CAМOYIIИTEllla
СИСТЕМНОrо
АДМИНИСТРАТОРА
6-е издание
Санкт-Петербург
« БХВ-Петербург»
2021
УДК 004
ББК 32.973.26
КЗ5
К35
Кенин,А. М.
Самоучитель системного администратора/ А. М. Кении,
Д. Н. Колисниченко. - 6-е изд., перераб. и доп. - СПб.: БХВ-Петербург,
2021. - 608 с.: ил. - (Системный администратор)
ISBN 978-5-9775-6703-9
Изложены основные задачи системного администрирования, описаны базовые
протоколы, даны рекомендации по выбору оборудования и проведению ежеднев
ных рутинных операций. Подробно раскрыты технологии, используемые при по
строении информационных систем, описаны средства мониторинга и обслужива
ния как малых, так и распределенных сетей. Рассмотрены методы централизован
ного управления, основы создания безопасной среды. Даны рекомендации по
поиску неисправностей, обеспечению защиты данных. Параллельно рассмотрены
решения на основе операционных систем Windows и Linux с использованием как
проприетарных, так и открытых технологий. Книга написана на основе много
летнего опыта разработки и практического администрирования информационных
систем.
В шестом издании материал ориентирован на современные версии операцион
ных систем Windows 10 и Windows Server 2016/2019. Неактуальный материал
исключен, добавлены полезные практические примеры по поддержке SSL для
прокси-сервера Squid, использованию Windows Sandbox и др. Особое внимание
уделено выбору системы предотвращения утечки данных DLP.
Для начинающих системных администраторов
УДКОО4
ББК 32.973.26
Группа подготовки издания:
Руководитель проекrа
Зав. редакцией
Компьютерная верстка
Дизайн серии
Оформление обложки
Евгений Рыбаков
- Екатерина Сависте
Ольги Сергиенко
Марины Дамбиевой
_ Карины Соловьевой
Подписано в печать 05.04.21.
1
Формат 70х100 /16. Печать офсетная. Ycn. печ. л. 49,02.
Тираж 1500 экз. Заказ № 753.
"БХВ-Петербург'', 191036, Санкт-Петербург, Гончарная ул., 20.
Отпечатано с готового оригинал-макета
ООО "Принт-М", 142300, М.О., г. Чехов, ул. Полиграфистов, д. 1
Что нового вы найдете в шестом издании? ................................................................................. 18
Глава 1. Си�темное адмивистрировавие.................................................................. 19
Обязанности системного администратора................................................................................... 19
Выбор операционной системы: Windows vs Linux .....................................................................20
Участие в тендерах ........................................................................................................................22
Обновление программного обеспечения .....................................................................................22
О моральных качествах администратора ··················r··································:·•·····························24
Глава 2. Выбор аппаратных и программных средств ........................................... 25
Требования к оборудованию информационных систем .............................................................25
Выбор производителя ............................................................................................................25
Гарантия и сервис-центры........................................... .-.........................................................27
Выбор процессора .................................................................................................................28
Выбор шасси ...................... :...................................................................................................29
Выбор материнской платы .................................................................................................... 30
Выбор дисков ......................................................................................................................... 31
Выбор памяти ......................................................................................................................... 32
Дополнительные требования к коммутационному оборудованию.................................... 34
Дополнительные требования к аварийным источникам питания ...................................... 34
Состав программного обеспечения типового предприятия .......................................................34
Подсистема аутентификации и контроля доступа ..............................................................35
Подкmочение Linux к домену: протокол Kerberos ..................................................... 35
Настройка конфигурации клиента Kerberos ......................................................... 35
Настройка файла nsswitch.conf............................................................................... 36
Получение билета Kerberos для учетной записи администратора ......................36
Подкmочение к домену ........................................................................................... 37
Проверка подюпочения........................................................................................... 37
Сервер Linux в качестве контроллера домена ............................................................ 37
Совместно используемые ресурсы ....................................................................................... 38
Учетная запись для анонимного доступа .................................................................... 38
4
Оглавление
Работа с Windows-pecypcaми в Linux..........................................................................39
Установка пакета Sшnba .........................................................................................39
Настройки Sшnba ....................................................................................................39
Подюпочение к общим ресурсам ...........................................................................41
Браузеры Интернета ..............................................................................................................41
Защита узлов сети ..................................................................................................................41
Средства удаленного администрирования ...........................................................................42
Средства резервного копирования .......................................................................................43
Офисный пакет ..........................................................................................., ...........................45
Электронная почта .................................................................................................................47
Свободное программное обеспечение .................................................................................50
Базовые сведения о работе в *NIХ-системах ..............................................................................51
Linuх-мифы ..............................................................................................................................51
Надежность Linux и Windows ............................................................................................... 53
Несколько моментов, о которых следует знать пользователям Linux ..............................53
Ядро и дистрибутивы ...................................................................................................53
Файловая система .........................................................................................................54
Монтирование файловой системы ..............................................................................56
Консоль и графический режим ....................................................................................56
Пользователь root..........................................................................................................57
Структура папок Linux .................................................................................................57
Текстовые редакторы: vi и другие ................................................................................58
Выполнение команд с правами другого пользователя ..............................................62
Прикладные программы в Linux...........................................................................................63
Кросс-платформенный запуск программ .............................................................................64
Установка Linux .....................................................................................................................65
Загрузка нескольких операционных систем ........................................................................66
Тестирование Linux на виртуальной машине ......................................................................66
Глава 3. Структура сети............................................................................................... 67
Структурированные кабельные сети ....................................................................................,.......67
Категории СКС .......................................................................................................................70
Волоконно-оптические сети ..................................................................................................71
Сети l0G, 40G и l00G .....................................................................................................,.....73
Схема разъема RJ-45 ..............................................................................................................74
Варианты исполнения СКС...................................................................................................75
Удлинение кабеля ..................................................................................................................76
Прокладка силовых кабелей .................................................................................................76
Питание по сети Ethernet (РоЕ).............................................................................................77
Требования пожарной безопасности ..........................................................: .........................77
Топология сети .......................................................................................................................78
Размеры сегментов сети на витой паре ....................................................................... 78
Уровни ядра, распределения и доступа .........................................-.............................78
Топология каналов распределенной сети предприятия ........; ....................................79
Сеть управления ............................................................................................................80
Документирование структуры каналов связи .............................................................80
Качество сетей связи предприятия ....................................................................................... 81
Проверка кабельной системы ......................................................................................81
Проверка качества передачи данных ..........................................................................81
Оглавление
5
Приоритизация трафика ................................................................................................83
Варианты приоритизации: QoS, ToS, DiffServ .....................................................83
Классификация, маркировка, правила приоритизации ........................................86
Как работает приоритизация: очереди ..................................................................86
Ограничение полосы пропускания трафика (Тraffic shaping).............................. 87
Беспроводные сети ........................................................................................................................88
Стандарты беспроводной сети .............................................................................................. 90
Проектирование беспроводной сети предприятия..............................................................91
Безопасность беспроводной сети .........................................................................................95
Шифрование трафика беспроводной сети .................................................................. 95
Аутентификация пользователей и устройств Wi-Fi ...................................................95
Безопасность клиента ...................................................................................................96
Настройка транспортных протоколов................................................................................... , ...... 97
Протоколы .............................................................................................................................. 97
Модель OSI.............................................................................................................................98
Стек протоколов TCP/IP........................................................................................................99
Протоколы UPD, ТСР, IСМР ..............................................................................................100
Протокол 1Pv6 ......................................................................................................................100
Параметры ТСР/IР-протокола .............................................................. :.............................101
IР-адрес ........................................................................................................................101
Групповые адреса .......................................................................................................1О1
Распределение IР-адресов сети малого офиса..........................................................102
Подсети и маска адреса ..............................................................................................103
Штоз (Gateway, default gateway) ...............................................................................104
Таблицы маршрутизации ...........................................................................................104
Автоматическое присвоение параметров'IР-протокола ..........................................109
Серверы DHCP ......................................................................................................109
Адресация APIPA ................................................................................... , ..............110
Назначение адресов при совместном использовании подкmочения
к Интернету..........................................................................................: .................110
Порт ........., ................................................................................................................... 111
Протокол ARP ..............................................................................................................112
Имена компьютеров в сети TCP/IP ...........................................................................113
Доменные имена Интернета .................................................................................114
Соотношение доменных имен и IР-адресов компьютеров ................................115
Серверы доменных имен (DNS)........................................................................... 115
WINS ......................... :............................................................................................ 116
Статическое задание имен ................................. , ..................................................116
Последовательность разрешения имен ............................................................... 117
Настройка серверов DHCP и DNS ......................................................................................118
Настройка DHCP ............................................................. : ........................................... 118
Создание и настройка зоны ..................................................................................118
Авторизация DНСР-сервера .................................................................. :..............119
Настройка параметров области ................................................. :.......................... 120
Фиксированные IР-адреса ................ :................................................................... 121
Подстройка DHCP под группы клиентов ............................................................ 122
Отказоустойчивость DНСР-сервера ............. : ...................................................... 123
Обслуживание DНСР-сервером других сегментов сети ....................................124
б
Оглавление
Порядок получения IР-адресов клиентами DHCP .............................................. 125
Первичное получение адреса .......................................................................125
Продление аренды ........................................................................................ 125
Диагностика и обслуживание DНСР-сервера ..................................................... 126
Интеграция DHCP и DNS....................................................................................................126
DNS .............................................................................................................................. 127
Термины DNS ........................................................................................................127
Порядок разрешения имен в DNS........................................................................130
Основные типы записей DNS......................................... : .....................................131
Установка сервера DNS ........................................................................................132
iаписи домена Windows .......................................................................................134
Разделение DNS ....................................................................................................134
Настройка DNS в удаленных офисах ..................................................................136
Обслуживание и диагностика неисправностей DNS-cepвepa............................ 136
Перенос записей зон ............................................................................................. 139
Глава 4. Информационные системы предприятия .............................................. 140
SОНО-сети....................................................................................................................................140
Одноранговые сети ................................................................................................................... : .. 142
Сеть с централизованным управлением .................................................................................... 142
Управление локальными ресурсами................................................................................... 142
Возможность добавлять рабочие станции в домен ....................................... , .......... 143
Удаление устаревших записей о компьютерах и пользователях ............................145
Изменения настроек системы при подключении ее к домену ................................145
Локальный администратор против доменного ......................................................... 146
Искmочение компьютера из домена ....................................................................146
Откmочение совместного использования административных ресурсов .......... 146
Искmочение администратора домена из группы локальных
администраторов ...................................................................................................147
Блокировка администратора домена на уровне файловой системы ................. 147
Блокирование групповой политики .....................................................................147
Проблема аудитора .....................................................................................................148
Методы управления локальной системой ..........................................................................148
Служба каталогов ......................................................................................................................... 149
Служба каталогов Windows (Active Directory) ..................................................................150
Домены Windows .................................................................................................................151
Подразделение ......................................................................... :.................................. 152
Лес ................................................................................................................................153
Сайты ...........................................................................................................................153
DN иRDN ....................................................................................................................153
Управление структурой домена предприятия ............................................. :..............................154
Создание нового домена .....................................................................................................154
Функциональный уровень домена .............................................................................156
Компоненты Active Directory.....................................................................................156
Создание контроллеров домена «только для чтения» .............................................158
Удаление контроллера домена .................................................................................. 158
Переименование домена ............................................................................................. 160
LDAP и Active Directory ......................................................................................................160
Подключаемся к каталогу по протоколу LDAP ...................................... :................160
Оглавление
7
Синтаксис поисковых запросов LDAP...................................................................... 161
Команда ldifde ........................................................................................................ ; .... 163
ДелегироваIШе прав ............................................................................................................. 164
Корзина Active Directory: просмотр и восстановление удаленных объектов
каталога................................................................................................................................. 165
Учетные записи и права .............................................................................................................. 167
Понятие учетной записи ......................................................................................................167
Локальные и доменные учетные записи ............................................................................169
Группы пользователей ......................................................................................................... 170
Ролевое управле1Ше .................................................................................................... 172
Результирующее право: разрешить или запретить? ................................................ 172
Разрешения общего доступа и разрешения безопасности....................................... 173
Наследуемые разрешения: будьте вЮ1Мательны ......................................................174
Восстановление доступа к ресурсам ......................................................................... 175
Обход перекрестной проверки................................................................................... 176
ИзменеIШе атрибуrов объектов при операциях копирования и перемещения .........176
Результирующие права и утилиты ............................................................................177
Рекомендации по примененmо разрешений ............................................................. 178
СоздаIШе и удале1Ше учетных записей ..............................................................................178
Права учетной записи ...................................................................................... ;...................180
Восстановле1Ше параметров безопасности по умолчанmо .....................................181
Автоматически создаваемые учетные записи ................................................................... 183
Встроенные учетные записи пользователей ........................................ :....................183
Предопределе1rnые учетные записи пользователя ...................................................183
Учетная запись Администратор ......................................................................... 184
Учетная запись Гость ...........................................................................................184
Другие встроенные учетные записи пользователей ........................................... 184
Встрое1rnые группы .................................................................................................... 185
Специальные группы .................................................................................................. 187
Рекомендации по исполъзованmо операции Запуск от имени Администратора ., ....... 188
Включение сетевого обнаружения в Windows Server 2016/2019 .....................................189
Глава 5. Работа в глобальной сети .......................................................................... 191
Организация доступа к ресурсам Интернета ............................................................................. 191
Сетевая адресация ................................................................................................................ 191
ВведеIШе в 1Pv6 .................................................................................................................... 194
NAT -трансляция сетевого адреса ......................................................................... :........195
Реализация NAТ средствами службы маршрутизации Windows Server ................195
Аппаратный NAТ ........................................................................................................199
Реализация NAТ средствами Linux ...........................................................................200
Фильтрация трафика....................................................................................................................200
Демилитаризованная зона ................................................................................................... 201
Межсетевой экран (брандмауэр) ........................................................................................ 201
Выбор межсетевого экрана ........................................................................................ 202
Нужен ли прокси�сервер?........................................................................................... 203
Системы обнаружения вторжений ............................................................................ 203
Варианты межсетевых экранов ..........................................................................................204
Программное решеIШе ............................................................................................... 204
Аппаратные решения .................................................................................................. 205
в
Оглавление
Настройка параметров межсетевого экрана при по,-tощи групповой политики ............ 205
Межсетевой экран Linux ..................................................................................................... 207
Настройки запуска ......................................................................................................207
Цепочки и правила......................................................................................................208
Задание правил брандмауэра .....................................................................................21О
Пример настройки брандмауэра ..............................:.................................................213
ОптимизаЩIЯ доступа в Интернет ..............................................................................................218
Основные меропрИJiтия оптимизации ................................................................................218
Прокси-сервер ......................................................................................................................219
Прозрачный прокси ··································••.•···············................................................220
Настройка использования полосы пропускания .................................................._.... 221
Блокировка рекламы, сайтов «для взрослых» и т. п. ...............................................224
Поддержка SSL ...........................................................................................................227
Удаленная работа.........................................................................................................................228
Виртуальные частные сети..................................................................................................228
Удаленное подюпочение к Linux ........................................................................................229
Протокол SSH .............................................................................................................230
«Тонкие» клиенты ......................... , .............................................................................232
Использование графических утилит для подкmочения к Linux .............................. 232
Подкmочение филиалов ............................... : ......................................................................232
Контроллер домена «только для чтенИJI» .......................................................................... 233
Решение DirectAccess ..........................................................................................................234
ТермЮ1альный доступ .................................................................................................................235
ТермЮ1альные серверы от Microsoft ..................................................................................236
Терминальные клиенты .............................................................................................. 236
Режимы термЮ1альных служб ................................................................................... 237
ЛШJ.ензирование терминальных служб .....................................................................237
Особенности использования приложений на термЮ1альном сервере ....................238
Безопасность термЮ1альных сессий..........................................................................239
Подюпочение к консоли термЮ1ального сервера.....................................................240
Подюпочение администратора к сессии пользователя ............................................240
Публикация приложений в терминале ...............................................................................241
Веб-доступ к терминальному серверу................................................................................243
lllлюз терминалов ................................................................................................................244
Создание локальных копий данных ...........................................................................................244
ИсторИJI файлов.................................................................................................................... 244
ТехнологИJI BranchCache .....................................................................................................245
Доступ из-за межсетевого экрана...............................................................................................247
Глава 6. Управление информационной системой ....................;........................... 248
Состав информационной системы .............................................................................................248
Построение топологии существующей СКС .....................................................................248
Инвентаризация физических каналов связи ...................................................................... 249
Учет компьютеров и программ ........................................................................................... 250
Мониторинг функционирования ПО ..........................................................................................251
Управление с помощью групповых политик ............................................................................251
Порядок применеНИJI множественных политик ................................................................252
Совместимость версий групповых политик ......................................................................252
Места храненИJI и условИJI применения групповых политик ...........................................253
Оглввлвнив
9
Последствия отКJПОчений политик .....................................................................................254
Редактирование групповых политик .................................................................................. 255
Начальные объекты групповой политики..........................................................................258
«Обход» параметров пользователя ..................................................................................... 258
Фильтрация объектов при применении групповой политики .......................................... 258
Фильтрация при помощи WМl-запросов.................................................................. 259
Настройка параметров безопасности групповых политик ...................................... 259
ПредпочтеlПIЯ групповых политик ............................................................................ 259
Рекомендации по применеНИIО политик ............................................................................ 260
Блокирование запуска нежелательных приложений с помощью компонента
App.Locker ............................................................................................................................. 261
Некоторые особенности политики установки программного обеспечения ....................262
Административные шаблоны ............................................................................................. 264
Утилиты группового управлеlПIЯ .........................................................................:.....................264
Средства поддержки пользователей ................................................................................... 265
Удаленный помощник ................................................................................................ 265
Утилиты поДКJПОчеlПIЯ к рабочему столу .................................................................266
Сред устацовки .................................................................. 290
Файлы ответов (трансформаций) .............................................................................. 290
Использование КJПОчей «тихою> установки .............................................................. 292
10
Оглавление
Переупаковка ..............................................................................................................294
Административная установка ....................................................................................295
Развертывание программы в Active Directory ...................................................................296
Глава 7. Моввторввr ивформациоввой системы ................................................. 300
Основные способы мониторинга................................................................................................300
Журналы системы и программ ·····················.······································································300
Протокол SNMP ...................................................................................................................301
Опрос служб .........................................................................................................................301
Мониториш с использованием агентов .............................................................................302
Мониторинг на основе протокола SNMP ..................................................................................303
Простейшие варианты мониторинга ................................................................... :......................305
Контроль журналов Windows .............................................................................................305
Привязка задачи ..........................................................................................................305
Подписка на события..................................................................................................307
Создание собственных событий в журналах Windows ............................................307
Настройка журналирования в syslog .........................................................................308
Простейший мониторинг Apache .......................................................................................308
Утилитъ1 мониторинга .........................................................................................................308
Система мониторинга Nagios .....................................................................................................309
Необходимость мониториша сети .....................................................................................309
Установка Nagios .................................................................................................................309
Настройка Nagios .................................................................................................................311
Мониторинг в Nagios серверов Windows...........................................................................315
Мониторинг Windows-cиcтeм на основе WМI .........................................................318
Мониторинг в Nagios серверов Linux ................................................................................319
Мониторинг систем с использованием протокола SNМP .....: ..........................................319
Сервер протоколов .....................................................................................................................• 320
Постановка задачи ..............................................................................................,................320
Настройка основного (центрального) сервера ..................................................................321
Настройка остальных серверов сети ..................................................................................324
Протоколирование системой инициализации в Linux ..............................................................325
Системы мониториша трафика ..................................................................................................328
Простейшая система мониторинга трафика: darkstat .......................................................328
Система NeTAMS ................................................................................................................330
Мониторинг жестких дисков. Коды S.M.A.R.T. .......................................................................334
Глава 8. Виртуализацвя в облачные техволоrвв .....................•........................... 341
Секрет популярности виртуализации .........................................................................................341
Глоссарий .....................................................................................................................................342
Вендоры виртуальных решений .................................................................................................342
Выбор гипервизора ......................................................................................................................343
Программное обеспечение и виртуальная среда.......................................................................346
Особенности сетевых подкточений виртуальных машин ...............................................346
Лицензирование программного обеспечения виртуальных машин ......................... , ......347
Создание виртуальных машин....................................................................................................348
Создание виртуальной машины путем чистой установки операционной системы........348
Клонирование виртуальной машины .................................................................................349
Снятие образа физического сервера ...................................................................................350
Миграция между решениями различных производителей ...............................................350
Оглавление
11
Некоторые замечания к устройству виртуальных машин ........................................................352
Жесткие диски......................................................................................................................352
Типы виртуальных дисков .........................................................................................352
Необходимость блочного доступа к виртуальному диску ......................................353
Варианты подключения виртуального диска ...........................................................353
Обслуживание файлов виртуального диска..............................................................353
Сохранение состояния виртуальной машины ......................................'....................353
Распределение вычислительных ресурсов.........................................................................354
Оперативная память.............................................................................................................354
Сервисные операции ...................................................................................................................355
Резервное копирование и антивирусная защита ...............................................................355
Обмен данными....................................................................................................................355
Копирование данных с машины на машину .............................................................355
Общие папки ........................................................................... , ...................................355
Миграция виртуальных машин ...........................................................................................357
· Подключение к виртуальным машинам.............................................................................358
Особенности выключения виртуальных машин ...............................................................358
Виртуальные рабочие станции ....................... ,...........................................................................359
Сравниваем УDl-решения с терминальными клиентами .................................................359
Немного об экономике YDI ................................................................................................360
Структура УDI-решений .....................................................................................................361
Некоторые особенности УDl-решений ..............................................................................362
КУМ и OpenYZ ................................................................................. , ..........................................363
Разница между КУМ и OpenYZ ................................................... , .....................................363
Установка ядра OpenYZ ......................................................................................................364
Создание и запуск виртуальной машины OpenYZ ..·..........................................................364
Yirtuozzo .........................................•.............................................................................................366
Как работает Yirtuozzo? ......................................................................................................366
Установка Yirtuozzo.............................................................................................................368
Выбор шаблона ....................................................................................................................370
Создание и настройка контейнера ......................................................................................370
Управление ресурсами контейнера ....., ..............................................................................372
Управление контейнерами ..................................................................................................374
Вход в гостевую операционную систему...........................................................................375
Советы по оптимизации виртуальных систем...........................................................................376
Виртуализация в сетях передачи данных ..................................................................................377
Виртуальные частные сети..................................................................................................377
Зачем нужны виртуальные сети? ........................................................................................ 378
Маркировка кадров ..............................................................................................................378
Порты и YLAN ..................................................................................................................... 379
Практика настройки YLAN на коммутаторах Cisco ....................................._....................380
Другие производители оборудования ................................................................................382
Настройка YLAN в Linux ....................................................................................................383
Выбор сервера: физический или виртуальный..........................................................................384
Нужен ли вашему проекту сервер? ....................................................................................384
Стоимость физического сервера.......................................................: .................................385
Стоимость виртуального сервера .......................................................................................385
Стоимость содержания физического сервера....................................................................386
12
Оглввлвнив
Выбор облачного провайдера ..................................................................................................... 388
Гlлощадка .................................................................................................. :: ..........................388
Сертификация ЦОД .................................................................................................... 388
Где расположен ЦОД: в России или за rраницей? ................................................... 390
Кому принадлежит ЦОД? Можно ли войти и посмотреть, как все устроено? ...... 390
Облачная платформа ........................................................................................................... 390
Как можно подкmочиться к «облаку»? Есть ли панель управления? ..................... 391
Что представляет собой виртуальное ядро? .............................................................391
Какие используются дисковые ресурсы? Соответствует ли скорость ресурсов
заявленной? .................................................................................................................392
Есть ли сервис резервного копирования? ................................................................. 392
Какова пропускная способность интернет-соединения и сколько будет стоить
ее расширение? ...........................................................................................................392
Входит ли в стоимость услуги шщензия на проrраммное обеспечение? ..............392
Как выполняе:rся тарификация? ................................................................................393
Есть ли тестовый режим? ...........................................................................................393
Сколько стоит собственная VРN-сеть и какие есть оrраничения? .........................393
Есть ли какие-либо скрытые платежи - например, за панель управления
сервером и т. п.? ..........................................................................................................393
Поддержка ............................................................................................................................393
Виртуализация физического сервера ....................................................................................: ....394
Установка панели управления на виртуальный Linux-cepвep .................................................. 396
Настройка терминального Windows-cepвepa ............................................................................402
Создание виртуального сервера .........................................................................................402
Оmимальная конфшурация виртуального сервера для бухгалтерской проrраммы
«1 С: Предприятие» ...............................................................................................................404
Установка службы удаленных рабочих столов ................................................................ .405
Настройка сервера шщензирования для удаленных рабочих столов ..............................409
Установка шщензий службы удаленных рабочих столов ................................................ 415
. Безопасный запуск проrраммы «1С:Предприятие» .......................................................... 419
Песочница Windows ....................................................................................................................420
Глава 9. Бе�опасвость................................................................................................. 422
Безопасность и комфорт .............................................................................................................422
Попытаемся разложить по полочкам .................................................................... ; ....................423
Как будем заЩИIЦать? .................................................................................................................. 424
Три «кита» безопасности............................................................................................................. 425
Организационное обеспечение информационной безопасности ............·................................. 426
Гlлан обеспечения непрерывности функционирования информационной системы ...... 427
Безопасность паролей ......................................................................................................... .427
Токены и смарт-карты ................................................................................................429
RаinЬоw-таблицы ........................................................................................................430
Блокировка учетной записи пользователя .................................................... :...........430
Восстановление пароля администратора ................................................................. .431
Методы социальной инженерии ......................................................................................... 432
Меры защить1 от внешних уrроз ................................................................................................ 433
Физическая безопасностъ .................................................................................................... 433
Оrраничение доступа к рабочим станциям ..............................................................434
Оглавление
13
Межсетевые экраны....................................................................................................435
Ограничения подкmочения нового оборудования ...................................................435
Обеспечение сетевой безопасности информационной системы ......................................436
Контроль проходящего трафика ................................................................................436
Контроль устройств по МАС-адресам ...................................... : ...............................437
Протокол 802.lx ..........................................................................................................438
Особенности применения протокола 802.lx........................................................439
Настройка протокола 802.lx ................................................................................440
Выдача сертификат9в компьютерам ...........................................................441
Настройка службы каталогов.......................................................................442
Настройка службы RADIUS ........................................................................442
Настройка автоматического назначения VLAN для порта
коммутатора ..................................................................................................442
Настройка клиентского компьютера ...........................................................443
Настройка коммутатора ...............................................................................444
Технология NAP ..................................................................................................................444
Обнаружение нештатной сетевой активности ...................................................................445
Контроль состояния программной среды серверов и станций ................................................446
Индивидуальная настройка серверов .................................................................................446
Security Configuration Manager ...................................................................................446
Security Compliance Manager .......................................................................................447
Искmочение уязвимостей программного обеспечения ....................................................447
Уязвимости и эксплойты ............................................................................................447
Как узнать об обновлениях? ......................................................................................448
Проверка системы на наличие уязвимостей .............................................................448
Тестирование обновлений ........� .................................................................................449
Обновления операционных систем Linux .................................................................450
Индивидуальные обновления Windows-cиcтeм .......................................................451
Обновление Windows-cиcтeм на предприятии .........................................................452
Установка обновлений через группЬвые политики .................................................453
Защита от вредоносных программ .....................................................................................454
График обновления антивирусных баз .....................................................................456
Внимательность пользователя ...................................................................................456
Обезвреживание вирусов ...........................................................................................457
Защита от вторжений...........................................................................................................458
Программы-шпионы: «троянские коню> ...................................................................459
Ре,цактирование списка автоматически загружаемых программ ........ :...................462
Безопасность приложений...................................................................................................463
Основные принципы безопасности приложений .....................................................463
Единый фонд дистрибутивов и средства контроля запуска
программного обеспечения ........................................................................................464
Неизменность системы........................................................................................................464
Защита от утечки данных ............................................................................................................465
Шифрование данных ...........................................................................................................465
Шифрование данных на устройствах хранения ....................................:, .................465
Шифрование архивов...........................................................,................................465
Бесплатные программы шифрования данных ....................................................465
Шифрование дисков: коммерческие программы ...............................................467
14
Оглавление
Шифрование в Linux...................................................................................................469
Шифрование файловой системы Windows ...............................................................472
Шифрование ди> до уровня нового программного обеспечения. И если вы до обновления
использовали Windows ХР и Microsoft Office 2003, для чего вполне было достаточ
но 1-2 Гбайт оперативной памяти, то при переходе на Windows 10 и MS Office 2019
вам понадобится как минимум 4 Гбайт.
24
Глава 1
О моральных ·качествах администратора
Системный администратор - это пользователь с практически неограниченными
правами, благодаря которым он может получить на своем предприятии доступ
к любой информации (например, выяснить, у кого какая зарплата), перехватывать
передаваемый трафик и даже читать почту сотрудников. На некоторых предприя
тиях ведется даже учет паролей - не только к учетным записям, но также и к клю
чам электронной подписи. Такая практика в корне неправильна, но она существует.
Сами понимаете, что, имея пароли пользователей, администратор получает неогра
ниченную власть над данными этих пользователей. Да, администратор может и без
паролей пользователей получить доступ к любойинформации, 1:10 система все рав
но запишет, что доступ получал именно администратор. А если он воспользуется
паролем пользователя, система запротоколирует лишь доступ определенного поль
зователя к своим данным. Следовательно, доказать факт изменения даннь�х: адми
нистратором будет очень трудно.
Учитывая все сказанное, системный администратор должен обладать высокими
моральными качествами, чтобы не подвергнуться соблазну совершить должностное
преступление в виде несанкционированного доступа к чужим данным, их хищения
и т. п.
Если вы собственник бизнеса и хотите хоть как-то обезопасить себя от нечестных
на руку сотрудников, вам в помощь - DLР-системы 1• Но и здесь есть нюансы.
Ведь DLР-система будет устанавливаться и настраиваться тем же адмюrnстрато
ром, которому вы, возможно, не доверяете. Как быть в этом случае? Привлекать
к ее установке и настройке третьих лиц? Не на каждом предприятии это возможно,
да и есть ли доверие к ним? Но в любом случае DLP хотя и не дает 100%-ной га
рантии отслеживания утечек данных, но предоставляет больше контроля над дейст
виями пользователей.
1 DLР-система (от англ. Data Leak Prevention)- специализированное ПО, которое защищает органи
зацию от утечки данных.
ГЛАВА
2
Выбор
аппаратных и программных средств
Одна из обязанностей системного администратора - выбор аппаратных и про
граммных средств, используемых в составе информационной системы. Именно от
администратора зависит правильный и оmималъный выбор оборудования и ПО.
В этой главе мы постараемся помочь вам сделать такой выбор и попытаться найти
оптимальное решение - как по стоимости, так и по функционалу.
Требования
к оборудованию информационных систем
Сами понимаете, на рынке представлено множество аналогичного по своим пара
метрам и цене оборудования. Такое многообразие рождает проблему выбора. Ранее
проблема выбора решалась отсутствием самого выбора- выбирать было не из
чего и приходилось использовать то, что оказывалось доступно. Сейчас же эта за
дача- не из легких.
Выбор производителя
Не станем здесь углубляться в тонкости, а представим,
f�:-�:��,!:::��,
•.•
'!,
Г;
*
х
>>
! • Список. ах>дин��й
Рис. 2.5. Сеанс подключения по TeamViewer
Средства резервного копирования
Самое страшное для предприятия - это потеря данных. Сейчас большая часть об
рабатываемых данных хранится в электронном виде и только некоторые из них
переносятся на бумагу.
Именно поэтому важна система резервного копирования, которая копировала бы
информацию с серверов на внешнее хранилище. Внешнее хранилище должно нахо
диться вдали от сервера - как минимум в другом помещении. В случае пожара
в серверной останутся шансы, что уцелеет сетевое хранилище.
Непосредственно для самого резервного копирования применяется различное про
граммное обеспечение - например; Symantec NetBackup или Acronis :Вackup &
Recovery. Не стоит забывать и о стандартных средствах Windows (рис. 2.6) - сис
теме архивации данных Windows Server (Windows Server Backup), что позволит не
тратиться на приобретение приложений сторонних разработчиков. Существует
также возможность резервного копирования в облако - необходимую инфор
мацию об этом можно получить по следующей ссылке: https://azure.microsoft.com/
en-us/Ьlog/protecting-windows-server-2016-using-azure-backup/.
При выборе программного обеспечения резервного копирования нужно учитывать
следующие его характеристики:
□
возможность восстановления всей сист�мы с нуля и на новое оборудова
ние - программа резервного копирования должна позволить администратору
быстро и путем простых операций подготовить и восстановить систему на
44
Глава 2
х
!1 Мастер расписания архивации
Время архивации
Приауnая к рабоrе
Как часто и когда в� хотите выполнять архивацию?
Конфиrурация архив'-Тип места назначения
1 Подтверждение опе...
Сводка
@ fаэв день
о
Вы.§ерите время дня:
llif�' �·•-·'-'""'--=:_�
6?ЛkШе ОДНОГО раза в день
Выберите доауnное время и нажмиrе' кнопку "Добавить·, чтобы
добавить его в расписание архивации.
Досtупное
0:00
0:30
1:00
1:30
2:00
2;30
3:00
3:30
4:00
4:30
,_
"
1
Время начала
21:00
Л ·
Рис. 2.6. Система архивации данных Windows Server
□
□
новом оборудовании. Понятно, что подобные сmуации не будут встречаться
часто, но эта возможность сведет к минимуму возможные простои;
поддержка приЮiадных программ, эксплуатируемых на предприятии, корпоративная программа резервного копирования должна выполнять задачу
сохранения данных для всех программ, которые используются на предприятии.
Это касается серверов баз данных, почтовых программ различных производите
лей, ЕRР-систем 1 , если таковые присутствуют в системе, и т. д.;
возможность создавать гибкий график операций - администратор должен
достаточно просто настраивать график полного и частичного резервного копи
рования для каждого продукта и быть уверенным, что в случае сбоя (например,
1 ЕRР-система (от англ. Enterprise Resource Planning System, система планированИJI ресурсов пред
приятия) - это интегрированная система на базе ИТ для управления внутренними и внешними ресур
сами предприятия.
Выбор аппаратных и программных средств
□
□
□
45
временной недоступности сервера) операция будет повторена через заданные
промежутки времени.
Кроме того, администратор не должен выполнять несколько последовательных
операций при восстановлении данных - программа должна самостоятельно
объединять полные и промежуточные копии на требуемый момент времени;
возможность гранулярного восстановления - на практике резервные копии
данных часто используются для того, чтобы восстановить случайно удаленные
пользователями отдельные файлы или вернуть информацию к предыдущему со
стоянию.
Удобно, если эта функциональность доступна самим пользователям, чтобы они
не привлекали администраторш� для решения таких задач (конечно, с необходимым контролем прав доступа);
развитая отчетность - отчетность по результатам выполнения операций явля
ется немаловажным свойством. Быстрое получение сведений об ошибках опера
ций, о составе резервных копий, об использовании объемов устройств хранения
и т. п. помогает администратору принимать верные решения по управлению
системой;
поддержка ленточных библиотек (опционально) - на больш�й части пред
приятий операция резервного копирования выполняется на дисковые устройст
ва. Эго быстро и достаточно дешево. Но если требуется хранить данные годами,
то в такой ситуации конкурентов у ленты нет и сегодня. Однако магнитная лента
требует и особого обращения с ней: специальных условий хранения, периодиче
ских перемоток и т. п. Поэтому ленточные библиотеки организуются только
в крупных организациях или в специализированных целях;
□ дедупликация данных (опционально)- технология дедупликации подразу
мевает исключение дублирования хранимых дащ-1ых. Данные разбиваются на
блоки, для которых вычисляется хеш-функция. И если выполняется попытка за
писи нового блока, который уже совпадает с тем, что хранится в системе (совпа
дают значения хеш-функций), то вместо повторной записи всех данных блока
записывается только У!� по
умолчанию, как правило, не изменяют.
Если канал связи свободен, то пакет данных сразу же передается по назначению.
Если такой возможности нет, то коммутатор помещает пакет на временное хране
ние в соответствующую очередь. Как только линия связи освободится, коммутатор
начнет передачу пакетов из очередей. Существует несколько алгоритмов выбора
данных из очередей для последующей передачи по сети (администратор может вы
бирать алгоритмы и настраивать их параметры). Наиболее популярны два алгорит
ма: Strict Priority Queuing (SPQ) и Weighted Round RoЬin (WRR).
При использовании алгоритма SPQ сначала передаются пакеты из очереди, имею
щей максимальный приоритет, и только когда она полностью освободится, комму
татор начнет передачу данных из следующей по приоритету. Такой алгоритм обес
печивает практически гарантированную доставку пакетов максимального приори
тета, однако при существенном объеме высокоприоритетной информации другие
пакеты могут теряться (коммутатор вообще не сможет приступить к обслуживанию
очереди с низким приоритетом).
Алгоритм WRR использует специальные взвешенные процедуры для отправки па
кетов. Каждой очереди выделяется определенный лимит для передачи - чем выше
приоритет очереди, тем больше пакетов из нее передается, но в любом случае будут
опрошены все очереди в порядке. снижения приоритета: после истечения выделен
ного периода обслуживания одной очереди коммутатор перейдет к обработке паке
тов очереди, следующей по приоритету. Такой алгоритм обеспечивает передачу
всех типов пакетов.
Иногда используют смешанные алгоритмы. Например, самые критичные очереди
(обычно имеющие приоритет 1 или 2) обслуживают на основе алгоритма SPQ, а для
всех остальных примецяют вариант WRR.
Ограничение полосы пропускания трафика (Traffic shaping)
Коммутаторы, на которых реализована возможность приоритизации трафика, часто
имеют возможность ограничивать полосу пропускания для того или иного типа
данных. Например, можно ограничить выделяемую полосу для загрузки данных по
протоколу FTP или для протоколов видеопросмотра в рабочее время значением,
обеспечивающим достаточный свободный объем для основных производственных
приложений.
88
Глава З
Такая настройка выполняется в соответствии с правилами конфигурирования конкретной модели коммутатора.
Беспроводные сети
Вот мы и добрались наконец-то до беспроводных сетей. Куда ж без них сейчас!
А ведь еще лет десять назад не то чтобы о сетях Wi-Fi никто не знал, но они не бы:.
ли распространены так повсеместно. Ранее в этой книге мы уже начали обсуждать
беспроводные .сети, но в этом разделе поговорим о них подробно.
Как уже бьmо отмечено, основное преимущество беспроводной сети - простота
монтажа. Если сделать качественную СКС дорого (проект, прокладка кабеля и,
возможно, ремонт помещений после его прокладки, метры кабеля, множество раз
личных мелочей и, конечно же, активное оборудование), то в случае с беспровод
ной сетью все гораздо проще и дешевле.
А если учесть, что стоимость точки доступа примерно равна стоимости небольшого
коммутатора, то переход на беспроводную сеть может быть экономически оправ
дан для многих предприятий, и в некоторых случаях (например, при аренде поме
щения без права выполнения монтажно-строительных работ или наличии мобиль
ных сотрудников- к примеру, официанты могут использовать мобильные устрой
ства щ приема заказов, врачи - иметь с собой ноутбуки или планшеты при
проведении обхода и т. д.) организация беспроводной сети может стать и единст
венным приемлемым решением.
Именно поэтому для небольших офисов использование беспроводных сетей явля
ется практически идеальным вариантом.
Что нужно для построения беспроводной сети? Маршрутизатор Wi-Fi, совмести
мый с интернет-соединением вашего провайдера (если Интернет «заходит» к вам в
офис по Еthеmеt-линии, то WАN-порт должен иметь разъем RJ�45, если же у вас
АDSL-линия, то маршрутизатор должен быть оснащен АDSL-модемом), и беспро
водные адаптеры Wi-Fi. Количество адаптеров должно соответствовать количеству
компьютеров в вашем офисе, причем ноутбуки уже с завода оснащены беспровод
ными адаптерами. Следовательно, беспроводные адаптеры нужно докупить только
для стационарных компьютеров.
Стоимость беспроводных адаптеров невысока---:- несколько сот рублей, т. е. стоят
они примерно столько же, сколько и обычные кабельные адаптеры. Существует
несколько форм беспроводных сетевых адаптеров. Выбирайте ту, которая вам
больше подходит. Например, если компьютеры уже сняты с гарантии, можно ку
пить беспроводные адаптеры, выполненные в виде РСI-платы. На рис. 3.8 изобра
жен адаптер Intellinet Wireless 150N. Такие адаптеры стоят дешевле своих USВ
собратьев и оснащены внешней съемной антенной (не у всех USВ-адаптеров антен
на внешняя и тем более съемная), что позволяет не только изменить угол наклона
антенны для лучшего приема, но и заменить ее на. более мощную.
Если компьютеры на гарантии и вскрывать корпуса нельзя, приходится обзаво
диться USВ-адаптерами (рис. 3.9). Мы, как и в случае с РСI-адаптерами, рекомен-
89
Стеrктура сети
дуем выбирать адаптеры со съемной антенной, что при необходимости позволит
заменить саму антенну на более мощную. Не покупайте адаптеры без внешней
антенны! Пусть она будет не съемная, но внешняя. При необходимости такую
антенну хоть можно направить для улучшения приема/передачи.
Рис. 3.9. Беспроводной адаптер USB со сменной антенной
90
Глава З
ПРИМЕЧАНИЕ
Для получения лучших результатов рекомендуется покупать маршрутизатор Wi-Fi и
сетевые адаптеры одного производителя и не выбирать самые дешевые варианты.
Маршрутизатор Wi-Fi (рис. 3.10)- это многофункциональное устройство, выпол
няющее следующие основные функции:
□ объединение в сеть беспроводных клиентов (точка беспроводного доступа);
□ подключение кабельных клиентов. Обычно маршрутизаторы оснащены не
сколькими портами RJ-45 (Ethernet), позволяющими подключить от 4 до 8 кли
ентов;
Рис. 3.10. Маршрутизатор Cisco 819
□
□
обеспечение возможностей шлюза и брандмауэра;
функции АDSL-модема (опционально).
Как видите, самый простой маршрутизатор Wi-Fi выполняет множество функций.
Более точный набор функций можно найти в спецификации на конкретное устрой
ство.
Стандарты беспроводной сети
В настоящее время устройства для беспроводной сети выпускаются на основе не
скольких стандартов, некоторые параметры котррых приведены в табл. 3 .6.
Самый современный и оптимальный стандарт - 802.1 ln. Он не только обеспечи
вает самую высокую скорость передачи данных, но и работает на двух диапазонах
частот: 2,4 и 5,0 ГГц. Эго означает, что если в режиме 2,4 ГГц наблюдается высокая
интерференция (рядом слишком много соседних сетей), то можно перенастроить
маршрутизатор на частоту 5 ГГц. Главное, чтобы все сетевые адаптеры компьюте
ров поддерживали стандарт IEEE 802.1 ln. Дело в том, что хотя стандарт 802.1 ln и
поддерживает старые стандарты, но если в сети будет хотя бы один старый адаптер,
то скорость всей сети снизится до скорости этого адап�ера.
Со стандартом 802.1 lac еще несколько лет назад бьmо не все так гладко, как
с 802.11п. Для его применения нужна бьmа лицензия. Однако с 2016 года государ
ственная комиссия по радиочастотам (ГКРЧ) разрешила работать на частотах, ис
пользуемых этим стандартом, без обязательного лицензирования. При этом стало
возможным задействовать дополнительный диапазон 5650-5850 МГц. Кроме того,
для диапазонов 5150-5350 и 5650-5850 МГц бьmа удвоена максимально допусти
мая мощность (до 10 мВт) на 1 МГц. Переход на новый стандарт позволяет не
только повысить максимальную скорость передачи данных, но и избавиться (по
крайней мере, на некоторое время- пока этот стандарт не очень популярный) от
проблемы интерференции.
На практике лучше выбрать один стандарт беспроводного оборудования, а при не
обходимости использования совместимых режимов проверять наличие сертифика
ции соответствующего решения.
Проектирование беспроводной сети предприятия
Беспроводные технологии позволяют соединять как компьютеры (по принципу
«точка-точка»), так и отдельные сегменты сетей. Чаще всего в локальных сетях
устройства беспроводного досrупа ставятся в качестве точки доступа (Wireless
Access Point, АР). В этом случае точка досrупа высrупает аналогом концентратора
локальной сети, т. е. через нее к сети подключаются отдельные компьютеры.
Обратите внимание, что на рынке присутствуют как беспроводные маршрутизато
ры Wi-Fi, так и 'беспроводные точки доступа. Полагаем, вы понимаете в чем разни
ца. Любой маршрутизатор Wi-Fi может работать в режиме точки досrупа, но точка
доступа не может работать в режиме маршрутизатора. Другими словами, если вы
купите просто точку досrупа, то объедините все беспроводные клиенты в один сег
мент локальной беспроводной сети, но для досrупа к Интернеrу вам понадобится
дополнительное устройство. Им может быть как аппаратный маршрутизатор (DSL
модем), так и отдельный компьютер, выполняющий роль шmоза (программный
маршрутизатор). Надо также иметь в виду, что точки доступа, как правило, не ос
нащены Ethemet-nopтaми (максимум они могут нести один Ethemet-nopт для
управления и питания - многие точки досrупа поддерживают технологию РоЕ).
Глава 3
92
Так что для небольшого офиса, состоящего как из проводных, так и из беспровод
ных клиентов, нужен именно беспроводной маршрутизатор.
Несмотря на то что маршрутизатор может работать в режиме точки доступа, стро
ить сеть только на маршрутизаторах нерационально. Если вам нужно покрыть
большое расстояние, целесообразно приобрести один маршрутизатор и несколько
точек доступа - так будет дешевле.
Выбрав стандарт беспроводной сети, нужно определить зоны покрытия. Одна
стандартная точка доступа покрывает зону радиусом около 50 м. На практике это
значение может быть меньше или больше в зависимости от:
□
□
□
□
мощности устройства;
используемых антенн - хорошо, если антенны съемные, тогда можно уста
новить более мощные, в противном случае при нехватке зоны покрытия нужно
будет менять устройство;
интерференции - наличия рядом беспроводных сетей, работающих на том же
(или близком) канале;
планировки помещения и типа стен.
В спецификациях точек доступа часто указывается такая характеристика, как мак
симальный радиус действия. Однако это значение достижимо только в идеальных
условиях - в поле, где рядом нет ни стен, ни деревьев, ни других беспроводных
.e�чro&.lpe�n.Мl'llиr,pltИJ�t'IO.IIIVIOЧe-•���ИIIIII
nортак TIIICU "'°JСНО ре.-мn. �- fOIIWIO к.rа! О1-.о � ripoиpicy l'IC\tU'МНICnl мnм кЖ:�IМIJlllllf(:;111��-.гp�tltal�Jlp.ПoY"OI"'-� ,,,.,....,
Рис. 3.13. Отключение входящих подключений в публичной сети
Настройка транспортных протоколов
Протоколы
ьетевой протокол - это набор программно реализованных правил общения ком
пьютеров, подкточенных к сети. Практически это «языю>, на котором компьютеры
разговаривают друг с другом. В настоящее время стандартом стало использование
только протокола TCP/IP. В предыдущих версиях Windows по умолчанию устанав
ливалось несколько протоколов, обычно это: NetBEUI, NWLink IPX/SPX, TCP/IP.
Познакомимся с ними подробнее.
□ NetBEUI - компактный и эффективный протокол для взаимодействия в малых
сетях (до 200 компьютеров). Используется в самых разнообразных сисtемах:
Microsoft LAN Manager, Windows 3.1/3.11 for Workgroups, 95, 98, NT 4.0, IВМ
PCLAN, LAN Server и т. п. В Windows 2000 и старше применяется новая специ
фикация этого протокола, которая получила название NetВIOS Frame Protocol
(NBFP), Протокол не является маршрутизируемым. Сети на основе NetВEUI
очень трудно расширить. Протокол устарел и больше не ж:пользуется.
□ NWLink IPX/SPX- если в сети есть серверы Novell NetWare, то этот протокол
необходим для организации связи с ними (в последних версиях Netware по
умолчанию задействован пр(}токол TCP/IP). В противном случае этот протокол
следует исключить из числа используемых в системе. Сети Novel NetWare давно
канули в Леrу и больше не актуальны.
98
□
Глава З
TCP/IP - основной рекомендуемый протокол как для больших сетей пред
приятий и малых офисов, так и для соединения домашних компьютеров в част
ную сеть. В отличие от других протоколов, требует ряда предварительных на
строек. В настоящее время является единственным актуальным транспортным
протоколом.
ПРИМЕЧАНИЕ
Не следует задействовать в сети больше служб и протоколов, чем требуется для нор
мальной работы в конкретной ситуации. Во-первых, при этом будут непроизводитель
но использоваться ресурсы компьютера. Во-вторых, любая дополнитель·ная служба и
неиспользуемый протокол - это еще один «вход» в систему, который надо защищать.
Поэтому проще не предоставлять дополнительных возможностей хакерам, чем посто
янно следить за обнаруживаемыми в этих службах уязвимостями, устанавливать не
обходимые обновления и т. п.
Модель OSI
С целью систематизации сетевого взаимодействия часто используется модель OSI
(Open Systems Interconnection, модель взаимодействия от1 J 0012
v i- 0013
. .J- link;tge
> 1 Ndi
� .>, 001◄
!·) Linkage
> J Ndi
> • 0015
> 0016
> ;: ConfiOOOIJQ084(132)
0.00000000 (О)
PCI\VEN_10EC&DEV_8168&REV_15
PCI\VEN_10EC& D E V 8_ 168&SUBSVS_81EE103C&RC
4-6-2015
00c0 f7 9ffc6fd001
�a!tek PCle GВf Family Controller
9.1.406.2015
о
о.ооооооо6(6)
machine.inf pci.inf
rt640x64.inf
R fl8168.ndi.NТ
�W�OOШ00 15001300h00 1e00�01
PCI\VE N 10EC&DEV_8168&REV_
_
15
(3910350t-3Fбf--4BDE-ВAD1-7721-4046E.22AJ
(32769)
f6-B7-E2-9C-8f-Ff
Ох1dЗаЬ4с1сЗW44 (131637157502.971◄60)
Microsoft
о.ооооаоо,
Рис. 3.15. Изменение МАС-адреса сетевого адаптера с помощью реестра
Затем выбрать подраздел с интересующим вас адаптером (наименование адаптера
в подразделе содержится в параметре DriverDesc) и соответствующим образом из
менить значение параметра NetworkAddress. После проделанных манипуляций
компьютер лучше перезагрузить.
Имена к�мпьютеров в сети TCP/IP
Человеку удобнее работать с именем компьютера, чем запоминать цифры, состав
ляющие его IР-адрес. В сети на основе протокола TCP/IP компьютеры могут иметь
два имени: это NetBIOS-имя компьютера и имя хоста (DNS-имя). Обычно имя хос
та и NetBIOS-имя совпадают, и к этому следует стремиться. Однако эти имена мо
гут быть и разными. Например, длина NеtВIОS-имени ограничена 15 символами,
а хосту может быть присвоено более длинное название. Или если при создании до
мена вы пытаетесь дать ему имя, совпадающее с именем будущего контромера, то
программа установки предложит выбрать этому хосту другое имя..
Имя хоста составляется из нескольких имен, разделяемых при написании точ
кой, - например, так: www.ask.ru. Первая слева группа символов (до точки)
в нашем примере это www, является собственным именем компьютера (точнее, его
псевдонимом - см. об этом в табл. 3 .8 далее). Следующая группа символов - от
точки до точки - .это имя группы компьютеров, которой принадлеж� система.
Следующая группа символов - имя группы компьютеров, которой, в свою оче
редь, принадлежат группы компьютеров, имена которых находятся левее. Такую
цепочку можно продолжать сколь угодно долго, но для удобства обычно ограничи
ваются тремя-четырьмя группами символов.
Глава 3
114
На практике под именем домена понимают всю группу символов справа от полного
имени компьютера. В зависимости от того, сколько групп символов входит в до
менное имя, различают домены первого, второго, третьего и т. д. уровней.
ПРИМЕЧАНИЕ
При создании нового домена Windows не следует давать ему имя домена первого
уровня. В этом случае действуют некоторые ограничения, с которыми можно ознако
миться в базе данных Microsoft. Целесообразно дать домену Windows имя вида .lосаl.
Самая правая группа символов имени (до первой точки) называется доменом перво
го уровня, вторая справа-доменом второго уровня, затем следует домен третье
го уровня и т. д.
ПРИМЕЧАНИЕ
Иногда употребляют термин FQDN (Fully Qualified Domain Name) - обычно эту аб
бревиатуру используют без перевода, русский же термин звучит как полное имя узла.
Под FQDN понимают полную цепочку имен системы: от имени хоста до имени корне
вого домена. Чтобы подчеркнуть, что имеется в виду полное имя., в конце его ставят
точку, которую принято считать именем корневого домена. Например, FQDN для веб
сайта будет писаться следующим образом: www.ask.ru. (последняя точка включается
в имя).
Имена хостов внутри широковещательного домена Windows должны быть уни
кальны. При попытке запуска системы, имеющей такое же имя, как и у другого ра
ботающего компьютера, вы получите сообщение об ошибке.
Доменные имена Интернета
В Интернете за уникальностью присваиваемых имен следит организация (физиче
ское лицо), отвечающая за домен, в рамках которого вьщается имя. При присвоении
имен используется принцип: если то или иное доменное имя свободно, то его мож
но получить. Приобретение доменного имени- это платная услуга, кроме того,
ежегодно действие имени необходимо продлевать. Оrобрать выданное доменное
имя практически невозможно.
Такой способ гарантирует уникальность полного доменного имени компьютера и
в то же время требует проверки на уникальность желаемого имени только в одном
месте.
Организации и физические лица, регистрирующие для себя доменные имена, обыч
но стараются создать такое доменное имя, которое легко запоминается пользовате
лем, при этом часто используется юридическое название организации. Сравните:
Белый дом (ClllA) -whitebouse.gov, корпорация Microsoft-microsoft.com, и т. д.
Существуют два направления создания доменных имен. Одно- по географиче
скому принципу (каждая страна имеет свой домен первого уровня, в рамках кото
рого создаются все имена компьютеров), второе - по типу деятельности пред
приятия.
В России «географические» домены имеют имена ru и рф (последний-для назва
ний домена на кириллице). Сохранился также домен su, закрепленный ранее за
CmpYкmypa сети
115
СССР. Функции технического сопровождения системы регистрации и DNS-cep
вepoв зоны ru осуществляет Российский НИИ развития общественных сетей (Рос
НИИРОС). Со списком организаций, осуществляющих регистрацию в домене ru,
можно ознакомиться на странице: http://www.ripn.net:8080/nic/dns/registry-all/
reg_list.html.
Второе направление - это присвоение имени на основе типа деятельности. Среди
подобных имен наиболее известен домен com, предназначенный для коммерческих
предприятий. Другие популярные домены - это edu (учебные организации), gov
(правительственные), net (сетевые ресурсы), org (некоммерческие организации),
info и пр.
В настоящее время список доменов, присваиваемых по типу деятельности, сущест
венно расширен - в их число введено много доменов, в которых можно бесплатно
зарегистрировать имя для общественных проектов.
Соотношение доменных имен и IР-адресов компьютеров
Каждый компьютер в глобальной сети должен иметь уникальный IР-адрес. Без на
личия такого адреса работа просто невозможна (наличия же доменного имени для
работы не обязательно). При необходимости в строках адреса программ, предна
значенных для работы в Интернете, вместо доменного имени можно набирать
IР-адрес.
Доменное имя может существовать, но не иметь IР-адреса (естественно, работа
с этими узлами невозможна). Такая ситуация может возникнуть, если, например,
предприятие заранее зарегистрировало за собой доменное имя, но не располагает
в настоящий момент какими-либо ресурсами в сети Интернет. В этом случае гово
рят, что домен не делегирован.
Одно доменное имя может иметь несколько IР-адресов. Обычно это практикуется
на популярных узлах Интернета, что позволяет с помощью специальных решений
распределить нагрузку с одного компьютера на несколько. Аналогично не�колько
доменных имен могут соответствовать одному IР-адресу (например, при размеще
нии на компьютере нескольких веб-серверов, соответствующих различным пред
приятиям).
IР-адреса, соответствующие тому или иному доменному имени, могут меняться.
Например, предприятие переезжает или меняет интернет-провайдера. Сохранение
за собой доменного имени позволяет не беспокоиться, что в подобных случаях
придется нести затраты на «раскрутку)) нового имени.
Серверы доменных имен (DNS)
NetBIOS-имя компьютера определяется при установке операционной системы. По
умолчанию это же имя будет использовано в качестве имени хоста при получении
IР-адреса, хотя в Windows, как уже отмечалось ранее, можно назначить разные
имена NetBIOS и DNS.
Для поиска компьютера в локальной сети по имени ранее использовались широко
вещательные запросы - система рассьmает запрос на определение имени всем
116
Гпа�а 3
станциям и ждет ответа. Увеличение размеров сети заставляет отказаться от такого
метода, поскольку он приводит к значительному росту излишнего широковеща
тельного трафика.
В распределенных сетях на основе протокола TCP/IP для разрешения имен исполь
зуются специальные серверы - DNS-cepвepы (Domain Name System).
Серверы DNS обеспечивают получение доменного имени по запросу на qснове
IР-адреса, и наоборот. Поэтому указание адреса сервера DNS является одной из ос
новных настроек протокола TCP/IP; необходимых для работы в Интернете. Ecflи
в настройках не указан IР-адрес сервера DNS, то пользователь не сможет полно
ценно работать в Интернете, поскольку ему будет не доступен переход по ссылкам,
в которых использовано доменное имя, а это практически все ссылки на информа
ционных ресурсах.
Адрес сервера DNS обычно сообщается автоматически при инициализации прото
кола IP. Имена серверов DNS сообщаются DНСР-серверами. Как правило, указыва
ется несколько DNS-cepвepoв, чтобы система могла использовать второй сервер
при временной недоступности первичного.
WINS
Служба регистрации имен в сети Windows (Windows Intemet Naming Service, WINS)
использовалась для регистрации сетевых имен компьютеров в локальных сетях до
Windows 2000. Эта служба позволяла корректно разрешать имена в сетях с налич_и
ем маршрутизаторов. Сейчас эта служба считается устаревшей, и вы с ней можете
встретиться разве что в очень старых сетях, спроектированных в конце 1990-х
начале 2000-х годов. Такие сети - настоящие динозавры. Честно говоря, трудно
представить себе сеть, которая за последние 20 лет не модернизировалась бы.
Статическое задание имен
Ранее, когда еще не было службы DNS, IР-адреса в сети задавались вручную с помощью файла hosts. В нем прописывались IР-адреса и символьные имена ком
пьютеров. Затем этот файл тиражировался по всем компьютерам сети, чтобы все
они могли разрешать доменные имена/IР-адреса друг друга.
Недостаток этого способа - необходимость вручную контролировать состав сети.
В небольшой сети со статическими IР-адресами это сделать относительно просто,
особенно если учесть, что состав таких сетей часто не меняется.
Но если в вашей сети используется DНСР-сервер (а где он сейчас не использует
ся?), вряд ли вы будете вручную задавать имена узлов через файл hosts.
Тем не менее если Windows не может динамически определить имена (IР-адреса)
хостов, то система использует содержимое файлов hosts, networks и lmhosts. Первые
два файла представляют обычный список соотношений «IР-адрес - имя» в прямом
и обратном порядке:
□ файл hosts:
195.12.156.31
63.120.34.76
Файл lmhosts совместим с Microsoft LAN Manager 2.х и используется для загрузки
специальных NetBIOS-имeн (указания сервера домена, серверов приложений
и т. п.);
Все три файла (lmhosts, hosts и networks) находятся в папке %systemroot%\system32\
drivers\etc. При установке системы обычно создаются файлы примеров (имеют
расширение sam), по образцу которых и следует редактировать соответствующие
файлы.
Изменять эти файлы можно в любом текстовом редакторе, однако для этого необ
ходимы права администратора. Запись должна начинаться с первой позиции стро
ки, а столбцы могут отделяться любым числом пробелов. Операция трудоемкая,
особенно при добавлении в сеть новых компьютеров, поскольку это потребует вне
сения изменений в такие файлы для всех уже имеющихся в сети систем.
Последовательность разрешения имен
На практике вы можете столкнуться с тем, что часть систем «видит» одно число
компьютеров в сети, а другая - иное. Одни �омпьютеры успешно работают в сети,
а на других отображается сообщение, что вход в сеть не может быть осуществлен,
т. к. система не находит контроллер домена. Эти ситуации обусловлены различны
ми используемыми методами разрешения, и.мен.
Разрешение имен применяется для того, чтобы найти компьютер (определить
IР-адрес) по его имени и получить информацию о сетевых службах, - например,
узнать адреса контроллеров домена.
Основное отличие методов разрешения имен различных версий Windows состоит
в том, что системы до Windows 2000 использовали для разрешения имен NetBIOS, а
Windows 2000 и старше (Windows 20хх/ХР/7/8/10) нуждаются в информации DNS.
При необходимости разрешения имени сначала предпринимается попытка его по
иска в локальных ресурсах. Прежде всего, это локальный кэш имен, который для
увеличения производительности создают все системы (кэш имен NetBIOS или кэш
имен DNS). Если нужное имя компьютера там не найдено, то система пытается
найти его в hоst-файлах. Если и эта попытка неудачна, то системы с ОС Windows
2000 и старше обращаются к серверу DNS, определенному в параметрах настройки
протокола TCP/IP их сетевого адаптера. Если сервер DNS недоступен или не смог
вернуть имя, то на этом попытки прекращаются и сообщается, что имя не найдено.
Системы Windows NT 4.0 в зависимости от параметров настройки NetBIOS · либо
рассылают широковещательные запросы на определение имени, либо обращаются
к серверу WINS. Информация DNS используется только в том случае, если это явно
указано в настройках сетевого адаптера.
Глава 3
118
С помощью DNS-системы на базе Windows 20.хх/ХР/7/8/1О находят и расположение
служб. Например, адрес контроллера домена может быть узнан по имени
_ldap._tcp.dc._msdcs., адрес службы Gatekeeper (используется при
передаче IР-телефонии, видеоконференций и т. п. по каналам связи) определяется
по результатам запроса на имя Q931._tср. и т. д.
Настройка серверов DHCP и DNS
Службы серверов DHCP и DNS должны быть установлены на компьютер со стати
ческим IР-адресом.
Настройка DHCP
Использование DНСР-сервера требует от администратора обязательного определе
ния ряда параметров. Для установки службы достаточно отметить ее в перечне
параметров Windows Server, но после установки необходимо выполнить. как мини
мум следующие действия (в Windows Server 2012/2016/2019 указанные шаги пред
лагает выполнить мастер установки роли):
□ создать и настроить зону;
□ авторизовать DНСР-сервер.
ПРИМЕЧАНИЕ
При наличии в сети двух DНСР-серверов клиент возьмет настройки IР-протокола от
того сервера, ответ от которого будет получен первым (см. разд. «Порядок получения
/Р-адрt3сов клиентами DHCP» далее в этой главе).
Создание и настройка зоны
Сервер начнет раздавать адреса только после того, как вы зададите диапазон этих
адресов и определите необходимые параметры протокола. Делается это путем соз
дания новой области (scope).
ПРИМЕЧАНИЕ
Название области может быть задано произвольно, диапазон адресов менять в про
цессе работы допустимо, но значение маски подсети, определенное при создании об
ласти, изменить невозможно. Можно только удалить область и создать новую с иным
значением.
Для области необходимо определить как минимум диапазон распределяемых адре
сов, маску сети и указать срок аренды IР-адреса. Внутри диапазона адресов некото
рые адреса можно исключать (например, если вы предполагаете задать их статиче
ски). Срок аренды выбирается исходя из особенностей вашей сети. При малом чис
ле компьютеров он может быть существенно увеличен по сравнению со значением
по умолчанию в 8 суток (вплоть до неограниченного значения).
Желательно в параметрах DНСР-сервера указать, чтобы он проверял IР-адрес перед
его выдачей клиенту. Это позволит предупредить конфликты, возникающие при
самостоятельном присваивании IР-адресов у клиентов, а также облегчит ситуацию
восстановления сервера (например, после полной очистки его баз).
Структура сети
119
Создание области обеспечивает соответствующий мастер (рис. 3.16). Для 1Рv4адресов доступны четыре типа областей:
□
□
обычные области - используются для назначения адресов в сетях классов А,
В и С;
многоадресные области - используются для назначения IР-адресов в сетях
1Pv4 класса D;
Мастер создания области
JЬ,апазон адресов
Определить дие�псзон адресов области можно зrщсвся. диспазон последовtпельных
IР-одресов.
•
···· Настройки КОНфиrурации для ОНСР·сервера
Введите диапазон адресов. которыR описывает обЛасто.
Н�чальныR IР-адрес:
Рис. 3.18. Изменение опций сервера (Windows Server 2019)
Вы можете определить любые параметры области (как минимум следует указать те
величины, которые-запрашиваются мастером создания новой зоны), а при необхо
димости и соз�ать собственные. Описание дополнительных параметров обычно
включается в документацmо прикладного программного обеспечения, которому
необходимы дополнительные настройки DHCP.
Фиксированнь1е IР-адреса
В некоторых случаях DНСР-сервер нужно настроить так, чтобы он выдавал .клиен
там не случайный IР-адрес, а заранее определенный ( фиксированный). Например,
такую конфигурацию могут потребовать серверы сети, IР-адреса которых должны
оставаться неизменными.
Серверы можно настроить или вручную, присвоив им статический IР-адрес, или же
настроить DНСР-сервер должным образом.
Чтобы DНСР-сервер одному и тому же компьютеру вьщавал определенный IР
адрес, нужно знать МАС-адрес сетевого адаптера этого компьютера. Для определе
ния МАС-адреса можно или использовать команду ipconfig /all, введенную непо
средственно на сервере, МАС-адрес которого нужно получить, или же попытаться
определить его утилитой arp (см.разд. «Протокол ARP» ранее в этой главе).
Сам процесс резервирования не представляет сложности - достаточно в оснастке
управления DНСР-сервером ввести в окне операции резервирования. имя клиента и
его МАС-адрес.
Глава 3
122
В Linux для назначения компьютеру с определенным МАС-адресом определенного
IР-адреса в блок описания опции (в конфигурационном файле DНСР-сервера) добавляется следующая область:
host server {
option host-name "server";
option routers 192.168.1.1;
hardware ethernet AA:BB:CC:DD:EE:FF;
fixed-address 192.168.1.2;
ПОЯСНЕНИЕ
Обратите внимание, что для резервированного клиента DНСР-сервер позволяет уста
новить свои, индивидуальные параметры протокола TCP/IP, отличные от параметров
области.
Подстройка DHCP под группы клиентов
Очень часто администраторы сети хотели бы, чтобы часть клиентов получала
IР-адреса из одного диапазона, а часть - из другого, возможно, с отличающимися
параметрами настройки протокола TCP/IP.
Существует всего несколько возможностей выделить различных клиентов, но толь
ко для получения отличающихся параметров области (scope option).
Первая возможность - это резервирование клиентов. Для резервированных клиен
тов можно определить собственные параметры области. Но для создания такого
клиента нужно точно знать его МАС-адрес.
Вторая возможность - это разделение клиентов по классам: классу вендоров
(vendor class) и классу пользователей (user class). Для клиентов того или иного
класса администратор может настраивать индивидуальные опции DНСР�сервера.
Например, в DHCP вендором считается производитель соответствующего про
граммного обеспечения операционной системы. В результате можно разделить
клиентов с операционными системами разных версий и вендоров.
nРИМЕЧАНИЕ
Администраторы могут добавлять описания классов вендоров в параметры DНСР
сервера, но для этого придется узнать по технической документации необходимые на
стройки соответствующего производителя.
Использование пользовательских классов доступно в серверах DHCP Microsoft, на
чиная с версии Windows 2000 и- выше. Основное их отличие от вендорского класса
состоит в том, что устанавливать принадлежность к классу могут сами пользовате
ли - с помощью команды:
ipconfig /setclassid
Например, можно применить пользовательские классы для осуществления различ
НОЙ"flастройки ТСР/IР-протокола мобильных и стационарных компьютеров.
Конечно, на больших предприятиях подобную настройку можно включить в обра
зы операционной системы, которая потом будет тиражироваться раздельно по
Структура сети
123
структурам предприятия. Но для малых предприятий применение пользовательских
классов обычно не востребовано.
Отказоустойчивость DНСР-сервера
Впервые поддержка отказоустойчивости . DНСР-сервера появилась в Windows
Server 2012 и только для протокола 1Pv4.
Оrказоустойчивость предполагает высокую доступность DНСР-сервисов путем
синхронизации информации об аренде 1Рv4-адресов между двумя DНСР-серверами
в одном из двух режимов:
□ режим балансировки нагрузки (Load Balance). В этом режиме можно указать
процентное соотношение загрузки каждого сервера. Обычно используется соот
ношение 50/50, чтобы нагрузка на каждый сервер была одинаковой. Но админи
стратор может указать и другое значение - например, 70/30;
□ режим горячего резервирования (Ноt Standby). В этом режиме один из серве
ров действует как основной сервер и обрабатывает DНСР-запросы. Второй сер
вер используется только в случае сбоя основного сервера.
Оrказоустойчивые области создаются на основном DНСР-сервере. Если один из
серверов станет недоступным, его место займет другой сервер - он продолжит
назначать IР-адреса и возобновит существующие аренды. Также второй сервер
начнет работать, если основной сервер просто окажется перегруженным, то есть
такие области используются и для балансировки нагрузки.
Создать отказоустойчивую область можно так:
1. Оrкройте консоль DHCP (выберите- одноименную команду из меню Средства
диспетчера серверов) и подключитесь к основному DНСР-серверу.
2. Разверните узел 1Pv4. Область, с которой вы будете работать, уже должна быть
создана. В противном случае - создайте ее. Щелкните на области или супероб
ласти правой кнопкой мыши и выберите команду Настройка отработки отка
за - откроется одноименное окно, в котором нужно нажатькнопку Далее.
3. Нажмите кнопку Добавить сервер, чтобы добавить вторичный DНСР-сервер,
который будет использоваться с этой отказоустойчивой областью. Снимите
флажок Повторно использовать отношения отработки отказа, настроенные
для этого сервера и нажмите кнопку Далее.
4. Выберите в списке Режим тип отработки отказа: Балансировка нагрузки или
Горячая замена.
• Если вы выбрали первый вариант (Балансировка нагрузки), укажите, как
должна распределяться нагрузка между серверами: например, 50/50 - когда
нагрузка между двумя серверами распределяется одинаково, или 80/20 - ко
гда основной сервер станет обрабатывать большую часть нагрузки, а потом
уже будет подключаться второй сервер.
• Если вы выбрали режим Горячая замена, установите роль партнера: Актив
ный или Резервный, и укажите, сколько процентов адресов нужно зарезер-
Глава 3
124
вировать. По умолчанию для резервного сервера используется 5% диапазона
адресов.
5. Заполните поле Общи,й секрет - это пароль, который серверы испощ,зуют при
синхронизации базы данных DHCP.
6. Нажмите кнопку Готово, а затем кнопку Закрыть.
Дополнительную информацию о настройке отказоустойчивых областей можно най
ти на сайте Microsoft по короткой ссылке: https://Ьit.ly/3a5xuVU.
Обслуживание DНСР-сервером других сегментов сети
С помощью одного DНСР-сервера администраторы могут раздавать IР-адреса раз
личным сегментам своей сети. Для этого необходимо на DНСР-сервере создать об
ласти с диапазонами адресов, соответствующими этим сегментам, и обеспечить
получение DНСР-сервером запросов из другого сегмента сети.
ПРИМЕЧАНИЕ
Для соединения сегментов моrут использоваться RFС-1542-совместимые мqршрути
заторы, которые имеют возможность пропускать пакеты с запросом аренды адреса.
Однако обычно такая настройка достаточно трудоемка, требует внимательного анали
за конфигурации сети и нечасто применяется на практике.
Создание областей с различными диапазонами IР-адресов выполняется типовым
образом: вы создаете область и определяете для нее любой желаемый диапазон
адресов. Однако раздавать из области адреса, не соответствующие диапазону
собственной подсети, DНСР-сервер не будет, пока не получит адресованного ему
запроса из другого сегмента.
Такие запросы может формировать специальный агент-,--- агент ретрансляции
DHCP (DHCP Relay Agent). Обычно используется агент ретрансляции, установлен
ный на коммутационном оборудовании. Но можно задействовать и агент, входящий
в состав сервера маршрутизации и удаленного доступа (Routing and Remote Access
Server, RRAS).
Принцип работы агента ретрансляции DHCP достаточно прост. Агент прослушива
ет сеть на наличие пакетов запроса аренды адреса. Если такой пакет получен, то
агент ожидает некоторое время (на случай, если в этом сегменте сети есть свой
DНСР-сервер, который и обслужит клиента, - таким образом можно повысить от
казоустойчивость сегмента сети, дублируя локальный DНСР-сервер соответствую
щей областью на удаленном DНСР-сервере). Если запрос клиента остается необ
служенным, то агент ретранслирует запрос в соседние сегменты сети. Если в со
седних сегментах есть DНСР-сервер, то он получает этот запрос и, поскольку
запрос отправлен с адреса другого сегмента сети, предоставляет в аренду адрес
именно того диапазона, из которого пришел запрос.
Для установки программного агента ретрансляции достаточно в настройках IР
маршрутизации (IP Routing, пункт General) соответствующего сервера RRAS вы
брать команду созда�JIЯ нового протокола маршрутизации и указать DHCP Relay
Agent. В настройках агента ретрансляции следует указать IР-адрес DНСР-сервера,
на который будут ретранслироваться запросы аренды адреса.
Стеrктура сети
125
Затем нужно добавить в агент ретрансляции интерфейс (или несколько интерфей
сов, если компьютер подключен к нескольким сегментам сети), через который
будут пересылаться запросы аренды. И наконец, при необходимости следует отре
гулировать порог ожидания (boot threshold) - время, в течение которого будет
ожидаться ответ локального DНСР-сервера, и максимш�ьное количество маршру
тизаторов, через которые может пройти этот пакет (hop-count threshold).
Порядок получения IР-адресов клиентами DHCP
Во многих случаях знание процедуры аренды IР-адреса может помочь в диагности
ке неисправностей сети.
Первичное получение адреса
При включении компьютера клиент, настроенный на динамическое получение
адреса, передает широковещательную рассьшку с запросом IР-адреса (запрос идет
от адреса О.О.О.О с маской 255.255.255.255). Эго сообщение называется
DHCPDISCOVER. На этот запрос отвечают все DНСР-серверы сегмента сети,
предлагая IР-адрес. Соответствующее сообщение называется DHCPOFFER. Выде
ляемые для аренды адреса на некоторый период резервируются и не предлагаются
другим клиентам.
Клиент Ждет предложения по адресу от сервера DHCP одну секунду. Если оно не
приходит ни от одного сервера, то запрос аренды повторяется еще пять раз (через
увеличивающиеся промежутки времени приблизительно в течение 30 секунд). Если
ответ от DНСР-сервера так и не получен, то клиент получает адрес по технологии
APIPА (см.разд. «Адресация АРIPA» ранее в этой главе).
На первое полученное предложение от DНСР-сервера клиент отвечает широкове
щательным сообщением (DHCPREQUEST), в котором содержится IР-адрес серве
ра, выдавшего это предложение. После получения такого сообщения другие DНСР
серверы освобоЖдают зарезервированные ими IР-адреса, а сервер; предложение
которого принято, высьшает подтверЖдение (DHCPACK). Только после получения
этого подтверЖдения клиент полностью инициализирует ТСР/IР-протокол своего
сетевого адаптера.
Продление аренды
Запрос на продление аренды IР-адреса высьшается после истечения половины пе
риода аренды и при КаЖдОЙ перезагрузке системы. Для этого на сервер, выдавший
адрес, отправляется DHCPREQUEST-зaпpoc. Если подтверЖдение получено
(DHCPACK), то клиент продолжает использовать текущие параметры конфигура
ции. Если ответ не получен, то запросы на этот сервер повторяются. Перед оконча
нием срока аренды и при· отсутствии ответа от выдавшего IР-адрес DНСР-сервера
клиент высьшает уже широковещательные запросы DHCPDISCOVER, пытаясь по
лучить адрес от любого DНСР-сервера.
ПРИМЕЧАНИЕ
При отказе в аренде DНСР-сервером высылается специальный пакет DHCPNACK.
126
Глава 3
Если срок аренды закончился, а клиент не смог ни получить подтверждения от сво
его DНСР-сервера, ни запросить новый IР-адрес, то текущие настройки IР-про
токола освобождаются, а клиент получает адрес по APIPA.
Если при перезагрузке операционной системы попытка обновления аренды адреса
неудачна и .клиент не может установить связь со шлюзом по умолчанию, то теку
щие настройки IР-адреса также освобождаются. Такая ситуация может свидетель
ствовать о переносе компьютера в другой сегмент сети, поэтому он и освобождает
свой адрес.
Диагностика и обслуживание DНСР-сервера
Обычно никаких проблем с использованием DНСР-сервера не возникает. В про
тивном случае следует включить протоколирование его работы (опция на одной из
вкладок консоли управления сервером). После выявления причин неисправностей
для повышения производительности системы ведение журнала работы DНСР-сер
вера следует отключить.
Сервер сам проводит фоновую дефрагментацию базы данных клиентов. Ручная
(офлайновая) дефрагментация имеет смысл только в случае большой нагрузки на
серверы (более 1000 записей клиентов). При меньшем числе клиентов ручную деф
рагментацию (она проводится при помощи программы j etpack, которая требует
предварительной остановки DНСР-сервера) рекомендуется проводить раз в не
сколько месяцев или еще реже.
При возникновении ошибок в базе достаточно просто исполнить операцию
reconcile для соответствующей области или всего сервера. При серьезных пробле
мах допустимо остановить DНСР-сервер и удалить все файлы баз из его каталога.
После старта они будут воссозданы с пустыми значениями, которые потом снова
заполнятся по получении запросов.
Параметры DНСР-сервера находятся в ключе реестра:
НКЕУ-LOCAL-МACHINE\SYSTEМ\CurrentControlSet\Services\DHCPServer\Parameters
Регистрацией событий DНСР-сервера управляют следующие параметры:
□ DhcpLogFilesMaxSize - максимальный размер всех журналов. По умолчанию 70 Мбайт;
□ DhcpLogDiskSpaceCleanupinterval - задает частоту проверки использования
диска и очистки журнала. По умолчанию - 60 минут;
□ DhcpLogMinSpaceOnDisk - порог свободного пространства, необходимый для
записи в журнал. Если на диске осталось меньше места, запись в журнал пре
кращается, пока не освободится дополнительное дисковое пространство. По
умолчанию - 20 Мбайт.
Интеграция DHCP и DNS
В Windows Server 2012 появилась новая функция - защита ц.мен. Эта функция
разрешает DНСР-серверу регистрировать записи от имени клиента, только если
никакой другой клиент с этой DNS-информацией не зарегистрирован. Можно на-
Структура сети
127
строить защmу имени, как для 1Pv4, так и для 1Pv6, - на уровне сетевого адаптера
или на уровне области.
Защита имен предназначена для предотвращения: занятия, имен. Занятие имен про
исходит, когда компьютер с ОС, отличной от Windows, регистрирует в DNS имя,
которое уже используется на компьютере под управлением Windows. Благодаря
защите имен можно предотвратить занятие имени компьютерами, работающими
под управлением другой ОС, отличной от Windows.
Включить защmу имен можно с помощью оснастки DHCP в свойствах 1Pv4/1Pv6
(рис. 3.19).
Свойства: 1Pv4
?
х
; Об��j Службе DNS }1>ильтры.·� тр!!_ ботК8 от�е '-��лн_ и;��
Вы мОJКете нестроить DНСР-сервер для автометического обновления
А-зеписей {узлов} и РТR-зеписей (укезетелей) DНСР-к.лиентов для
полномочных DNS-cepвeiю,'в.
Р- Jl;!_к.лючить дин1111ическое обновление DNS в соответствии с�
i!::1.0.Ш!.00.l\Qf!.:
1
(8' Дин1111ически обновлять DNS·з11писи только по ;.!llnpocy
DНСР-к.лиенпi
r В5,еrд11 дин1111ически обновлять DNS-з11nиcи
р- �IIЛЯТЬ А· и РТR-зl!ПИСИ при у�нии еренды
Г futнвмически обновлять D�-э11nиси � DНСР-к.лиент6в. не
требующих обновления (ноnример. клиентов с Windows NT 4.0)
' Г Qтключить динемические обновлен·ия для РТR-записей DNS
Защита имени----------------��
Защит11 имени DНСР отключене н11 уровне сервере.
Рис. 3.19. Свойсrва 1Pv4 в оснасrке DHCP
DNS
В доменах Windows информацию о службах, необходимых для работы систем, хра
нит DNS. И основное количество проблем функционирования домена (службы_ ка
талогов) связано именно с неверной настройкой администраторами службы DNS.
Поэтому стоит рассмотреть сервер DNS более подробно.
Термины DNS
DNS (Domain Name System, система доменных имен) - это служба разрешения
имен в сетях на основе протокола TCP/IP. И прежде всего вам нужно ознакомиться
с основными терминами, связанными с DNS.
128
□
Глава 3
Зона DNS- это часть пространства имен, для которого DNS-cepвep может вы
полнять операции разрешения имен. Важно понимать разницу между доменом и
зоной. Зона- это не домен. Зона- это часть домена, которая управляется оп
ределенным DNS-cepвepoм. Если домен небольшой, то зона- это и есть домен.
Именно поэтому эти два понятия часто путают. Существуют зоны прямого и об
ратного просмотра, которые на практике для удобства называют прямой
и обратной зона.ми.
Прямая зона служит для разрешения доменного имени системы в ее IР-адрес,
обратная- для обратного разрешения, т. е. позволяет определить доменное
имя по IР-адресу. Поэтому когда нужно по имени компьютера узнать его адрес,
то говорят о прямом разрешении имени. Если по IР-адресу хотят получить имя
1 компьютера, то в этом случае происходит обратное разрешение имени. Строго
говоря, если в DNS зарегистрировано прямое разрешение имени, то должно
быть зарегистрировано и обратное.
Фактически прямые зоны соответствуют доменам некоторого уровня. Например,
зона ask.ru позволяет разрешить все запросы имен, относящихся к домену
ask.ru.
Для разрешения обратных имен в домене самого верхнего уровня создана зона
in-addr.arpa. Названия зон обратного просмотра формируются добавлением
к этому имени слева имени трех октетов адреса сети в обратном порядке. На
пример, для сети 195 .161.192.о/24 имя обратной зоны будет 192.161.195.in
addr.arpa.
□
□
В большинстве случаев отсутствие регистрации в обратной зоне не мешает нор
мальной работе в Сети. Однако оно может и привести к ошибкам в тех случаях,
когда необходимо установить по IР-адресу имя сервера. Например, при обмене
почтовыми сообщениями в настоящее время принято проверять принадлежность
сервера к тому домену, от имени которого он передает почту. Если обратное
разрешение имени не будет проведено, то система может получить отказ
в приеме почты.
Первичная и вторичная зоны- у создаваемых записей DNS должен быть
один «хозяин». Чтобы все записи были корректны, их необходимо вносить на
одном DNS-cepвepe. В этом случае говорят, что на таком DNS-cepвepe располо
жена первичная зона. Для отказоустойчивостц на других серверах можно создать
копии этой зоны- такие зоны будут называться вторичными зона.ми. Вторич
ная зона содержит те же записи, что и первичная, но в нее нельзя вносить изме
нения или добавлять новые записи. Эти операции можно делать только для пер
вичной зоны. В случае домена Windows 20хх и использования зоны DNS, интег
рированной со службой каталогов, изменения можно вносить на любом DNS
cepвepe такой зоны.
Серверы имен зоны- для каждой первичной зоны можно создать сколько
угодно копий на других серверах. Обычно в настройках DNS-cepвepoв преду
сматриваются специальные механизмы оповещений, которые обеспечивают
синхронность записей первичной зоны и ее копий на вторичных серверах. Но,
Структура сети
129
если это не запрещено настройками DNS-cepвepa, вы можете создать на своем
сервере вторичную зону, обновления которой будут осуществляться по некоему
графику. В результате записи такой копии могут оказаться неактуальны. Поэто
му принято для домена определять серверы имен, информация которых «офици
альна». Такие серверы называют NS-записями соответствующего домена. Обыч
но для каждого домена создаются два или три NS-cepвepa. Если ответ на запрос
разрешения имени получен от NS-cepвepa, то он считается авторизованным,
другие,серверы возвращают неавторизованные ответы.
ПРИМЕЧАНИЕ
Это не значит, что тогда возвращаются неверные данные. DNS-cepвep разрешит за
прос клиента на основании данных своей копии только в том случае, если эти данные
не устарели. Но если срок жизни записей на сервере имен был установлен, например,
равным неделе, то в случае внесения изменений в первичную зону необходимо быть
готовым к тому, что еще до недели после смены информации на NS-cepвepe другие
серверы DNS моrут возвращать старые значения. То есть вы столкнетесь с ситуацией,
когда часть систем уже получила правильные данные об имени, а часть - нет. По
этому перед предполагаемой сменой записей DNS необходимо уменьшить время их
жизни и выждать период, равный старому времени жизни. Это позволит сократить
период такой неопределенности в разрешении имен. После выполнения операции на
стройки следует вернуться к старым величинам, чтобы снизить нагрузку на сеть и
DNS-cepвepы.
Если вы предполагаете, что копия DNS-записей на сервере DNS неактуальна, то
следует выполнить операцию очистки кэша для соответствующей зоны в консоли управления сервером включить опцию отображения дополнительных
параметров, найти нужную зону среди структуры кэша и осуществить ее очист
ку. Однако и эта операция также не гарантирует получение актуальной копии
записей, поскольку при следующем запросе данных из этой зоны сервер загру
зит копию с того сервера DNS, на который настроена пересылка запросов. По
этому при рассмотрении проблемных ситуаций следует выяснить на официаль
ных ресурсах адреса NS-серверов нужного домена и проверить записи с по
мощью утилиты nslookup, подключаясь к соответствующему NS-cepвepy
(см. разд. «Обслуживание и диагностика неисправностей DNS-cepвepa» далее
в этой главе).
□
□
ПРИМЕЧАНИЕ
Для обновления записей DNS на клиентских компьютерах следует очистить кэш DNS
записей командой: ipconfig /flushdns.
Передача зон - так называется специальная операция копирования всех запи
сей той или иной зоны с одного DNS-cepвepa на другой. По соображениям безо
пасности передача зон обычно разрешается только на заранее определенный
администратором системы список IР-адресов DNS-cepвepoв. Если операция
передачи зоны запрещена, то вы не сможете создать на своем DNS-cepвepe вто
ричную зону для данного домена.
Делеrнрование зон - если на DSN-cepвepe создана, например, прямая зона для
домена test.local, то запись о домене третьего уровня leve13.test.local должна со-
Глава З
130
□
□
держаться на этом же сервере. Если географически домен level3.test.local удален
от основного домена, то поддержание записей в его зоне на DNS-cepвepe стано
вится не очень удобным. Проще поручить администратору этого домена вносить
изменения в DNS-записи самостоятельно, для чего используется процесс деле
гирования зоны. При делегировании зоны DNS-cepвep создает у себя запись,
указывающую, что запросы разрешения имени для этой зоны должны перена
правляться на другой DNS-cepвep, на который проведено делегирование зоны.
StuЬ-зона (зона-заглушка) - при делегировании зоны на исходном сервере со
храняется информация о NS-cepвepe делегированной зоны. Поскольку админи
стратор делегированной зоны может изменять ее DNS-записи, то он может сме
нить и записи NS-cepвepa. Если соответствующее изменение не будет внесено
на сервер, который осуществляет делегирование, то процесс разрешения имен
будет нарушен (основной сервер по-прежнему станет отправлять запросы на уже
несуществующий адрес, и в результате будет формироваться неверный ответ).
Для исправления подобной ситуации в DNS-cepвepe, начиная с Windows Server
2003, введены stuЬ-зоны. При создании stuЬ-зоны в ней определяются NS-записи
делегированной зоны. Причем если администратор делегированной зоны меняет
эти записи, то соответствующие изменения вносятся и в записи stuЬ-зоны. В ре
зультате гарантируется целостность процесса разрешения имен.
Зона «точка ►► - домен самого верхнего уровня, как уже указывалось ранее,
принято называть именем «точка>>. Если в DNS создать зону «точка» (зона с та
ким именем создается при установке службы каталогов с одновременной уста
новкой и настройкой сервера DNS), то это будет фактически означать, что этот
сервер является корневым в структуре DNS (см. следующий раздел), т. е. он
должен разрешать самостоятельно любые запросы имен. Если этот DNS-cepвep
не может разрешить имя, то его ответ сообщит, что такого хоста не существует.
ПРИМЕЧАНИЕ
При необходимости пересылки запросов DNS на другие серверы зону «точка)) следует
удалить, после чего появится возможность настройки пересылки запросов DNS.
Порядок разрешения имен в DNS
Для разрешения имен в DNS предусмотрено два типа запросов: итеративный и ре
курсивный.
Итеративный запрос служит для получения от DNS-cepвepa, которому он направ
лен, наилучшего ответа, который может быть получен без обращения к другим
DNS-cepвepaм. Рекурсивный запрос предполагает, что сервер DNS должен осуще
ствить все операции для разрешения имени. Обычно для этой цели необходимо вы
полнить несколько запросов к различным серверам DNS.
Процесс определения имени с использованием итеративных запросов весьма тру
доемок - необходимо найти NS-cepвep нужного домена и затем запросить от него
данные по требуемому имени. Обычно клиенты все эти операции возлагают на
DNS-cepвepы, отправляя им рекурсивный запрос.
131
Структура сети
DNS-cepвep после получения рекурсивного запроса просматривает собственный
кэш имен. Если он находит нужную запись и она еще не устарела, то это значение
возвращается клиенту. Если записи нет, то сервер предпринимает попытку поиска
сервера имен для домена, содержашегося в запросе. Чтобы найтi-1: такой сервер, за
прос всегда оmравляется на корневой сервер, далее от него получают информацию
по домену первого уровня, запросом на домен первого уровня получают информа
цию о NS-cepвepax домена второго уровня и т. д. После этого отправляется итера
тивный запрос на NS-cepвep соответствующего домена. Естественно, что болt,шин
ство информации от корневых доменов уже кэшировано на исходном сервере.
Этим резко снижается нагрузка на сеть и уменьшается время ответа на запрос.
В результате запросы не доходят до корневых серверов, но сама цепочка разреше
ния имени всегда выполняется от корня до текущего домена.
Обычно администраторы локальных DNS-cepвepoв настраивают свой сервер на пе
ресьmку (forwarding) запросов разрешения имен на тот или иной сервер DNS (как
правило, это DNS-cepвep провайдера). Тем самым вся процедура разрешения имен
будет выполняться уже другим сервером. Поскольку мощные серверы Интернета
обычно имеют существенно больший кэш и лучший канал подключения к глобаль
ной сети, то таким способом достигается уменьшение времени ответа и снижение
трафика.
Основные типы записей DNS ·
При создании первичной зоны для своего домена следует обратить внимание на
добавление некоторых специальных записей ресурсов (resource records), приведен
ных в табл. 3.9.
Таблица 3.9. Ресурсные записи DNS
Запись
Описание
SOA (Start of Authority)
Содержит серийный номер зоны, который увеличивается при
любом изменении записей зоны. На практике этот номер формируется в формате год-месяц-день - например: .20181005
NS (Name Server)
Содержит «официальные» серверы DNS текущей зоны. Только
эти серверы могут возвращать авторизированные ответы
RP (ResponsiЫe Person)
Содержит e-mail лица, ответственного за внесение изменений
в записи_зоны. Желательно поддерживать этот адрес всегда
в актуальном состоянии. Помните, что символ @ в нем заменяется точкой. Например, если адрес ответственного лица
admin@example.com, то его нужно указать так:
admln.example.com
А (Host Address)
Содержит информацию об имени системы и ее IР-адресе. Эта
запись добавляется в DNS-cepвep при регистрации узла
PTR (Pointer, указатель)
Запись обратной зоны. Обычно DNS-cepвep автоматически
создает/изменяет эту запись при создании/изменении записи А
в прямой зоне
CNAME (Canonical NAME)
Определяет псевдоним узла. Обычно названия узлов: www, ftp,
mall - являются псевдонимами
Глава З
132
Таблица 3.9 (окончание)
Запись
Описание
МХ (Mail eXchanger)
Служит для задания почтового сервера. Чтобы на нужный
домен можно было отправлять электронную почту, в базе DNS
для домена должна быть обязательно создана МХ-эаnись.
В целях резервирования может бьrгь создано несколько МХзаписей, причем каждой записи соответствует определенный
вес. По умолчанию почта отправляется на адрес, содержащийся в МХ-эаnиси с наименьшим весом. Если этот сервер не отвечает, то делаются nо;,ытки отправить почту на адреса, соответствующие МХ-заnисям с другими весами в порядке их возрастания
SRV (Запись службы)
Используется для обнаружения в домене различных служб.
Обычно такие записи автоматически создают,ся службой каталоrов
ПРИМЕЧАНИЕ
Кроме приведенных эдесь существуют и другие типы записей, предназначенные, на
пример, для DNSSEC, 1Pv6 и т. п., но мы не будем их касаться в этой книге.
Установка сервера D.NS
DNS-cepвep можно установить только на компьютер со статическим IР-адресом.
Очень важно, чтобы DNS-cepвep мог разрешать как полные (server.example.com),
так и неполные (server) доменные имена. Для этого нужно, чтобы DNS-суффикс
компьютера, на котором вы установили DNS-cepвep, совпадал с суффиксом имени
домена предприятия. Необходимые настройки можно выполнить в параметрах
ТСР/IР-протокола, статически устанавливаемых для сетевого адаптера сервера
DNS.
Настроить параметры DNS можно на вкладке DNS окна Дополнительные пара
метры TCP/IP. Для открытия этого окна выполните следующие действия:
1. Откройте Центр управления сетями и общим доступом и щелкните на ссылке
Изменение параметров адаптера.
2. В окне Сетевые подключения щелкните правой кнопкой мыши на подключе
нии, которое вы хотите настроить, и выберите команду Свойства.
3. Щелкните двойным щелчком на протоколе TCP/1Pv4 (или ТСР/1Рv6)-в зави
симости от того, какой протокол вы хотите настроить.
4. Если нужно, чтобы адрес DNS-cepвepa был задан по DHCP, установите пере
ключатель Получить адрес DNS-cepвepa автоматически. Иначе установите
переключатель Использовать следующие адреса DNS-cepвepoв, а затем вве
дите адреса основного и дополнительного DNS-cepвepoв в соответствующие
поля.
5. Нажмите кнопку Дополнительно - откроется окно Дополнительнь1е пара
метры TCP/IP. Перейдите на вкладку DNS и настройте необходимые пара
метры:
Стеrктура сети
133
• Адреса DNS-cepвepoв, в порядке использовании - здесь указываются IР
адреса каждого DNS-cepвepa, которые используются для разрешения домен
ных имен. Если указать несколько серверов DNS, их приоритет определяется
очередностью в списке. Если первый сервер не может ответить на запрос
о разрешении имени хоста, запрос будет отправлен следующему DNS-cep
вepy, и т. д.;
• Дописывать основной DNS-суффикс и суффикс подключении - обычно
по умолчанию этот параметр установлен. Его нужно включить для разреше
ния неполных имен компьютеров. Основной домен задается на вкладке Ими
компьютера диалогового окна Свойс�а системы;
• Добавлять родительские· суффиксы основного DNS-суффикса - по
умолчанию этот параметр установлен. Он используется для разрешения не
полных имен компьютеров в иерархии родительских/дочерних доменов;
• Дописывать следующие DNS-суффиксы '(по порядку) - этот параметр
может использоваться для задания особых DNS-суффиксов вместо имени ро
дительского домена;
• DNS-суффикс подключении - содержит DNS-суффикс подключения, кото
рый переопределяет DNS-имена, уже настроенные на использование с этим
· подключением. Напомним, что имя домена DNS указывается на вкладке Ими
компьютера диалогового окна Свойства системы;
• Зарегистрировать адреса этого подключении в DNS - параметр исполь
зуется, если нужно зарегистрировать все IР-адреса для этого соединения
в DNS с FQDN-именами компьютеров. Включен по умолчанию;
• Использовать DNS-суффикс подключении при регистрации в DNS включите этот параметр, если вам нужно, чтобы все IР-адреса для этого под
ключения регистрировались в DNS родительского домена.
Для установки службы DNS-cepвepa достаточно выбрать соответствующую опцию
среди добавляемых компонентов (выбрать роль). В целях отказоустойчивости ин
формационная С},{стема должна быть настроена на использование нескольких сер
веров DNS.
После запуска службы DNS следует уточнить некоторые параметры настройки. Во
первых, если сервер должен разрешать имена сети Интернет, то следует удалить
· зону «точка» (если она создана при установке) и указать IР-адреса тех серверов
DNS, на которые будут пересьmаться запросы разрешения имен. Обычно в качестве
таковых указываются DNS-cepвepы провайдера.
Далее следует создать на сервере DNS необходимые зоны. Эта операция выполня
ется при помощи соответствующего мастера. Следует учесть, что если сервер
предназначен для разрешения имен домена Windows и является контроллером до
мена, то оптимальным решением будет создание зоны, интегрированной со служ
бой каталогов. Такой вариант позволит использовать службы Windows для репли
кации данных между серверами DNS. При этом зона DNS на каждом сервере фак
тически будет являться первичной (допускать внесение изменений), а сами
Глава З
134
данные - безопасными (при работе с зоной будет применена действующая
в Windows система безопасности).
После установки и настройки основных параметров DNS-cepвepa необходимо вы
полнить его первичную проверку. Для этого следует в свойствах сервера на вкладке
мониторинга включить опции проверки как работы самого сервера, так и правиль
ности перенаправления запросов, и провести тест, после чего проверить коррект
ность разрешения имен как внутренней сети, так и внешней (если сервер DNS
используется и для разрешения имен Интернета) с помощью команды nslookup
(см.разд. «Обслуживание и диагностика неисправностей DNS-cepвepa» дш�ее в этой
главе).
ПРИМЕЧАНИЕ
При создании домена одновременно с установкой DNS прямая зона создается авто
матически. Зону обратного разрешения спедует создать вручную.
Записи домена Windows
Если на сервере DNS зарегистрирована зона, соответствующая домену Windows, то
в этой зоне должны присутствовать специализированные записи, которые опреде
ляют нахождение служб каталогов домена. Эти записи создаются автоматически
через некоторое время после установки службы каталогов.
Разделение DNS
Все большее число сотрудников начинают использовать мобильные компьютеры
для доступа к ресурсам предприятия как изнутри локальной сети, так и из Интерне
та. В целях сокращения затрат на изменение конфигураций персональных компью
теров следует выполнять настройки программного обеспечения так, чтобы доступ
к сетевым ресурсам локальной сети осуществлядся единообразно, независимо от
того, выполняется подключение из локальной или глобальной сети. Реализуется
такое требование разделением DNS (DNS split).
Технология разделения DNS подразумевает, что разрешение имен локальной сети и
Интернета для одного доменного имени настраивается на различные DNS-cepвepы.
Суть решения будет понятна из рассмотрения двух возможных ситуаций:
□ одинаковые имена локального домена и домена Интернета - если имя до
мена Windows совпадает с именем домена Интернета, то единственная необхо
димая операция - это правильная настройка публикации внутренних ресурсов
в глобальной сети. Когда клиент локальной сети пытается получить доступ к ка
ким-либо ресурсам, он запрашивает их месторасположение у локш�ьного, внут
реннего сервера DNS. Этот сервер возвращает клиенту- внутренний адрес ресур
са, к которому и осуществляется подключение (рис. 3 .20).
На сервере DNS, обслуживающем домен Интернета этого же предприятия, не
обходимо настроить А-запись соответствующего ресурса на внешний адрес
брандмауэра предприятия, а на брандмауэре настроить публикацию внутреннего
ресурса таким образом, чтобы запрос, приходящцй на бр!'lндмауэр и адресован
ный на то или иное имя, перенаправлялся на локальный адрес ресурса.
135
Стеrктура сети
Свойства: 1Pv6
х
?
, Общие1 DNS. · J!о.!1..00:ельно, ___ _
Вы можете настроитьDНСР-сервер для евтонетическоrо обновления
Аддд-писеll (узлов) и PTR-зenиcell (укоэетелеll)DНСР-клиентов для
полномочныхDNS-cep�poв.
Р" i!ключитьдиненическое обновлJ!ниеDNS в соответствии·со 1
jследующеll нecтpollкoll:
i
(i' дt!ненически обНовnять АААА- и РТR-зеписиDNS только по
запросуDНСР-клиентов
r в,ег,1111 -нически обновnять АААА- и РТR·зеписиDNS
Р" z'д!lлять AAJ:,A- и РТR-зеписи при уделении еренw,,
Зещмта инени----------------�
Зещиту имениDНСР !'ЮЖНО включить или отключить с помощью
кнопки "Настроить•. Эти перенетры будут использоветься по
умолчанию для всех новых облестеll. н11стр11ив11еных не этом
сервереDНСР.
З11щмт11 имениDНСР отключене не уровне сервере.
t!естроить
Рис. 3.20. Разделение DNS (Windo� Server 2019)
□
В результате, независимо от точки подключения, запрос клиента всегда будет
доставлен на один и тот же локальный ресурс системы.
При использовании технологии разделения DNS клиент покальной сети и ком
пьютер Интернета при разрешении одного и того же имени станут обращаться
к различным DNS-cepвepaм. При этом локальный клиент будет обращаться по
локальному адресу, а клиент Интернета перешлет запрос на брандмауэр пред
приятия, который и перенаправит его на локальный адрес запрашиваемого ре
сурса;
различные имена локального домена и домена Интернета - если внутрен
нее и внешнее имена домена предприятия не совпадают, то на внутреннем сер
вере DNS необходимо создать первичную зону для домена с внешним именем.
Затем в этой зоне следует создать записи, соответствующие именам систем, пре
доставляющих необходимые службы (естественно, что изменение записей этой
зоны должно выполняться только вручную), причем в качестве IР-адресов этих
записей должны быть указаны локальные IР-адреса систем. Таким образом, на
внутренних DNS-cepвepax будет по две зоны: зона, соответствующая внутрен
нему домену Windows (реальные внутренние названия компьютеров локальной
сети), и зона· с внешним именем (фактически содержащая синонимы, вторые
имена только для компьютеров, публикующих ресурсы в глобальной сети). Так
же, как и в предыдущем примере, следует· настроить публикацию внутренних
ресурсов на брандмауэре предприятия.
136
Глава З
Клиентов необходимо настроить (в том числе и в локальной сети) на подключе
ние к ресурсам по внешним именам. Если клиент обратится к почтовому серверу
изнутри предприятия, то он запросит внутренний сервер DNS об адресе, соот
ветствующем внешнему имени' почтовой системы. Поскольку на внутреннем
сервере DNS существует одноименная первичная зона, то сервер будет считать
ся авторизованным ДJIЯ ответов, сообщит клиенту внутренний адрес почтовой
системы и произойдет подкmочение по локальному адресу системы.
А если, например, клиенту необходимо обратиться к этому же почтовому серве
ру из Интернета, то он запросит внешний сервер DNS, получит от него адрес
брандмауэра и отправит запрос на него. Брандмауэр, получив запрос, проанали
зирует его и nepeumeт на локальный адрес почтовой системы.
Настройка DNS в удаленных офисах
Возможны различные варианты конфигурации разрешения имен для удаленных
офисов. В наиболее часто используемом случае подключения удаленного офиса
к основному через Интернет по VРN-каналу можно реализовать следующую на
стройку DNS: DNS�cepвep удаленного офиса настроить на пересылку запросов раз
решения имени на DNS-cepвep интернет-провайдера, а пересьmку запросов на раз
решение внутренних имен настроить на DNS-cepвep центрального офиса. Такая
конфигурация легко реализуется на DNS-cepвepax Windows Server 2012/2016/2019.
Обслуживание и диагностика неисправностей DNS-cepвepa
Самый простой способ проверить работоспособность сервера - включить опции
мониторинга на соответствующей вкладке консоли управления. Вы должны полу
чить положительную диагностику при тестировании самого сервера и ответа от
сервера, на который настроена пересьmка запросов.
Сервер DNS ведет протокол своих основных событий в специальном журналеDNS-cepвep (доступен с помощью программы Просмотр событий). В этом журнале
по умолчанию фиксируются только основные события (старт или остановка служ
бы, серьезные ошибки- невозможность передачи зоны, и т. п.). Если необходимо
подробно проанализировать работу сервера, то можно включить крайне детализиро
ванный протокол - установить опции ведения журнш,а оТWlадки на соответст
вующей вкладке консоли управления сервером DNS. Но использовать эту возмож
ность следует только на период отладки. В журнал по умолчанию заносится вся
информация (подробно- все данные пакетов), что негативно сказывается на про
изводительности сервера.
Универсальная утилита, которую можно использовать для получения данных с лю
бого DNS-cepвepa (и, соответственно, проверки его работоспособности), - это
nslookup, которая вызывается одноименной командой. Она по умолчанию присут
ствует среди утилит в системах с установленным протоколом TCP/IP.
Утилита nslookup позволяет вручную получить от сервера DNS такую же информа
цию, какую системы получают в автоматическом режиме при разрешении имен.
Поэтому она часто используется при диагностике систем.
137
Стеrктура сети
После запуска утилиты осуществляется подключение к серверу DNS, указанному
в настройках сетевого адаптера по умолчанию. Далее в режиме командной строки
можно получить ответ на запрос к любому DNS-cepвepy.
Рассмотрим пример использованщ утилиты nslookup (строки, вводимые пользова
телем, отмечены в начале строки знаком >).
>nslookup
�ault Serv8r: ack
Addreee: 192.168.0.10
ПОЯСНЕНИЕ
После запуска программа выдала сообщение, что подключена к DNS-cepвepy ack
с IР-адресом 192 .168. о .10.
>server. ns.unets.ru
�ault Sarvar: ns.uneta.ru
Addr8••=
195.161.15.19
ПОЯСНЕНИЕ
В окне программы nslookup была введена команда подключения к DNS-cepвepy
ns.unets. ru. В ответ программа сообщила, что подключилась к этому серверу и со
Пользователь ввел запрос на разрешение имени uzvt.ru. Утилита сообщила, что
сервер ns.unets. ru предоставил неавторизованную информацию (Non-authoritative
answer) об этом имени. Из того, что сервер вернул данные NS-записей, следует, что
uzvt.ru - зто домен Интернета, что его серверы имен: ns. e-burg.ru и ns. isp.ru.
Следующими командами пользователь определил, что ему нужна информация о поч
товых серверах (set type=mx), и вновь указал в запросе тот же домен (uzvt.ru). Ути
лита вернула от сервера DNS ответ, что для домена зарегистрированы два почтовых
сервера с разными приоритетами: rnail.uzvt.ru, приоритет 10, и relay. utnet.ru,
приоритет 50, и сообщила их адреса. Поскольку rnail.uzvt.ru имеет меньший прио
ритет, то именно по этому адресу и будет направляться электронная почта для доме
на uzvt.ru.
Для проверки разрешения имен DNS почтового сервера MS Exchange используется
специальная утилита, которую необходимо загрузить с сайта Microsoft, - dnsdiag.
Эга программа должна быть запущена на компьютере почтового сервера из папки
информационного сервера (IIS) с помощью команды dnsdiag.
Выходная информация программы полностью соответствует тем данным, которые
получает почтовый сервер в процессе разрешения имен. Эга информация может
помочь в диагностике проблемных ситуаций.
Рассмотрим пример использования утилиты dnsdiag.
ПОЯСНЕНИЕ
В примере вызова утилиты после параметра v стоит цифра 1. Это номер виртуального
сервера, соответствующего почтовому серверу (может быть иным в зависимости от
конфигурации системы)'.
c:\WINNT\system32\inetsrv>dnsdiag rnail.ru -v 1
rnail.ru is an external server (not in the Exchange Org).
No external DNS servers on VSI. Using global DNS servers.
Created Async Query:
QNAМE = rnail.ru
Туре = МХ (0xf)
Flags = UDP default, ТСР on truncation (ОхО)
Protocol = UDP
�NS Servers: (DNS cache will not Ье used)
192.168.0.32
192.168.0.10
Connected to DNS 192.168.0.32 over UDP/IP.
Received DNS Response:
Error: О
Description: Success
These records were received:
rnail.ru
МХ
10
mxs.mail.ru
щxs.rnail.ru
А
194.67.23.20
Стеrктура сети
139
Processing МХ/А records in reply.
Sorting МХ records Ьу priority.
Target hostnarnes and IP addresses
HostNarne: "mxs. mai 1. ru"
194.67.23.20
Утилита сообщила параметры МХ-записи для домена mail. ru и необходимую до
полнительную информацию.
Перенос записей зон
Информация зон DNS домена может быть экспортирована в обычный текстовый
файл. Таким способом можно легко вручную перенести зону DNS с одного сервера
на другой (например, при модернизации платформы или после какого-либо восста
новления).
ГЛАВА
4
Информационные системы
предприятия
Эта глава посвящена построению информационной системы предприятия. Задача
весьма не простая, поскольку нужно учитывать множество факторов: местополо
жение офисов, количество сотрудников, бизнес-процесс и т. п.
SОНО-сети
Домашние сети и сети небольших предприятий называют SОНО-сетя.ми (Small
Office Home Office). В таких сетях к функционированию сети не предъявляются
ос9бые требования: установили маршруrизатор Wi-Fi, настроили немногочислен
ные клиенты, возможно, «расшарили» ресурсы (папки, принтеры) - и сеть готова
к употреблению. Самое главное, что у всех пользователей сети есть доступ к Ин
тернету, они могуr открывать общие документы и печатать на общем принтере. Все
пользователи хорошо знают друг друга, поэтому нет смысла в каком-либо разделе
нии прав доступа к ресурсам.
Создать такие системы очень просто. Как уже было отмечено ранее, можно исполь
зовать беспроводной маршрутизатор, а можно выполнить прокладку кабельной се
ти. Из оборудования понадобится только коммуrатор (если сеть кабельная) и уст
ройство, которое будет предоставлять доступ к Интернету (АDSL-модем, аппарат
ный маршруrизатор или же компьютер, являющийся программным шлюзом). Для
создания такой сети не нужна особая квалификация и какие бы то ни бьmо специ
альные знания - достаточно знания основ работы сети и минимальных навыков
работы с сетевым оборудованием.
Как уже отмечалось, для доступа к Интернету лучше приобрести отдельный мар
шрутизатор. Дело в том, что если настроить в качестве шлюза стационарный ком
пьютер, он должен будет работать постоянно, иначе другие пользователи сети не
смогуr получить доступ к Интернету. О разнице в потребляемой электроэнергии
между стационарным компьютером (с блоком питания на 400---450 Вт) и маленькой
«коробочкой», полагаем, говорить не стоит. Кроме всего прочего, аппаратный
маршрутизатор не только является шлюзом, но и предоставляет услуги DНСР
сервера. Другими словами, вам нужно лишь установить и �ключить эту «коробоч-
Информационные системы предприятия
141
ку», выполнив минимальную настройку (вроде задания пароля доступа к Wi-Fi). На
настройку стационарного компьютера вы потратите гораздо больше времени.
У настройки SОНО-сетей есть несколько особенностей. Первая связана с группой
Все в Windows. Наверняка все знают о наличии такой группы. Однако нужно по
нимать; что слово «все» означает здесь не в прямом смысле «все» (т. е. кто угодно),
а «все учетные записи, зарегистрированные на этом компьютере>>. В системе долж
ны быть созданы пользователи, соответствующие текущим пользователям каждой
рабочей станции сети (с идентичными именами и паролями). Другими словами,
если на одном компьютере есть пользователь Андрей с паролем 123, а на втором
пользователь маша с паролем 321, то на первом компьютере нужно создать пользо
вателя маша (пароль 321), а на втором- пользователя Андрей (пароль 123). И если на
рабочей станции Windows нет учетной записи с именем и паролем пользователя,
пытающегося подключиться к ней с другой станции (а обычнооперация произ
водится от имени того, кто работает на компьютере), то в подключении будет отка
зано.
При этом, если пароль одного из пользователей изменится, его нужно будет поме
нять на всех рабочих станциях сети. Согласитесь, не очень удобно, но, увы, пока
в сети не будет службы каталогов (Active Directory), работать с этой сетью придет
ся именно так. Можно, конечно, пренебречь требованиями безопасности и создать
на всех компьютерах одну и ту же учетную запись пользователя с пустым паро
лем... На практике так часто и поступают.
Есть и другой способ решения этой проблемы- включить учетную запись Гость,
которая по умолчанию заблокирована. Это самый простой способ, но он не позво
ляет выборочно контролировать или как-либо ограничивать доступ к ресурсам, по
скольку все подключения к компьютеру будут осуществляться от имени одной
учетной записи. При этом предоставленный в общее пользование ресурс станет
доступен любому пользователю.
Вторая особенность SОНО-сетей- искусственное ограничение на количество
подкmочений. Максимальное количество подключений по такой сети- всего 1О.
А это означает, что если к какому-либо сетевому ресурсу- например, к общей
папке- попытаются одновременно подключиться 11 пользователей, то соедине
ние 11-го будет сброшено.
Имеются в SОНО-сетях ограничения и по количеству одновременно открытых по
сети файлов. К сожалению, это условие становится критичным при использовании
популярной бухгалтерской программы «lС:Предприятие»- даже при работе в ней
трех-четырех пользователей уже возникают проблемы.
Самый простой способ обойти эти ограничения (и на количество файлов, и на ко
личество подключений)- установить на один из компьютеров операционную сис
тему Linux и разместить на нем все общие ресурсы, настроив пакет Samba.
Какие операционные системы использовать в SОНО-сетях? Учитывая, что пользо
ватели, как правило, чаще всего более знакомы с Windows, нет смысла предлагать
им нечто иное. Windows- оптимальный вариацт для таких сетей. Не стоит приоб
ретать и топовые выпуски Windows- для SОНО-сети вполне достаточно Win-
142
Глава 4
dows 1 О Home. Стоимость ее существенно ниже профессиональных выпусков: раз
ница в цене домашнего (Home) и профессионального (Windows 10 Pro) выпуска
приб�ижается к 6 тыс. рублей. Умножьте это на количество компьютеров в сети и
подсчитайте общую сумму выигрыша. Различие между выпусками касается в ос
новном вопросов безопасности при работе в составе домена и несущественно
в рассматриваемом случае. Нет смысла переплачивать за функционал, которым вы
не будете пользоваться.
Одноранговые сети
Рассмотренные в предыдущем разделе SОНО-сети являются . частным случаем
одноранговой сети. В одноранговой сети отсутствуют какие-либо централизованно
реализуемые правила и каждый компь�тер в ней управляется автономно. Управле
нием ресурсами компьютера в такой сети занимается локальный администратор.
Чтобы объединить компьютеры в одноранговую сеть, достаточно всего лишь соз
дать структуру сети: провести кабели или обзавестись беспроводным маршрутиза
тором. Далее администратор должен определить, какие ресурсы локальной системы
будут предоставляться в общее пользование, с какими правами и т. д.
Одноранговую сеть имеет смысл организовывать, если количество компьютеров не
превышает двух десятков. В противном случае администрирование такой сети ста
новится слишком сложным. При росте числа компьютеров целесообразно органи
зовывать сети на основе централизованного уцравления.
Сеть с централизованным управлением
В сетях среднего и большого размера (от 20 компьютеров) принято использовать
систему централизованного управления. При этом параметры учетных записей
хранятся централизованно в службе каталогов, что дает возможность не дублиро
вать все учетн_ые записи на каждом компьютере.
В случае с Windows службой каталогов является Active Directory, в Linux - LDAP 1•
Справедливости ради нужно отметить, что Linux может работать в составе домена
Active Directory и даже быть контроллером домена Active Directory.
При использовании Active Directory каждый компьютер может управляться не
только локальным администратором, но и администратором домена.
Управление локальными ресурсами
Чтобы централизованно управлять компьютером, его нужно включить в домен.
Включить в домен можно как компьютер под управлением Windows, так и Linux.
1 LDAP (от англ. Lightweight Directory Access Protoco\, облегченный протокол доступа к каталоrам)
относительно простой протокол, использующий TCP/IP и позволяющий производить операции ауrен
тификации, поиска и сравнения, а таюке операции добавления, изменения или удаления записей.
Информационные системы предприятия
143
Обычно систему добавляют в домен с локальной консоли. Эта операция включена
в меню свойств компьютера на вкладке сетевой идентификации. Она должна
выполняться с правами локального администратора. Кроме того, необходимо знать
идентификационные данные (имя пользователя и пароль) учетной записи, которая
имеет право добавлять компьютеры в домен.
ПРИМЕЧАНИЕ
Операцию можно выполнить из командной строки с помощью утилиты netdom командой:
netdorn join ComputerName /Domain DomainName /UserD DomainUserUPN
Эта команда позволяет осуществить операцию подключения и удаленно. Однако пер
воначальная установка Windows имеет политику безопасности, разрешающую только
локальное выполнение такой операции.
Возможность добавлять рабочие станции в домен
Начиная с ОС Windows 2000, право добавлять рабочие станции в домен предостав
лено обычным пользователям домена. Но с ограничением- не более десяти стан
ций. В некоторых случаях желательно разрешить пользователю превысить этот
лимит.
Обычные рекомендации для изменения такого лимита сводятся к тому, чтобы отре
дактировать права доступа к объекту Орrавизациовное Подразделение (Organi
zation Unit, OU)- предоставить конкретному пользователю право создания объек
тов типа «комщ,ютер)) и модификации его атрибутов. Операция легко выполняется
настройкой соответствующих- свойств безопасности для OU в оснастке управления
AD (Active Directory I Служба каталогов). Но это не единственная возможность и
далеко не лучшая.
Если необходимо изменить лимит, установленный для всех пользователей, то сле
дует модифицировать атрибуты объекта службы каталогов. Количество рабочих
станций, которое пользователь может добавить в домен, определяется атрибутом
ms-DS-MachineAccountQuota объекта домен. Для его изменения достаточно вос
пользоваться программой Редактирование ADSI и установить желаемое значение
(рис. 4.1). Установка значения этого параметра в О предоставляет пользователям
право добавлять в домен неограниченное количество компьютеров.
Чтобы добраться до атрибута ms-DS-MachineAccountQuota, нужно выполнить
следующие действия:
1. Запустите оснастку Редактирование ADSI (Adsiedit.msc).
2. Выберите команду Действие I Подключиться к. В открывшемся окне выберите
службу каталогов, к которой хотите подключиться.
3. Щелкните правой кнопкой мыши на узле, который начинается символами DC=,
и выберите команду Свойства.
4. В открывшемся окне на вкладке Редактор атрибутов выберите атрибут ms-DS
MachineAccountQuota и нажмите кнопку Изменить.
5. Введите новое значение, нажмите кнопку ОК, а затем- Применить.
Рис. 4.2. Создание объекта компьютер с делегированием его подключения к домену
Информационные системы предприятия
145
Более целесообразно не пускать создание новых систем в домене на самотек. Ад
министратору следует создать объекты типа компьютер в службе каталогов и пре
доставить право подключения этих компьютеров в домен соответствующим поль
зователям, для чего надо в момент их создания выбрать опцию Изменить и опре
делить пользователя, которому будет предоставлено такое право (рис. 4.2).
Удаление устаревших записей о компьютерах и пользователях
Со временем старые компьютеры заменяют новыми. То же самое происходит и
с учетными записями пользователей: появляются новые работники, старые- ухо
дят. Часто бывает так, что старые учетные записи сотрудников не блокируются
после их увольнения.
«Вычислить)) старые учетные записи достаточно просто- в службе каталогов хра
нится информация о последнем входе в домен соответствующей учетной записи.
Администратору нужно просто найти и удалить устаревшие записи. Найти неак
тивные учетные записи можно с помощью команды dsquery:
dsquery user -inactive 5
Эrа команда выводит список пользователей (user), которые не работали (inactive)
в течение последних 5 недель. Если вы давно не чистили службы каталогов, то вы
вод будет весьма длинным.
Изменения настроек системы при подключении ее к домену
При добавлении станции в состав домена производится: ряд изменений настроек
Windows:
□ во-первых, назначаются новые ресурсы для совместного использования. Так,
предоставляются для совместного использования корневые каталоги локальных
дисков (под именами С$, D$ и т. д.), каталог установки системы (ADMIN$), созда
ются совместные ресурсы: IPC$ (служит для установки соединений по имено
ванному каналу- named pipes), PRINT$ (для управления принтерами) и FAX$
(при наличии факса с совместным доступом). Эrи ресурсы носят название адми
нистративных, поскольку они предназначены для управления системами.
Указанные ресурсы невидимы при просмотре сети (как и все другие ресурсы со
вместного использования, имя которых заканчивается знаком $). Если вы попы
таетесь удалить их, то после перезагрузки системы они вновь восстановятся. От
ключить эти ресурсы можно только настройкой реестра системы;
□ во-вторых, в локальную группу безопасности Администраторы добавляется
группа администраторов домена, а в группу локальных пользователей- группа
пользователей домена. Именно потому, что администратор предприятия состоит
в группе локальных администраторов, он и получает право управления этим
компьютером. А пользователи домена могут работать в системе, поскольку они
состоят в группе пользователей домена, входящей в группу пользователей �того
компьютера.
Глава 4
146
ПРИМЕЧАНИЕ
При входе пользователей домена на рабочую станцию система использует данные
учетных записей (имя, пароль, установленные ограничения и т. п.), хранимые на кон
троллерах домена. Обычно политикой безопасности разрешено кэширование не
скольких паролей пользователя, что позволяет последнему войти в систему даже при
отсутствии связи с контроллером домена, используя параметры последнего входа.
Если работу начинает локальный пользователь, то данные берутся из локальной базы
учетных записей.
Локальный администратор против доменного
У некоторых пользователей централизованное управление вызывает негативную
реакцию. Опытные пользователи вполне могут наложить ограничения на реализа
цию тех или иных функций управления. Рассмотрим некоторые такие возможно
сти.
ПРИМЕЧАНИЕ
Опытный пользователь, работающий на локальном компьютере, всегда может полу
чить пароль локального администратора, необходимый для выполнения описываемых
операций, использовав, например, способы восстановления пароля администратора.
Исключение компьютера из домена
Один из самых эффективных способов блокирования централизованного управле
ния - это исключение локальной системы из домена. Достаточно отключить ком
пьютер от сети и в свойствах системы изменить ее сетевую идентификацию - вме
сто домена указать одноименнхю рабочую группу. Мастер идентификации выдаст
сообщение о невозможности удаления учетной записи компьютера в домене, но
успешно завершит все локальные операции.
После чего необходимо создать локального пользователя, имя которого и пароль
совпадают с данными пользователя домена. В результате пользователь сохранит
практически всю функциональность работы в сети, но исключит любое централи
зованное управление.
Технически противостоять такому решению весьма сложно. Ограничения, которые
может накладывать администратор домена для исключения этого варианта, должны
основываться на анализе членства учетной записи компьютера в домене. Практи
чески единственный способ - это включение политики ipsec и настройка ее на
разрешение сессий только с членами домена. Однако такой вариант неприменим
в случае наличия в сети рабочих станций с операционными системами предыдущих
версий, которь1е также не являются членами домена.
Отключение совместного использования
административных ресурсов
Локальный пользователь может отключить создание административных ресурсов,
если добавит параметр:
AutoShareWks : DWORD = О
в ветвь реестра:
HKLМ\SYSTEМ\CurrentControlSet\Services\LanrnanServer\Parameters
Информационные системы предприятия
147
Следует учитывать, что отключение этих ресурсов может нарушить работу имею
· щейся в домене системы управления.
Для восстановления опции этот параметр необходимо будет удалить.
Исключение администратора домена
из группы локальных администраторов
· Поскольку локальный администратор имеет полные права над своей системой, то
он может ограничить администратора предприятия, исключив его из группы
локальных администраторов. Начиная с Windows 2000, появилась возможность ре
гулировать членство в группах с помощью групповых политик. Хотя практика кон
троля состава групп локальных администраторов вызывает крайнее недовольство
у рядовых пользователей, администратор предприятия может самостоятельно оп
ределить список членов этой группы.
Блокировать такой вариант можно, только приняв меры по недопущению примене
ния групповой политики для конкретной системы, блокировав порты на транспорт
ном уровне, но работа полученной системы будет существенно затруднена.
Блокировка администратора домена на уровне файловой системы
с помощью ограничений доступа к файлам локального компьютера можно запре
тить, например, конкретным администраторам домена локальный вход в систему.
Для этого следует установить для учетной записи такого администратора запрет
доступа к файлам nddagnt.exe, userinit.exe, win.com, wowexec.exe. Выполнять операцию
следует внимательно, чтобы случайно не запретить доступ, например, самому себе.
ПРИМЕЧАНИЕ
Эта рекомендация может быть использована также при поступлении на рабdту нового
администратора. Поскольку в системе нет штатных средств ограничения локального
входа администратора, то это, no сути, единственный способ защиты наиболее ответ
ственных ее участков от непрофессиональных действий нового, непроверенного ра
ботника.
Конечно, такое ограничение нельзя рассматривать всерьез, поскольку, например,
. групповой политикой (если не заблокировать и ее) администратор домена может
восстановить права доступа к значениям по умолчанию.
Блокирование групповой политики
Поскольку основное управление осуществляется через применение групповых по
литик, то целью локального администратора может явиться изменение ограни
чений, налагаемых групповой политикой, или полная ее блокировка.
ПРИМЕЧАНИЕ
Можно заблокировать применение всех политик, сохранив членство компьютера в до
мене. Например, поскольку групповые политики копируются в виде файлов с контрол
леров домена (из nanot SYSVOL), то можно создать такую настройку ,ipsec, которая
будет блокировать SМВ-трафик с контроллеров домена («закрыты► порты 137,139,445).
148
Глава 4
Способы, к которым может прибегнуть локальный администратор для ограничения
возможностей своего доменного коллеги, можно перечислять еще долго. Эта про
блема имеет только одно принципиальное решение - организационные выводы,
когда подобные действия локального администратора навлекут на него «воспита
тельные меры» со стороны руководителя подразделения.
Проблема аудитора
Наличие у администратора (как локального, так и администратора домена) полных
прав над управляемой им системой создает серьезные проблемы безопасности.
Ведь он может выполнить в системе любые операции, а потом попытаться это
скрыть. Такие возможности создают в системе безопасности огромные потенци
альные дыры. Именно поэтому в некоторых системах вводится понятие аудито
ра - пользователя, у которого нет прав администратора, но который может прото
колировать любые его действия. Причем даже администратор не имеет прав изме
нить протоколы аудитора. Другими словами, администратор не может скрыть от
аудитора свои действия.
В Windows-cиcтeмax такого пользователя, к сожалению, нет. Единственным вари
антом может быть сбор данных протоколов работы коr.,tпьютеров в реальном вре
мени на отдельную изолированную рабочую станцию. В этом случае можно будет
сравнить протоколы, находящиеся на этой станции, с возможно измененными про
токолами домена. Для решения поставленной задачи есть много программ, с кото
рыми вы можете ознакомиться в Интернете.
Методы уnравления локальной системой
После добавления рабочей станции в домен администратор домена получает над
ней фактически неограничен� власть. Существует три основных способа управ
ления локальной системой:
□ первый подразумевает использование оснастки Управление компьютером
(рис. 4.3), с помощью которой можно подключиться к любой системе и управ
лять ею. Конечно, для подключения к системе нужны соответствующие права.
Подключившись к системе, администратор может останавливать и запускать
службы, просматривать протоколы работы системы, создавать удаленных ло
кальных пользователей, менять их членство в группах и т. п.
На практике этот метод управления используется редко, поскольку он подходит
лишь для индивидуальных настроек, и если нужно применить одну и 1У же на
стройку к нескольким компьютерам, прибегать к такому методу неудобно;
□ второй метод настройки заключается в использовании сценария входа в систему.
Тогда при регистрации в домене на компьютере запускается выполнение такого
сценария. Поскольку в последних версиях Windows возможности управления из
командной строки существенно расширены, то с помощью подобных сценариев
можно выполнять практически любые действия: подключать сетевые диски в за
висимости от членства пользователя в группе безопасности или в OU, переопре
делять принтеры, осуществлять копирование файлов и т. п.
149
Информационные системы предприятия
Имя
> ill Общие nan
·, е Проиsео
v
ft Спуж�ые nроrраммы
!lзгnоuина� устрМствз
1.Спужбы и nриоо;,кения
=
------- - - - ---Дм""""l""Выбор
"'°""!а)МПЬЮТера
,!1
es 3аПОМ\1Нсl
х
� .• Cж:rew
Уn�м
> •Оrужбыи
�• КOfn,IOтep. которw,1 � ynpaar,1tn. э10 оснкtu.
Этo·ocкorni:eac:ertioynpoeмer.----------�
r �Jt0f'nd01•P
)
;.]
.:З
i:i:j
�
Doma
Foreig
Mana
Users
@делегировать следующм� обычные эll.iu,чи:
� Создnние. удаление и упревление учетными зnписями пользовете. л
� Переуспtновить пароли пользоветелей и усп:1новить изменение п1
(2) Чтение
иНфОрме�ции о всех пользоветелях
.
1
� Созm,ние. удаление и упревление группами
� Изменение членства в rpynn8X
..._
О Создение. удаление й управление у�тными зепися·ми inetOrgPerso
О Переустеновить пароли ineIOrgPerson и установить изменение ncpt v
<
>
О Создать особую З11Ш1чу цnя дt>ле,:ировения
Рис. 4.8. Мастер делегирования управления
Обратите внимание, что какого-либо мастера отзыва делегирования не существует.
Другими словами, если нужно у кого-то забрать делегированное ранее пра�ю, вам
придется вручную редактировать пр�ва доступа контейнера.
Корзина Active Directory: просмотр и восстановление
удаленных объектов каталога
Начиная с Windows Server 2008 R2, можно использовать корзину Active Directory
(далее просто «корзиню>). Корзина представляет собой легкое средство восстанов
ления удал'енных объектов Active Directory. Все атрибуты удаленного объекта со
храняются, и администратор может с легкостью восстановить нечаянно удаленный
объект в то состояние, в котором он был до удаления.
166
Глава 4
Чтобы начать использовать корзину, ее нужно включить. Для этого надо восполь
зоваться ссылкой Включить корзину в центре администрирования Active Directory
(рис. 4.9). Включенная корзина будет содержать сведения обо всех удаленных
(с момента ее включения) объектах (рис. 4.10). Учтите, что, включив корзину, вы
уже не сможете ее вь1ключить.
IJ
Подраздел... Default container for dom...
Контейнер
Default container for secur...
Создm,
Искать 11 )ТОU )'3.Ае
своиqsа
,..
corp (11о«ат.ны")
lnfrзstructu�
infrastructu...
Keys
Контейнер
Default container for key о...
Повышени е режима работы...
lostAndfound
lostAndfou... Default container for orph...
Пouыwettire режима работы...
Managed Servio:::e Accounts
Конт�нер
NTDSQuotas
msOS-Quo... Quota specifications conta...
Program Data
Контсi'нер
Default location for stora g.,.
System
Контейнер
Вuiltin system settings
ТРМ Devices
msTPM-lnf...
u..,,
Смена конrромера домена
Defautt container for man...
8КJ1юч
ить корзину._
......,
Создать
Искать в ,том уэ11е
Сво/krва
DefauJt.cootainer.for uoa.r,..
Builtin
ЖУРНАЛ WINDOWS POWERSHELL
]Поис«
Р
Коnироеат ь
Запустить 3!Дачу
r] Показать все
Заве ршить задачу Очистить осе
Спр авка
Метu времени
Командлет
Рис. 4.9. Включение корзины Active Directory (Windows Server 2019)
Впрочем, если корзина и не включена, восстановить удаленные объекты можно из
контейнера Deleted Objects с использованием метода авторитетного. восстанов
ления. Процедура такого восстановления осталась неизменной со времен самых
первых версий Windows Server, поэтому, скорее всего, вы с ней знакомы (а если
нет, то соответствующую информацию можно без особых проблем найти в Интер
нете).
ПРИМЕЧАНИЕ
На рис. 4.1 О показано, что удаленный объект находится в контейнере Deleted Objects,
что может несколько сбивать с толку, - а как же корзина? Однако все правильно. Еспи
корзина АО выключена, то при удалении объекта он помечается как удаленный (атри
бут isDeleted объекта устанавливается в true) и из него удаляются лишние атрибу
ты. Затем объект переименовывается и помещается в контейнер Deleted Objects,
в котором он хранится в течение срока жизни удаленного объекта. По истечении этого
срока он удаляется окончательно. Когда же корзина АО включена, то объект помеча-
Информационные системы предприятия
167
ется как логически удаленный (это новое состояние, появившееся в Windows Server
2008 R2). При этом объект помещается во все тот же контейнер Deleted Objects, в ко
тором он тоже хранится в течение срока жизни удаленного объекта. По окончании это
го срока объект переводится в состояние утилизированный (атрибут isRecycled).
А окончательно объект будет удален сборщиком мусора по истечении времени жизни
утилизированного объекта.
D Центр ;цминисrрироиния Active Diredory
В
1=
Центр админист...
<
С1
Oeleted OЬ.i,cu: (3)
!r
■'Обэор
test {отмючеко)
___, ·"'--""- ...
� ....,_ ,.,,_.,,
-,>с,
Пр11t удален�и
По11ное имя
Последний из...
Воссrановмть
Т�n
Восаановить 11_
Domain Control�
• Ди намичеJ______'-------------�------�·
Рис. 4.13. Локальные пользователи
При создании новых пользователей домена рекомендуется устанавливать для них
требование смены пароля при первом входе в сеть.
Управлять учетной записью можно из командной строки. Так, добавить пользова
теля можно командой:
NET USER /ADD
а удалить:
NET USER /DELETE
Если на предприятии используются дополнительные параметры учетной записи
(название отдела, адрес и т. п.), то более удобно при создании нового пользователя
перенести в его учетную запись максимум настроек, которые имеют аналогичные
Глава 4
180
пользователи. Для этих целей можно воспользоваться операцией копирования,
учетной записи. При копировании программа создает новую учетную запись, в на
стройки которой будут перенесены те параметры, которые не являются личными
характеристиками. Например, новая учетная запись будет уже включена в те груп
пы, в которые входила исходная учетная запись, но такой параметр, как номер
телефона (который также может являться одной из характеристик пользователя),
скопирован не будет.
Права учетной записи
Кроме ограничения доступа пользователя к папкам и файлам, можно ограничить и
операции, выполняемые пользователем. Например, можно запретить локальный
вход в систему, завершение работы компьютера, установку или удаление нового
оборудования и ПО и т. д.
Задать права пользователей можно с помощью оснастки Локальная политика
безопасности (рис. 4.14). Она также поможет задать и политику паролей: мини
мальную длину пароля, максимальный срок его действия и т. п.
1а Локальная политика безопаСности
-
о
х
�айл Дейавие .1!1111 ,правка
•. �J tt::i 1т111 )( �1 � rrm
....
iв Параметры безоnасноаи
Политики учетных записей
v Q Локальные политики
Политика аудита
> [i Наэна�ие npae nопь:зоеателя
, i-4 Параметры безоnасноаи
> ii::1 Брандмауэр Windows в режиме по,
fi:З Политики диспетчера списка сетей
> ii!З Политики открытого ключа·
'
>
>
>
<
Политика
!iiil Архивация файлов и каталогов
� Блокировка араниц в памяти
il Восстановление файлов и каталогов
а] Вход в качестве пакетного задания
� Вход в качеаве службы
� Выполнение задач по обслуживанию томов
ilдобавление рабочих аанций к домену
� Политики ограниченного использс � Доступ к диспетчеру учетных данных от име ...
� Политики управления приложения :Jдостуn к компьютеру из сети
& Политики IР-безопасноаи на •Jk>к; 1 jj Завершение работы сиаемы
� Конфиrурация расширенной полит il Загрузка и выгрузка драйверов уаройав
:i Замена маркера уровня процесса
\i.':Запретить вход в сиаему через службу удал._
� Запретить локальный вход
1
� Изменение �етки объекrа
il Изменение параметров среды изготовителя
;1 Изменение сиаемноrо времени
� Изменение часового пояса
. Щ Имитация клиента после проверки подлинн_,
� Локальный вход в сиаему
:11 Нааройка квот памяти для процесса
� Обход перекрестной проверки
�Оrказать в доаупе к этому компьютеру из се�
> !Ш)Отказать во входе в качестве пакетного зада-,
Админиараторы
LOCAL SERVICE.Aд...
LOCAL SERVICE,Aд...
l.OCAL SERVICE,NE...
Адми�иараторы,_.
LOCAL SERVICE,NE... Все.Прошедшие n_.
,
.
Рис. 4.14. Локальная политика безопасности
1
\
1
...
181
Информационные системы предприятия
Восстановление параметров безопасности по умолчанию
В случае смены администраторов новому специалисту обычно не известны, напри
мер, те изменения прав доступа, которые выполнил прежний сотрудник. В некото
рых случаях некорректное назначение прав может повлиять на стабильность рабо
ты системы.
В Windows существуют специальные средства, которые позволяют вернуть пара
метры безопасности к тем значениям, которые определены для вновь устанавли
ваемой операционной системы. С этой целью используется оснастка Анализ и на
стройка безопасности. По умолчанию эта оснастка в меню не включена, и чтобы
начать с ней работу, следует открыть консоль управления (командой ппnс) и выпол
нить процедуру добавления оснастки: в области Доступные оснастки окна Добав
ление и удаление оснасток выбрать строку Анализ и настройка безопасности
(рис. 4.15), нажать кнопку Добавить и закрыть все последующие окна, нажимая на
кнопки подтверждения операции.
х
Добавление и удаление оснасток
\
Вы можl!Те вwбрать осжкткм для этоil консоли мэ доступных на конnыотере оснасrок и З!IТен жкrромть их. Д1!я расwиряемых
осжкток МОЖ11О жкrроить требуемое росwиренме.
Вl,lбранные оснасткк:
Описание:
"Акалкз и жктройка беэоnасности• - это ocнacrlell ММС, IIОЭSОЛЯЮЩIIЯ аналкзмровать и настрi!квать параметры
беэоnасносrм на компьютерах Windows с помощью файлов �лонов безоnасносrм.
,
г-·--1СУ�
1
ок
отмена ;
Рис. 4.15. Добавление оснастки Анализ и настройка безопасности
В операционной системе хранятся разработанные поставщиком шаблонь1 безопас
ности (по умолчанию они размещены в папке %windir%\Security\Тemplates) дл.sJ не
скольких типовых конфигураций компьютера. Эrо шаблон настроек безопасности,
соответствующий установке системы, а также шаблоны безопасности для компью
теров (отдельно для рабочих станций, серверов и контроллеров домена), соответст-
182
Глава 4
вующие различным уровням защищенности и совместимые с программным обес
печением предыдущих версий, и т. д.
Оснастка Анализ и настройка безопасности позволяет сравнить значения, опре
деленные в этих шаблонах, с фактическими параметрами настройки системы.
Полученные результаты сохраняются в виде базы данных, которая может быть
проанализирована пользователем, - все отличия настроек в отчете оснастки спе
циально выделены.
Строго говоря, можно проанализировать следующие параметры:
□
□
политики учетных записей: политика паролей, политика блокировки учетных
записей и политика Kerberos;
локальные политики: политика аудита, назначение прав пользователя и пара
метры безопасности;
□
журнал событий: параметры журналов приложений, системы и событий безо
пасности;
□
группы с ограниченным доступом: членство в чувствительных к безопасности
группах пользователей;
системные службы: запуск системных служб и разрешения для них;
реестр: разрешения для разделов реестра;
□
□
□
файловая система: разрешения для папок и файлов.
Если администратор сочтет необходимым, то он может с помощью этой оснастки
применить один из шаблонов безопасности - применение шаблона фактически
означает установку соответствующих параметров системы (разрешений, прав) в те
значения, которые определены в шаблоне.
Для анализа или применения настроек необходимо выполнить следующие дей
ствия:
1. Создать пустую базу данных.
2. Загрузить в нее желаемый шаблон.
3. Провести анализ и/или настройку системы.
Для применения шаблона следует выполнить команду Настроить· компьютер.
В завершение желательно проанализировать результаты операции.
ПРИМЕЧАНИЕ
Обратите внимание на шаблон compatws.inf, который позвол�ет перейти в режим со
вместимости с предыдущей версией ОС. В этом режиме учетным записям пользова
телей даются дополнительные права на доступ к ресурсам системы. В результате по
является возможность запуска программ, не в полной мере совместимых с последни
ми версиями операционной системы. Такая операция 'Е1 новых ОС разрешена только
администраторам, но после применения этого шаблона необходимые разрешения
будут предоставлены.
Информационные системы предприятия
183
Автоматически создаваемые учетные записи
При установке Windows Server 2016/2019 создаются учетные записи групп и поль
зователей по умолчанию. Эти учетные записи разработаны для обеспечения базо
вой установки, необходимой для построения сети. Итак, по умолчанию создаются
учетные записи трех типов:
□ встроенные (Built-in)- учетные записи пользователя и группы, которые уста
навливаются вместе с операционной системой, приложениями и службами;
□ предопределенные (Predefined)- учетные записи пользователя и группы, кото
рые устанавливаюl'Ся вместе с операцио�ной системой;
□ неявные (lmplicit)- специальные группы (специальные идентификаторы), соз
даваемые неявно, в момент доступа к сетевым ресурсам.
Встроенные учетнь1е�аписи пользователей
Во всех системах Windows имеется несколько встроенных учетных записей пользо
вателей:
□ LocalSystem- псевдоучетная запись, которая используется для запуска сис
темных процессов и управления задачами уровня системы. Эта учетная запись
является частью группы Администраторы (Administrators) на сервере и имеет
все права пользователя на сервере. При настройке приложений и служб на ис
пользование этой учетной записи все связанные процессы получат полный дос
туп к системе сервера. С помощью учетной записи LocalSystem запускаются
многие службы. Но службы, которым нужны альтернативные привилегии или
права входа, нужно запускать под учетными записями LocalService или
NetworkService (см. далее);
□ LocalService- псевдоучетная запись с ограниченными привилегиями, предос
тавляющая доступ только к локальной системе. Эта учетная запись является ча
стью группы Пользователи (Users) на сервере и имеет те же права, lfГO и учет
ная запись NetworkService, однако LocalService ограничена только локальным
компьютером. Ог имени этой учетной записи должны работать процессы, кото
рым не нужно получать доступ к другим серверам;
□ NetworkService- псевдоучетная запись для запуска служб, которым нужны
права входа в локальную систему и сеть. Является частью группы Пользовате
ли на сервере и предоставляет меньше разрешений и привилегий по сравнению
с учетной записью LocaISystem (но больше, чем LocalService).
Предопределенные учетные записи пользователя
Обычно вместе с Windows поставляется несколько предопределенных учетных
записей, в том числе Администратор (Administrator) и Гость (Guest). Помните, lfГO
у предопределенных учетных записей есть дубликаты в каталоге Active Directory.
Эти учетные записи распространяются на весь домен и отличаются от локальных
учетных записей на локальных системах.
184
Глава 4
Учетная запись Администратор
Учетная запись Администратор является предопределенной учетной записью,
предоставляющей полный доступ к файлам, каталогам, службам и другим объек
там. В Active Directory у учетной записи Администратор есть полный доступ и
полные полномочия, распространяющиеся на весь домен.
ВНИМАНИЕ/
Для предотвращения неавторизированного доступа к системе или домену убедитесь,
что назначили учетной записи Администратор безопасный пароль. Кроме того, по
скольку это всем известная учетная запись Wiлdows, в качестве дополнительной меры
предосторожности можно ее как-либо,переименовать, а вместо нее создать фиктив
ную учетную запись с именем Администратор и минимальными правами. Такая учет
ная запись должна быть отключена, но в то же время для нее должен быть установлен
сложный пароль. Пусть злоумышленники мучаются_.
По умолчанию учетная запись Администратор для домена - член групп Админи
страторы (Administrators), Администраторы домена (Domain Admins), Пользова
тели домена (Domain Users), Администраторы предприятий (Enterprise Admins),
Владельцы-создатели групповой политики (Group Policy Creator Owners) и Ад
министраторы схемы (Schema Admins).
ПРИМЕЧАНИЕ
В Windows 7 учетная запись Администратор как бы разделилась на две: одна учет
ная запись соответствует той, с которой вы входите в систему, другая - использует
ся, если вызывается команда Запустить от имени администратора. С этим связаны
некоторые ошибки, когда пользователи не могут понять, почему не выполняется сце
нарий, исполняемый от имени пользователя Администратор. А все потому, что фак
тически этих учетных записей две и права у них различаются.
Учетная запись Гость
Учетная запись Гость предназначена для пользователей, которым необходим одно
разовый или случайный доступ. Хотя у нее имеется лишь ограниченный доступ
к системе, при ее использовании гарантированы потенциальные проблемы безопас
ности. Именно поэтому она по умолчанию отключена.
Учетная запись Гость по умолчанию является членом групп Гости домена (Domain
'Guests) и Гости (Guests). Учетная запись Гость одновременно является членом не
явной группы Все (Everyone), которая обычно. имеет доступ к файлам и папкам.
У этой группы также есть набор прав пользователя по умолчанию.
Другие встроенные учетные записи пользователей
□ Учетная запись HelpAssisstant применяется в случаях обращения к удаленному
помощнику. Удаленный пользователь подключается к компьютеру с правами,
предоставленными этой учетной записи.
□ Учетная запись SUPPORT_нoмep используется службами технической под
держки Microsoft. Обычно рекомендуют просто удалить эту учетную запись.
Информационные системы предприятия
□
185
Если на компьютере устанавливается информационный сервер Интернета
(Intemet Infonnation Server, 11S), то создаются две учетные записи: IUSR_имя_
пользователя и IWАМ_имя_пользователя. Учетная запись IUSR_имя_поль
зователя применяется при предоставлении веб-ресурсов анонимному пользова
телю. Иными словами, если информационный сервер Интернета не использует
аутентификацmо пользователя (предоставляет ресурсы анонимно), то в системе
такой qользователь регистрируется под именем IUSR_имя_пользователя. Вы
можете, например, запретить анонимный доступ к каким-либо ресурсам инфор
мационного сервера, если исключите чтение таких файлов этим пользователем.
Пароль пользователя IUSR_имя_пользователя создается автоматически и син
хронизируется между операционной системой и информационным сервером.
Пароли учетных записей IUSR_имя_пользователя и 1WАМ_имя_пользователя
легко можно узнать при помощи сценария, имеющегося на компьютере. Найди
те файл Adsutil.vbs (обычно он расположен в папке административных сценариев
11S- например, в lnetPub\AdminScripts), замените в текстовом редакторе строку
сценария (иначе сценарий покажет пароль в виде звездочек):
IsSecureProperty = True
на
IsSecureProperty = False
и выполните для отображения пароля IUSR_имя_пользователя команду:
cscript.exe adsutil.vbs get wЗsvc/anonyrnoususerpass
или - для показа пароля 1WАМ_имя_пользователя команду:
□
cscript.exe adsutil.vbs get wЗsvc/warnuserpass
Учетная запись IWАМ_имя_компьютера служит для запуска процессов ин
формационного сервера (например, для обработки сценариев на страницах с ак
тивным содержанием). Если вы случайно удалите какую-либо из этих записей и
вновь создадите одноименную, то, скорее всего, столкнетесь с неработоспособ
ностью информационного сервера. Конечно, можно обратиться к справочной ба
зе разработчика, правильно настроить службы компонентов на использование
новой учетной записи, синхронизировать с помощью специальных сценариев
пароли учетных записей и т. п. Но гораздо эффективнее в этой ситуации будет
просто удалить службу информационного сервера и вновь добавить этот компо
нент, предоставив программе установки выполнить все эти операции.
!(роме указанных учетных записей новые пользователи системы часто создаются
прикладными программами в процессе их установки. Обычно создаваемые таким
образом учетные записи имеют необходимое описание в своих свойствах.
Встроенные rруппь1
При установке операционной системы на компьютере автоматически создается не
сколько групп. Для большинства случаев персонального использования этих групп
достаточно для безопасной работы и управления системой.
186
□
□
□
□
Глава 4
Администраторы (Administrators)- члены этой группы имеют все права на
управление компьютером. После установки в системе присутствуют только
пользователи- члены этой группы;
Пользователи (Users)- это основная группа, в которую надо включать обыч
ных пользователей системы. Членам этой группы запрещено выполнять опера
ции, которые могут повлиять на стабильность и безопасность работы компью
тера;
Опытные пользователи (Power Users)- эти пользователи могут не только вы
полнять приложения, но и и�менять некоторые параметры системы. Например,
создавать учетные записи пользователей, редактировать и удалять учетные за
писи (но только те, которые бьmи ими созданы), предоставлять в совместный
доступ ресурсы компьютера (и управлять созданными ими ресурсами). Но
опытные пользователи не смогут добавить себя в число администраторов систе
мы, не получат доступ к данным других пользователей (при наличии соответст
вующих ограничений в свойствах файловой системы NTFS у опытных пользова
телей отсутствует право становиться владельцем объекта), кроме того, они не
смогут выполнять операции резервного копирования, управлять принтерами,
журналами безопасности и протоколами аудита системы;
Операторы резервного копирования (Backup Operators)- в эту группу следу
ет включить ту учетную запись, от имени которой будет осуществляться резерв
ное копирование данных компьютера. Основное отличие этой группы в том, что
ее члены могут «обходить» запреты доступа к файлам и папкам при операции
резервного копирования данных. Независимо от установленных прав доступа,
в резервную копию данных будут включены все отмеченные в операции файлы,
даже если у оператора резервногокопирования нет права чтения такого файла.
Учетная запись с правами оператора резервного копирования является весьма
серьезной брешью в системе безопасности предприятия. Как правило, особое
внимание «безопасников» уделяется пользователям, имеющим административ
ные права. Да, они могут стать владельцами любой информации, доступ к кото
рой для них явно запрещен. Но при этом такие действия протоколируются и
контролируются службой безопасности предприятия. Пользователь, на которого
возложена рутинная вроде бы обязанность резервного копирования, легко может
выполнить резервную копию всех данных и восстановить секретную информа
цию из этой копии на другой компьютер, после чего говорить о наличии уста
новленных прав доступа к файлам и папкам станет бессмысленно. Но есть и бо
лее простые способы копирования информации, право доступа к которой запре
щено на уровне файловой системы. В Windows имеется утилита Robocopy
(robocopy.exe) для массового копирования файлов. Эта программа может выпол
нять копирование данных в режиме использования права резервного копирова
ния (естественно, что она должна быть запущена пользователем, состоящим
в группе операторов резервного копирования). В результате в новую папку будут
скопированы все файлы, причем пользователю даже не нужно становиться вла
дельцем файлов- все запреты будут уже сняты;
Информационные системы предприятия
187
ПРИМЕЧАНИЕ
Программа Robocopy предназначена для того, чтобы скопировать структуру файлов
из одной папки в другую. Если на файлы наложены ограничения доступа, то выпол
нять такую операцию штатными средствами (через резервное копирование и восста
новление данных) не всегда удобно. Robocopy позволяет переместить данные, сохра
нив всю структуру прав. Возможность «снятия)) ограничений, описываемая в настоя
щем разделе, просто является одной из функций этой утилиты.
□
Гости (Guests)- эта группа объединяет пользователей, для которых действуют
специальные права для доступа «чужих» пользователей. По умолчанию в нее
включена только одна заблокированная учетная запись: Гость;
□ HeplSevicesGroup - группа предоставляет типовой набор прав, необходимый
специалистам службы техподдержки. Не следует включать в нее других членов,
кроме учетной записи, созданной по умолчанию;
□ Remote Desktop Users - члены этой группы могут осуществлять удаленное
подключение к рабочему столу компьютера. Иными словами, если вы хотите
иметь возможность удаленно подключиться к своему компьютеру, то необходи
мо включить в эту группу соответствующую учетную запись. По умолчанию
членами этой группы являются администраторы локального компьютера;
□ DHCP Administrators - группа создается только при установке DHCP. Поль
зователи группы имеют право на конфигурирование службы DHCP (например,
с помощью графической оснастки управления или командой netsh). Использует
ся при делегировании управления DНСР-службой;
□ DHCP Users и WINS Users - группы создаются только при установке соответ
ствующих служб. Пользователи групп имеют право лишь на просмотр парамет
ров настройки служб DHCP (или WINS). Применяются при делегировании прав
техническому персоналу (например, для сбора информации о состоянии серви
сов);
□ Network Configuration Operators - пользователи группы имеют право изме
нения ТСР/IР-параметров. По умолчанию группа не содержит членов;
□ Print Operators - члены группы могут управлять принтерами и очередью печати.
В системе присутствуют и другие группы, на описании которых мы не будем особо
останавливаться (Account Operators, Pre-Windows 2000 CompatiЫe Access, Sener
Operators и т. д.).
Специальные группы
В операционной системе существуют так Щ1.Зываемые специальные группы, членст
вом в которых пользователь комnьютера управлять не может. Они не отображают
ся в списке групп в оснастках управления группами, но доступны в окнах назначе
ния прав доступа.
К специальным группам относятся:
□ Все (Everyone);
□ Интерактивные пользователи_(Lосаl Users);
Глава4
188
□
Сетевые пользователи (Network Users);
□ Пакетные файлы (Batch);
□ Прошедшие проверку (Authenticated).
Предназначение групп ясно уже по их названиям. Так, в группу Интерактивные
пользователи автоматически включаются все пользователи, осуществившие вход
в систему с консоли (клавиатуры). Сетевые пользователи - это те пользователи,
которые используют ресурсы компьютера через сетевое подключение, и т. п.
Эги группы предназначены для более точного распределения прав пользователей.
Например, если вы хотите, чтобы с каким-либо документом была возможна только
локальная работа, то можно просто запретить доступ к нему сетевых пользова
телей.
Заострим вни�ание читателей на группе Все, поскольку именно с ней связано наи
большее количество ошибок в предоставлении прав доступа. Эга группа включает
не любых пользователей, а только тех, кто имеет учетную запись на конкретном
компьютере. Иными словами,, если вы предоставили ресурс компьютера в общий
доступ с правами чтения для группы Все, то использовать его могут только те, кто
на этом компьютере «прописан». Если вы предпочитаете, чтобы ресурс мог исполь
зовать действительно «кто угодно», то для этого нужно разрешить использование
учетной записи Гость.
ПРИМЕЧАНИЕ
В последних версиях Windows пересматривался состав группы Все. Во избежание
ошибок следует уточнить состав этой группы в каждом конкретном случае.
Рекомендации по использованию операции
Запуск от имени Администратора
По соображениям безопасности не рекомендуется использовать для текущей рабо
ты учетную запись, обладающую административными правами. Смысл этого тре
бования очень прост: если на компьютере работает неопытный пользователь, то он
не сможет что-либо испортить в настройках системы и привести ее в нерабочее со
стояние. Кроме того, в повседневной практике очень легко встретиться с какой
либо скрытой вредоносной программой. Если при запуске такой программы она не
будет обладать административными правами, то возможностей нанести вред ком
пьютеру у нее будет существенно меньше.
Однако на практике пользователям периодически приходится выполнять различ
ные административные действия. Например, устан;овить драйвер для нового внеш
него устройства хранения информации, на котором вы принесли для просмотра
взятый у приятеля видеофильм, и т. п. Понятно, что, несмотря на все рекоменда
ции, большинство пользователей для удобства работают с правами учетной записи
администратора.
В операционных системах Windows 7 и выше по умолчанию максимальные права
не предоставлены и администратору. Чтобы выполнить действия, меняющие сие-
Информационные системы предприятия
189
темные настройки, предусмотрен специальный механизм для быстрого запуска
программ с использованием административных прав. Это операция Запуск от
имени Администратора.
Такая команда доступна в контекстном меmо соответствующего ярлыка. Кроме то
го, если при запуске программы система обнаружила попытку выполнения дейст
вий, для · которых требуется подобная эскалация прав, то пользователь увидит на
экране запро'с на продолжение, который он должен подтвердить (или отказаться,
если подобная операция не планировалась). Конечно, такой запрос пользователь
получит только, если включен контроль учетных записей пользователей (UAC).
Для его включения/выключения в апплете панели управления Учетные записи
пользователей нужно перейти по ссьшке Изменение параметров контроля учет
ных записей и выбрать соответствующее значение с помощью ползунка.
ПРИМЕЧАНИЕ
Обратите еще раз внимание, что учетная запись Администратор и учетная запись,
которая используется при запуске от имени администратора, - это различные учет
ные записи. Если не учитывать такой нюанс, то это может привести к неожиданным
р�зультатам, например, при выполнении сценариев входа в домен.
Включение сетевого обнаружения
в Windows Server 2016/2019
По умолчанию сетевое обнаружение в Windows Server 2016/2019 выключено, и од
ного включения соответствующего параметра в Центре управления сетями и об
щим доступом (рис. 4.16) недостаточно. Вы увидите, что значение параметра на
самом деле не изменилось.
Причина в выключенных по умолчанию службах, необходимых для работы сетево
го обнаружения. Итак, нужно включить следующие службы:
□
□
□
□
□
Function Discovery Provider Host, FDPHost (хост поставщика функции обнаруже
ния)- отвечает за обнаружение в сети других компьютеров;
Function Discovery Resource PuЫication, FDResPub (публикация ресурсов обна
ружения функции)- отвечает за то, чтобы другие компьютеры могли обнару
жить в сети ваш компьютер;
DNS Client, dnscache (DNS-клиент);
SSDP Discovery, SSDPSrv (обнаружение SSDP);
UPnP Device Host, upnphost (узел универсальных РNР-устройств).
Убедитесь, что они работают, а тип запуска для каждой из них установлен в значе
ние Автоматически. После этого перезагрузите компьютер, и вы сможете увидеть
содержимое сети (рис. 4.17).
Глава 4
190
□
•4 Дополнительные параметры общего дocryna
�
➔
v 1'
i•4 «
Центр упра_ > Дополнительные параметры общего досrупа
v; {)
Поиск в панели управл ения
.х
,Р
Изменение параметров общего доступа для различных сетевь�х профилей
Windows создает отдельный сетевой профиль для каждой испол�уемой ,;ети. Для каждого профиля
вы можете выбрать особые параметры.
Частная
Гостевая или общедосrупная
Доменный (текущий профиль)
Сетевое обнаружение
Если включено сетевое обнаружение, этот компьютер может видеть другие компьютеры и
устройства в сети и виден другим компьютерам.
@ Вкnючить сетевое обнаружение
О Отключить сетевое обнаружение
Общий доступ к файлам и принтерам
Если общий досrуп к файлам и принтерам вкnючен, то файлы и принтеры, к которым
разрешен общий досrуп на этом компьютере, будуr досrупны другим пользователям в сети.
@ Включить общий досrуп < файлам и принтерам
О Откnючить общий досrуп к файлам и принтерам
..,
Отмена
Рис. 4.16. Центр управления сетями и общим доступом
□
� • j Сеть
С.еть
., 1' rt, > Сеть >
v {)
• Рабочий стол
,t
• Загрузки
,t
� Документы
,t
- DESКТOP-IU66CN2
- WIN-LGOGBECfFJS
� Изображения ,t
.J System32
Jlt Этот компьютер
f#Cen,
>
Поиск Сеть
v Компьютер (2)
v ,t Быстрый досrуп
V
х
vO
Вмд
, DESКТOP-IU66CN2
Jlt WIN-LGOGBECFFJS
Рис. 4.17. Обозреватель сети
,Р
ГЛАВА
5
Работа в глобальной сети
в этой главе мы рассмотрим несколько типичных задач, с которыми сталкивается
каждый администратор, а именно: предоставление доступа к Интернету, защита
внутренних ресурсов предприятия от внешних угроз, организация связи между
центральным офисом и филиалами, предоставление доступа мобильным сотрудни
кам к ресурсам предприятия. Первые две задачи решаются правильной настройкой
брандмауэра, последние две ----, путем организации виртуальных частных сетей
(VPN).
Организация доступа к ресурсам Интернета
Сетевая адресация
Для идентификации узлов Интернета используются IР-адреса. IР-адрес представля
ет собой четыре числа, разделенные точками (или одно 32-разрядное число, кото
рое записывается в виде четырех восьмиразрядных чисел, разделенных точками,как кому больше нравится). Нужно сразу отметить, что такая идентификация неод
нозначная, поскольку IР-адреса могут быть статическими (постоянными) и дина
мическими. Постоянные (статические) IР-адреса обычно назначаются серверам, а
динамические - обычным пользователям. Так что сегодня определенный динами
ческий IР-адрес может быть назначен одному пользователю, а завтра- другому.
Поэтому если в случае с аппаратными МАС-адресами еще можно говорить
о какой-то однозначности (и то существуют способы подмены МАС-адресов), то
IР-адреса по определению однозначными не являются.
Вот примеры IР-адресов: 127.0.0.1, 192.168.1.79, 111.33.12.99. Как бьmо сказано
ранее, IР-адрес- это ОДНО 32-разрядное число или четыре 8-разрядных. Возве
дем 2 в восьмую степень и получим максимальное значение для каждого из четы
рех восьмиразрядных чисел- 256. Таким образом, учитывая, что некоторые
IР-адреса зарезервированы для служебного использования, протокол IP может ад
ресовать примерно 4,3 млрд узлов. Однако с каждым годом количество узлов во
Всемирной паутине увеличивается, поэтому бьmа разработана шестая версия про-
192
Глава 5
токола IP- 1Pv6 (если упоминается просто протокол IP, то, как правило, имеется
в виду четвертая версия протокола- 1Pv4). Новый протокол использует 128-битные
адреса (вместо 32-битных), что позволяет увеличить число узлов до 10 12 и количе
ство сетей до 109 (чуть далее о протоколе 1Pv6 рассказано более подробно).
IР-адреса выделяются сетевым информационным центром (NIC, Network
Information Center). Чтобы получить набор IР-адресов для своей сети, вам надо об
ратиться в этот центр. Но, оказывается, это приходится делать далеко не всем. Су
ществуют специальные IР-адреса, зарезервированные для использования в_локаль
ных сетях. Ни один узел глобальной сети (Интернета) не может обладать таким
«локальным)) адресом. Вот пример локального IР-адреса: 192.168.1.1. В своей ло
кальной сети вы можете использовать любые локальные IР-адреса без согласования
с кем бы то ни было. Когда же вы надумаете подключить свою локальную сеть
к Интернету, вам понадобится всего один «реальный)) IР-адрес- он будет исполь
зоваться на маршрутизаторе (шлюзе) доступа к Интернету. Чтобы узлы локальной
сети (которым назначены локальные IР-адреса) смогли «общаться)) с узлами Ин
тернета, используется NAТ (Network Address Translation)- специальная техноло
гия трансляции сетевого адреса (о NAТ подробно рассказано чуть далее).
Наверное, вам не терпится узнать, какие IР-адреса можно использовать без согла
сования с NIC? Об этом говорить пока рано- ведь мы еще ничего не знаем о клас
сах сетей. IР-адреса служат для адресации не только отдельных компьютеров, но и
целых сетей. Вот, например, IР-адрес сети: 192.168.1.0. Отличительная черта адреса
сети- О в последнем октете.
Сети поделены на классы в зависимости от их размеров:
□ класс А- огромные сети, которые могут содержать 16 777 216 адресов, IР
адреса таких сетей лежат в пределах l.0.0.0-126.0.0.0;
□ класс В- средние сети, они содержат до 65 536 адресов. Диапазон адресовот 128.0.0.0 ДО 191.255.0.0;
□ класс С- маленькие сети, каждая сеть содержит до 256 адресов.
Существуют еще и классы D и Е, но класс Е не используется, а зарезервирован на
будущее (хотя будущее - это 1Pv6), а класс D зарезервирован для служебного ис
пользования (широковещательных рассылок).
Представим ситуацию. Вы хотите стать интернет-провайдером. Тогда вам нужно
обратиться в NIC для выделения диапазона IР-адресов под вашу сеть. Скажем, вы
планируете сеть в 1ООО адресов. Понятно, что сети класса С вам будет недостаточ
но. Поэтому можно или арендовать четыре сети класса С, или одну класса В. Но,
с другой стороны, 65 536 адресов для вас- много, и если выделить вам всю сеть
класса В, то это приведет к нерациональному использованию адресов. Так что са
мое время поговорить о маске сети. Маска сети определяет, сколько адресов будет
использоваться сетью, фактически маска задает размер сети. Маски полноразмер
ных сетей классов А, В и С представлены в табл. 5.1.
Маска 255.255.255.0 вмещает 256 адресов (в последнем октете IР-адреса могут быть
цифры от О до 255). Например, если адрес сети 192.168.1.0, а маска 255.255.255.0,
193
Работа в глобальной сети
то в сети могут быть IР-адреса от 192.168.1.0 до 192.158.1.255. Первый адрес
(192.168.1.0) называется IР-адресом сети, последний- зарезервирован для широ
ковещательных рассылок. Следовательно, для узлов сети остаются 254 адреса: от
192.168.1.1 до 192.168.1.254.
Таблица 5.1. Маски сетей классов А, В и С
Класс сети
Маска сети
А
255.0.0.0
в
с
255.255.0.0
255.255.255.0
А вот пример маски сети на 32 адреса- 255.255.255.224:
255 - 224 = 31 + «нулевой)) IР-адрес, итого 32.
Предположим, у нас есть IР-адрес произвольной сети- например: 192.168.1.0. Как
узнать, к какому классу она принадлежит? Для этого нужно преобразовать первый
октет адреса в двоичное представление. Число 192 в двоичной системе будет вы
глядеть так: 11000000. Проанализируем первые биты первого октета. Если они со
держат двоичные цифры 11 О, то перед нами сеть класса С. Теперь проделаем то же
самое с сетью 1 О.О.О.О. Первый октет равен 1О, и в двоичной системе он будет вы
глядеть так: 00001010. Здесь первый бит- О, поэтому сеть относится к классу А.
Опознать класс сети по первым битам первого октета поможет табл. 5.2.
Таблица 5.2. Опознание класса сети
Класс сети
А
· Первые биты
о
в
с
110
D
1110
Е
11110
10
Теперь вспомним о специальных зарезервированных адресах. Адрес 255.255.255.255
является широковещательным. Если пакет отправляется по этому адресу, то он бу
дет доставлен всем компьютерам, находящимся с отправителем в одной сети.
Можно уточнить сеть, компьютеры которой должны получить широковещательную
рассьшку, например, таким образом: 192.168.5.255. Эrот адрес означает, что пакет
получат все компьютеры сети 192.168.5.0.
Вам также следует знать адрес 127.0.0.1. Эrот адрес зарезервирован ·для обозначе
ния локального · компьютера и называется адресом обратной петли. Если отпра
вить пакет по этому адресу, то его получит ваш же компьютер, т. е. получатель
является отправителем, и наоборот. Эrот адрес обычно используется для тестиро-
194
Глава 5
вания поддержки сети. Более того, к локальному компьютеру относится любой
адрес из сети класса А с адресом 127.0.0.0. Поэтому при реальной настройке сети
нельзя использовать IР-адреса, начинающиеся со 127.
А теперь можно рассмотреть IР-адреса сетей, зарезервированные для локального
использования. В локальных сетях вы можете задействовать следующие адреса
сетей:
□
□
□
192.168.0.0-192.168.255.О-сети класса С (всего 256 сетей, маска 255.255.255.0);
172.16.0.0-172.31.О.О-сети класса В (всего 16 сетей, маска 255.255.0.0);
10.0.0.0-сеть класса А (одна сеть, маска 255.0.0.0).
Обычно в небольших домашних и офцсных сетях используются IР-адреса из сети
класса С, т. е. из диапазона· 192.168.О.0-192.168.255.0. Но поскольку назначение
адресов контролируется только вами, вы можете назначить в своей локальной сети
любые адреса,- например, адреса из сети 10.0.0.0, даже если у вас в сети всего
5 компьютеров. Так что выбор сети-это дело вкуса. Можете себя почувствовать
администратором огромной сети и использовать адреса 10.0.0.0.
Введение в 1Pv6
1Pv6 (lntemet Protocol version 6)-новая версия протокола IP, созданная для реше
ния проблем, с которыми столкнулась предыдущая версия (1Pv4) при ее использо
вании в Интернете, -адресов просто стало не хватать. У нового протокола длина
адреса составляет 128 битов вместо 32.
В настоящее время протокол 1Pv6 используется в нескольких десятках тысяч сетей,
а Китай планирует в скором времени полностью перейти на 1Pv6.
Преимущества 1Pv6 (кроме большего адресного пространства) по сравнению с 1Pv4
выглядят так:
□
□
□
□
возможна пересьmка огромных пакетов-до 4 Гбайт;
появились метки потоков и классы трафика;
имеется поддержка многоадресного вещания;
убраны функции, усложняющие работу маршрутизаторов (из IР-заголовка ис
ключена контрольная сумма, и маршрутизаторы не должны фрагментировать
пакет-вместо этого пакет отбрасывается с IСМР-уведомлением о превышении
MTU).
В 1Pv6 существуют три типа адресов: одноадресные (Unicast), групповые (Anycast)
и многоадресные (Multicast):
□ адреса Unicast работают .как обычно- пакет, отправленный на такой адрес,
достигнет интерфейса с этим адресом;
□ адреса Anycast синтаксически неотличимы от адресов Unicast, но они адресуют
сразу группу интерфейсов. Пакет, который был отравлен на такой адрес, попа-
Работа в глобальной сети
195
дет в ближайший (согласно метрике) интерфейс. Адреса Anycast используются
только маршрутизаторами;
□ адреса Multicast идентифицируют группу интерфейсов - пакет, отправленный
по такому адресу, достигнет всех интерфейсов, привязанных к группе многоад
ресного вещания.
IР-адреса по протоколу IPvб отображаются в виде восьми групп шестнадцатерич
ных цифр, разделенных двоеточиями. Вот пример адреса нового поколения:
1628:0d48:12a3:19d7:lf35:5a61:17a0:765d. Если в IРvб-адресе имеется большое ко
личество нулевых групп (например, fe50:0:0:0:300:f4ff:fe31:57cf), оно может быть
пропущено с помощью двойного двоеточия (fe50::300:f4ff:fe31:57cf). Однако такой
пропуск допускается в адресе только один раз.
NAТ - трансляция сетевого адреса
Как уже отмечалось ранее, чтобы узлы локальной сети смогли «общаться)) с узлами
Интернета, используется специальная технология трансляции сетевого адреса
(NAT, Network Address Translation). Маршрутизатор получает от локального узла
пакет, адресованный интернет-узлу, и преобразует IР-адрес отправителя, заменяя
его своим IР-адресом. При получении ответа от интернет-узла маршрутизатор вы
полняет обратное преобразование, поэтому нашему локальному узлу «кажетсЯ>),
что он общается непосредственно с интернет-узлом. Если бы маршрутизатор
отправил пакет как есть, т. е. без преобразования, то его отверг бы любой маршру
тизатор Интернета и пакет так и не бьш бы доставлен к получателю.
Реализация NAT
средствами службы маршрутизации Windows Server
Реализовать NAТ можно самыми разными способами. Например, обзавестись мар
шрутизатором Wi-Fi, который и будет выполнять функцию NAT. Это самое про
стое решение, но оно подойдет только для относительно небольших сетей (конеч
но, все относительно, и во многом размер обслуживаемой сети зависит от характе
ристик самого маршрутизатора). Далее мы рассмотрим популярные способы
реализации NAT, а именно настройку NAT в Windows Server 2019, в Linux, а также
аппаратное решение задачи. Теоретически NAT можно настроить и в клиентских
ОС вроде Windows 7/1О, но особого смысла мы в этом не видим. Такое решение
могут себе позволить лишь очень небольшие фирмы, у которых нет вьщеленного
сервера. А они, как правило, пойдут по пути минимального сопротивления и вос
пользуются аппаратным решением - маршрутизатором Wi-Fi - дешево и серди
то, а самое главное - проще и надежнее, чем создавать маршрутизатор из рабочей
станции на базе Windows.
Итак; для настройки NAТ в Windows Server 2019 первым делом нужно установить
роль Удаленный доступ (рис. 5.1).
При установке этой роли вам будет предложено выбрать службы ролей (рис. 5.2).
В нашем случае нужна только Маршрутизация, но если вы планируете установить
связь между филиалами (складами) или предоставить мобильным пользователям
Глава 5
196
8'. Мастер добавления ролей и компонентов
о
Выбор ролей сервера
WIN-
Перед началом работы
Выберите одну илй нескОлько ролей для уста�ки на этом сервере..
Веб-доступ к терминальному серверу появился в тот момент, когда программное
обеспечение терминальных клиентов по умолчанию на рабочих станциях Windows
не устанавливалось. Фактически это решение представляет собой модуль ActiveX,
автоматически устанавливаемый на локальный компьютер при обращении из обо
зревателя к терминальному серверу.. Соответственно, использовать для рабо:п.1
можно только Internet Explorer и необходимо иметь права и разрешающие настрой
ки обозревателя для установки ActiveX. Реальное подключение к терминальной
сессии осуществляется по протоколу RDP (Remote Display Protocol, протокол для
удаленных дисплеев), что требует и открытого порта 3389.
По умолчанию веб-интерфейс доступен по пути: http:///ts.
Веб-интерфейс удобно использовать для разового доступа к необходимому прило
жению с компьютеров, не принадлежащих локальной сети. При постоянном ис
пользовании рациональнее ссьшку на такое приложение сохранить на локальном
компьютере. Администраторы могут настроить веб-интерфейс таким образом, что
Глава 5
244
на нем будут опубликованы приложения с различных терминальных серверов
внутри предприятия. Но это, конечно, решение уже для крупных предприятий.
Шлюз терминалов
Ранее при необходимости обеспечить подключение пользователей, работающих
в Интернете, к ресурсам, расположенным на различных терминальных серверах
внутри локальной сети предприятия, администраторы должны были настраивать
публикацmо для каждого терминала, а пользователи - вручную создавать не
сколько подкmочений для каждого ресурса отдельно.
Так было до тех пор, пока с выходом Windows Server 2008 не появилась функцио
нальность шлюза терминшюв. lllлюз терминалов позволяет публиковать в Интер
нете по одному адресу несколько внутренних терминальных серверов.
Доступ к шлюзу, а потом к терминальному серверу осуществляется клиентом по
порту 443 - порту протокола НТТРS, который обычно открыт в межсетевых экра
нах. Эrо расширяет возможности доступа к терминальным серверам из Интернета.
Регулируется доступ к внутренним терминалам обычным способом, с помощью
политик.
Настройка шлюза терминалов не представляет особой сложности, и мы специально
останавливаться на ней не будем.
Создание локальных копий данных
Пользователю, удаленно работающему с ресурсами предприятия, хочется выпол
нять работу так же быстро, �ак если бы он находился в офисе, и иметь возможность
продолжить работу независимо от наличия удаленного доступа к офису. Выходом
в такой ситуации является· создание копий данных на мобильном устройстве с по
следующей их синхронизацией с сервером. Такое решение позволяет пользователю
продолжать работу полностью в автономном режиме.
ПРИМЕЧАНИЕ
Первым средством Windows, предназначенным для синхронизации данных двух ис
точников, была программа Портфель. Эта программа сохранена и в текущих версиях
ОС, однако она является индивидуальным решением. Пользователь должен вручную
помещать в Портфель файлы, с которыми он предполагает работать в другом месте,
а потом также вручную проводить синхронизацию изменений. С основами работы
в Портфеле легко разобраться, воспользовавшись интерактивной справочной системой.
История файлов
В .Windows 8/10 и Windows Server 2012/2016 появился аналог машины времени
(Tirne Machine) из Мае OS Х - функция История файлов (ранее Нistory Vault).
В Windows 7 уже имелась функция теневого копирования файлов, позволяющая
восстановить содержимое файла, скажем, по состоянию на вчера или позавчера, что
весьма удобно, ведь ошибочное удаление файла - явление достаточно редкое, а
вот внесение некорректных изменений в файл встречается гораздо чаще.
245
Работа в глобальной сети
В Windows 8/10 эта функция усовершенствована. Теперь вы можете выбрать, из
каких каталогов файлы не требуется резервировать, где следует хранить резервные
копии (предпщ1агается, что их надо хранить на внешнем жестком диске или хотя
бы на сетевом диске), как часто делать резервные копии.
Перед настройкой функции История файлов подключите внешний жесткий диск
(можно и не внешний, но чтобы он бьm физически отдельным, - нет смысла хра
нить резервную копию на другом разделе того же жесткого диска - в случае сбоя
диска все данные, в том числе и резервная копия, будут утеряны). Затем откройте
панель управления и перейдите в раздел Система и безопасность I История фай
лов.
По умолчанию история файлов выключена (рис. 5.12). Для ее включения нажмите
кнопку Включить. Если же у вас не будет подходящего для копирования жесткого
диска, вы увидите соответствующее сообщение.
Как использовать исторmо файло1, показано в видеоролике от Microsoft:
http://windows.microsoft.com/ru-ru/windows-8/how-use-file-history.
о
И тория файюе сохраняет копии ваших файлое, поэтому е СJ1учае потери и11и nоереж.дения их
с
можно
восстаноеи,ь.
ория
и
И
тд с
т
Выбр,111ь АРУfОЙ ио:
1 • ст
�
фа�дtte раtnо,нее ,то
Технология BranchCache
Технология BranchCache предназначена для ускорения работы с документами
в .филиалах за счет их кэширования. Технология эта появилась только в Windows 7
SP1 и Windows Server 2008 R2 соответственно и доступна она лишь пользователям
домена, работающим в этих операционных системах или более новых (Win
dows 8/10, Windows Server 2012/2016). Информация о поддерживаемых версиях
246
Глава 5
Windows доступна по ссылке: https://docs.microsoft.com/en-us/sccm/core/plan
design/configs/support-for-windows-features-and-networks.
Технология BranchCache позволяег кэшировать в филиале информацию из основ
ного офиса, предоставляемого с серверов Windows Server 2008 R2 или более позд
них версий как по протоколу SMB (Server Message Block, блок сообщений серве
ра) - для обычных сетевых папок общего доступа, так и по протоколу
НТТР/НТТРS- для веб-сервера IIS.
Существуют два варианта настройки технологии. Вариант выделенного кэша пред
полагаег наличие в филиале сервера Windows 2008 R2/2012/2016, на котором хра
нится и обновляегся кэш. В варианте распределенного кэша данные хранятся на
пользовательских системах (Windows 7 SPl, 8, 10). Выбор варианта осуществляется
при настройке технологии (определяегся в групповой политике), каждый из них
имеет сильные и слабые стороны и должен быть выбран в зависимости от конфигу
рации филиала.
Если в общих чертах описать технологию BranchCache, то процесс происходит сле
дующим образом. При запросе данных клиент сначала обращаегся на сервер ос
новного офиса (соответственно если этот сервер недоступен, то и воспользоваться
кэшированными данными, хранящимися в офисе, не удастся). Сервер предоставля
ет мегаданные файла, т. е. его хеш-функцию (строго говоря, файл разбиваегся на
блоки и контролируегся именно хеш-функция блока). В силу особенностей работы
IIS хеш-функция клиентом будег сформирована только при втором обращении к
файлу по протоколу НТТР и соотвегственно данные из кэша можно будег получить
только при третьем обращении к этому файлу. При работе по протоколу SMB
данные в кэше будут доступны при втором обращении к файлу. Клиент, получив
хеш-функцию, проверяет наличие файла в филиале (широковещательным 1 запро
сом - в случае распределенного кэша и уникастовым - при хранении кэша на
сервере). Если файл в кэше имеется, он передается с компьютеров филиала, если
нег (или, например, обновлен на сервере, и хеш-функции не совпадают), то копиру
ется по каналу связи «центральный офис- филиал)). Естественно, что на каждом
этапе проверяются права доступа к файлу.
В результате того, что хеш-функция примерно в две тысячи раз меньше размера
файла, операции с ней по каналу связи между офисами выполняются существенно
быстрее, чем копирование собственно данных. Но эффект от включения функции
BranchCache будег лишь в том случае, если сами данные меняются редко, а обра
щения к ним с компьютеров филиала достаточно часты.
Для того чтобы включить BranchCache, следует добавить компонент BranchCache
(BranchCache дли удаленных файлов в случае файлового сервера) в настройках
сервера и настроить групповую политику как для сервера, так и для клиентов.
Дополнительно желательно - для повышения уровня защищенности данных �
настроить для серверов использование сертификатов (описание доступно в доkу
ментации по технологии).
1 Поэтому компьютеры должны находиться в пределах локального сегмента сети.
Работа в глобальной сети
247
Доступ из-за межсетевого экрана
Заблуждением является мнение, что межсетевой экран препятствует любой попыт
ке ,подключения к персональному компьютеру извне. Если компьютеру разрешен
доступ в глобальную сеть, то нельзя исключить и обратную возможность - под
ключение к нему из внешнего мира.
Мы не станем рассматривать возможности, использующие уязвимости межсетевых
экранов. Они есть и будут. Но чтобы воспользоваться ими, нужно иметь серьезный
опыт. Однако есть способы, доступные любому пользователю. На рис. 5.13 (из ру
ководства LogMeln) обычному пользователю доходчиво объясняются возможности
его подключения к данным локальной системы из любой точки Сети.
Рис. 5.13. Подключение к данным компьютера возможно из любой точки Интернета
Идея доступа к локальному компьютеру извне заключается в следующем. На этот
локальный компьютер устанавливается программа, которая инициирует подклю
чение к заданному серверу в глобальной сети. Поскольку такое подключение осу
ществляется изнутри сети по разрешенным протоколам, то оно пропускается меж
сетевым экраном. Компьютер, с которого требуется подключиться к системе,
защищенной межсетевым экраном, получает доступ к ней через сервер соотве'Г
ствующей программы. Обычно в этих целях применяется обозреватель Интернета
(поскольку эта программа доступна в любых интернет-кафе и других публичных
точках).
Подобных решений существует много. Можно упомянуть бесплатное решение
LogMeln (https://secure.Iogmein.com/solutions/personal/), решение Anyplace Control
(http://www.anyplace-control.com/solutions.shtml) и др. Поэтому блокирование на
межсетевом экране списка таких серверов не решает кардинально проблему безо
пасности - не исключена возможность появления нового сервера или перехода на
иное программное решение.
Предотвратить описанный способ нарушения безопасности информационной сис
темы можно, если полностью исключить возможность установки пользователем
приложений (тотальным контролем запускаемого программного обеспечения).
ГЛАВА
6
Управление
информационной системой
Управление компьютерной информационной системой невозможно без инструмен
тов, помогающих администратору выполнять различные рутинные операции.
Обычно администратору нужно знать состав информационной системы, контроли
ровать функционирование ее компонентов, а таюке централизованно управлять ими.
Состав информацио,нной системы
К сожалению, документированию информационной системы редко уделяется
должное внимание. Многие думают: мол, мне это не нужно, а те, кто будет после
меня, - пусть разбираются сами. Поэтому новому администратору приходится
тратить много усилий на инвентаризацию. Эrо в корне неправильно, поскольку,
когда вы сами придете на новое место работы, вам тоже придется разбираться
самостоятельно.
Что такое инвентаризация информационной системы? Эrо построение схемы сети,
составление списка компьютеров, списка используемого программного обеспече
ния и прочего оборудования (принтеры, маршрутизаторы, коммутаторы и т. д.).
Построение топологии существующей СКС
Чтобы эффективно устранять неисправности, администратору нужно знать, к како
му порту подключен тот или иной компьютер, как соединено между собой актив
ное оборудование и т. п. Соответственно, администратор должен иметь документа
цию, содержащую описание линий связи, а также журналы кроссировок, журналы
со сведениями о ремонтных работах и пр.
Если ваша структурированная кабельная сеть (СКС) построена на управляемых
коммутаторах, то сведения о реальной топологии можно получить автоматически
(вместе с информацией о портах и подключенном к ним оборудовании). Программ
для построения топологии сети предостаточно. Вот одна из них - « 10-Страйк:
Схема Сети» (рис. 6.1). Программа не только позволяет создать схему сети по про
токолу SNМP, но и экспортировать ее в MS Visio, что очень удобно.
3. Далее (Рис. 6.14) нужно выбрать язык (русский, к сожалению, пока не предви
дится). Можно также выбрать и раскладку клавиатуры (рис. 6.15), но поскольку
раскладку изменять нам ни к чему, выберите вариант Don't touch keymap.
4. Выбрать команду Start Clonezilla (рис. 6.16).
Рис. 6.14. Выбор языка Clonezilla
Рис. 6.15. Выбор раскладки
Рис. 6.16. Выбор команды Start Clonezilla
Глава 6
286
5. Выбрать режим device-image для создания файла образа диска или раздела
(рис. 6.17). Другой режим, предлагаемый меню, - device-device служит для
создания копии диска или раздела на другом диске (разделе) без создания файла
образа.
6. Выбрать режим local_dev- локальное устройство, куда будет сохранен образ
или откуда он будет прочитан в случае восстановления системы по образу
(рис. 6.18). Также образ можно получить (или записать) по SSH, NFS (Network
File System) и из сети MS Windows (samba_server).
Рис. 6.17. Выбор режима device-image
Рис. 6.18. Выбор носителя образа
7. Выбрать раздел, где будут храниться образы. Если вы создаете образ, то на этот
раздел он будет сохранен, а если восстанавливаете, то Clonezilla будет искать
его на этом разделе.
8. Выбрать одну из команд (рис. 6.19):
• savedisk - для сохранения всего диска;
• saveparts - для сохранения одного или нескольких разделов диска;
• restoredisk - для восстановления образа диска на локальный диск;
• restoreparts - для восстановления образа раздела;
• recovery-iso-zip - для создания «живого>> диска восстановления.
Управление информационной системой
287
Рис. 6.19. Создать образ или восстановить?
9. Если вы выбрали команду восстановления образа, то далее следует выбрать об
раз, который нужно для этого использовать (рис. 6.20).
10. Ввести устройство (имена устройствсоответствуют именам устройств в Linux),
на которое нужно развернуть образ (рис. 6.21). Будьте внимательны, чтобы не
развернуть образ раздела на весь диск- потеряете ост.альные разделы!
Рис. 6.20. Выбор образа для воссrановления
Рис. 6.21. На какое устройство «развернуть» образ?
11. Если вы выбрали команду recovery-iso-zip - для создания LiveDVD/USB, то
нужно также выбрать режим (рис. 6.22):
• iso - будет создан образ для записи на DVD;
• zip - будет создан образ для записи на LiveUSB;
288
Глава б
• both � будут созданы оба файла, которые можно нс.пользовать впоследствии
как для создания LiveDVD, щк и для создания LiveUSB. Созданный файл
(файлы) будет сохранен в каталоге /home/partimag (рис. 6.23).
На рис. 6.24 показан процесс создания LiveCD, а из рис. 6.25 видно, что этот про
цесс удачно завершен.
Hhich type of flle for recovery Clonezilla 11ve уо0
t fo createi Choo� the flle type
zip Create а zip file for usв flash orive use
bpth Create both•iso and zip fileэ for CD/D\ID a�d usв flash drive use
Рис. 6.22. Выбор режима команды recovery-iso-zip
c1one2i11a - opensource C1one Sgstem tDCS) 1 �ode: recovery-iso-ziP
rlhich type of file for recovery Clonezilla live you want to :create? Chooie the f ile type
zip Lreate а zip file for USB flash drive use
both Create both iso and zip files for CD/DVD and,USB flash drive use
Рис. 6.23. Созданный файл будет сохранен в каталоге /home/partimag
Вот и все! Как видите,. это весьма просто. Программа работает с устройствами
(дисками, разделами) напрямую, поэтому при создании/восстановлении образа все
равно, под какой операционной системой работает компьютер.
Если у вас есть необходимость в серверной версии (Clonezilla Server Edition), найти
руководство по ее использованию вы можете по адресу: http://clonezilla.org/
clonezilla-server-edition/.
Управление информационной системой
Рис. 6.24. Процесс создания LiveCD
Рис. 6.25. LiveCD создан, нажмите клавишу для продолжения
289
Глава 6
290
Подготовка программ для «тихой)) установки
При установке прикладных программ часто приходится вводить много от13етов,
указывая путь установки, состав выбранных функций и т. п. Необходимость таких
операций, с одной стороны, снижает скорость установки программного обеспе
чения, а с другой - усложняет выполнение операций установки в автоматическом
режиме.
ПРИМЕЧАНИЕ
Для «тихой)) установки сnедует использовать корпоративные версии· программ. Если
программа требует, например, ввода индивидуального серийного номера, то такие
действия крайне сnожно автоматизировать.
Существуют разные способы подготовки программ к установке без запросов
к пользователю.
Файль1 ответов (трансформаций)
Программные пакеть1 часто включают возможности создания специальных файлов
ответов, которые могут быть использованы при их установке. Например, это уста
новка самой операционной системы (рис. 6.26), установка программ Microsoft
Office и аналогичных. Загрузить пакет Windows ADK можно по адресу: https://
docs.microsoft.com/ru-ru/windows-hardware/get-started/adk-install. На рис. 6.27
показана его установка в Windows 1 О.
1
.dt) Windows Synem lmage Manager
Файл
Рис. 6.26. Программа формирования файла ответов
для автоматизированной установки операционной системы
х
Управление информационной системой
291
fl Комплект средств для развертывания и оценки Windows • Windows 10
х
Выберите компоненты, которые вы хотите установить
)
Щелкните имя компонента для получения дополнителы1ых сведений.
0 П- Application CompatiЬility Tools
Пакет Application Compatibllity Tools
� средств развер,ъ,вания
Размер: 7,7 МБ
� Конструкrор конфиrурации и обрабоnс,, изображ,,ниi
Средство для устранения проблем с совместимостью.
� Констру,стор конфиrураций
� СР"дСТВО миграции пользоватепьаой среды (Usмn
О СР"дСТВО аостивации корпоративных лицензий (VAMn
� Набор средств для оценки проиэеодитепьности Windt
Включает следующие компоненты:
• CompatiЬility Administrator
• Standard User Ana\yzeг (SUA)
� Ген�тор шаблонов виртуализаЦИи взаимодействия
� Microsoft Application Virtualization (App-V) Sequencer
� СР"дСТВD Microsoft Application Virtualization (App-V) А!
О Meroperty
_E8'1f28f_A443_.t61),4_9006_-48л>s1sдl3E7,uninshll
_DA690884_D8DS_47A.1_8SF2,_l�uninst.a.Sd:Pro,trty
_DA690884_oeDS_47A1_8Sfl_1�fIA.unwt.it
_CDдВ7061_E7U_..a8_!9l3_1.21�unind.Jl.иtP,opety
__CDA8706I_E113_.U:18_8923_1l1�unimttl
Unpt.A)ltShCompontnn
(tIOТRft.IO\'[)ANO�A9f1C.83,tS1Ftetfl!КAЯ>O
(№Т REМOVE}ANOS(_9RVDЦ80C7A9F1�S1f8бE69CAЯ>O
((R[М()Vf::-"дU") AND (НОТ UPGRAOINGPROOUCТCOO()) А№ i,_
((REМ(М:o:�AL.L") ANO(НOТUPGRADINGPltOOUCТCOOE)) А№S.м
(UPGRADtNGPROOUCТCOD{)ANOSC_6'4601C9S2AC681222SI07-.
(UPGRAOtNGPROOOCТCOO() ANOSC_6> установки обычно имеют ключи командной
строки, позволяющие выполнить установку в таком именно режиме с настройками
установки по умолчанию. К сожалению, синтаксис командных строк инсталляторов
различных разработчиков отличается друг от друга.
Управление информационной системой
293
ПРИМЕЧАНИЕ
Если в процессе установки с выбранным ключом возникла ситуация, требующая вве
дения пользователем дополнительной информации, то программа покажет соответствующее диалоговое окно.
Стандартным для установочных файлов программ Windows является формат
MSI - он подробно описан разработчиком и фактически является открытым стан
дартом. Для файлов в таком формате предусмотрен ключ «тихой» установки /q.
При этом следует использовать следующий синтаксис запуска (в примере также
использован ключ /n, наличие которого позволяет выполнить установку скрыто,
без интерфейса пользователя):
msiexec /i /qn
Если стандартный МSI-дистрибутив запускается файлом setup.exe, то следует ис
пользовать такую строку:
setup.exe /s /v"/qn"
Дистрибутивы, подготовленные с помощью популярного продукта Instal\Shield,
имеют ключ «тихой» установки /s. «Тихая» установка требует наличия файла отве
тов. Если он отсутствует в составе дистрибутива, то пользователь может создать
его самостоятельно, записав свои действия в качестве варианта ответов во время
тестовой установки продукта. Для этого · необходимо использовать режим записи
ответов с ключом / r:
setup.exe /r /fl
ПРИМЕЧАНИЕ
Ключ /fl в командной строке можно не указывать. В этом случае файл ответов будет
записан по умолчанию в папку Windows и будет иметь имя setup.iss.
По умолчанию файл ответов должен иметь имя setup.iss и располагаться в той же
папке, что и setup.exe. Если вы не используете для файла ответов имя по умолча
нию, то его имя при запуске «тихой» установки (с ключом /s) необходимо указать
с ключом /fl.
-ПРИМЕЧАНИЕ
Программа инсталлятора может закрыться раньше, чем установка продукта будет
полностью завершена. Если вы используете последовательность сценариев установ
ки, то это может привести к ошибке их выполнения. В такой ситуации следует доба
вить ключ / sms, который заставляет программу инсталлятора ждать полного оконча
ния установки продукта.
В последнее время приобрели популярность дистрибутивы PackageForTheWeb
(PFTW). Эти пакеть1 представляют собой один самораспаковывающийся файл, ко
торый после разархивирования автоматически запускает программу setup.exe, со
держащуюся в этом архиве. Дистрибутивы PFTW допускают использование двух
ключей. Ключ /s осуществляет «тихое» разворачивание дистрибутива, а КJ'Jюч /а
передает последующие ключи программе setup.exe. Например, вы можете использо
вать запуск PFTW с ключами /s /а /r для того, чтобы создать файл ответов.
Глава 6
294
ПРИМЕЧАНИЕ
Большая база рекомендаций по развертыванию популярных продуктов (возможные
ключи запуска и трансформаций, советы по переупаковке и т. д.) доступна на сайте
AppDeploy: http://www.appdeploy.com/�ackages/index.asp.
Переупаковка
Если в программе не предусмотрен вариант «тихой)) установки, то администратор
имеет все же возможность настроить продукт для установки без запросов. Для это
го используется технология переупаковки (repackages).
Технология переупаковки заключается в том, что специальная программа контро
лирует изменения, вносимые установкой на тестовый компьютер: следит за изме
нениями файловой системы, ветвями реестра, другими параметрами. После чеrр
сравнивается состояние системы до установки программы и после. Все обнаружен
ные различия анализируются, и создается новая программа установки.
Существует и вторая технология, используемая для переупаковки. Это мониторинг
процесса инсталляции. Специальная программа следит за всеми действиями про
цесса установки - например, ею будет замечено любое обращение к реестру сис
темы с целью проверки существования какого-либо параметра. Мониторинг позво
ляет создать более точный файл переупаковки, но эта технология включается толь
ко в коммерческие версии программ.
Не все дистрибутивы допускают переупаковку. Во-первых, нельзя переупаковывать
сервис-паки (service pack), «горячие заплаткю) и другие продукты, вносящие изме
нения в операционную систему (например, DirectX). Такие программы могут вы
полнять специальные процедуры - например, прямое редактирование двоичных
файлов, которые не могут быть верно воспроизведены процедурой переупаковки.
Во-вторых, переупаковка продуктов, устанавливающих драйверы устройств, сете
вые протоколы и другие системные агенты, часто не приводит к успеху. В-третьих,
переупакованный дистрибутив не сможет заменить файлы, защищаемые техноло
гией Windows File Protection. Такие изменения разрешены только для программ из
готовителя операционной системы.
Переупаковка весьма просто реализуется при помощи бесплатных утилит. В этом
процессе от администратора требуется меньшее вмешательство: достаточно про
контролировать зафиксированный перечень изменений и отказаться от шагов,
которые могли быть вызваны фоновой активностью системы. На рис. 6.29 пока
зано окно одной из таких программ. - Advanced Repackager (https://www.
advancedinstaller.com/repackager.html).
Переупаковка позволяет включить в один дистрибутив несколько последовательно
устанавливаемых продуктов - достаточно запустить до второго сканирования сис
темы необходимое число программ. Кроме того,· с помощью переупаковки легко
выполнить пользовательские настройки. Для этого нужно до начала анализа запус
тить на тестовом компьютере установленную программу, настроить ее и сохранить
изменения. Все эти изменения войдут в переупакованный дистрибутив.
Управление информационной системой
295
о
;2: COnfiguration мanagtr
Start Start in
Locol VM•
S.can Configura.tion
Yptu,t-
Stsslon
х
------------------------�,
1 Proptrtits
• Нiltory
Packages
Setц,Poth:
1 D:'/'adc;oges\7%1805.e""
CommonciLne:
Additional pod0\les
Name:
7-lip
:==============:
�--------------�
v..--:
1 JJl.5.0,0
l'\.blish,,:
1 Igor Povlov
Рис. 6.29. Программа Advanced Repackager
Административная установка
На предприятиях часто используют административную установку. Администра
тивная установка подразумевает перенос дистрибутивных файлов продукта в ка
кую-либо сетевую папку с одновременоым воесением настроек, специфичных для
того или иного предприятия. Так, многие программы имеют функцию установки
отдельных компонентов «по требованию)) (при первом обращении). Вы можете
включить в административную установку указание на несколько сетевых путей, где
будут храниться файлы дистрибутива. В результате при попытке добавления ком
понента инсталлятор проверит несколько сетевых папок и не сообщит об ошибке,
если одна из них недоступна в текущий момент. Вы также можете включить в ус
тановку, например, указание параметров подключения почтового клиента к серверу
Exchange. Таким образом, пользователи, первый раз запускающие Outlook, авто�а
тически увидят свой почтовый ящик без, необходимости промежуrочных шагов настройки подключения.
Административная установка выполняется с помощью ключа /а. При этом следует
применять файлы трансформаций.
Глава 6
296
Развертывание программы в Active Directory
Развертывание - это процесс централизованной установки программы на все ком
пьютеры домена Active Directory или на какую-то часть этих компьютеров (напри
мер, на компьютеры определенного организационного подразделения).
Рассмотрим процесс развертывания программы с помощью Active Directory. Преж
де всего нужно создать папку для развертывания проtраммного обеспечения (тео
ретически папку можно создать на любом компьютере домена, но мы ее создадим
на контроллере домена). Она будет содержать все МSI-пакеты, развертывания
которых нужно выполнить, и соответствующие файлы трансформаций. Создавать
отдельную папку для каждой устанавливаемой программы не требуется.
Пусть это будет папка C:\lnstall. В ней создайте подпапку с названием устанавливае
мой программы. В нее нужно поместить установочный МSI-файл и МSТ-файл
трансформации (например, csfirewall.msi и csfirewall.mst), который вы создали, исполь
зуя инструкции, приведенные ранее в разд. «Файлы ответов (трансформаций)».
К папке C:\lnstall надо предоставить общий доступ. Для этого щелкните правой
кнопкой мыши на папке и выберите команду Свойства. На вкладке Доступ нажми
те кнопку Общий доступ и предоставьте доступ на чтение и запись администрато
ру и доступ только на чтение всем остальным пользователям сети.
Затем запустите редактор групповой политики gpmc.msc. Мы предполагаем, что
программу нужно установить на все компьютеры сети. Поэтому щелкните правой
кнопкой мыши на домене и выберите команду Создать объект групповой поли
тики в этом домене и связать его (рис. 6.30). Если ПО нужно установить только
о
i
11
fil
TI
&
r.
е
il
� YnpaвJ1et1иe rpynnoвOМ nо11мтиwй
v Д Лес exampl�com
v ;jiдомены
Соэдание обыкtа rpynnoiюй ло11итмки и сея,ь ero с »нным конrейнероw
,.,,.,......,._,
Событ�
Рис. 6.30. Редактор групповой политики
События
297
Управление информационной системой
на контроллерах домена, вы можете щелкнуть правой кнопкой мыши на объекте
групповой политики (GPO) Default Domain Controller Policy - далее, как обычно.
ПРИМЕЧАНИЕ
Иллюстрации для этого раздела созданы в Microsoft Windows Server 2019, но все при
веденные инструкции будут работать и в других версиях (Microsoft Windows Server
2012/2016)- возможно, вы увидите незначительные отличия в иллюстрациях.
Дайте название новому объекту групповой политики - можно использовать назва
ние устанавливаемой программы (рис. 6.31 ).
х
Новый объект групповой политики
jcs_Firewal�
�одНЫЙ О!SЪект rpynnoВOй полктикм:
l[0�......J
м,•:--,
.___ок
____,_
Рис. 8.31. Соэдание нового объекта GPO
В разделе Фильтры безопасности удалите группу Прошедшие проверку и до
бавьте компьютеры, группы и пользователей, к которым будут применены пара
метры созданного объекта групповой политики (рис. 6.32). Другими словами,
добавьте компьютеры, на которые должна быть установлена программа.
Щелкните правой кнопкой мыши на только что созданном GPO и выберите коман
ду Иэмеввть. Перейдите в раздел Конфигурация пользователя I Политики 1
Конфигурация программ I Установка программ (рис. 6.33).
Щелкните правой кнопкой мыши на разделе Установка программ и выберите ко
манду Создать I Пакет. В открывшемся окне выберите путь к МSI-файлу програм
мы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, посколь
ку пользователи будут получать доступ к пакету по сети.
Следующий шаг - выбор метода разверть1вания. Поскольку мы хотим предоста
вить файл трансформации (МSТ-файл, созданный ранее), то нужно выбрать особый
метод развертывания (рис. 6.34). В результате откроется окно настройки пакета
разверть1вания. Перейдите в нем на вкладку Модификации, нажмите кнопку
Добавить и выберите МSТ-файл трансформации (рис. 6.35). Нажмите кнопку ОК.
ПРИМЕЧАНИЕ
После нажатия кнопки ОК пакет и файл трансформации (файлы *.msi и *.mst соответ
ственно) будут прокэшированы. Если вам понадобится изменить файл трансформа
ции после создания пакета, то придется создавать пакет развертывания заново.
На этом работа с редактором групповой политики завершена. Закройте все окна,
откройте кома�щную строку (или хотя бы окно Выполнить, нажав комбинацию
клавиш +) и введите команду:
gpupdate /force
Глава б
298
о
Jj Управление групповой политикой
)& !!!айл
Действие В.ид
Qкно !:правка
+ о+ 1 �ti6JIJC loi l 61!1
� Управление групповой политикой
v Д Лес example.com
i&' Моделирование групповой полити ' Фм.nьтрw безОmк:мос:тм
Параметры д енного Объекта групповой политики nриf"'\еняюта. толыФ для
� Результаты групповой политики
1
следующих групп. пользователей и компыотеров:
, 11:: :�--.·:: 1 1 •: ::�r·x:: �
Рис. 6.32. Созданный объект GPO
о
JJJ Редаостор управления групповыми политиками
!!!айл
v r.J:J Политики
v .:; Конфиrурация программ
� Установка ПJ>ОГJМММ
> � Конфиrурация Windows
> [;) Административные шаблоны: пс
> с:.1 Настройка
) 1 • В ней вы найдете все необходимые знания для
реализации этого решения.,
Конечно, необязательно подобное решение писать на РНР. Можно использовать и
другие языки программирования - например, Python. Но одно из преимущщ:тв
РНР в случае, если на вашем предприятии эксплуатируется сервер баз данных, наличие модулей поддержки различных СУБД: от MySQL до Oracle.
1 См. https://bhv.ru/product/php-5-6-i-mysql-6-razrabotka-web-prilozhenij-3-e-izd/.
Глава 7
302
Мониторинг с использованием агентов
Этот способ заключается в следующем: на каждую машину устанавливается про
грамма-агент, которая выполняет проверки по заданному графику (график или
задается вручную при настройке клиента, или поступает с сервера мониторинга).
Результаты проверки передаются на сервер мониторинга. Далее администратор,
используя панель управления системы мониторинга, контролирует состояние тех
или иных узлов сети.
Преимущество такого способа контроля заключается в том, что наблюдению дос
тупны практически любые параметры, как оборудования, так и программной сре
ды. Недостатки - необходимость -предварительной установки агентов и затраты
производительности на их исполнение (эта производительность отнимается от ос
новных задач, для которых и установлен сервер). В зависимости от числа проверок,
их частоты, производительности контролируемой системы и т. п. накладные затра
ты могут достигать величины 3-5% и более.
Из бесплатных ОрепSоurсе-решений можно порекомендовать систему мониторинга
Zabbix (http://www.zabbix.com/ru/). Ее сервер мониторинга работает под управле
нием Linux, а вот агенты имеются для всех платформ, кроме rnacOS: Windows,
Linux, FreeBSD, OpenBSD, Solaris, НР-UХ, AIX и др. На рис. 7.1 показана панель
управления Zabblx.
HelplGltЩ)l)Oft1PnМ.IPmlll81LoQol.A
��llrunnlng
"'
№n'IOlroftloltS(montм,d/,-X.��} 85
◄?/0/)S
NumЬerofьmt(mcll'liЮNd/diМЬledlnot�
491/0/9
502
_.,._. 2,а Жyptw,... n�,.
(1Г'�
х
""°"'"
д.т•м�w-"
.Z1.04..201817:S1:-43
.....
о
Miaoюft Windows ,кur/ty_
ееы
l1.G4.201817:H-+4
l1D4.201817:З3:-?г::.:1.:1. :
E-:I
--=-81(•:
[1r":'п·1
,:1, 1-:!1Э(,(::ii:)1:1,.: :-1C 8 Сервер
О Осrавшийся ресурс накоnите11я: 99 %
> .. Отображение
) • Му11ь,имед.иа
О Запкс.ано я ecl времА: N/A
V
Хранение данных
� Хранение данных Wif'\ О Общее время ра6о,ы: 58 дн.
11
Логические диски
- Физические яиски
Оnтицеские накопите.
�ASPI
_, АТА
Worst (наихудшее)- наихудшее значение, которого достигало значение Value
за всю жизнь винчестера. Измеряется тоже в условных единицах. В процессе ра
боты оно может уменьшаться либо оставаться неизменным. По нему тоже нель
зя однозначно судить о «здоровье» атрибута - нужно сравнивать его с Тhre
shold;
Threshold (порог)- значение в (сюрприз!) условных единицах, которого долж
но достигнуть значение Value этого же атрибута, чтобы состояние атрибута бы
ло признано критическим. Проще говоря, Threshold - это пороговое значение:
если Value больше Threshold - атрибут в порядке, если меньше либо равен с атрибутом проблемы. Именно по такому критерию утилиты, читающие
S.M.A.R.T., выдают отчет о состоянии диска либо отдельного атрибута вроде
«Good» или «Bad».
При этом они не учитывают, что даже при Value, большем Threshold, диск на
самом деле уже может быть умирающим с точки зрения_ пользователя, а то и во
все «ходячим мертвецом», поэтому при оценке «здоровья» диска смотреть стоит
все-таки на другой класс атрибута, а именно - на RAW. Однако именно значе
ние Value, опустившееся ниже Threshold, может стать легитимным поводом для
замены диска по гарантии (для самих гарантийщиков, конечно же) - кто же яс�
нее скажет о «здоровье» диска, как не он сам, демонстрируя текущее значение
атрибута хуже критического порога? То есть при значении Value, большем
Threshold, сам диск считает, что атрибут «здоров», а при меньшем либо рав
ном - что «болен». Очевидно, что при Threshold = О состояние атрибута не бу-
Мониторинг информационной системы
□
337
дет признано критическим никогда. Следует учесть при этом, что Threshold постоянный параметр, зашитый в диск производителем;
RAW (Data) - самый интересный, важный и нужный для оценки показатель.
В большинстве случаев он содержит в себе не условные единицы, а реальные
значения, выражаемые в различных единицах измерения и напрямую говорящие
о текущем состоянии диска. Основываясь именно на этом показателе, формиру
ется значение Value (а вот по какому алгоритму оно формируется - это уже
тайна производителя, покрытая мраком). Именно умение читать и анализировать
поле RAW дает возможность объективно оценить состояние винчестера.
В табл. 7 .2 приведены сами атрибуты.
Таблица 7.2. Атрибуты самодиагностики
Название (ID)
Описание
01 (01) Raw Read Error
Rate
Частота ошибок при чтени!II данных с диска, происхождение которых обусловлено аппаратной частью диска. Для всех дисков
Seagate, Samsung (семейства F1 и более новых) и Fujitsu 2,5"
это - число внутренних коррекций данных, проведенных
до выдачи в интерфейс, следовательно, на пугающе огромные
цифры можно реагировать спокойно
02 (02) Throughput
Performance
Общая производительность диска. Если значение атрибута
уменьшается, то велика вероятность, что с диском есть проблемы
03 (03) Spin-Up Time
Время раскрутки пакета дисков из состояния покоя до рабочей
скорости. Растет при износе механики (повышенное трение
в подшипнике и т: п.), также может свидетельствовать о некачественном питани� (например, просадке напряжения при старте
диска)
04 (04) Star1/Stop Count
Полное число цr.�клов запуск/остановка шпинделя. У дисков некоторых производителей (например, Seagate) - счетчик включения
режима энергосбережения. В поле гаw value хранится общее
количество запусков/остановок диска
05 (05) Reallocated Sectoгs
Count
Число операций переназначения секторов. Когда диск обнаруживает ошибку чтения/записи, он помечает сектор «переназначенным» и переносит данные в специально отведенную резервную
область. Вот почему на современных жестких дисках нельзя увидеть Ьаd-блоки - все они спрятаны в переназначенных секторах.
Этот процесс называется· remapping (ремаппинг), а перенаэначенный сектор - геmар. Чем больше значение, тем хуже состояние поверхности дисков. Поле raw value содержит общее количество переназначенных секторов. Рост значения этого атрибута
может свидетельствовать об ухудшении состояния поверхности
блинов диска
06 (06) Read Channel
Margin
Запас канала чтения. Назначение этого атрибута не документировано. В современных накопителях не используется
07 (07) Seek Error Rate
Частота ошибок при позиционировании блока магнитных головок.
Чем их больше, тем хуже состояние механики и/или поверхности
жесткого диска. Также на значение параметра может повлиять
перегрев и внешние вибрации (например, от соседних дисков
в корзине)
338
Глава 7
Таблица 7.2 (продолжение)
Название (ID)
Описание
08 (08) Seek Time
Perfom,ance
Средняя производительность операции позиционирования
магнитными головками.' Если значение атрибута уменьшается
(замедление позициониревания), то велика вероятность проблем
с механической частью привода головок
09 (09) Power-On Hours
(РОН)
Число часов (минут, секунд - в зависимости от производителя),
проведенных во включенном состоянии. В качестве порогового
значения для него выбирается паспортное время наработки на
отказ (MTBF, mean time between failure). Для многих современных
дисков, в том·числе WD; в качестве порога задано значение О,
поскольку значение MTBF не регламентируется производителем
'
1О (Од) Spin-Up Retry Count
Число повторных попыток раскрутки дисков до рабочей скорости
в случае, если первая попытка была неудачной. Если значение
атрибута увеличивается, то велика вероятность неполадок
с механической частью
1 � (08) Recalibration Retries
Количество повторов запросов рекалибровки в случае, если первая попытка была неудачной. Если значение атрибута увеличивается, то велика вероятность проблем с механической частью
12 (ОС) Device Power Cycle
Count
Количество полных циклов включения/выключения диска
13 (0D) Soft Read Еггог
Rate
Число ошибок при чтении по вине программного обеспечения,
которые не поддались исправлению. Все ошибки имеют немеханическую природу и указывают лишь на неправильную разметку/взаимодействие с диском программ или операционной системы
180 (84) Unused Reserved
Block Count Total
Количество резервных секторов, доступных для ремаппинга
183 (87) SATA Downshift
Еггог Count
Содержит количество неудачных попыток понижения режима
SATA. Суть в том, '-А"О винчестер, работающий в режимах SATA
3 или 6 Гбит/с (и что там дальше буАет в будущем), по какой-то
причине (например, из-за ошибок) может попытаться «договориться>> с дисковым контроллером о менее скоростном режиме
(например, SATA 1,5 и:Пи З Гбит/с соответственно). В случае
«отказа» контроллера изменять режим диск увеличивает
значение атрибута (Western Digital и. Samsung)
184 (88) End-to-End error
Этот атрибут - часть технологии НР SMART IV и означает,
что после передачи через кэш памяти буфера данных паритета
данных между хостом и жестким диском нет
185 (89) Head Stabllity
Стабильность головок (Westem Digital)
187 (88) Reported UNC
Errors
Ошибки, которые не могли бьггь восстановлены использованием
методов устранения ошибки аппаратными средствами
188 (ВС) Command Timeout
Содержит количество операций, выполнение которых было
отменено из-за превышения максимально допустимого времени
ожидания отклика. Такие ошибки могут возникать из-за плохого
качества кабелей, контактов, используемых переходников,
удлинителей и т. п., несовместимости диска с конкретным
контроллером SATA/PATA на материнской плате и т. д.
Из-за ошибок такого рода возможны BSOD (синий экран)
в Windows. Ненулевое значение атрибута говорит
о потенциальной «болезни» диска
339
Мониторинг информационной системы
Таблица 7.2 (продолжение)
Название (ID)
Описание
189 (BD) High Fly Writes
Содержит количество зафиксированных случаев записи при
высоте IЙ ПК, у вас ничего
не выйдет.
Гипервизоры также часто бывают ограничены по типам гостевых ОС. Например,
Hyper-V практически не поддерживает Linux. Если вам нужно работать с виртуаль
ными Liпuх-сервера:Ми, то лучше выбрать KVM, ОрепVZ, Oracle VirtualВox или
XenServer. Получить виртуальные macOS лучше всего с помощью сервера VMware.
Сегодня можно выделить четыре самые популярные решения: VMware vSphere,
Microsoft Hyper-V, KVM и OpenVZ. Первое- это, как уже бьmо отмечено ранее,
коммерческое решение от VMware. На рис. 8.1 показана логическая организация
сети с использованием решений VMware vSphere. Решение от Microsoft (кстати,
оно бесплатное) лучше всего подойдет, если вам нужны виртуальные Windows
cиcтeмы. Последние два решения - это ОрепSоurсе-решения, с помощью которых
лучше всего виртуализировать Linux.
Если вам нужно решение виртуализации для рабочей станции, то ничего лучше
VMware Workstation еще не придумали. Это проверенное годами и отлично рабо-
344
Глава В
тающее решение. Конечно, если требуется решение бесплатное, то можно посмот
реть и в сторону Oracle VirtualBox.
Гипервизоры различаются по типу установки на компьютер. Одни устанавливаются
непосредственно на него в качестве основной операционной системы - это, на
пример, XenServer и VMware ESXi vSphere. Другие интегрируются в уже сущест
вующую ОС- это, например, КУМ, Hyper-V, OpenVZ, VMware Workstation,
Oracle VirtualBox .
•••
•••
•
••• ••• 1 •
'
.
VMvюre ,Spf,.,.e Fssenlюls Plus
"
VMware vSpJ-,e,e Esser>tюls Plus
--------- - ------------------- '--- --
1GB s,mt++ в консоли управления обычно используется
++. Впрочем, эту команду, как правило, вызывают из меню управ
ления. Переключение между режимами отображения виртуальной машины в окне и
в полном экране осуществляется по нажатию правой клавиши и .
До установки расширений при щелчке мышью внутри окна· виртуальной машины
курсор мыши начинает перемещаться только в пределах виртуальной машины.
Чтобы освободить курсор от какого-либо захвата, по умолчанию используется пра
вая клавиша .
Особенности выключения виртуальных машин
Существует несколько возможностей выключения виртуальной машины. Во-пер
вых, можно завершить работу, выключив виртуальную машину с сохранением дан
ных при помощи ее внутренней команды Завершить работу. Во-вторых, можно
сохранить состояние виртуальной машины из консоли управления гипервизора.
В этом случае ее работа как бы «заморозитсю>, и после восстановления вы сможете
продолжить операции. Такой способ напоминает переход в режим «сна»
(hybemate). В-третьих, можно просто «выключиты> питание виртуальной машины,
выполнив команду turn off. Однако при последующем запуске может обнаружить
ся потеря несохраненной информации.
1 Приведенные здесь примеры относятся к MS Virtual РС.
Виртуализация и облачные технологии
359
Если на вашем компьютере размещено несколько виртуальных машин, причем
часть из них настроена на авт�матический запуск при включении питания, то при
выключении хостщюй системы осуществляется сохранение состояния виртуальных
машин. Этот процесс может существенно затянуться, если система будет сохранять
много информации. В результате основная операционная система воспримет такую
ситуацию как зависание прикладной программы с отсутствием ответа в течение
заданного промежутка времени. Тогда виртуальная машина будет аварийно завер
шена, что может вызвать проблемы при ее следующей загрузке. Чтобы зарезерви
ровать время на сохранение параметров виртуальных машин в случае перезагрузки
хостовой системы, измените значение параметра реестра:
WaitToKillServiceTimeout
в ветви:
HKLМ\SYSTEМ\CurrentControlSet\Control\
установив необходимое время ожидания.
ВНИМАНИЕ/
На некоторых облачных -платформах необходимо двойное выключение виртуальной
машины: сначала нужно выключить виртуальную машину средствами операционной
системы (т. е. использовать команду shutdown или средства графического интерфей
са пользователя), а затем нажать кнопку Выключить в панели управления виртуаль
ной машиной. Если просто выключить «виртуалку)), но не сообщить об этом панеnи
управления, то за якобы использование виртуальной машины будут продолжать на
числяться деньги. Если же нажать кнопку Выключить без предварительного выклю
чения ее средствами ОС, то есть риск потери обрабатываемых данных.
Виртуальные рабочие станции
Развитие технологий виртуализации позволило применить эти решения не только
для серверов, но и для пользовательских рабочих станций (так называемые desktop
peшeнuя). Технологии виртуализации рабочих станций получили название VDI
(Virtual Desktop Interface).
Сравниваем VDl-решения
с терминальными клиентами
..
VDI-решения во многом напоминают терминальные подключения пользователей.
Поэтому следующие основные преимущества терминало� свойственны и виртуаль
·ным рабочим столам:
□ VDI-решения существенно снижают затраты на администрирование, поскольку
вместо нескольких десятков рабочих станций работать приходится с нескольки
ми серверами;
□ конфигурации систем унифицированы, любые обновления выполняются быст
рее и проще;
360
□
□
Глава В
сокращаются суммарные затраты на электроэнерппо, оборудование использует
ся более эффективно;
все данные обрабатываются на сервере, и их легко защитить как для случая
работы внутри локального сегмента, так и при доступе из публичной сети.
Так же как и у терминальных клиентов, у пользователей виртуальных рабочих сто
лов могут возникнуть следующие сложности:
□
□
невозможность использования функций аппаратных ускорителей (обработки
графики на современных видеокартах, модулей аппаратного шифрования
и т. п.);
проблемы с использованием USВ-устройств: видеокамер, сканеров, смарткарт
и т. п.). Лучше использовать принтеры, имеющие сетевой (Ethemet) порт под
ключения.
При этом у пользователей виртуальных рабочих столов есть, на взгляд авторов,
только одно, но весьма существенное преимущество. Каждый пользователь полу
чает собственный виртуальный компьютер, который может быть настроен только
для него и при этом совершенно не будет мешать другим сотрудникам. На вирту
альный компьютер можно поставить любое необходимое программное обеспече
ние, что практически нереализуемо в условиях жестких настроек терминального
сервера.
Немного об экономике VDI
Как и в любом ИТ-проекте, желательно сначала оценить, сколько будет стоить вне
дряемое решение и какую экономию (или убыток) оно принесет. Для сравнения
приведем параметры, на которые ориентируются западные менеджеры и результа
ты расчета по которым приводятся на наших семинарах (табл. 8.3).
Как видно из данных табл. 8.3, экономия от внедрения решений VDI может быть
достигнута только за счет разницы в стоимости рабочих станций и затрат на их об
служивание (электропитание, стоимость ремонта и т. п.). Поэтому экономически
эффективным VDI-решение будет только при существенном числе рабочих стан
ций и учете, например, не менее 3-летнего периода эксплуатации. Так, калькулятор
эффективности от Oracle- Oracle Desktop Virtualization ТСО Calculator1 - уста
навливает минимальную границу числа рабочих станций в 25 единиц.
Таблица 8.3. Показатели экономической эффективности технологии VDI
Параметр
Эффект
Примечание
Стоимость приобретаемого ПО (серверной и клиентских
лицензий)
Затраты
Сумма варьируется для решений различных
вендоров. Стоимость клиентских лицензий
обычно составляет 100-150 $
1 См. http://www.oracle.com/us/media/ca\culator/vm/vm-home-2132015.html.
361
Виртуализация и облачные технологии
Таблица 8.3 (окончание)
Параметр
Эффект
Примечание
Стоимость рабочей
станции
Экономия (эависит от периода
использования)
В качестве рабочих станций можно использовать
упрощенные варианты («тонкие» клиенты и т. п.).
Возможен отказ от приобретения индивидуальных
источников аварийного питания. Кроме того,
необходимо учесть разницу в ежегодных расходах на обслуживание (составляет примерно
от 5 до 10% от стоимости станций)
Стоимость
электропитания
Экономия (эависит от периода
использования)
Экономия на электроснабжении рабочей станции
(меньшая мощность), затраты на электропитание
серверов, систем хранения
Стоимость оборудования: серверы, ОХД,
фермы
Затраты
Минимально от одного сервера и системы хранения, оптимально - отказоустойчивые решения
с выделенными серверами управления, обеспечения доступа из Интернета и т. п.
Структура VDl-peweний
VDI-решения объединяют различные элеме1пы ИТ-струк,уры предприятия (рис. 8.3).
Так, из службы каталогов берется информация о пользователях и группах. Напри
мер, некоторой группе пользователей можно поставить в соответствие определен
ный шаблон виртуального рабочего стола - в результате новому пользователю
будет автоматически предоставляться конфигурация компьютера в соответствии
с его функциональными обязанностями.
'
Сервер управления VDI
Да�ные
(SQL-cepвep)
·
Данные
(виртуальные диски
на системе хранения)
Каталог
(Mlctosofr AD, LDAP, ...)
"
•
Гипер_визооы
(Microso� Hyper-V, Oracle;
VMware ESX, ...)
Рис. 8.3. Логическая структура VDl-решения
Программное обеспечение VDI может обеспечивать подкточение (управлять)
к виртуальным рабочим столам различных гипервизоров или к сессиям терминаль
ных серверов.
Поскольку VDI-решения обслуживают большое количество рабочих столов, то они
должны быть весьма надежными. Поэтому в производственной среде следует 'реа
лизовывать отказоустойчивые решения: наряду с основным сервером управления
Глава В
362
необходимо предусматривать резервные (один или несколько), нужно установить
несколько серверов, на которых будут запускаться виртуальные рабочие столы,
выбрать надежную систему хранения, построить резервированную сеть передачи
данных (рис. 8.4).
Сервер управления VDI (Основной)
Сервер управления VDI (Резервный N)
Сервер управления VDI (Резервный 1)
Сетевые коммутаторы
"!
!
1
1
1
1
1
i
1
1
1
1
Системы хранения данных
Каналы FC или iSCSI
Рис. 8.4. Вариант аппаратной реализации VDl-решения
Некоторые особенности VDl-решений
VDI-решения обычно настраиваются на автоматическое создание виртуальных ра
бочих столов. Для этого администратором предварительно создаются шаблоны
различной конфигурации, которые ставятся в соответствие группам пользователей
из службы каталогов предприятия. При попытке подключения нового пользователя
ПО предоставляет ему виртуальный рабочий стол, сформированный по соответст
вующему шаблону (для повышения производительности по шаблонам предвари
тельно создается некоторое количество рабочих столов, которые находятся в неак
тивном состоянии). После отключения пользователя виртуальная машина, в зави
симости от настроек, может сохраняться или уничтожаться для высвобождения
ресурсов.
Поскольку однотипные конфигурации содержат значительное количество одинако
вой информации на дисках и в памяти системы, то ПО VDI позволяет настроить
совместное использование таких ресурсов.
Для подключения к VDI на рабочие места устанавливается клиентское ПО. При
этом подключение к различным конфигурациям (различным виртуальным рабочим
столам или терминальн_ым сессиям) осуществляется через одну точку. Если пользо
вателю разрешено подключение к нескольким рабочим столам/конфигурациям, то
право соответствующего выбора· предоставляется на экране подключения к VDI.
Виртуализация и облачные технологии
363
KVM и OpenVZ
Разница между KVM и OpenVZ
В Linux поддерживаются две технологии виртуализации на уровне ядра: КУМ
(Kernel Virtual Machine) и OpenYZ. У каждой из этих технологиц есть свои пре
имущества и свои недостатки. При желании вы можете ознакомиться с ними в Ин
тернете, где найдете множество статей, сравнивающих эти две технологии.
Но есть между ними одно очень важное различие- это возможность «оверселить»
ресурсы OpenYZ. Слово «оверселиты> происходит от английского «oversell». Если
вы совсем не знаете английского, поясним, что это означает «продать больше, чем
было». Как такое возможно?
Рассмотрим пример. Представим, у вас есть сервер с 32 Гбайт оперативной памяти.
Вы решили, что 2 Гбайт потребуется физическому серверу, а оставшиеся 30 Гбайт
можно распределить между виртуальными машинами, - скажем, по 1 Гбайт на
каждый сервер. Вы создаете ЗО серверов, каждому из которых отводите по 1 Гбайт
оперативки. Но со временем вы обнаруживаете, что большинство серверов исполь
зуют 500---600 Мбайт оперативной памяти, а -то и меньше. Следовательно, можно
попытаться «продать» эту недобранную память. Вы делаете предположение, что
в пикимаксимальной загрузки потребление оперативной памяти составит 750 Мбайт
(не нужно забывать, что речь идет не о рабочей станции Windows, где последняя
версия Skype легко забирает 500 Мбайт ОЗУ, а о Linux-cepвepe, который весьма
скромно потребляет ресурсы компьютера). Оставшиеся от каждого сервера
250 Мбайт можно «продать» еще раз. В итоге к имеющимся 30 серверам у вас до
бавится еще 7:
250 х 30 / 1024 ::::: 7
Все это будет выглядеть как 37 серверов по I Гбайт (максимально возможное по
требление памяти), в то время как у вас есть всего 30 Гбайт доступной оперативной
памяти. Это и есть оверселлинг.
О перерасходе памяти заботиться не нужно. Даже есл)f сервер S 1 израсходует
850 Мбайт оперативной памяти, то сервер S2- всего 430. В итоге общее потреб
ление оперативной памяти составит по 640 Мбайт на сервер. Если же все-таки про
изойдет ситуация, когда серверы начнут потреблять больше памяти, чем есть на
самом деле, будет задействована подкачка. Да, это снизит производительность, но
вся информационная система останется в работоспособном состоянии.
Чтобы не попасть на оверселлинг, желающие обзавестись виртуальным сервером
(YPS) стараются приобрести КУМ-сервер. Технология КУМ жестко распределяет
ресурсы сервера, и оверселлинг здесь невозможен. Поэтому хостеры чаще предла
гают именно КУМ-серверы, поскольку желающих на такой сервер больше.
Тем не менее, если вы создаете подобную информационную систему для своего
предприятия, Open YZ позволит вам более эффективно использовать ресурсы сер
вера. Да, можно было бы и в КУМ создать 37 серверов - по 750 Мбайт оператив
ной памяти на каждый. Но тут суть в распределении ресурсов: максимальный
364
Глава В
лимит-1 Гбайт, и если серверу S23, скажем, понадобится 990 Мбайт, он в условиях
OpenVZ их получит. Произойдет это за счет сервера, который не использует много
ОЗУ,-например, за счет сервера S37, который потребляет всего 530 Мбайт. Об
щее потребление ОЗУ на два сервера не превысило 1,5 Гбайт, поэтому все в норме.
А в случае с KVM, если бы всем было жестко вьщелено по 750 Мбайт, то сер
вер S23 «ушел бы в свош>, но при этом в системе остались бы 220 Мбайт свободной
оперативной памяти, которую можно было задействовать в OpenVZ на условиях
оверселлинга.
Установка ядра OpenVZ
Теперь перейдем к настройке виртуализации. Ошппем мы ее на примере дистрибу
тива CentOS, хотя при желании вы можете использовать любой другой. Поскольку
речь идет о технологии виртуализации на уровне ядра, первым делом нужно уста
новить ядро с поддержкой OpenVZ. Конечно, такое ядро можно откомпилировать
самостоятельно, но зачем тратить на это время, если уже есть готовые ядра с под
держкой OpenVZ.
Итак, от имени пользователя root или от имени любого другого пользователя с пра
вами root введите команды:
wget -Р /etc/yurn.repos.d/ http://ftp.openvz.org/openvz.repo
rprn --i.rnport http://ftp.openvz.org/RPМ-GPG-Key-OpenVZ
yurn install vzctl vzquota ploop
reboot
Первая команда получает GРG-ключ репозитория, вторая-импортирует его, тре
тья-устанавливает необходимые пакеты, а последняя-перезагружает хост. Как
видите, все просто, и никаких танцев с бубнами, как в случае с компиляцией ядра.
Создание и запуск виртуальной машины OpenVZ
После установки OpenVZ-ядра нужно скачать шаблоны виртуальных машин. На
сайте http://openvz.org/Download/template/precreated есть множество разных
шаблонов, поэтому вам даже не придется создавать виртуальные машины само
стоятельно_ и тратить на это время. Среди шаблонов вы найдете виртуальные ма
шины или любым другим подобным;
наличие большого количества пользовательского контента - например, если
это социальная сеть;
сайт с высокой посещаемостью, с которой обычный хостинr уже не справляется,
и его нередко отключают за превышение лимита ресурсов.
Впрочем, в последнем случае сервер не всегда и нужен. Возможно, следует опти
мизировать программное обеспечение, чтобы уменьшить нагрузку на хостинr, или
попробовать перейти к другому хостеру с более «мяrкимю) лимитами.
А вот в первых трех случаях сервер нужен. Вот только заметьте, что мы пока не
говорим, какой именно. Для других вариантов проектов (четвертый случай из рас
смотренных, как уже было указано, - под вопросом) дешевле и проще приобрести
хостинr. Учитывая среднюю стоимость физического сервера, средств, потраченных
на него, хватит лет на 50 аренды хостинrа.
Виртуализация и облачные технологии
385
Если же ваш проект соответствует приведенным здесь критериям, сервер все-таки
нужен. Осталось решить, будет это физический сервер или можно обойтись вирту
альным, Для начала рассмотрим коммерческую сторону вопроса.
Стоимость физического сервера
Давайте подберем сервер средней конфигурации, который бы подошел под наши
нуждF,1. При выборе сервера ориентируйтесь на модели в стандартных корпусах 1U
или 2U, что будет полезно, если вы надумаете установить сервер в дата-центре.
Вот примерная конфигурация такого сервера:
□ Proliant DL180 Gen9 E5-2620v4 Hot Plug Rack (2U);
□ Xeon 8С 2,1 GНz (20 МЬ);
□
□
□
□
□
□
□
□
□
lxl6 Gb R1D_2400;
RАID-контроллер P440FBWC (2 Gb кэш, поддерживаемые уровни RAIDl/10/5/6);
2::), поэтому система ре
зервного питания должна быть,· пусть самая простенькая- хотя бы для защиты
от перепадов напряжения.
С последним пунктом могут быть проблемы. Серверные источники бесперебойного
питания (ИБП), способные «продержаты) сервер несколько часов, пока электропи
тание не будет восстановлено, стоят дороже, чем сам сервер. Бюджетный вари
ант- например, АРС Ьу Schneider Electric Smart-UPS XL Modular 1500 VА 230 V
Rackmount Tower, обеспечивающий всего 28 минут работы при половинной на
грузке, обойдется вам от 1100 евро. Полноценное серверное решение вроде АРС Ьу
Schneider Electric Smart-UPS SRT 8000 VA RМ 230 У стоит уже от 3200 евро.
Если позволяют условия- например, у вас собственное здание, можно попробо
вать установить дизель-генераторы _:_ это дешевле. Но в офисном центре ваши со
седи вряд ли это оценят- шум и запах никто не отменял. Про пожарные нормы
мы вообще упоминать не станем.
Выход один- колокация (colocation), т. е. размещение собственного сервера в да
та-центре (дц). Выглядит эта услуга так: вы покупаете физический сервер и пере
даете его в дата-центр, где обеспечиваются все условия для его бесперебойной ра
боты: есть резервный интернет-канал, система рt.зервного питания, ·система конди
ционирования. Стоимость размещения сервера в дата-центре Hetzner (Германия)
выше, чем стоимость аренды виртуального сервера. Самый дешевый вариант раз
мещения обойдется в 120 евро в месяц. За эти деньги вы можете арендовать вирту
альный сервер целых полгода!
С другой стороны, в отечественных дата-центрах (а вы наверняка будете размещать
сервер «дома>) - никто не станет отправлять свой сервер в другую страну) разме
щение обойдется гораздо дешевле. Так, в дата-центре Xelent 1 (Москва и Санкт
Петербург) размещение сервера стоит 3500 рублей в месяц.
Итак, если разместить свой физический сервер в ДЦ, то у вас станет гораздо мень
ше головной боли и из всех расходов останется стоимость колокации, стоимость
ПО (если нужно) и зарплата администратору. Конечно, спустя два года добавится и
1 См. https://www.xelent.ru/services/colocation/.
388
Глава В
стоимость технического обслуживания. Гарантия на узлы сервера составляет как
раз два года, а в составе сервера есть много механических частей, которые могут
выйти из строя: вентиляторы, жесткие диски и т. д. В случае с виртуальным серве
ром вам об этом заботиться не придется, впрочем, об этом мы еще поговорим.
И в результате, если не учитывать плату за программное обеспечение (ведь можно
использовать бесплатное ПО), стоимость содержания физического сервера в месяц
выглядит так:
□ 3500 рублей - услуги колокации;
□ 25 000-30 ООО рублей- минимальная зарплата администратора (конечно, эту
сумму можно не платить, если «сам себе администратор»).
Выбор облачного провайдера
Очень важно не допустить ошибку при выборе облачного провайдера. Такие ошиб
ки могут очень дорого обойтись предприятию - потраченными нервами, деньгами,
но еще хуже, если ненадежный Центр обработки данных (ЦОД) потеряет данные.
В этом случае предприятие может ожидать настоящее финансовое фиаско. Сейчас
мы рассмотрим список факторов, на которые нужно обратить внимание при выборе
облачного провайдера.
Прежде всего следует учесть три основных момента: площадка, собственно сама
услуга «облака» и поддержка.
Площадка
Самое важное - это ЦОД, где будут физически храниться ваши данные. Если вы
недосмотрите и окажется, что некоторые услуги (например, лицензия на операци
онную систему) платные, ничего страшного. Гораздо хуже, если вы выберете про
вайдера с ненадежным ЦОД.
Итак, нужно проверить:
□ сертифицирован ли ЦОД, какой уровень (Tier) надежности ему присвоен?
□ где расположен ЦОД: в России или за границей?
□ кому принадлежит ЦОД? Можно ли посмотреть, как все устроено?
□ случались ли ранее на этой площадке аварии? ·
Теперь рассмотрим все эти вопросы подробнее.
Сертификация ЦОД
Сертификация ЦОД по UТГ - это не просто бумажка. В процессе сертификации
ЦОДу присваивается определенный уровень надежности. Дополнительную инфор1 Uptime lnstitute (UТI) - независимый поставщик консалтинговых услуг, сертификации и обучения
в области центров обработки данных (ЦОД).
Виртуализация и облачные технологии
389
мацию об уровнях надежности(Тier) можно найти в Интернете, но, в общем, кар
тина выглядит так:
□
□
□
□
Tier 1- самый простой уровень, предполагается отсутствие(!) систем резерви
рования электропитания и охлаждения машинного зала, отсутствие резервиро
вания серверных систем. Уровень доступности - 99,671%, что означает при
мерно 28,8 часа простоев ежегодно. Учитывая отсутствие резервирования элек
тропитания, это все равно, что разместить серверы у себя в офисе.
Мы бы не стали выбирать ЦОД с Тier I - некоторые провайдеры указывают,
что имеют сертификат по UTI, но не показывают уровень(пока вы их об этом не
просите), - оно и понятно, гордиться особо нечем;
Tier II - основан на Tier I, но предполагает резервирование всех активных сис
тем. Эго уже что-то, но все же 22 часа простоя(99,75% доступности) в год вам
гарантированы;
Tier III - вот это то; что нужно. ЦОД 3-го уровня считаются работающими не
прерывно. Резервируются все инженерные системы, обеспечиваются возможно
сти ремонта и модернизации без остановки сервисов. Тier III предполагает по
стройку второго ЦОД внутри того же здания - ведь все нужно дублировать, в
том числе структурированные кабельные системы(СКС), электричество, систе
мы охлаждения, у всего серверного оборудования должны быть независимые
подключения к нескольким источникам питания и т. д. Допускается не более
1,6 час,а простоя в год(99,98% доступности);
Tier IV - дальнейшее развитие Tier III. Предполагает сохранение уровня отка
зоустойчивости даже при аварии. Гарантирует непрерывность работы при лю
бых умышленных поломках, дрпуская простой не более 0,8 часа ежегодно
(99,99%).
Сами понимаете, что это будет самый дорогой вариант, мы бы даже сказали мегадорогой. Многие ограничиваются Тier III, чего нужно придерживат�ся и
нам, если не хочется переплачивать.
ПРИМЕЧАНИЕ
Можно ли доверять сертификации UTI? Однозначно да. Сертификация начинается
еще на этапе проектирования, и сертификации подлежат даже чертежи будущего
ЦОД. После постройки и запуска ЦОД производится его выездная проверка специали
стами UTI, чтобы понять, насколько результат соответствует чертежам. Методика
оценки у UTI собственная и включает проверку всех подсистем ЦОД. Выездная про
верка_ обходится дорого, т. к. кроме стоимости самой проверки нужно оплачивать пе
релет и проживание команды экспертов.
Итак, можно смело выбирать ЦОД с Тier III - как оптимальное решение по цене и
надежности. А что касается 1,6 часа простоя в год, то это не так много, да и их
может не быть вовсе.
ВНИМАНИЕ/
Категорически не рекомендуется связываться с ЦОД, сертифицированным по Tier 1
или вовсе без сертификата!
390
Глава В
Где расположен ЦОД: в России или за границей?
Физическое расположение ЦОД очень важно, поскольку нужно учитывать два мо
мента: ping до ЦОД и всеми любимый ФЗ № 152. С пингом все понятно - если
ваш сервер программы «IС:Предприятие» будет расположен на каких-то там ост
ровах, то вряд ли подключение к нему можно будет назвать быстрым, бухгалтерия
начнет жаловаться, и придется искать другого провайдера, заморачиваться с пере
носом и пр. Но все это не так страшно, как нарушение ФЗ № 152, в котором гово
рится, что персональные данные нельзя выносить за пределы РФ. Если вы не соби
раетесь в «облаке» хранить и обрабатывать персональные данные - пожалуйста,
покупайте виртуальные серверы, где вам угодно, - хоть в Японии. Но если вы об
рабатываете персональные данные, будьте добры, храните их на серверах, которые
находятся только в России.
Кому принадлежит ЦОД?
Можно ли войти и посмотреть, как все устроено?
ЦОД может принадлежать или самому облачному провайдеру, или же провайдер
может арендовать площадку у ее собственника. В арендованной площадке нет ни
чего плохого - главное, чтобы вас все устраивало, в том числе и цены (ведь за
аренду нужно платить, следовательно, цена услуг провайдера-посредника может
быть выше, чем у компании, которая является собственником ЦОД). С другой сто
роны, некоторые компании просто предоставляют ЦОД в аренду, но не предостав
ляют самих облачных услуг, т. е. купить «облако>> по цене собственника не полу
чится вообще.
Если площадка открыта для экскурсий, то провайдеру скрывать нечего и с площад
кой все в порядке. Если же экскурсия невозможна, то это может означать, что или
с площадкой что-то не так, или экскурсии запрещены из соображений безопас
ности.
С другой стороны, ЦОД может находиться довольно далеко, а экскурсии могут
быть групповыми, а не индивидуальными ( согласитесь, что индивидуальные экс
!) и пы
таетесь определить стоимость сервера. И у вас там есть ползунок, позволяющий
выбрать количество ядер процессора виртуальной машины. Но' что представляет
собой виртуальное ядро?
Облачные провайдеры измеряют процессорную мощность своих серверов в вирту
ш�ьных ядрах (vCPU). Одно vCPU может равняться одному физическому ядру про
цессора, а может быть и четвертью такого ядра. Этот вопрос нужно уточнить зара
нее. Покупая виртуальную машину с процессором на четыре ядра, получите ли вы
четыре процессорных ядра или всего одно ядро - если одно виртуальное ядро
vCPU = 0,25 процессорного?
392
Глава В
Какие используются дисковые ресурсь1?
Соответствует ли скорость ресурсов заявленной?
Очень часто провайдеры завлекают дешевыми предложениями то ли .SSD-«облака»,
то ли SSD-хостинга. Нас интересует SSD-«облако>У - т. е. предполагается, что на
арендуемой вами виртуальной машине будет установлен твердотельный диск
(SSD). В реальном мире (когда используется реальный сервер) скорость записи на
самый бюджетный SSD-диск примерно равна 250 Мбайт/с. От этого и нужно от
талкиваться. Если у вас Linux-cepвep, то измерить производительность диска мож
но стандартной командой ctd, а если сервер под управлением Windows, то можно
использовать CrystalDiskМark.
В нашей практике нам не раз встречались провайдеры, заявляющие, что у них ис
пользуются SSD-диски, а на самом деле в результате замеров реально были полу
чены показатели на уровне 11О Мбайт/с, что равно скорости обычного жесткого
диска на 5400 оборотов ... ·кстати, в технической поддержке провайдера нам потом
доказывали, что это нормально... Может, у них и на самом деле используются SSD
диски, но конечному пользователю важен не тип накопителя, а реальная: скорость
его работы.
Есть ли сервис резервного копирования?
Уточните, есть ли сервис резервного копирования или резервирование данных при
дется осуществлять своими силами, т. е. докупать еще один виртуальный накопи
тель, устанавливать и настраивать программное обеспечение для бэкапа и пр. Если
сервис есть, то нужно уточнить, сколько он стоит, чтобы вы могли планировать
свои месячные затраты на содержание виртуальной инфраструктуры.
Какова пропускная способность интернет-соединения
и сколько будет стоить ее расширение?
По умолчанию провайдеры предоставляют не очень широкий канал - например,
1О Мбит/с. Для кого-то этого достаточно, для кого-то - нет. Уточните, во сколько
обойдется расширение пропускной способности.
Также узнайте, придется ли вам доплачивать за постоянный IР-адрес и трафик.
У некоторых провайдеров низкие цены на виртуальные машины, но зато они ком
пенсируют это счетами за использование выделенного IР-адреса и за каждый гига
байт принятого/переданного трафика.
Входит ли в стоимость услуги
лицензия на программное обеспечение?
Арендуя сервер под управлением Windows, нужно учитывать, входит ли в стои
мость аренды лицензия на саму операционную систему? Также невредно уточнить,
во сколько обойдутся дополнительные терминальные лицензии.
В случае с Linux-cepвepoм следует узнать, предоставляется ли какая-либо панель
управления самим сервером. Впрочем, если нет, то всегда можно «прикрутить»
бесплатные VestaCP или Webmin.
Виртувлизвция и облачные технологии
393
Как выполняется тарификация?
Тарификация - это тема для отдельного разговора. Первое, что надо бы уточ
нить, - это единицу тарификации: минута, час, день и т. д. Что произойдет, если
вы выключите сервер на некоторое время? Будет ли такой простой бесплатным,
или только лишь за хранение информации все равно придется платить?
Что будет, если вы измените конфигурацию сервера в меньшую сторону? Как и
когда это отразится на стоимости его аренды? Допустим, вы заказали сервер
с 16 Гбайт оперативной памяти, а спустя некоторое время решили, что 16 Гбайт это много и будет достаточно 12. И например, в 11:00 вы уменьшаете размер опера
тивной памяти. Когда это отразится на тарификации? Моментально, через час или в
начале следующего дня?
Есть ли тестовый режим?
Тестовый, или деморежим, - самый хороший способ протестировать, подходит ли
вам рассматриваемая площадка или нет. Узнайте у провайдера, есть ли тестовый
режим и как им можно воспользоваться.
Сколько стоит собст-=аенная VРN-сеть
и какие есть ограничения?
Обычно виртуальная частная сеть создается бесплатно, но есть и случаи, когда сама
операция создания VPN стоит каких-то денег. К тому же нужно уточнить, сколько
серверов могут входить в состав сети и какова скорость обмена данными . внутри
нее.
/
Есть ли какие-либо скрытые платежи например, за панель управления сервером и т. п.?
Полагаем, особых комментариев этот вопрос не требует. Постарайтесь по макси
муму вычислить, сколько будет стоить содержание виртуальной инфраструктуры
в месяц, чтобы в конце месяца это не стало для вас неприятным сюрпризом - когда
серверы отключат из-за недостатка на балансе средств, которые· израсходовались
раньше запланированного срока.
Помержка
Здесь нас интересуют следующие вопросы:
□ доступна ли поддержка в режиме 24/7 (т. е. круглосуточно), или она работает
только в рабочее время;
□ каким языком владеет служба поддержки (хорошо бы русским);
□ нужно ли обращаться в поддержку за мо�иторингом ресурсов и баланса, или же
все интересующие вас данные будут доступны через панель управления услу
гой?
394
Глава f1
Эти вопросы тоже в комментариях особо не нуждаются. Надеемся, приведенная
информация поможет выбрать лучшего облачного провайдера и избежать лишних
расходов.
Виртуализация физического сервера
Сегодня все чаще и чаще физические серверы переносят в «облако». Более того,
виртуализируют не только серверы, но и всю инфраструктуру сети.
Собственно, перенос сервера с «железа» в «облако»- технически не очень слож
ная задача. Просто до начала самого переноса надо четко понимать, зачем это все
нужно.
□
□
□
Во-первых, «железо>> облачной платформы гораздо надежнее, чем «железо» лю
бого отдельно взятого сервера. Особенно это актуально для владельцев старых
серверов (старше 5 лет)- в любой момент может произойти непоправимое, на
пример выход из строя жесткого диска или, что еще хуже, выход из строя мате
ринской платы. Даже если у вас настроено· резервное копирование и сами дан
ные вы не потеряете, вы точно получите многочасовой простой сервера- пока
нужное «железо» не будет заказано, куплено, оплачено и установлено.
На больших предприятиях, даже частных, порой имеется несколько слоев бюро
кратии, с которой сталкивается любой администратор, - нельзя просто пойти и
купить замену вышедше�у из строя устройству. Нужно сначала получить счет,
объяснить, за что он, доказать, что цена оптимальная, а уже потом, после оплаты
(а банковский перевод, как все мы знаем, может затянуться до трех дней), ехать
и получать необходимую «железку». Поэтому изначально виртуализацию можно
рассматривать как страховку от всех неприятностей, связанных с выходом из
строя оборудования. У облачной платформы оборудование тоже не вечное, но за
него отвечает сама платформа, а учитывая наличие у них запасных частей,
в большинстве случаев вы даже не заметите, что что-то ломалось.
Во-вторых, переезд в «облако»- лучший (и самый дешевый) способ обеспе
чить бесперебойную работу сервера, если необходима его доступность в режиме
24/7. Вашему предприятию не придется покупать дорогостоящие ИБП (стои
мость которых превышает стоиr-,юсть сервера), организовывать (и оплачивать)
резервный интернет-канал и т. п.
В-третьих, управлять облачным сервером просто удобнее: можно настроить ре
зервное копирование сразу .всего сервера, можно сделать мгновенный снимок
(snapshot) сервера перед внесением изменений в конфигурацию или установкой
нового ПО, можно выполнить клонирование сервера и т. д.
Виртуализация выводит администрирование сервера на совершенно другой уро
вень, а в качестве приятного бонуса вы получаете страховку от всех неприятностей,
которые могут произойти с вашим сервером.
Представим, что у нас есть сервер терминалов (Windows Server 2012/2019), на
котором работает СУБД и к которому подключаются не только бухгалтеры из
главного офиса, но и бухгалтеры филиалов- база данных-то общая.
395
Виртуализация и облачные технологии
И для обеспечения отказоустойчивости сервера было принято решение о переносе
его в (ll npoбf\ef'f
'
'
А
Рис. 8.53. Средство диагностики лицензирования удаленных рабочих столов: ошибок нет
Виртуализация и облачные технологии
419
На этом настройка сервера терминалов завершена. Вам осталось только добавить
в группу Пользователи удаленного рабочего стола (Remote Desktop Users) тех
пользователей, которым разрешен, удаленный доступ к серверу. Ведь по умолчанию
RDР-доступ к рабочему столу сервера есть только у администраторов сервера,
а всех пользователей сделать администраторами- плохая идея.
Безопасный запуск программы «1С:Предприятие))
На этом этапе наши пользователи подключаются к RDP-cepвepy, видят его рабочий
стол и запускают программу «lС:Предприятие» с помощью ярлыка на рабочем
столе. Однако помимо программы «lС:Предприятие» пользователи могут запус
тить на сервере любые другие программы, а нам бы этого не хотелось. Во-первых,
так можно ненароком запустить вредоносный код. Во-вторых, если сервер будет
выполнять другие программы, то на выполнение основной задачи (программа
«lС:Предприятие») у него останется меньше ресурсов.
Как поступить? Чтобы сделать все красиво и опубликовать приложение «lС:Пред
приятие», нам понадобится ADDS (Active Directory Domain Services). Но по-хо
рошему роли ADDS и RDS должны быть разнесены по двум разным серверам.
Сейчас же, думаем, никому не захочется арендовать еще один сервер под роль
ADDS (только арендовали один сервер и сразу же нужно арендовать второй!).
Выход есть- · использование групповой политики Запускать программу при
подключении. Откройте редактор групповой политики. Там есть два варианта:
□ или установить tрупповую политику для всего компьютера:
Конфигурация компьютера I Административные шаблоны I Компоненты
Windows I Службы удаленных рабочих столов I Узел сеансов удаленных ра
бочих столов I Среда удаленных рабочих столов I Запускать программу при
подключении;
□ или- для конкретного пользователя (тогда придется установить политику для
всех пользователей, которые будут использовать программу «lС:Предприятие»):
Конфигурация пользователя I Административные шаблоны I Компоненты
Windows I Службы удаленных рабочих столов I Узел сеансов удал�нных
рабочих столов I Среда удаленных рабочих столов I Запускать программу
при подключении.
Правильнее, конечно же, второй вариант- устанавливать политику для пользова
теля. К тому же если установить эту политику для всего сервера, то программа
« 1С:Предпрqятие» будет запускаться даже для администратора, а это нам не нуж
но, хотя можно и переопределить эту политику для учетной записи администрато
ра- при желании:
1. На вкладке Локальные ресурсы RDР-клиента для параметра Клавиатура уста
новите значение На удаленном компьютере.
2. Нажмите кнопку Подключить для установки соединения с терминальным сер
вером.
420
Глава 8
3. Нажмите комбинацию клавиш ++ для запуска диспегчера
программ на удаленном сервере.
4. Выполните команду меюо Файл I Запустить новую задачу.
5. Запустите редактор групповой политики (gpedit.msc) и либо выкmочите полити
ку запуска nрограмм, либо отключите ее только для своей учетной записи в раз
деле Конфигурация пользоват�ля.
Песочница Windows
В Windows 10 (начиная с версии 1903) появилась встроенная песочница (Windows
Sandbox), представляющая собой изолированное окружение рабочего стола для
безопасного запуска приложений. Сама идея не нова, в UNIX уже давным-дав
но была такая возможность (сhrооt-окружен�), но в Windows она появилась
в 2019 году.
Для работы песочницы необходимо выполнение следующих условий:
□ выпуск Windows Pro или Enterprise;
□ архитектура х86-64;
□ включение виртуализации в BIOS;
□ минимум 4 Гбайт ОЗУ и 1 Гбайт свободного дискового пространства;
□ минимум двухъядерный процессор.
Но это минимальные требования. Рекомендуется же 8 Гбайт ОЗУ, SSD-накопитель
и четырехядерный (или лучше) процессор с поддержкой технологии Hyper-Threa
ding.
Прежде чем включать песочницу, нужно активировать поддержку виртуализации
в BIOS. О том, как это сделать, вы сможете прочитать в документации к компью
теру или к его материнской плате. В крайнем случае, если не разберетесь, можно
обратиться к производителю компьютера/материнской платы.
Если же вы используете виртуальную машину, включить виртуализацию можно
командой Powershell:
Set-VМProcessor -VМName {VМName) -ExposeVirtualizationExtensions $true
Для включения самой песочницы достаточно включить компонент Песочница
Windows: Панель управления I Программы и компоненты I Включение и от
ключение компонентов Windows (рис. 8.54).
Включить песочницу можно и с помощью Powershell-кoмaнды:
EnaЫe-WindowsOptionalFeature -FeatureName "Containers-DisposaЬleClientVМ" -All
-Online
Для отключения используется другая команда:
DisaЬle-WindowsOptionalFeature -FeatureName "Containers-DisposaЬleClientVМ"
-Online
421
Виртуализация и облачные технологии
111 Компоненты Windows
о
х
О
Включение или отключение компщ,ентов
Windows
Чтобы а1
Рис. 9.4. Центр сертификации (certsrv.msc)
1 Если эта оснастка у вас недоступна, инструкции по ее установке можно получить на сайте Microsoft:
https://docs.microsoft.com/ru-ru/windows-server/networking/core-network-guide/cncg/server
certs/install-the-certification-authority.
442
Глава
9
Настройка службы каталогов
При подключении по протоколу 802. lx аутентифицироваться могут как компьюте
ры (их учетные записи в домене), так и сами пользователи. Политики подключения
RADIUS-cepвepa проверяют членство соответствующих учетных записей в группах
безопасности. Поэтому для предоставления права доступа создайте в службе ка
талогов соответствующие группы безопасности и включите в них требуемые объ
екты.
Кроме того, не забудьте включить опцию разрешения входящих звонков для соот
ветствующих учетных записей (в том числе и компьютеров).
Настройка службы RADIUS
Компьютер со службой IAS должен входить в специальную группу безопасности
домена, чтобы иметь доступ к параметрам учетных записей. Эта операция выпол
няется путем авторизации службы в ее меню.
Настройка компьютера с IAS предполагает настройку клиентов и создание политик
удаленного доступа.
□ Клиент - это коммутатор, который запрашивает у сервера RADIUS разрешение
на включение порта. Каждый клиент должен быть зарегистрирован на RADIUS
cepвepe. Для этого необходимо ввести его IР�адрес и ключ. 'ключ- это пароль,
который должен быть одинаковым в настройках и IAS, и клиента. Рекомендует
ся для каждого клиеmа выбирать его уникальным и достаточно сложнымдлиной более 20 символов. Ключ вводится всего в двух конфигурациях и прак
тически не меняется в процессе работы.
□ Возможность получения клиентом аутентификации от службы IAS всецело оп
ределяется политиками удаленного доступа. Обычно таких политик достаточно
много (для различных вариантов подключения)- они просматриваются по оче
реди, пока запрос клиента не совпадет с какой-либо из них.
Политику удаленного доступа следует создавать при помощи мастера создания по
лити�, указь1вая вариант Ethemet и вводя на запрос о группах Windows названия
групп, которым предоставлено право доступа.
В результате служба IAS будет проверять членство компьютера или пользователя
в соответствующей группе. Если проверка выполнится успешно, то коммутатор
получит соответствующее разрешение на открытие порта.
Настройка автоматического назначения VLAN для порта коммутатора
Многие коммутаторы имеют возможность назначить порт в той или иной VLAN
в соответствии с данными .аутентификации. Для этого данные от службы IAS
должны возвращать соответствующие параметры. Покажем, как это сделать.
Создав политику удаленного доступа, откройте ее свойства и нажмите кнопку
редактирования профиля. Выберите вкладку Advanced (Дополнительно) и добавьте
следующие три атрибута (рис. 9.5):
□ Tunnel-Medium-Type- со значением 802 (includes all 802 media plus Ethernet
canonical format);
443
Безопасность
Т unnel-M ediurn·Туре
Т unnel-Pvt-G roup-lD
Tunnel-Type
Рис. 9.5. Настройка атрибутов,
используемых для автоматического назначения порта коммутатора в VLAN
□
□
Tunnel-Pvt-Group-Ш - со значением номера VLAN, в которую должен быть
помещен порт в случае удачной аутентификации (на рис. 9.5 выбрана VLAN
с номером 20);
Tunnel-Type - со значением Virtual LANs.
При получении запроса служба последовательно проверит соответствие его данных
имеющимся политикам удаленного доступа и возвратит первое удачное совпадение
или отказ.
Настройка клиентского компьютера
Для использования протокола 802. lx при подключении к локальной сети на ком
пьютере должна быть запущена служба Беспроводная настройка. Только в этом
случае в свойствах сетевого подключения появится третья вкладка, определяющая
настройки протокола 802. lx. По умолчанию настройки предполагают использова
ние для аутентификации именно сертификатов, так что никаких изменений данных
параметров не требуется.
СОВЕТ
Проще всего настроить эту службу на режим автоматического запуска с использова
нием групповой политики. Для этого следует открыть меню Конфигурация компью
тера I Конфигурация Windows I Параметры безопасности I Системные службы
указать для службы Беспроводная настройка вариант автоматического запуска.
и
444
Глава 9
На следующем шаге необходимо проверить наличие сертификата, на основании
которого предполагается осуществить открытие порта коммутатора. Для этого
нужно открыть консоль управления сертификатами, обратив внимание на выбор
правильного контейнера для просмотра. Так, если предполагается аутентифициро
вать компьютер, следует просматривать контейнер Локальный компьютер.
•
Настройка коммутатора
Настройки коммутаторов у разных вендоров различаются. Приведем в качестве
примера вариант настройки коммутатора Cisco.
В этом примере использованы настройки по умолчанию для портов службы
RADIUS, не включены параметры повторной аутентификации и некоторые другие.
Кроме того, в качестве гостевой VLAN (в нее будет помещен порт, если устройство
не поддерживает протокол 802. lx) определена VLAN с номером 200, а в случае не
удачной аутентификации устройство будет работать в VLAN с номером 201.
Сначала в конфигурации коммутатора создается новая модель аутентификации,
указывающая на использование службы RADIUS:
ааа
ааа
ааа
ааа
new-model
authentication login default group radius
authentication dotlx default group radius
authorization network default group radius
Затем включается режим использования протокола 802. lx и определяются парамет
ры RADIUS-cepвepa:
dotlx system-auth-control
radius-server host key хххххххххххх
После чего для каждого интерфейса настраивается использование протокола
802. lx. В качестве примера выбран порт номер 11:
interface GigabitEthernet0/11
switchport mode access
dotlx port-control auto
dotlx guest-vlan 200
dotlx auth-fail vlan 201
Этих настроек достаточно, чтобь1 использовать на коммутаторе аутентификацию по
протоколу 802. lx.
Технология NAP
Описанная ранее технология подключения по протоколу 802. lx подразумевает про
верку только сертификата компьютера (или пользователя). Понятно, что этого
мало, и ей на смену пришла технология NAP (Network Access Protection).
ПРИМЕЧАНИЕ
Название Network Access Protection используется корпорацией Microsoft, продукты
других фирм могут носить иное имя - например, Network Access Control для продук
тов Symantec Endpoint Protection.
Безопасность
445
Эта технология поддерживается серверами Windows Server 2008/2019, а в качестве
клиентов могут выступать даже машины с Windows ХР, но с установлtнным SРЗ
(хотя на сегодняшний день это мало кому интересно).
Технология NAP предусматривает ограничение использования ненадежными системами следующих сетевых служб:
□ служб IPsec (Intemet Protocol security protected communication);
□ подключений с использованием протокола 802. lx;
□ создания VРN-подkлючений;
□ получения конфигурации от DНСР-сервера.
Идея очень проста - клиент, который хочет получить один из упомянутых здесь
сервисов, должен предоставить о себе определенные данные. Сущесtвует возмож
ность и проверки параметров, определенных центром безопасности сервера: нали
чия антивирусной программы, обновлений, настроек брандмауэра и т. п. Все эти
данные предоставляются программой-агентом, которая запущена на клиентском
компьютере. Если компьютер проходит проверку (его настройки соответствуют
параметрам, заданным администратором), он получает сертификат, дающий право
на использование запрашива�мых услуг. Если проверка не пройдена, все зависит от
выбранных администратором настроек: или будет проведено обновление до нужно
го уровня безопасности, или будут'наложены определенные ограничения в работе.
Подробно·о внедрении NAP рассказано на сайте Microsoft по адресу:
https://technet.microsoft.com/ru-ru/network/Ьb545879.
Обнаружение нештатной сетевой активности
Вирусная эпидемия или атака на информационную систему не возникают «вдруг».
Обычно им предшествует некий период, характеризующийся повышенной нештат
ной сетевой активностью. Периодический анализ файлов протоколов систем и ис
пользование тех или иных обнаружителей сетевых атак могут предупредить
администратора и дать ему возможность предпринять встречные шаги.
Хотя профессиональные программы, предназначенные для обнаружения сетевых
атак, весьма дороги, требуют высокого уровня знаний от администратора и обычно
не используются в малых и средних предприятиях, администраторы легко могут
найти в Сети пакеты, которые позволяют прослушивать активность на ТСР/IР
портах системы. Сам факт обнаружения активности на нестандартных портах уже
может быть свидетельством нештатного поведения системы, а наличие сетевого
трафика в неожидаемые периоды времени может косвенно свидетельствовать о ра
боте троянов.
Приведем несколько бесплатных программ, которые часто применяются для скани
рования сети:
□ nmap: http://www.insecure.org/nmap/- версии для Windows и Linux;
□ Nessus: http://www.nessus.org-Linux-вepcии;
□ NSAТ: http://sourceforge.net/projects/nsat/-:- Linuх-системы.
446
Глава 9
Следует отметить, что преобладание Linux-вepcий объясняется большими возмож
ностями настройки этой операционной системы на низком уровне - по сравнению
с Windоws-вариантами.
Контроль состояния программной среды
серверов и станций
При эксплуатации системы администратор должен быть уверен в том, что на серве
рах и рабочих станциях отсутствуют известные уязвимости и что установленное
программное обеспечение выполняет свои функции без наличия каких-либо закла
док, недокументированных обменов данными и т. п. Понятно, что собственными
силами проверить это невозможно, поэтому мы. вынуЖдены доверять изготовите
лям программ и обеспечивать со своей стороны идентичность используемого ком
плекта ПО оригинальному дистрибутиву.
Индивидуальная настройка серверов
В большинстве случаев типичная (по умолчанию) конфигурация операционной
системы позволяет сразу же приступить к ее использованию. При этом, также
в большинстве случаев, система будет содержать лишние функции - например,
службы, которые запущены, но не нужны вам. Такие функции в целях повышения
безопасности следует отключать. Например, по умолчанию при установке Linux
часто устанавливается веб-сервер (некоторые дистрибутивы грешат этим). Но
он вам не нужен, - следовательно, вы его на безопасную работу не настраивали,
и у него осталась конфигурация по умолчанию. Злоумышленник может использо
вать ненастроенные службы для атаки на вашу систему. Более того, поскольку вы
считаете, что на том или ином компьютере веб-сервера нет, вы даже не будете кон
тролировать на нем эту службу.
Именно поэтому все неиспользуемые службы нужно отключить. Включить их
обратно, как только они вам понадобятся, - не проблема. Какие именно службы
отключить, зависит от применения компьютера, поэтому привести здесь универ
сальные рекомендации на этот счет не представляется возможным.
Security Configuration Manager
В составе Windows Server присутствует программа Security Configuration Manager
(SCM). Как видно из ее названия, SCM предназначен'1 для настройки параметров
безопасности сервера. Практически программа предлагает применить к системе
один из шаблонов безопасности, выбрав ту или иную роль вашего сервера.
SCM привлекательна тем, что предлагает применить комплексно все те рекоменда
ции, которые содержатся в объемных руководствах по безопасности. Однако в ре
альных системах редко можно найти серверы с «чистой)) ролью - обычно присут
ствуют те или иные их модификации, заставляющие администр_атора тщательно
проверять предлагаемые к назначению настройки. Поэтому установку SCM следует
рассматривать только как первый шаг настройки сервера.
Безопасность
447
Security Compliance Manager
Microsoft разработала специальное средство для анализа и разворачивания на пред
приятии rрупповых политик безопасности - Microsoft Security Compliance Mana
ger. Утилита доступна к бесплатной заrрузке со страницы: http://go.microsoft.com/
fwlink/?Linkld=182512. Установить ее можно на системы под управлением
Windows 7/8/10 и Windows Server 2008/2019. При этом продукт требует сервера
базы данных (бесплатная его версия может быть загружена и настроена в процессе
установки утилиты).
СОВЕТ
При установке продукта необходимо наличие подключения к Интернету - возможно,
придется загрузить SQL Server Express. Кроме того, после установки продукт загружа
ет с сайта Microsoft последние версии рекомендуемых параметров безопасности.
Microsoft подготовила и рекомендуемые параметры настроек безопасности для сис
тем, предназначенных для эксплуатации в типовых условиях, в условиях предприя
тия и для организаций с повышенным уровнем безопасности. Эти рекомендации
представляют собой наборы рекомендуемых параметров rрупповой политики для
рабочих станций (Windows 7/8/10) и серверов (Windows Server 2008/2019). Обычно
в конкретных условиях применить все рекомендации невозможно - например, ка
кие-то компоненты, рекомендуемые для отключения, у вас предполагается исполь
зовать. Утилита Security Compliance Manager и предназначена для того, чтобы
сравнить текущие параметры rрупповой политики с рекомендациями, отредактиро
вать их и применить на предприятии эту rрупповую политику.
Исключение уязвимостей программного обеспечения
Ошибки наличествуют во всех проrраммных продуктах, они свойственны как са
мим операционным системам, так и прикладному программному обеспечению.
Уязвимость в проrраммном обеспечении потенциально позволяет злоумышленнику
получить доступ к данным в обход защиты. Поэтому установка обновлений являет
ся одним из наиболее криrических элементов системы безопасности, причем адми
нистратору необходимо следить не только за обнаружением уязвимостей в опера
ционной системе, но и быть в курсе обновлений всего установленного программно
го обеспечения.
ПРИМЕЧАНИЕ
Исторически существуют различные названия обновлений: ((Заплатки» (Hot fix), кото
рые обычно выпускаются после обнаружения новой уязвимости, сервис-паки (service
pack), в которые включаются не только большинство реализованных ко времени
выпуска сервис-пака «заплаток», но и некоторые усовершенствования и дополнения
основных программ, и т. п. В рассматриваемом контексте для нас не актуальны эти
различия.
Уязвимости и эксплойты
Каждый день в том или ином программном обеспечении обнаруживаются какие
нибудь уязвимости. А вот «заплатки», позволяющие закрыть «дыры» в информаци
онной безопасности, выпускаются не так регулярно, как этого бы хотелось.
448
Глава 9
Другими словами, с момента обнаружения уязвимости и до установки «заплатки»
(заметьте, не до выхода, а до установки- «заплатка» уже вышла, а администратор
ничего о ней и не подозревает) может пройти внушительное время. За это время
кто-либо может воспользоваться уязвимостью и взломать вашу систему.
Чтобы воспользоваться уязвимостью, не нужно быть «крутым хакером» - доста
точно подобрать эксплойт (специальную программу, которая реализует эту уязви
мость) и применить его к вашей системе. Найти эксплойт довольно просто- надо
лишь уметьпользоваться поисковыми системами. В результате обычный пользова
тель получает инструмент, позволяющий ему, например, повысить свои права до
уровня администратора или «свалиты) сервер предприятия. Можно рассуждать
о причинах такого поведения, но авторам неоднократно приходилось сталкиваться
с наличием подобного пользовательского интереса. На сайте http://www.
metasploit.com/ доступен бесплатный сканер уязвимостей, который можно исполь
зовать как для тестирования «дыр)), так и для выбора метода атаки системы.
Информация о Qайденных уязвимостях разработчиками ПО тщательно скрывается
до момента выпуска исправлений программного кода. Однако этот факт не гаран
тирует отсутствие «прорех)) в защите систем, которые уже начал» эксплуатиро
ваться злоумышленниками.
Поэтому своевременная установка «заплатою) является необходимым, но недоста
точным средством обеспечения безопасности данных.
Как узнать об обновлениях?
Информация об уязвимостях публикуется на специальных сайтах. Вот некоторые
из них:
□ SecurityFocus: http://www.securityfocus.com;
□ CERT vulnerabllity notes: bttp://www.kb.cert.org/vuls/;
□ Common Vulnerabllities and Exposures (МITRE CVE): http://cve.mitre.org;
□ SecurityLab: bttp://www.securitylab.ru/vulneraЬility/;
□ IВМ lntemet Security Systems: http://xforce.iss.net.
Эти сайты нужно регулярно просматривать или же подписаться на существующие
у них рассылки.
Проsерка системы на наличие уязвимостей
При желании можно самостоятельно произвести проверку системы на наличие уяз
вимостей. Программ для такой проверки предостаточно: RkНunter, OpenVAS,
SATAN, XSpider, Jackal, Strobe, NSS- как платных, так и бесплатных. Информа
цию об этих сканерах вы без проблем найдете в Интернете. Например, следующие
статьи объясняют, как использовать RkНunter и OpenVAS соответственно:
□ bttp://babrababr.ru/company/first/Ыog/242865/;
□ http://habrababr.ru/post/203766/.
449
Безопасность
Администратор может воспользоваться и любой программой, предназначенной для
анализа безопасности компьютерных систем. Сегодня на рынке подобных продук
тов представлено множество. Как правило, программы сканирования уязвимостей
выполняют типовые операции: проверяют наличие уязвимостей по имеющейся
у них базе, сканируют IР-порты, проверяют ответы на типовые НТТР-запросы
и т. д. По итогам таких операций формируется отчет, предоставляемый админист
раторам, и приводятся рекомендации по устранению уязвимостей.
Если необходимо сертифицированное решение, то можно использовать программу
XSpider, которая имеет сертификат ФСТЭК России. Окно этой программы показано
на рис. 9.6.
:I) Root C;rtificate.cer
Отмена
,
Рис. 9.29. Выбор файлового менеджера
Рис. 9.30. Выбор сертификата
сертификат, и выберите Root Certificate.cer (рис. 9.30). Программа спросит, как
открыть файл- выберите вариант Стандартный (рис. 9.31 ).
В результате импортированный сертификат . появится в списке сертификатов
(рис. 9.32). Далее операцию импорта нужно повторить для вашего личного серти
фиката (*.pfx) и сертификатов всех, с кем вы планируете обмениваться зашифрован
ными сообщениями и ЭЦП. При импорте личного сертификата будет запрошен
пароль. Обратите внимание -:-- ваш личный сертификат помечен в списке как
PRIVATE.
Импортировав сертификаты, можно приступить к обмену зашифрованными/
подписанными сообщениями. Так, при создании нового сообщения в MailDroid вы
можете его подписать и зашифровать. Если нужно только подписать сообщение,
установите флажок Sign (рис. 9.33). Если же надо не только подписать его, но и за
шифровать, установите еще и флажок Encrypt.
Подписывая сообщение, следует выбрать, какой сертификат будет использоваться.
Выбор сертификата осуществляется в области SIGNERS. Скорее всего, у вас будет
всего один сертификат (см. рис. 9.33).
При шифровании письма сертификаты всех получателей программа добавляет ав
томатически (если, конечно, вы � импортировали с помощью Crypto Plugin). По
смотрите на рис. 9.34- программа автоматически добавила в список сертификаты
получателей. Выполняет она и проверку сертификатов получателей- обратите
внимание на результат проверки сертификата: CERTIFICATE IS ОК (рис. 9.35).
Безопасность
485
'?
•
Crypto i'IL1CJ1п
_.!�
PGP KEYS
SЛJIIME
Открыть файл как
"Стандартный
(для MMS,Gmail, и т.п.)"
О
"Файловый
(если предыдущий не
nQлучился)"
О
Отмена
Рис. 9.31. Выберите Стандартный
dhsilabs@gmail.com
Рис. 9.32. Корневой сертификат импортирован
dhsilabs@gmail.com
�ому
Се/Вес
КОМУ.
Тема
SIGNERS:
Тема
dhsilabs@gmail.com
(D
� CN=CyberSoft CA,O=CyberSoft LLC.,C
9В:ЗС: 1 5:7С:8D:2Е:93:5Е:8А:94:б3:33
CERТIFICATE 1S ОК
SIGNERS:
dhsilabs@gmail.com
f nc:ypt
l. 1'.,
t;>
(±)
(±)
й ц у к е н г ш щ з х
ф ы в а п р о л д ж
◊ я
?123
4
с м и т ь б
@ (I.1
S1c3r;
3
юа
Готово
Рис. 9.33. Электронная подпись письма
и выбор сертификата
t;>
q w е r t у u
о р
s d
f
g h j
◊ z х
с
V
а
>12з
@ ({.'1
ь
k
n m
а
Готово
Рис. 9.34.- Выбраны получатели сообщения
Глава 9
486
dhsilabs@gmail.com
CN=CyberSoft CA,O=CyberSoft LLC.,C (D
9В:ЗС:15:7C:8D:2E:93:5E:8A:94:63:33
CERТIFICATE IS ОК
В
frlatov@ �
CN=CyberSoft CA,O=CyberSoft LLC.,C (D
C4:BC:F3:7F:B2:23:42:0l :AA:F5:2F:54
CERТIFICATE IS ОК
В
zhukov��
CN=CyberSoft CA,O=CyberSoft LLC.,C (D
Сб:9С:67:С1:90:29:14:ВС:СА:49:45:8!
CERТIFICATE IS ОК
t 1'
:±)
�
q w е
r
а s d
◊
?]23
z
t
u
у
f g h
х с
V
ь
о
р
k
n m а
@ �
rотово
Рис. 9.35. Сертификаты
Итак, отправку подписанных и зашифрованных сообщений мы освоили. Теперь
посмотрим, как читать зашифрованные и подписанные сообщения.
Пришедшее к вам зашифрованное сообщение будет отмечено значком замка
(рис. 9.36, а). Откройте зашифрованное сообщение- программа сообщит, что оно
зашифровано: Encrypted (рис. 9.36, 6). Нажмите ссылку Click для расшифровки
сообщения и введите пароль своего сертификата (рис. 9.36, в)- если пароль вве
ден правильно, сообщение будет расшифровано.
После установки и настройки MailDroid нужно отключить стандартный почтовый
клиент Gmail, чтобы не получать уведомления о новой почте из двух программ.
Для этого выполните следующие действия:
1. Откройте Настройки Android.
2. Выберите Приложения.
3. Перейдите на вкладку Все.
4. Выберите Gmail.
5. Нажмите кнопку Остановить.
6. Нажмите кнопку Отклюqить.
После этого приложение Gmail будет перемещено с вкладки Все на вкладку От
ключенные.
Безопасность
�::
::.А'
- ,,,.;// Ахпшш1иР
�
'+-
,...._'";'
f,,:
111
•
•
�tf ВхоляшиР
Кому: Денис Колисниченко
# 16:40
Вадим Филатов
Task Accepted: Разобраться с уведомлен ...
Вадим Филатов
■
�
•
..
,
487
.·
1 б марта
Evgeniy Zhukov
тест шифр
# 16:33
Task Accepted: Установка программного...
Encrypted. Click to decode.
# 16:19
Вадим Филатов
Task Accepted: Перенастройка Outlook на ...
Evgeniy Zhukov
а 1 :10
FW: Сделать адресную книгу 1�его офи а...
Evgeniy Zhukov
а 1 р:04
тест шифр
Evgeniy Zhukov
# 16:01
Task Request: Отключить оповещения Теа ...
Evgeniy Zhukov
#
15:58
......
8
J
г -,
L _J
.
�--------------�б
Рис. 9.36. а - зашифрованные сообщения
· в списке; б - зашифрованное сообщение;
в - введите пароль
в
Глава 9
488
Шифрование в базах данных
Значительная часть информации предприятия хранится на серверах · баз данных.
Современные версии производственных серверов имеют возможность выборочного
(по столбцам таблиц) или полного (всей базы) шифрования данных. Эти функции
реализуются средствами сервера баз данных, и поэтому шифрование «прозрачнш>
для прикладных программ. Администратору необходимо определить критичную
информацию (излишнее шифрование не имеет смысла, а производительность сис
темы будет снижаться) и включить шифрование средствами управления SQL-cep
вepa.
•
ПРИМЕЧАНИЕ
Возможность шифрования в базах данных была и раньше. Но эта функциональность
должна была использоваться программой, работающей с данными.
Архитектура решения для Microsoft SQL Server 2008 представлена на рис. 9.37 каждая база данных шифруется собственным ключом. Для этого используется сер
тификаt, зашифрованный мастер-ключом базы Master, который, в свою очередь,
шифруется ключом службы сервера базы данных, создаваемым при установке сер
вера.
Обратите внимание, что прозрачное шифрование данных предотвращает доступ
к информации в резервных копиях и на остановленных серверах (выключенных
системах). Но если злоумышленник попытается получить доступ через работаю
щий SQL-cepвep (например, раздобыв параметры доступа пользовательской учет-
11:if
Уровень Windows
Главный ключ службы зашифрованный DPAPI
· База данных Master
Сертификат-
Рис. 9.37. Архитектура шифрования данных в SQL Server 2008
Безопасность
489
ной записи), то такая попытка завершится успехом. В этом случае,должны сраба
тывать средства контроля доступа SQL-cepвepa.
Стеганография
Лучший способ защиты информации - не показать злоумышленнику, что такая
информация есть. Технология стеганографии предполагает маскировку данных
среди ничего не значащей информации.
Самый простой способ - это добавить в конец файла изображения еще один архив
(«склеить» его с изображением). Изображение будет нормально просматриваться
в графических программах, но при открытии его в архиваторе вы сможете извлечь
скрытые данные.
Анализ поведения пользователей
По результатам некоторых западных исследований, примерно две трети высоко
технологичных корпораций постоянно сталкиваются с внутренними угрозами
безопасности информации.
Традиционные способы защиты: ограничение доступа к информации, контроль пе
риметра (почтъ1, различных мессенджеров, сменных носителей и т. д.) по ключевым
словам· (сигнатурам) и т. д. - становятся малоэффективными.
Во-первых, f1Нформация часто похищается теми, кто имеет доступ к соответствующему классу данных. Кроме того, получить доступ к желаемой информации не
представляет труда и для злоумышленника, использующего методы социальной
инженерии. Во-вторых, пользователи становятся более опытными и подготовлен
ными. Они могут легко узнать, какие продукты используются для защиты данных,
какие сигнатуры анализируются, и даже поставить себе для изучения пробную вер
сию такого продукта. В результате злоумышленник сможет вынести с предприятия
серьезные объемы информации, имеющей коммерческую ценность.
Для исключения подобных ситуаций стали появляться продукты, анализирующие
модель поведения пользователя. Простейший пример: поведение сотрудника, в те
кущей работе на своем рабочем месте столько-то раз открывающего документы из
такой-то папки, производящего поиск по таким-то ключевым словам и т. д., может
быть описано соответствующей моделью. Но если он начинает готовиться к уходу
с предприятия и собирает кажущуюся ему полезной информацию, то такие допол
нительные операции будут восприняты программой как отклонения от профиля
и специалисты службы безопасности получат предупреждение.
Подобные продукты являются коммерческими решениями. Здесь мы не станем
описывать конкретные приложения, поскольку они специфичны для различных ти
пов информации.
/
DLР-технологии
1
Защищаемая информация может покинуть предприятие различными путями: через
каналы связи и сменные носители, электронную почту, различные мессенджеры,
490
Глава 9
Skype, флеш�щ и т. п. Причем это может быть сделано как умышленно, так и слу
чайно (например, если при создании письма перепутан адрес получателя).
На рынке сегодня имеется несколько продуктов, позволяющих контролировать
периметр предприятия и блокировать возможную утечку данных. Такие решения
называются предотвращением утечек (от англ. Data Loss Prevention, DLP). Основ
ная задача DLP - обнаружить и заблокировать запрещенную передачу конфиден
циальных данных по любым каналам связи и устройствам.
Большинство таких продуктов работают уже «по факту», т. е. сообщают о наличии
подозрительного трафика и утечке данных. Кроме того, методы анализа данных не
позволяют говорить о надежности распознавания конфиденциальной информации,
тем более что каждой категории данных требуется своя адаптированная технология
анализа.
Для анализа документов применяется теория отпечатков. Каждому документу
ставится в соответствие цифровой отпечаток, который сравнивается с хранимыми
цифровыми отпечатками документов, которые эксперты отнесли к конфиденциаль
ной информации. На основе такого анализа определяется вероятность присутствия
· в документе конфиденциальных данных. Кроме того, проводится морфологический
и грамматический разбор текста для обнаружения искомых данных.
DLР-решения являются недешевыми продуктами. О целесообразности их внедре
ния с экономической точки зрения имеет смысл говорить при числе контролируе
мых рабочих мест порядка нескольких сотен и более. Кроме того, решение, выно
симое такой системой, является вероятностным (хотя и с достаточно высокой сте
пенью правильной идентификации). Поэтому подобные технологии сегодня пока
применяются в крупных организациях, где очень высока стоимость утечки данных
(финансовый сектор и т. п.).
Далее мы попробуем разобраться, какая система подойдет конкретно в вашем слу
чае. Какой-либо продукт рекомендовать не станем, поскольку выбор DLР-сис
темы - это сугубо индивидуальный процесс, и нет единственного рецепта, покры
вающего потребности всех предприятий.
При выборе DLР-системы необходимо учитывать следующие факторы:
□ количество контролируемых каналов;
□ функции самой DLР-системы;
□ надежность и скорость работы системы;
□ наличие и качество службы технической поддержки;
□ надежность разработчика;
□ стоимость покупки и стоимость владения системой.
Помните, что основная задача системы - предотвратить утечку конфиденциаль
ных данных по любому из каналов, которые используются в .компании. Что делать,
если по всем критериям система пригодна, но один из каналов она не контролиру
ет. Здесь нужно выбирать из следующих вариантов:
□ отказаться от использования неконтролируемого канала, если это возможно;
□
выбрать другую DLР-систему.
491
Безопасность
Третьего не дано. Помните, что в большинстве случаев вы не сможете контролиро
вать все каналы. Например, пользователь может сфотографировать важные доку
менты и оmравить их фото со своего смартфона - не через корпоративный Wi-Fi,
а через сеть мобильного оператора. Сотовую сеть вы не контролируете, соответст
венно, предотвратить такую утечку не сможете. Оrобрать у всех смартфоны на
входе? Все зависит от степени секретности вашего предприятия - можно сотруд
ников и домой не отпускать. Шутка. Самый действенный способ - наличие видео
камер в операционном зале, чтобы пользователи знали, что за ними наблюдают.
В этом случае предотвратить слив информации скорее всего тоже не получится, но
зато вы хотя бы узнаете, кто это сделал.
По своему типу все DLР-системы делятся на две группы: активные и пассивные.
Первые способны блокировать передачу конфиденциальных данных при обнару
жении нарушения. Вторые только наблюдают за потоками данных, но не вмешива
ются в сами процессы. Сушествуют и решения «два в одном», когда система может
не только наблюдать, но и предпринимать какие-то действия.
По типу архитектурной реализации DLР-системы опять-таки делятся на два типа:
хостовые и шлюзовые. В первом случае на все компьютеры устанавливается DLР
агент - программа, которая контролирует действия пользователя (здесь наверняка
есть возможность записи экрана активности пользователя, создания скриншотов,
наблюдения в реальном времени за действиями пользователя). DLР-агент затем пе
редает все это на сервер DLР-системы. Шлюзовые системы устанавливаются на
шлюзе и контролируют только передаваемую за пределы компании информацию.
Учитывая, что данные в большинстве случаев сегодня зашифрованы, не всегда от
таких систем есть толк. А хостовые системы предусматривают возможность пере
хватить данные еще до их шифрования при передаче по сети - как правило, они
содержат встроенный клавиатурный шпион, позволяющий перехватить ввод поль
зователя с клавиатуры, а также они могут анализировать передаваемые файлы еще
до самой передачи - при обращении к ним. Основное преимущество хостовых
решений закточается в более полном контроле каналов передачи информации и
действий пользователя на рабочем месте. Агенты фиксируют все операции за ком
пьютером, плюс DLР-решения нового поколения позволяют записывать перегово
ры сотрудников или, например, подключаться к веб-камере их ноутбука.
1
Недостаток DLР-систем хостового типа - они могут контролировать только устройства, на которые установлен DLР-агент. Однако для выбранной операционной
системы может не оказаться DLР-агента. Например, вам понравилась какая-либо
система, но агенть1 DLP поддерживают только Windows и Linux. Так что если в ва
шей сети есть несколько макбуков, он1;1 останутся неконтролируемыми.
Вот несколько примеров DLР-систем: Symantec DLP, Forcepoint DLP, McAfee DLP,
Sophos Endpoint Protection - и это не единственные системы, примеров можно
привести еще с десяток. То есть подобных систем очень много, и, как правило, все
они платные, причем стоят такие решения недешево. Это основной их недостаток,
и для некоторых из них нет даже trial-вepcий. Другими словами: купите и наслаж
дайтесь. Если что-то пойдет не так, покупайте любую другую.
Глава 9
492
Если все же хочется попробовать систему до ее приобретения, обратите внимание
на решение MyDLP от Comodo (https1//www.mydlp.com/). Не будем утверждать,
что оно лучшее, однако у него есть хотя бы trial-вepcия, что позволяет ознакомить
ся с системой перед ее покупкой.
Из бесплатных систем можно порекомендовать только Open DLP от Google (https://
code.google.com/archive/p/opendlp/). Однако вы можете испытать сложности при
внедрении этой системы в свою инфраструктуру. В первую очередь сложности свя
заны с отсутствием нормальной документации - даже на главной странице проек
та при попытке перейти по ссьmке с инструкциями по установке получаешь ошиб
ку 404.
Использовать взломанные DLР-системы, которые можно скачать на торрентах, нет
смысла - думаем, вы понимаете почему.
Данные, приведенные в табл. 9.1, помогут вам выбрать DLР-систему. В ней мы
приводим свои личные впечатления от различных DLР-систем, с которыми прихо
дилось сталкиваться по роду своей деятельности. Таблица не претендует на истин
ность, поэтому воспринимайте ее просто как личное мнение.
Таблица 9.1. Краткий обзор DLР-систвм
Система
Впечатления
Достоинства
Недостатки
McAfee DLP
Очень тяжелая в·о вне:
дрении система. Сначала нужно развернуть
McAfee eF,lolicy
Orchestrator как собственную платформу
управления. Хорошо
подойдет для предnриятий, где вся инфраструктура основана на
продуктах McAfee, но
если это не так, придется туго
Возможность задать
условные приоритеты
для правил, а потом
использовать эти приоритеты как параметры
фильтрации событий
в журнале. Сама
фильтрация сделана
весьма приятно и удобно. Имеется возможность пересылки запрещенного к nересылке файла при условии
ввода пояснения от
пользователя
Необходимость установки
собственной платформы
управления, во многом дублирующей AD. Нет встроенного ОСR-модуля: контрол�
сканированных документов - мимо. Ряд ограничений вроде контроля почты только в Outlook (переписка
через The Bat! пролетела
мимо агентского контроля).
зависимость от конкретных
версий браузеров, отсутствие контроля переписки в
Skype (перехватываются
только файлы)
Sophos
Endpoint
Protection
Не очень удачное
решение. По сути, это
надстройка над антивирусом, а не nолноценная DLР-система
Особых нет, разве что
возможность пересылки
запрещенного к пересылке файла (nользователь может дать пояснение, зачем он это
делает, потом служба
безопасности проверит
все такие моменты)
Нет никаких сложностей
в обходе контроля устройств
агентом: остановить антивирус от Sophos, затем включить драйвер устройства
в Device Manager - и вы
получаете полный доступ
к запрещенной флешке. Так
быть не должно. Нет модуля
OCR, перечень контролируемых устройств беден,
почта контролируется через
встраивание в почтовые клиенты. плохо реализованы
правила анализа содержимого
494
Глава 9
Enter the domain пате о, the range oflP addresses of the aщ,uters.
0 Chedc for W:ndows acmnstrative ....,,ablities
0 Chedc for weo!,posswords
0 Chedc for ПS мmristrative Y,I.A'1erablities
0 Chedc for SQl acmnstrative �ablities
0 Chedcfur�ty"""'t,,s
О Configu-e aщ,uteгs for -osoft 1,1:,date and scaming IJ'OГeqLisit,,s
0 Use oddtiQal cat,loQs
