Леонид Олегович
Кужелева Светлана Анатольевна
Лисицын Леонид Александрович
Основы администрирования
информационных систем
Учебное пособие
Ответственный редактор С. Краснова
Ответственный верстальщик Д. Ананьева
Издательство «Директ-Медиа»
117342, Москва, ул. Обручева, 34/63, стр. 1
Тел/факс + 7 (495) 334–72–11
E-mail: manager@directmedia.ru
www.biblioclub.ru
