Лекція 2. Огляд мережевих служб DHCP, WINS, RRAS

 

Лекція 2. Огляд мережевих служб DHCP, WINS, RRAS

Служба DHCP

Служба DHCP (Dynamic Host Configuration Protocol) — це одна із служб підтримки протоколу TCP/IP, розроблена для спрощення адміністрування IP-мережі за рахунок використання спеціально налаштованого сервера для централізованого управління IP-адресами і іншими параметрами протоколу TCP/IP. Сервер DHCP позбавляє адміністратора від необхідності ручного виконання таких операцій, як:

  • призначення мережевим вузлам IP-адрес і інших параметрів протоколу TCP/IP (наприклад, маска підмережі, адреса основного шлюзу підмережі, адреси серверів DNS і WINS);
  • недопущення дублювання IP-адрес, що призначаються різним вузлам мережі;
  • звільнення IP-адрес вузлів, відключених з мережі;
  • ведення централізованої БД виданих IP-адрес.

Особливості служби DHCP в системах сімейства Windows Server:

  • Інтеграція з DNS — DHCP-сервери можуть здійснювати динамічну реєстрацію виділених IP-адрес і FQDN-імен мережевих вузлів в базі даних DNS-сервера (це особливо актуально для мережевих клієнтів, які не підтримують динамічну реєстрацію на сервері DNS, наприклад, Windows 95/98/NT4);
  • Авторизація сервера DHCP в Active Directory — якщо адміністратор встановить службу DHCP на сервері Windows 2000/2003, то сервер не функціонуватиме, поки не буде авторизований в AD (це забезпечує захист від установки несанкціонованих DHCP-серверів);
  • Резервне копіювання бази даних DHCP — Створена резервна копія може використовуватися згодом для відновлення працездатності DHCP-сервера.

Визначимо основні терміни, що відносяться до служби DHCP

  • Клієнт DHCP — мережевий вузол з динамічною IP-адресою, отриманою від сервера DHCP;
  • Період оренди — термін, на який клієнтові надається IP-адреса;
  • Область — це повний послідовний діапазон допустимих IP-адрес в мережі (найчастіше області визначають окрему фізичну підмережу, для якої надаються послуги DHCP);
  • Діапазон, що виключається, — це обмежена послідовність IP-адрес в області, яка виключається з числа адрес, пропонованих службою DHCP (діапазони, що виключаються, гарантують, що сервер не запропонує жодну адресу з цих діапазонів DHCP-клієнтам в мережі);
  • Доступний пул адрес в області — адреси, що залишилися після визначення області DHCP і діапазонів, що виключалися (адреси з пулу можуть бути динамічно призначені сервером DHCP-клієнтам в мережі);
  • Резервування — призначення DHCP-сервером певному мережевому вузлу постійної IP-адреси (резервування гарантує, що вказаний мережевий вузол завжди використовуватиме одну і ту ж IP-адресу).

Розглянемо технологію надання IP-адреси DHCP-сервером DHCP-клиентам

При завантаженні комп'ютера, налаштованого на автоматичне отримання IP-адреси, або при зміні статичної настройки IP-конфигурації на динамічну, а також при оновленні IP-конфигурації мережевого вузла відбуваються наступні дії:

  1. комп'ютер посилає широкомовний запит на оренду IP-адреси (точніше, на виявлення доступного DHCP-сервера, DHCP Discover);
  2. DHCP-сервери, що отримали даний запит, посилають даному мережевому вузлу свої пропозиції IP-адреса (DHCP Offer);
  3. клієнт відповідає на пропозицію, отриману першою, відповідному серверу, запитом на вибір IP-адреси, що орендується (DHCP Request);
  4. DHCP-сервер реєструє в своїй БД видану IP-конфігурацію (разом з ім'ям комп'ютера і фізичною адресою його мережевого адаптера) і посилає клієнтові підтвердження на оренду IP-адреси (DHCP Acknowledgement).

Даний процес зображений на рис. 1:

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\INTUIT_ru%20Курс%20Администрирование%20__%20Лекция%20№10%20Сетевые%20протоколы%20и%20службы.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-03.gif

Рисунок -  1.

Планування серверів DHCP

При плануванні серверів DHCP необхідно враховувати в першу чергу вимоги продуктивності і відмовостійкої (доступності) даної служби. Тому основні рекомендації при розгортанні служби DHCP в корпоративній мережі будуть наступними:

  • бажано в кожній IP-мережі встановити окремий DHCP-сервер;
  • якщо немає можливості встановити свій сервер в кожній IP-мережі, необхідно на маршрутизаторах, об'єднуючих IP-мережі, запустити і налаштувати агент ретрансляції DHCP-запитів (DHCP Relay Agent) так, щоб він пересилав широкомовні запити DHCP з підмережі, в якій немає DHCP-сервера, на відповідний DHCP-сервер, а на самому DHCP-сервері створити області для всіх обслуговуваних IP-мереж;
  • для підвищення відмовостійкої слід встановити декілька серверів DHCP, при цьому на кожному DHCP-сервері, окрім областей для "своїх" IP-мереж, необхідно створити області для інших підмереж (при цьому діапазони IP-адрес в таких резервних областях не повинні перетинатися з основними областями, створеними на серверах DHCP в "своїх" підмережах);
  • у великих IP-мережах DHCP-сервери повинні мати могутні процесори, достатньо великі об'єми оперативної пам'яті і швидкодіючі дискові підсистеми, оскільки обслуговування великої кількості клієнтів вимагає інтенсивної роботи з базою даних DHCP-сервера.

Установка і авторизація сервера DHCP

Установка служби DHCP виконується так само, як і установка будь-якої іншої компоненти Windows Server: "Пуск" — "Панель управління" — "Установки і видалення програм" — "Установки компонентів Windows" — "Мережеві служби" — кнопка "Склад" — вибрати пункт "DHCP" — кнопки "ОК", "Далі" і "Готово" (якщо буде потрібно, то вказати шлях до інсталяційного диску системи).

Для авторизації сервера DHCP в БД Active Directory необхідно запустити в розділі "Адміністрування" консоль управління службою DHCP. Консоль обов'язково слід запустити з обліковим записом користувача, що є членом групи "Адміністратори підприємства". Якщо ваш поточний робочий обліковий запис не входить до цієї групи, то для запуску консолі з відповідними повноваженнями необхідно клацнути правою кнопкою миші на ярлику консолі і вибрати пункт меню "Запуск від імені." (рис. 2), після чого вказати ім'я користувача, що є членом групи "Адміністратори підприємства" і ввести його пароль (рис. 3.).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-04.gif

Рисунок - 2.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-05.gif

Рисунок - 3.

Для авторизації сервера необхідно в консолі DHCP вибрати сервер, клацнути на імені сервера правою кнопкою миші і вибрати пункт меню "Авторизувати" (рис. 4.). Коли авторизація буде завершена, значок у імені сервера зміниться — замість червоної стрілки, направленої вниз, з'явиться зелена стрілка, направлена вгору.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-06.gif

Рисунок - 4.

Відмітимо, що подальші операції з DHCP-сервером не зажадають від адміністратора членства в групі "Адміністратори підприємства", досить бути локальним адміністратором даного сервера або членом групи "Адміністратори DHCP".

Задання параметрів DHCP-сервера

Створення області і настройка її параметрів

Створити область можна, клацнувши правою кнопкою миші на імені сервера і вибравши пункт меню "Створити область" (або вибравши аналогічний пункт в меню "Дія" консолі DHCP). Консоль запустить "Майстер створення області", який дозволяє по кроках визначити всі необхідні параметри:

  1. Ім'я і опис області. У великих мережах імена областей і задання їх короткого опису полегшує роботу адміністратора за рахунок наочнішого відображення в консолі всіх створених областей (рис. 5.).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-07.gif

Рисунок - 5.

  1. Визначення діапазону IP-адрес і маски підмережі (рис. 6.):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-08.gif

Рисунок - 6.

  1. Додавання виключень. На даному кроці задаються діапазони IP-адрес, який будуть виключені з процесу видачі клієнтам.
  2. Термін дії оренди. Стандартний термін дії — 8 днів. Якщо у вашій мережі рідко відбуваються зміни (додавання або видалення мережевих вузлів, переміщення мережевих вузлів з однієї підмережі в іншу), то термін дії можна збільшити, це скоротить кількість запитів на оновлення оренди. Якщо ж ваша мережа динамічніша, то термін оренди можна скоротити, це дозволить швидше повертати в пул вільних ті IP-адреси, які належали комп'ютерам, вже видаленим з даної підмережі.
  3. Далі майстер запропонує задати параметри, специфічні для вузлів IP-мережі, що відносяться до даної області:
    • маршрутизатор (основний шлюз; рис. 7.);

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-09.gif

Рисунок - 7.

  • адреси DNS-серверів (можна призначити декілька адрес; рис. 8.);

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-10.gif

Рисунок - 8.

  • адреса WINS-сервера (аналогічно серверу DNS; можна також призначити декілька адрес);
  1. Запит на активацію області. IP-адреси, задані в створеній області, не видаватимуться клієнтам, поки область не буде активована.  (рис. 9.):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-11.gif

Рисунок - 9.

  1. Натискаємо кнопку "Готово" і завершуємо роботу майстра. Область готова до використання.

Якщо які-небудь параметри (наприклад, адреси серверів DNS або WINS) є загальними для всіх областей, керованих даним DHCP-сервером, то такі параметри краще визначити не в розділі параметрів кожної області, а в розділі параметрів самого сервера (рис. 10.).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\2.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-12.gif

Рисунок - 10.

Налаштування DHCP-клієнтів

Клієнтом DHCP може бути практично будь-який мережевий пристрій, налаштований на автоматичне отримання IP-адреса. З операційних систем корпорації Microsoft клієнтом DHCP можуть бути всі системи, що мають стек TCP/IP (аж до системи MS-DOS).

Клієнти посилають запит на оренду IP-адреси при своєму першому завантаженні, при зміні настройки отримання IP-адреси із статичної на динамічну, а також за допомогою команд ipconfig /release (звільнення орендованої IP-адреси) і ipconfig /renew (запит на нову оренду).

Увага! Сервер DHCP обов'язково повинен мати статичні IP-адреси на всіх встановлених в ньому мережевих адаптерах.

Зауваження. За відсутності в мережі DHCP-сервера клієнти, налаштовані на автоматичну настройку IP-адреси самостійно призначатимуть собі IP-адреси з підмережі класу B, — 169.254.0.0/16. Дана технологія називається автоматичною IP-адресацією (APIPA, Automatic Private IP Addressing) і підтримується операційними системами Microsoft, починаючи з Windows 98.

Агент ретрансляції DHCP-запитів

Як вже розповідалося вище, один сервер DHCP може обслуговувати клієнтів, розташованих в різних IP-мережах. Щоб широкомовні запити на оренду IP-адреси досягали DHCP-сервера з будь-якої підмережі, необхідно на маршрутизаторах, об'єднуючих різні IP-мережі в єдину мережу, встановити і налаштувати агент ретрансляції DHCP (DHCP Relay Agent). Приклад такої конфігурації зображений на рис. 11.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\3.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-13.gif

Рисунок - 11.

У даному прикладі зображено дві IP-мережі класу C — 192.168.0.0/24 і 192.168.1.0/24. DHCP-сервер, (що має IP-адрес 192.168.0.121) встановлений в першій підмережі і містить 2 області — Scope-1 з діапазоном адрес 192.168.0.1–192.168.0.100 і Scope-2 з діапазоном адрес 192.168.1.1–192.168.1.100. Між двома підмережами встановлений маршрутизатор R, що має в першій підмережі мережевий інтерфейс з IP-адресом 192.168.0.101, а в другій підмережі мережевий інтерфейс з IP-адресом 192.168.1.101. На маршрутизаторі запушений агент ретрансляції DHCP-запитів, налаштований на перенаправлення широкомовних DHCP-запитів на сервер з IP-адресою 192.168.0.121.

Клієнти DHCP, що знаходяться в першій підмережі, посилають широкомовні запити на оренду IP-адреси, які безпосередньо потрапляють на DHCP-сервер.

Клієнти DHCP, що знаходяться в другій підмережі, також посилають широкомовні запити на оренду IP-адреси, які не можуть безпосередньо потрапити на DHCP-сервер, оскільки маршрутизатори не пропускають широкомовні пакети з однієї підмережі в іншу. Але якщо широкомовний пакет є запитом на оренду IP-адреси, то агент ретрансляції перехоплює даний пакет і пересилає його безпосередньо на DHCP-сервер. DHCP-сервер, побачивши від агента ретрансляції, що запит прийшов з другої підмережі, видає клієнтові IP-адресу з пулу адрес, заданих в другій області.

Служба WINS

Служба WINS (Windows Internet Name Service) виконує завдання, аналогічні завданням служби DNS, — динамічна реєстрація імен комп'ютерів і інших мережевих вузлів і їх IP-адрес в БД сервера WINS і розіменовує імена комп'ютерів в IP-адреса. Головна відмінність в тому, що WINS функціонує в абсолютно іншому просторі імен, т.е. просторі імен NETBIOS, яке ніяк не перетинається з простором FQDN-імен, в якому працює служба DNS. З цієї причини службу WINS ще інакше називають NETBIOS Name Service (NBNS). До появи системи Windows 2000 мережевий програмний інтерфейс NETBIOS був основним мережевим інтерфейсом для обміну даними між комп'ютерами в мережах на базі технологій Microsoft (технологія SMB — надання сумісного доступу до файлів і друку — працювала тільки за допомогою мережевого інтерфейсу NETBIOS), і тому служба WINS була основною службою перетворення імен комп'ютерів в IP-адреси. Після виходу Windows 2000 служба файлів і друку може працювати без NETBIOS, і основною технологією переводу імен в IP-адреси стала служба DNS. Якщо у вашій мережі немає операційних систем Windows 95/98/ME/NT, то вам служба WINS може взагалі не знадобитися.

Простір імен NETBIOS

Імена NETBIOS не утворюють ніякої ієрархії в своєму просторі, це простій лінійний список імен комп'ютерів. Імена комп'ютерів складаються з 15 видимих символів плюс 16-й службовий символ. Якщо видимих символів менше 15, то символи, що залишилися, заповнюються нулями (не символ нуля, а байт, що складається з двійкових нулів). 16-й символ відповідає службі, що працює на комп'ютері з даним ім'ям.

Проглянути список імен NETBIOS, які є на даному комп'ютері, можна за допомогою команди "Nbtstat – n".

Розглянемо приклад на рис. 12. На малюнку зображено виведення команди "Nbtstat –n" на сервері.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\3.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-14.gif

Рисунок -  12.

У кутових дужках вказаний шістнадцятковий код 16-го службового символу якого-небудь імені. Наприклад, ім'я DC1 і 16-й символ "00" відповідають службі "Робоча станція", яка виконує роль клієнта при підключенні до ресурсів файлів і друку, що надаються іншими комп'ютерами мережі. А ім'я DC1 і символ з кодом "20" відповідають службі "Сервер", яка надає ресурси файлів і друку даного сервера для інших комп'ютерів мережі.

Ім'я "..__MSBROWSE__." говорить про те, що даний комп'ютер є Оглядачем мережевого оточення по протоколу TCP/IP. Тобто якщо на якому-небудь комп'ютері з системою Windows відкрити "Мережеве оточення", то даний комп'ютер запрошуватиме список комп'ютерів, згрупованих в мережевій робочій групі WORLD, саме з сервера DC1.

Всі ці імена, перераховані в даній таблиці, автоматично реєструватимуться в базі даних сервера WINS після того, як даний сервер буде встановлений в мережі і даний комп'ютер стане клієнтом сервера WINS.

Установка служби WINS

Установка служби WINS виконується по тій же схемі, що і установка служби DHCP: "Пуск" — "Панель управління" — "Установки і видалення програм" — "Установки компонентів Windows" — "Мережеві служби" — кнопка "Склад" — вибрати пункт "WINS" — кнопки "ОК", "Далі" і "Готово" (якщо буде потрібно, то вказати шлях до дистрибутива системи).

Налаштування клієнта WINS

Налаштування мережевих комп'ютерів для використання ними сервера WINS необхідно у Властивостях протоколу TCP/IP на закладці "WINS" вказати IP-адреси використовуваних в мережі WINS-серверів (для вузлів із статичними IP-адресами; рис. 13) або додати необхідні параметри у властивостях відповідної області сервера DHCP (для вузлів з динамічними IP-адресами).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\3.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-15.gif

Рисунок -  13.

Клієнт після таких змін зробить спробу автоматичної реєстрації своїх даних на сервері WINS. Автоматична реєстрація клієнта на WINS-сервері здійснюється також в процесі завантаження системи на комп'ютері або командою "Nbtstat – RR".

Проглядання записів, зареєстрованих в БД сервера WINS

Для проглядання записів, що зберігаються в БД WINS-сервера, необхідно відкрити консоль управління WINS, розкрити в консолі вузол, що відноситься до даного сервера, клацнути правою кнопкою миші на розділі "Активні реєстрації" і вибрати "Відобразити записи" (рис. 14):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\3.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-16.gif

Рисунок - 14.

Потім натиснути кнопку "Знайти" (рис. 15.):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\3.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-17.gif

Рисунок - 15.

На екрані консолі буде таблиця, зображена на рис. 16:

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\3.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-18.gif

Рисунок -  16.

Якщо система, підтримуюча NETBIOS, при цьому не підтримує автоматичну реєстрацію в БД WINS-сервера, мережевий адміністратор може занести в БД сервера WINS статичні записи для таких комп'ютерів.

Процес розіменовки в просторі NETBIOS

Коли один комп'ютер намагається використовувати ресурси, що надаються іншим комп'ютером через інтерфейс NETBIOS поверх протоколу TCP/IP, то перший комп'ютер, званий клієнтом, спочатку повинен визначити IP-адрес другого комп'ютера, званого сервером, по імені цього комп'ютера. Це може бути зроблено одним з трьох способів:

  • широкомовний запит;
  • звернення до локальної бази даних NetBIOS-имен, що зберігається у файлі LMHOSTS (цей файл зберігається в тій же директорії, що і файл hosts, що відображає FQDN-імена);
  • звернення до централізованої БД імен NETBIOS, що зберігається на сервері WINS.

Залежно від типу вузла NETBIOS, з’ясування імені здійснюється за допомогою різних комбінацій перерахованих способів:

  • b-вузол (broadcast node, широкомовний вузол) — перетворює імена в IP-адреси за допомогою широкомовних повідомлень (комп'ютер, якому потрібно вияснити ім'я, розсилає по локальній мережі широкомовне повідомлення із запитом IP-адреси по імені комп'ютера);
  • p-вузол (peer node, вузол "крапка — крапка") — перетворює імена в IP-адреса за допомогою WINS-сервера (коли клієнтові потрібно перетворити ім'я комп'ютера в IP-адрес, клієнт відправляє серверу ім'я, а той у відповідь посилає адресу);
  • m-вузол (mixed node, змішаний вузол) — комбінує запити b- і р-вузла (WINS-клієнт змішаного типу спочатку намагається застосувати широкомовний запит, а у разі невдачі звертається до WlNS-серверу; оскільки дозвіл імені починається з широкомовного запиту, m-узел завантажує мережу широкомовним трафіком так само, що і b-узел);
  • h-вузол (hybrid node, гібридний вузол) — також комбінує запити b-вузла і р-вузла, але при цьому спочатку використовується запит WINS-серверу і лише у разі невдачі починається розсилка широкомовного повідомлення, тому в більшості мереж h-вузли працюють швидше і менше засмічують мережу широкомовними пакетами.

З погляду продуктивності, об'єму мережевого трафіку і надійності процесу розіменування NetBIOS-імен найефективнішим є h-вузол.

Якщо у властивостях протоколу TCP/IP Windows-комп’ютера немає посилання на WINS-сервер, то даний комп'ютер є b-вузлом. Якщо у властивостях протоколу TCP/IP є посилання хоч би на один WINS-сервер, то даний комп'ютер є h-вузлом. Інші типи вузлів настроюються через реєстр системи Windows.

Реплікація WINS-серверів

У великих мережах для розподілу навантаження по реєстрації і з’ясування NetBIOS-імен необхідно використовувати декілька серверів WINS (рекомендації Microsoft — один WINS-сервер на кожних 10000 мережевих вузлів). При цьому одна частина клієнтів буде налаштована на реєстрацію і звернення для визначення імен на один WINS-сервер, інша частина — на другий сервер і так далі Для того, щоб всі сервери WINS мали повну інформацію всіх наявних в корпоративній мережі NetBIOS-вузлах, необхідно налаштувати реплікацію баз даних серверів WINS між собою. Після завершення реплікації кожен сервер WINS матиме повний список NetBIOS-вузлів всієї мережі. І будь-який клієнт, реєструючись на "найближчому" до нього WINS-сервері, при цьому може послати запит "своєму" серверу на з’ясування імен NetBIOS-вузлів, зареєстрованих не тільки на даному WINS-сервері, але і на решті всіх серверів WINS.

Важливе зауваження. Клієнти з системами Windows 2000/XP/2003 для перетворення імен завжди використовують в першу чергу запити до серверів DNS, навіть якщо мова йде про простір імен NETBIOS.

Служба RRAS

Служба RRAS (Routing and Remote Access Service, Служба Маршрутизації і Віддаленого Доступу) — служба системи Windows Server, що дозволяє вирішувати наступні завдання:

  • підключення мобільних (або домашніх) користувачів до корпоративної мережі через комутовані телефонні лінії і інші засоби комунікацій (наприклад, мережі Frame Relay, X.25);
  • підключення до мережі головного офісу компанії віддалених офісів (через телефонні лінії і мережі Frame Relay, X.25);
  • організація захищених з'єднань (віртуальні приватні мережі) між мобільними користувачами, підключеними до мереж загального користування (наприклад, Інтернет), і корпоративною мережею;
  • організація захищених з'єднань між офісами компанії, підключеними до мереж загального користування;
  • маршрутизація мережевого трафіку між різними підмережами корпоративної мережі, сполученими як за допомогою технологій локальних мереж, так і за допомогою різних засобів віддалених комунікацій (наприклад, по комутованих телефонних лініях).

Служба RRAS володіє багатим набором функцій і можливостей. В рамках даного курсу ми розглянемо базові функції і можливості даної служби, які в першу чергу необхідно знати будь-якому мережевому адміністратору.

Служби віддаленого доступу, реалізовані різними виробниками, використовують два основні комунікаційні протоколи, які утворюють рівень, проміжний між засобами комунікацій (комутовані телефонні лінії, Frame Relay, X.25) і мережевими протоколами (TCP/IP, IPX/SPX):

  • протокол SLIP (Serial Line Interface Protocol) — достатньо старий протокол, реалізований переважно на серверах віддаленого доступу, що функціонують в системах сімейства UNIX (розроблений спеціально для підключення користувачів до мережі Інтернет); системи сімейства Windows підтримують даний протокол тільки на клієнтській частині (SLIP дозволяє працювати тільки з мережевим стеком TCP/IP, вимагає написання спеціальних сценаріїв для підключення клієнта до сервера, не дозволяє створювати віртуальні приватні мережі);
  • протокол PPP (Point-to-Point Protocol) — використовуваний повсякде комунікаційний протокол (точніше, сімейство протоколів), що дозволяє користувачам прозоро підключатися до сервера віддаленого доступу, використовувати різні мережеві протоколи (TCP/IP, IPX/SPX, NETBEUI, AplleTalk), створювати віртуальні приватні мережі (служба віддаленого доступу серверів Windows використовує саме цей комунікаційний протокол).

Почнемо з прикладу, що показує процес установки початкового налаштування служби, і обговоримо термінологію, технології, а також всі необхідні нам параметри, функції і можливості даної служби.

Установка і первинне налаштування служби RRAS

Службу RRAS не потрібно додавати через вікно додавання Компонент Windows. Ця служба встановлюється при установці системи, але за замовчанням вона відключена. Її необхідно включити і налаштувати.

Натиснемо кнопку "Пуск", виберемо "Всі програми" — "Адміністрування" — "Маршрутизація і видалений доступ". Відкриється консоль управління службою RRAS, виберемо у вікні консолі ім'я сервера, клацнемо правою кнопкою миші і виберемо пункт меню "Налаштувати і включити маршрутизацію і віддалений доступ". Запуститься Майстер встановлення сервера маршрутизації і віддаленого доступу:

  1. Спочатку майстер просить вибрати один з сценаріїв використання служби RRAS (рис. 17). Для нашого прикладу виберемо варіант "Особлива конфігурація" (щоб побачити всі можливості служби).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-19.gif

Рисунок -  17.

  1. Далі для варіанту "Особлива конфігурація" треба вибрати потрібні нам функції служби (відзначимо всі варіанти; рис. 18).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-20.gif

Рисунок -  18.

  1. Натиснемо кнопку "Готово". Майстер запитає, чи запустити службу відразу після налаштування, натиснемо кнопку "Так". Вікно консолі управління службою прийме вигляд, зображений на рис. 19.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-21.gif

Рисунок - 19.

Нам для вивчення служби RRAS буде потрібно не всі встановлені компоненти, тому ми частину компонент розглянемо оглядово, а частину просто видалимо з консолі.

Налаштування прав користувачів для підключення до сервера віддаленого доступу

За відсутності сервера RADIUS (див. нижче) дозвіл на підключення користувача до серверів віддаленого доступу визначається комбінацією Властивостей користувача і Політик віддаленого доступу, що налаштовуються індивідуально для кожного сервера віддаленого доступу.

Якщо домен Active Directory працює в змішаному режимі, то дозволи на віддалений доступ визначаються тільки у Властивостях користувача на закладці "Вхідні дзвінки" (Dial-In). При цьому є тільки два варіанти — дозволити або заборонити (рис. 20). за замовчанням для кожного нового користувача задається заборонне правило. Окрім дозволу/заборони можна також налаштувати Зворотний виклик сервера (Call-back). Тут є три варіанти:

  • "У відповідь виклик не виконується" — при підключенні користувача до сервера віддаленого доступу спочатку встановлюється телефонне з'єднання між модемом користувача і модемом клієнта, якщо доступ дозволений, то встановлюється мережеве з'єднання і користувач отримує можливість працювати в мережі;
  • "Вирішується викликаючим" — в цьому варіанті після встановлення телефонного з'єднання між модемами і перевірки прав доступу система запитає у клієнта ввести номер телефону, з якого підключається даний клієнт, після цього сервер розриває зв'язок і вже самостійно проводить з'єднання з клієнтом по тому номеру телефону, який повідомив цей користувач (даний варіант зручний для мобільних користувачів — користувач економить на телефонному дзвінку і підвищується захищеність доступу, оскільки в ідеалі ніхто, окрім користувача, не повинен знати номер телефону, з якого користувач ініціював з'єднання);
  • "Завжди по цьому номеру" (з вказівкою номера телефону) — даний варіант схожий на попередній, тільки номер телефону вже введений в параметри користувача і сервер передзвонюватиме саме на даний номер (цей варіант буде цікавий домашнім користувачам — тут теж користувач економить на телефонному дзвінку і, крім того, додатковий захист — зловмисникові важко буде підключитися до сервера, навіть якщо йому відомі ім'я і пароль користувача).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-22.gif

Рисунок - 20.

Якщо домен працює в основному режимі Windows 2000 або Windows 2003, то можна або в явному вигляді вирішувати або забороняти доступ до серверів віддаленого доступу, причому до всіх відразу, або настроювати параметри політики віддаленого доступу (рис. 21). Відмітимо, що явні дозволи або явна заборона мають вищий пріоритет, ніж Політики віддаленого доступу.

У основному режимі у Властивостях користувача стають доступні додаткові параметри:

  • "Перевіряти код що дзвонить" (Caller ID) — якщо оператор телефонного зв'язку передає модему номер телефону, з якого був проведений дзвінок, то сервер вирішуватиме підключення тільки при виклику з даного номера (це ще один рівень захисту від зловмисників);
  • "Статична IP-адреса користувача" — при встановленні з'єднання користувачеві призначається фіксована IP-адреса;
  • "Використовувати статичну маршрутизацію" — при встановленні з'єднання користувачеві пересилається вказаний список маршрутизаторів.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-23.gif

Рисунок - 21.

Настройка Властивостей сервера

Знову виберемо у вікні консолі ім'я сервера, клацнемо правою кнопкою миші і виберемо пункт меню "Властивості".

  1. 1. На закладці "Загальні" можна змінити сценарії використання служби:
    • тільки як маршрутизатор (або тільки для локальної мережі, або для локальної мережі і віддалених мереж, підключених через засоби віддалених комунікацій);
    • тільки як сервер віддаленого доступу;
    • комбінація обох варіантів.
  2. На закладці "Безпека" налаштовується використовувані методи перевірки достовірності (аутентифікації) користувачів, що підключаються до служби віддаленого доступу. Служба RRAS системи Windows Server підтримує наступні методи аутентифікації (по ступеню зростання захищеності даної процедури):
    • без перевірки достовірності — при даному варіанті взагалі не перевіряються ім'я і пароль користувача, а також права доступу користувача до служби RRAS (у жодному випадку не рекомендуємо використовувати на практиці даний метод, оскільки він відкриває можливість підключення до корпоративної мережі будь-якому користувачу, який має інформацію про точку підключення, наприклад, номера телефонів на модемному пулі);
    • протокол PAP (Password Authentication Protocol) — найпростіший протокол, успадкований від старих версій служб віддаленого доступу (реалізованих не тільки в системі Windows), при даному протоколі ім'я і пароль користувача передаються через засоби комунікацій відкритим текстом, за замовчанням даний метод аутентифікації відключений;
    • протокол SPAP (Shiva Password Authentication Protocol) — використовує протокол шифрування паролів, розроблений компанією Shiva (у минулому — один з розробників засобів віддаленого доступу), алгоритм шифрування паролів слабкіший, ніж в методах CHAP і MS CHAP, за замовчанням цей метод також відключений;
    • протокол CHAP (Challenge Handshake Authentication Protocol) — для шифрування пароля використовується метод хешування MD-5 (по мережі передається значення хэш-функції пароля), даний протокол є одним з галузевих стандартів і реалізований в багатьох системах віддаленого доступу, його рекомендується використовувати при підключенні клієнтів, що працюють не на платформі Windows, за замовчанням також відключений;
    • протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — версія протоколу CHAP, реалізована корпорацією Microsoft з хэш-функцією MD-4;
    • протокол MS-CHAP версії 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — посилена версія MS CHAP (довший ключ шифрування при передачі пароля, обчислення нового ключа при кожному новому сеансі підключення, взаємна аутентифікація користувача і сервера віддаленого доступу);
    • протокол розширеної перевірки достовірності ЕАР (Extensible Authentication Protocol) — дозволяє використання смарт-карт при аутентифікації користувача (потрібні сертифікати як для сервера RRAS, так і для користувачів).

Клієнт віддаленого доступу, наявний в системах Windows, при підключенні до сервера віддаленого доступу завжди починають використовувати найзахищеніший метод аутентифікації. Якщо на сервері не реалізований запрошуваний протокол аутентифікації, клієнт пробує менш захищений протокол. І так до тих пір, поки не буде підібраний протокол, підтримуваний обома сторонами.

Окрім вказаних протоколів можна здійснювати підключення до служби RRAS за допомогою служби RADIUS (розглянемо нижче).

На цій же закладці настроюється використання служби обліку сеансів користувачів (служба обліку Windows, служба обліку RADIUS, або відсутність служби обліку), за умовчанням — служба обліку Windows.

І тут же задається загальний секрет при використанні протоколу L2TP для організації віртуальних приватний мереж (VPN). Можливість використання загального секрету для VPN на базі протоколу L2TP є тільки в Windows Server 2003, у версії Windows 2000 протокол L2TP можна було використовувати тільки за наявності сертифікатів для обох сторін приватної мережі.

  1. На закладці "IP" настроюється дозвіл маршрутизації IP-пакетів між комп'ютером клієнта і корпоративною мережею (за замовчанням) і задається спосіб формування пулу IP-адрес, що видаються RRAS-сервером клієнтам, що підключаються до нього.

Є два способи формування пулу — використання сервера DHCP, встановленого в корпоративній мережі, і завдання пулу IP-адрес на самому сервері віддаленого доступу (при цьому способі 1-а IP-адреса з пулу буде призначена інтерфейсу "Внутрішній" на самому сервері RRAS, а адреси, що залишилися в пулі, призначатимуться RRAS-клиентам)

  1. Закладка "PPP". Тут дозволяється або забороняється використання багатоканальних підключень протоколу PPP (multilink PPP). Протокол PPP дозволяє використовувати декілька комунікаційних каналів (наприклад, декілька комутованих телефонних ліній і, відповідно, одночасне використання декількох модемів на серверній і на клієнтській стороні) як одне підключення з відповідним збільшенням пропускної спроможності і призначенням по одному IP-адресу на стороні клієнта і сервера. При цьому можливе використання динамічного управління пропускною спроможністю (за допомогою протоколів BAP/BACP, Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), які дозволяють при зростанні трафіку активізувати додаткові телефонні лінії з наявного пулу телефонних ліній, а при зменшенні трафіку — відключати телефонні лінії.
  2. Закладка "Ведення журналу". На цій закладці налаштовуються рівень протоколювання подій, пов'язаних з сеансами роботи віддалених користувачів.

Використання служби RADIUS

Служба RADIUS (Remote Authentication Dial-in User Service) є проміжною ланкою між сервером віддаленого доступу (який в даному випадку називають клієнтом RADIUS) і службою каталогів в корпоративній мережі. Сервер RADIUS дозволяє вирішити два основні завдання:

  • інтеграція в єдину систему серверів віддаленого доступу від різних виробників;
  • централізоване управління доступом в корпоративну мережу (служба RRAS в системі Windows Server настроюється індивідуально для кожного сервера RRAS).

Служба RADIUS працює за наступною схемою:

  1. спочатку встановлюється телефонне (або інше) з'єднання між клієнтом і сервером видаленого доступу;
  2. користувач пересилає серверу RAS запит на аутентифікацію (свої ім'я і пароль);
  3. сервер віддаленого доступу (що є клієнтом сервера RADIUS) пересилає даний запит серверу RADIUS;
  4. сервер RADIUS перевіряє запит на аутентифікацію в службі каталогів (наприклад, в службі Active Directory) і посилає у відповідь RAS-серверу дозвіл або заборону даному користувачеві на підключення до сервера віддаленого доступу;
  5. сервер віддаленого доступу або підключає користувача до корпоративної мережі, або видає відмову в підключенні.

Реалізація служби RADIUS в системі Windows Server називається службою IAS (Internet Authentication Service).

Розділ "Інтерфейси мережі" консолі "Маршрутизація і видалений доступ"

У даному розділі консолі перераховуються всі мережеві інтерфейси, встановлені на сервері (мережеві адаптери, модеми). Нагадаємо, що інтерфейс "Внутрішній" — це інтерфейс, до якого підключаються всі клієнти віддаленого доступу, незалежно від типу підключення (по комутованих телефонних лініях, через віртуальну приватну мережу і так далі).

Розділ "Клієнти видаленого доступу" консолі "Маршрутизація і віддалений доступ"

У даному розділі здійснюється моніторинг в реальному часі клієнтів, що підключилися до сервера віддаленого доступу.

Розділ "Порти" консолі "Маршрутизація і видалений доступ"

У розділі "Порти" перераховуються всі доступні точки підключення до служби віддаленого доступу:

  • паралельний порт (для прямого з'єднання двох комп'ютерів через порт LPT);
  • модеми, доступні для служби віддаленого доступу;
  • порти, доступні для підключень за допомогою віртуальних приватних мереж (якщо адміністратор при налаштуванні сервера вказав, що використовуватимуться віртуальні приватні мережі, то на сервер автоматично додаються по 128 портів для кожного з протоколів PPTP і L2TP, надалі адміністратор може змінити кількість портів, доступних для того або іншого протоколу).

Розділ "IP-маршрутизація" консолі "Маршрутизація і віддалений доступ"

У цьому розділі додаються, видаляються і настроюються як статичні маршрути, так і необхідні динамічні протоколи маршрутизації:

  • Агент ретрансляції DHCP-запитів (DHCP Relay Agent) — використання агента ретрансляції запитів DHCP детально обговорювалося в пункті, присвяченому службі DHCP, налаштування даного агента проводиться саме в даному розділі служби RRAS;
  • Протокол IGMP — даний протокол призначений для маршрутизації multicast-пакетів протоколу TCP/IP (даний вид пакетів і адреса використовується в основному при передачі мультимедіа-інформації);
  • Служба трансляції мережевих адрес (NAT, Network Address Translation) — дана служба дозволяє обмінюватися інформацією між мережами з внутрішніми IP-адресами і мережами з адресами, зареєстрованими в мережі Інтернет (спрощений варіант проксі-сервера);
  • Протокол RIP версії 2 для IP — протокол динамічної маршрутизації IP-пакетіов;
  • Протокол OSPF (Open Shortest Path First) — також протокол динамічної маршрутизації IP-пакетів, складніший в налаштуванні в порівнянні з RIP, але ефективніший у великих мережах.

Докладне вивчення протоколів маршрутизації виходить за рамки даного курсу.

Віртуальні приватні мережі

Віртуальні приватні мережі (Virtual Private Networks) — технологія створення захищених підключень між комп'ютерами, підключеними до публічних мереж (наприклад, до мережі Інтернет).

Розглянемо приклад на рис. 22. Допустимо, якийсь мобільний користувач бажає підключитися до корпоративної мережі. Він може це зробити, підключившись до корпоративного сервера віддаленого доступу по комутованій телефонній лінії. Проте, якщо користувач знаходиться в іншому місті або навіть іншій країні, такий дзвінок може обійтися дуже дорого. Може вийти значно дешевше підключитися до мережі Інтернет через місцевого Інтернет-провайдера. Корпоративна мережа, у свою чергу, теж має своє підключення до Інтернет. В цьому випадку потрібно вирішити два завдання:

  • як дістати доступ в корпоративну мережу (у даному прикладі IP-адреса корпоративної мережі належать до діапазону внутрішніх адрес і пакети від мобільного користувача не зможуть потрапити в цю мережу);
  • як захистити дані, передавані через інтернет (всі мережеві пакети, передавані через інтернет, містять інформацію у відкритому тексті, і грамотний зловмисник може перехопити пакети і витягувати з них інформацію).

Обидва ці завдання вирішуються створенням VPN-подключений між віддаленим користувачем і сервером віддаленого доступу. У даному прикладі користувачеві необхідно створити ще одне підключення, але не через модем, а через "Підключення до віртуальної приватної мережі". При цьому як "телефонний номер" виступить IP-адреса зовнішнього інтерфейсу сервера віддаленого доступу.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-24.gif

Рисунок - 22.

Процес створення підключення виглядає таким чином:

  1. Запускаємо Майстер нових підключень (кнопка "Пуск" — "Панель управління" — "Мережеві підключення" — "Майстер нових підключень")
  2. Вибираємо тип мережевого підключення — "Підключити до мережі на робочому місці" (рис. 23):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-25.gif

Рисунок - 23.

  1. Вибираємо спосіб мережевого підключення — "Підключення до віртуальної приватної мережі" (рис. 24):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-26.gif

Рисунок - 24.

  1. Задаємо ім'я підключення.
  2. Указуємо VPN-сервер (ім'я або IP-адресу; у даному прикладі — 217.15.1.2; рис. 25):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-27.gif

Рисунок - 25.

  1. Визначаємо доступність ярличка цього підключення (для даного користувача або для всіх користувачів).
  2. Натискаємо кнопку "Готово".
  3. Вводимо ім'я і пароль користувача, натискаємо кнопку "Підключення" (рис. 26):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-28.gif

Рисунок - 26.

Якщо всі налаштування зроблені правильно, то буде встановлено з'єднання з корпоративним сервером віддаленого доступу. Мережева конфігурація буде така, як зображено на рис. 27:

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-29.gif

Рисунок - 27.

Між ПК мобільного користувача і сервером віддаленого доступу буде встановлений захищений "віртуальний" канал, клієнтський ПК отримає IP-адресу з пулу адрес сервера RRAS (таким чином буде вирішено завдання маршрутизації IP-пакетів між клієнтом і корпоративною мережею), всі пакети, передавані між клієнтом корпоративною мережею, шифруватимуться.

Аналогічно можна створити захищене віртуальне підключення між двома офісами корпоративної мережі, підключеними до різних Інтернет-провайдерів (рис. 28):

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\5.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-30.gif

Рисунок - 28.

 

Технології віртуальних приватних мереж

Для створення віртуальних приватних мереж в системах сімейства Windows використовуються два різні протоколи — PPTP розробки корпорації Microsoft (Point-to-Point Tunneling Protocol) і L2TP, що об'єднав кращі риси протоколів PPTP і L2F компанії Cisco (Level 2 Tunneling Protocol). Основний принцип роботи обох протоколів полягає в тому, що вони створюють захищений "тунель" між користувачем і корпоративною мережею або між двома підмережами. Тунелювання полягає в тому, що пакети, передавані в захищеній мережі, забезпечуються спеціальними заголовками (у обох протоколів свої заголовки), вміст даних в цих пакетах шифрується (у PPTP — алгоритмом MPPE компанії Microsoft, в L2TP — технологією IPSec), а потім пакет, призначений для захищеної корпоративної мережі і заголовоки з IP-адресами внутрішньої корпоративної мережі, інкапсулюється в пакет, передаваний по мережі Інтернет і відповідний заголовок, що має, і IP- адреси відправника і одержувача.

Відмінності між двома протоколами наступні:

  • алгоритми шифрування (MPPE для PPTP, IPSec для L2TP);
  • транспортне середовище (PPTP працює тільки поверх протоколу TCP/IP, L2TP може працювати також поверх протоколів X.25, Frame Relay, АТМ, хоча реалізація L2TP в системі Windows працює тільки поверх TCP/IP);
  • L2TP здійснює взаємну аутентифікацію обох сторін, що беруть участь в створенні захищеної мережі, для це використовуються сертифікати X.509 або загальний секрет (preshared key). Загальний секрет (попередній ключ) реалізований починаючи з версії Windows 2003, встановлюється у Властивостях служби RRAS на закладці "Безпека" (рис. 29).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\6.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-31.gif

Рисунок - 29.

 

Політики віддаленого доступу

Як вже згадувалося вище, в основному режимі домена Windows 2000/2003 дозволами на підключення до служби віддаленого доступу можна управляти з допомогою політик віддаленого доступу. Нагадаємо, що політики віддаленого доступу застосовуються до облікового запису користувача при його спробі підключитися до служби віддаленого доступу тільки в тому випадку, якщо у Властивостях цього облікового запису вказано "Управління на основі політики віддаленого доступу". Якщо в явному вигляді вказаний дозвіл або заборона підключення, то політики не перевіряються.

Кожна політика складається з трьох компонент:

  • Умови (Conditions) — визначаються умови підключення користувача (у мережах на базі MS Windows Server найцікавіші умови — день тижня і час, а також членство в певній групі);
  • Профіль (Profile) — визначає параметри підключення (наприклад, тип аутентифікації або вид комунікацій);
  • Дозволи (Permissions) — вирішити або заборонити підключення.

На початку перевірки політики завжди перевіряються умови — якщо жодне з умов не співпадає з параметрами облікового запису користувача, то відбувається перехід до наступної політики. Якщо умови співпали, то перевіряються параметри профілю підключення, якщо параметри політики і користувача не співпадають, то також відбувається перехід до наступної політики. Якщо ж параметри профілю співпали і дана політика дозволяє підключення, то користувачеві видається дозвіл на підключення до сервера віддаленого доступу. Якщо ж політика забороняє підключення, то користувачеві видається відмова на підключення до сервера.