Administrarea Reţelelor de Calculatoare [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

CAPITOLUL 1 Introducere în managementul reŃelelor digitale integrate de comunicaŃii şi calculatoare Tema are ca scop cunoaşterea unor noŃiuni şi concepte de bază privind administrarea reŃelelor de comunicaŃii şi calculatoare. Sunt definite conceptele de administrare a reŃelelor, obiectivele administrării, factorii implicaŃi în administrare, domeniile funcŃionale acoperite de administare. După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte: • Ce reprezintă activitatea de administrare a reŃelelor • Ce funcŃii asigură activitatea de administrare de reŃea • Care este structura ierarhică a sistemului de management • Detalii referitoare la conŃinutul domeniilor de management - Managementul configurării - Managementul defectelor - Managementul performanŃelor - Managementul securităŃii

Cuprins 1.1 Ce este managementul reŃelelor? 1.2 Structurarea ierarhică a sistemului de management 1.3 Ariile funcŃionale ale managementului reŃelelor de telecomunicaŃii 1.4 Rezumat Cuvinte cheie: management de reŃea, arie de management, serviciu de reŃea, element de reŃea, planificare, configurare, defectare, trestare, monitorizare, alarmă, sistem de operare, aplicaŃie de management Bibliografie [1] Vonica Ion- Managementul reŃelelor integrate de telecomunicaŃii, Teză de doctorat, UPB, Bucureşti, 2002 [4] Parker T., Sportak - M. TCP/IP, Editura Teora, Bucuresti, 2002 [5] Praoveanu I. – ReŃele de calculatoare, Editura Univ. T. Maiorescu, Bucureşti, 2009 [6] Cisco Systems – CCNA2: Routers and Router Basics v3.1, 2005 1

[7] Halsall F. – Data Communications, Computer Networks and Open Systems, Fourth Edition, Addison-Wesley, 1996 [8] Mayers M. - Manual Network. Administrarea şi depanarea reŃelelor, Editura Rosetti Educational, Bucureşti, 2006

Materialul trebuie parcurs în ordinea sa firească prezentată în continuare, inclusiv în porŃiunea referitoare la aplicaŃii. Se recomandă conspectarea şi notarea ideilor principale şi consultarea Internetului pentru detalii şi informaŃii suplimentare. Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 3 ore.

1.1 Ce este managementul reŃelelor? ActivităŃile de management al reŃelelor presupun desfăşurarea şi coordonarea resurselor acestora în vederea planificării, operării, administrării, analizării, evaluării, proiectării şi extinderii reŃelelor, astfel încât să fie asigurate permanent serviciile propuse, cu un cost rezonabil şi la o capacitate optimă. Ce face managementul de reŃea?  asigurarea permanentă a serviciilor oferite utilizatorului final  capabilitatea de a ocoli sau înlocui automat elementele de reŃea defecte.  capabilitatea reŃelei de a fi operaŃională chiar dacă o parte importantă a resurselor acesteia se defectează  capabilitatea de a monitoriza şi diagnostica permanent condiŃiile funcŃionale şi operaŃionale la nivelul întregii reŃele  analiza în timp real a performanŃelor reŃelei,  asigurarea unei interfeŃe cu utilizatorul în timp real,  furnizarea unei puternice baze de date pentru managementul reŃelei,  păstrarea în baza de date a istoricului funcŃional al reŃelei şi a statisticilor efectuate automat în timpul funcŃionării.  asigurarea unui timp de răspuns mic la schimbările survenite în aplicaŃii, în configuraŃia abonaŃilor, a dispozitivelor, în politica de tarifare şi de servicii; 2

 scalabilitatea şi reconfigurarea dinamică a capacităŃilor reŃelei pe baza utilizării intensive a tehnicilor de management al lărgimii de bandă;  asigurarea securităŃii datelor, aplicaŃiilor, utilizatorilor la nivelul întregii reŃele,  integrarea managementului de reŃea  respectarea standardelor internaŃional acceptate; Principalii factori care contribuie la îndeplinirea obiectivelor enunŃate sunt:  resursele umane implicate  instrumentele hardware şi software folosite  procesele managementului

şi

procedurile

care

stabilesc

modul

de

realizare

a

1.2 Structurarea ierarhică a sistemului de management Manager de reŃea

Nivelul 3 Nivelul 2

Nivelul 1

Integrator al sistemelor de management Sisteme de management ale elementelor de reŃea Elemente de reŃea

Fig. 1.1 Organizarea ierarhică a managementului de reŃea

Elemente de reŃea trebuie să aibă implementate capabilităŃi utile managementului de reŃea, cum ar fi, de exemplu, furnizarea de informaŃii privitoare la propria lor stare sau propriile lor performanŃe.

3

Pentru aceasta, sunt necesare dispozitive de monitorizare incluse în acestea, capabile să genereze automat sau la cerere anumite informaŃii, ca de exemplu: rapoarte, avertizări sau alarme. În cele mai multe cazuri, mai ales la noile generaŃii de elemente de reŃea, acestea sunt prevăzute cu asemenea facilităŃi.

Nivelul serviciilor

Utilizarea resurselor

Rapoarte serviciu

Nivelul convenit al serviciilor

BDC BDP

BD cu configuraŃia reŃelei

Rapoarte defectări

Rapoarte de tarifare

OBS: În cazul absenŃei acestora, pot fi ataşate dispozitive externe de monitorizare, capabile să realizeze funcŃii de mamagement.

CapacităŃi de proiectare şi configurare a reŃelei

Sistem integrator de management (OS)

BD

BD

SMER

SMER

SMER

BD

BD cu performanŃele reŃelei

Comenzi Rapoarte

ER ER

ER SMER BDC BDP

ER

ER

ER

ER

ReŃea de comunicaŃii şi calculatoare

ER

 Element de ReŃea  Sistem de Management al Elementelor de ReŃea  Bază de Date a Configurărilor  Bază de Date a PerformanŃelor Fig. 1.2 Elemente ale sistemului de managementului de reŃea

Al doilea nivel, poziŃionat ierarhic imediat deasupra nivelului elementelor de reŃea, este nivelul sistemelor de management ale elementelor de reŃea.

4

Aceste sisteme sunt un complex de hardware şi software care pot fi localizate fie în elementul de reŃea însuşi, fie în procesoare dedicate sau în nodurile reŃelei. Este important să se asigure un mod de comunicaŃie bidirecŃional, între elementele de reŃea administrate şi sistemul care realizează administrarea (fig. 1.2). Al treilea nivel, cel al sistemelor integrate de management al elementelor de reŃea, integrează sistemele de management aflate la nivelul doi, realizând un sistem unitar de management la nivelul întregii reŃele.

1.3 Ariile funcŃionale ale managementului reŃelelor de telecomunicaŃii FuncŃiile pe care trebuie să le realizeze sistemele de management al reŃelelor de comunicaŃii şi calculatoare pot fi grupate în cinci domenii, numite tradiŃional arii funcŃionale ale managementului

Managementul reŃelei

Manag. configurării

Manag. Manag. defectărilor performanŃelor

Manag. securităŃii

Manag. contabilizării

Fig. 1.3 Principalele arii funcŃionale ale managementului de reŃea

1.3.1 Managementul configurării Managementul configurării este responsabil de: − planificarea −

configurarea



instalarea unei reŃele de comunicaŃii



aducerea în stare operaŃională a serviciilor de reŃea



furnizarea acestora către clienŃi.

Procesul configurării este un proces liniar, prezentat în fig. 1.4. Se porneşte de la setul de cerinŃe stabilite împreună cu beneficiarul, care definesc tipul şi caracteristicile generale reŃelei, traversând pas cu pas toate fazele 5

configurării (descrise în cele ce urmează), până la faza finală de administrare şi control al elementelor de reŃea. În recomandarea E.175 a ITU-T sunt detaliate principalele etape ce trebuie parcurse în procesul de planificare a unei reŃele. Prima etapă, aceea a planificării şi proiectării reŃelei are drept principal obiectiv transformarea cerinŃelor de sistem într-un proiect de sistem. Urmează apoi un plan de implementare a acestui proiect. Principalele caracteristici ale reŃelei ce sunt vizate în procesul proiectării sunt: serviciile de reŃea şi infrastructura reŃelei. CerinŃe de reŃea

A

Planificarea şi proiectarea reŃelei Planurile de implementare

B

Instalarea reŃelei

ReŃeaua este instalată

C

D

Planificarea şi negocierea serviciilor

Furnizarea de servcii şi configuraŃii ReŃeaua este operaŃională

E

FuncŃiile de stare şi control ale elementelor de reŃea

Fig. 1.4 Principalele etape ale managementului configurării

A. Paşii unui proces de planificare de reŃea sunt următorii: pasul 1: colectarea informaŃiilor de intrare, impuse de setul de cerinŃe iniŃiale;

6

pasul 2: determinarea infrastructurii de reŃea, pe baza cerinŃelor comerciale, tehnice şi operaŃionale ale clientului; pasul 3: proiectarea schemelor de rutare a traficului pe structura de reŃea propusă anterior (evaluarea structurii de reŃea propusă din perspectiva cerinŃelor de trafic). Dacă acestea nu pot fi satisfăcute pe structura de lucru creată, se revine la pasul anterior şi se adaptează structura astfel încât să corespundă necesităŃilor impuse la acest punct; pasul 4: estimarea şi clasificarea costurilor de reŃea. Pot fi diferenŃiate trei mari categorii de costuri: • costurile totale asociate construirii infrastructurii reŃelei; • costurile estimate de întreŃinere a reŃelei, clasificate pe tipurile de facilităŃi oferite; • costurile necesare extinderilor viitoare ale reŃelei; pasul 5: Analizarea rezultatelor obŃinute împreună cu beneficiarul şi obŃinerea acordului acestuia de continuare a implementării, pe baza stabilirii unei înŃelegeri. pasul 6: repetarea unor etape, din procesul de planificare, dacă este necesar.

B. Procesul de instalare a reŃelei  instalarea echipamentelor;  instalarea software-ului. Etapele unui asemenea proces de instalare pot fi observate în fig. 1.6. Cerere de instalare

    

verificările de preinstalare; planificarea instalării şi a livrării echipamentelor; programarea şi desfăşurarea testelor prefuncŃionale; coordonarea instalării software-lui de echipamente; actualizarea bazei de date pentru această instalare.

Raport de stare

Fig. 1.6 Etapele procesului de instalare a echipamentelor 7

C. Planificarea şi negocierea serviciilor de reŃea, etapă care acoperă următoarele arii de interes:  identificarea cerinŃelor clientului;  definirea caracteristicilor pentru serviciile cerute;  planificarea implementării serviciilor cerute; Sistem

Unitate de software

Software

Distribuitor de software

Fig. 1.8 Clase de obiecte software

D. Furnizarea de servicii şi configuraŃii se referă la: furnizarea de servicii, furnizarea de configuraŃii la nivel de reŃele furnizarea de configuraŃii la nivelul elementelor de reŃea. Furnizarea de servicii către un client începe cu recepŃionarea unui “ordin de serviciu” de la sistemul de management al serviciilor şi se termină cu livrarea către elementul de reŃea a datelor specifice serviciului respectiv. Datele relative la acel serviciu fac referire la utilizatorul sau procesul căruia îi este destinat acest serviciu. Furnizarea de configuraŃii la nivel de reŃea are drept obiectiv asigurarea unui nivel adecvat al configurării resurselor, la nivelul întregii reŃele, astfel încât să fie satisfăcute cerinŃele clientului de servicii. Sunt identificate aici următoarele arii de interes din cadrul procesului de asigurare cu resurse (fig. 1.10):  managementul topologiei de reŃea; 8

 managementul conexiunilor de reŃea;  managementul alocării resurselor la nivelul întregii reŃele. Pentru a implementa un nou serviciu, sunt necesare, mai întâi, planificarea şi activarea managementului conexiunilor la nivelul reŃelei. Managementul conexiunilor este responsabil pentru stabilirea, menŃinerea şi monitorizarea conexiunilor între elementele de reŃea. Este apoi obligaŃia funcŃiei de management al topologiei de reŃea şi a celei de management al resurselor de reŃea să menŃină acea configuraŃie, care va satisface necesităŃile creării conexiunilor respective. Managementul furnizării de configuraŃii şi servicii la nivelul elementelor de reŃea are drept obiectiv satisfacerea cerinŃei ca la elementele de reŃea să fie desfăşurate şi configurate resursele adecvate în vederea implementării serviciilor cerute de client. În recomandarea M.3400 a ITU-T sunt identificate trei arii generale de interes în cadrul furnizării de configuraŃii şi servicii la nivelul elementelor de reŃea (fig. 1.10):  configurarea elementelor de reŃea;  funcŃiile administrative;  administrarea bazei de date.

Furnizarea de configuraŃii şi servicii la nivelul elementelor de reŃea   

managementul configurării resurselor la elementul de reŃea; managementul sistemului; managementul bazei de date a elementelor de reŃea.

Managementul furnizării de configuraŃii şi servicii la nivel de reŃea

Managementul performanŃelor şi defectărilor

Resursele elementului de reŃea

Fig. 1.10 Aprovizionarea la nivelul elementelor de reŃea şi interacŃiunea sa cu alte aplicaŃii de management

9

E. Controlul şi starea resurselor elementului de reŃea Una din sarcinile principale ale managementului configurării elementelor de reŃea este cea de a administra şi controla, în timp real, numeroasele resurse fizice şi logice integrate în reŃea, ca elemente de reŃea. OperaŃiile de control al elementelor de reŃea pot fi clasificate în mai multe categorii:  Activarea şi dezactivarea resurselor, se referă la: • pornirea/oprirea componentelor software şi hardware; • managementul stării resurselor; • iniŃializarea parametrilor asociaŃi resurselor; • anunŃarea tuturor părŃilor implicate despre activarea/ dezactivarea unor resurse etc.  OperaŃiile de comutare ce permit transferul serviciilor de la o resursă activă la una de rezervă în cazul unor defectări, al unor operaŃii de întreŃinere sau de diagnosticare a unei legături active la un moment dat.  Starea resurselor, din punctul de vedere al managementului, este un atribut al obiectului administrat şi reprezintă capabilitatea de a furniza informaŃii sistemului de management despre condiŃiile în care se află obiectul administrat. În recomandările ITU-T [X.731] au fost standardizate trei dintre cele mai uzuale stări în care se pot afla elementele de reŃea: • Operabilitatea, starea care indică dacă resursa respectivă a reŃelei este operaŃională, neoperaŃională sau “necunoscută”. • Utilizarea, reprezintă starea de utilizare a unei resurse a reŃelei şi are trei posibile variante: “nefolosită”, ”activă” şi ”ocupată”. • Starea administrativă indică managementului de sistem dacă resursa poate sau nu să fie folosită, independent de starea ei operaŃională sau de starea utilizării. Resursa se poate afla în una din cele trei stări administrative: 1. blocată, ceea ce semnifică că este blocată pentru furnizarea de servicii către utilizatorii săi; 2. neblocată, adică este administrativ deschisă pentru a furniza servicii către utilizatorii săi;

10

3. în curs de oprire, stare în care resursa poate furniza servicii doar către utilizatorii care aveau deja permisiunea utilizării ei, nefiind permisă folosirea ei de către noi utilizatori. • AnunŃarea schimbării de stare este o opŃiune care poate sau nu să fie implementată. Dacă este implementată ca mecanism, atunci ea are rolul de a informa aplicaŃia de management asupra modificărilor de stare ce pot surveni în cazul unui element de reŃea. Managementul stării resurselor elementelor de reŃea Prin starea resurselor de reŃea se înŃelege o gamă mai variată de atribute de stare, care pot semnifica prezenŃa sau absenŃa unei condiŃii particulare, specifice acelei resurse. În recomandările ITU-T, dedicate acestui subiect [X.731] au fost definite o serie întreagă de atribute. Astfel:  atributul stării de alarmă, indică starea unui anumit tip de alarmă asociată cu o resursă: gravitatea ei, efectul alarmei asupra resursei, o măsură a rezoluŃiei alarmei etc;  atributul de stare al procedurii, indică tipul de procedură care a fost cerută în vederea efectuării ei de către resursa respectivă sau indică faza de execuŃie a procedurii în curs de efectuare;  atributul stării de disponibilitate, indică condiŃiile de lucru care pot afecta disponibilitatea unei anumite resurse;  atributul stării de control, indică acŃiunea de control care a fost efectuată asupra resursei şi impactul pe care l-a avut asupra stării acesteia;  atributul stării de aşteptare, indică tipul de condiŃie de aşteptare în care se află resursa şi are înŃeles doar atunci când resursa respectivă face parte dintr-o configuraŃie de dublare a anumitor resurse.

1.3.2 Managementul defectărilor

Prin defect se înŃelege o condiŃie anormală care afectează în mod negativ serviciile într-o reŃea de telecomunicaŃii. Managementul defectărilor constă într-un set de funcŃii dedicate detectării, izolării şi corectării condiŃiilor anormale de lucru, care afectează funcŃionarea unei reŃele de telecomunicaŃii. 11

Ciclul de viaŃă a managementului defectărilor, presupune câteva faze într-o succesiune previzibilă. Întâi defectul este detectat şi raportat imediat sistemului de management. Acesta iniŃiază teste de diagnosticare în scopul identificării cauzei care a condus la apariŃia defectului propriu-zis. În fig. 1.12 pot fi urmărite principalele etape ale ciclului de viaŃă al procesului de management al defectărilor.  Supravegherea alarmelor, este responsabilă pentru detectarea defectelor, defectul fiind definit ca o condiŃie persistentă în starea unui element al sistemului şi care îl împiedică pe acesta să funcŃioneze în parametri normali.  Managementul testelor, este responsabil pentru planificarea şi coordonarea testelor efectuate în vederea identificării cauzei primare a defectului.  Localizarea defectelor, este responsabilă pentru identificarea cauzei primare a defectului.  Corectarea defectelor, este responsabilă pentru iniŃierea şi desfăşurarea acelor acŃiuni potrivite pentru eliminarea cauzei defectelor.  Administrarea problemelor este responsabilă pentru menŃinerea actualizată a bazei de date, ce conŃine rapoartele cu problemele recepŃionate de la client sau de la sistemul de management.

Raport privind probleme/alarme Supravegherea alarmelor

Raport către client Raport de la client asupra problemei

Administrarea problemelor

Raport de defectare Managementul testelor

Rezultatele testelor

Localizarea defectelor

Cauza şi localizarea defectului Corectarea defectelor

Fig. 1.11. Model pentru ciclul de viaŃă a managementului

12

1. Procesul de supraveghere a alarmelor urmăreşte permanent detectarea a noi defecte, generând apoi un raport detaliat, către sistemul de management, referitor la noul defect apărut. Acest proces poate fi divizat în trei etape successive:  colectarea informaŃiilor de stare şi detectarea anomaliilor funcŃionale;  informaŃiile culese sunt filtrate şi prelucrate pentru a se obŃine tipul real de alarmă;  alarma detectată este raportată într-o formă predefinită sistemului şi înregistrată, dacă acest lucru este prevăzut. Rapoartele privitoare la alarme trebuie să conŃină informaŃii standardizate privind:  categoriile de alarme, care pot fi de tipul: • alarme de comunicaŃii; • alarme referitoare la calitatea serviciilor; • alarme de procesare; • alarme de echipament; • alarme de mediu;  gravitatea alarmelor, cuantificată pe următoarele şase nivele: • alarme critice; • alarme majore; • alarme minore; • alarme de atenŃionare; • alarme care indică faptul că a dispărut un anumit tip de alarmă anterioară; • alarme nedeterminate;  un set predefinit de cauze probabile, care este definit în [X.733].

2. Managementul testelor poate fi clasificat, în funcŃie de nivelul la care acŃionează, astfel: la nivelul servicii, la nivelul reŃea sau la nivelul element de reŃea. Prima categorie de teste, referitoare la servicii, reprezintă o activitate complexă, care nu este standardizată complet încă şi care trebuie să Ńină cont de interacŃiunile şi gradul de dependenŃă dintre diferitele servicii implicate. O testare completă a unui serviciu porneşte de la definirea strategiei de testare, apoi proiectarea unei combinaŃii de teste referitoare la anumite caracteristici ale serviciului şi ale legăturilor pe care acestea le au cu alte servicii, urmată de desfăşurarea efectivă a 13

testelor, şi, în final, de generarea unor rapoarte de testare într-un format standard prestabilit. A doua categorie de teste, cele desfăşurate la nivelul întregii reŃele, presupune următoarea succesiune logică de paşi:  este definit un plan de testare, la nivelul unor secŃiuni din reŃea, pentru a determina care segment este generator de probleme;  sunt selectate acele teste care pot satisface cerinŃele planului de testare propus;  rezultatele obŃinute, pentru fiecare segment de reŃea, sunt adunate şi corelate pentru a fi identificată porŃiunea de reŃea care generează probleme. Pentru tipul de teste ce pot fi efectuate asupra elementelor de reŃea, gama acestora este foarte variată, Ńinând seama de eterogenitatea reŃelelor de telecomunicaŃii actuale şi de varietatea de soluŃii oferite de furnizorii de echipamente. Totuşi, în recomandările ITU-T [X.745] este specificat cadrul de lucru general pentru managementul testelor, acesta fiind concentrat pe testele efectuate asupra elementelor de reŃea. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]:  teste de conexiune - verifică conexiunea între două entităŃi distincte;  teste de conectivitate - verifică conectivitatea între două entităŃi distincte;  teste de integritate a datelor, verifică dacă datele transferate între două entităŃi distincte ale reŃelei sunt corupte;  teste de buclă - determină timpul necesar transferării datelor între două entităŃi, pe o conexiune dată;  teste de integritate a protocolului - determină dacă două entităŃi sunt capabile sau nu să schimbe date între ele prin intermediul unui protocol specificat;  teste de limitare a resurselor - verifică comportamentul unei resurse a reŃelei, atunci când aceasta a ajuns la limita capacităŃilor sale. 3. Localizarea defectelor are drept sarcină principală identificarea cauzelor primare ale defectelor, pe baza rezultatelor testelor de diagnosticare, a alarmelor deja filtrate de procesul de supraveghere a alarmelor cât şi pe baza altor condiŃii predefinite. 4. Corectarea defectelor presupune: - înlăturarea cauzei defectelor nou apărute (dacă este posibil), - refacerea stării anterioare a serviciilor,

14

a) înlocuirea resurselor defecte, este aplicabilă unei categorii foarte mari de elemente de reŃea, care pot fi uşor încadrate în specificaŃii tehnice şi funcŃionale precise; b) izolarea defectului, presupune izolarea acelei componente de reŃea care prezintă anomalii în funcŃionare, încercând astfel să fie prevenită extinderea acŃiunii defectului respectiv asupra altor componente; c) comutarea pe o resursă de rezervă, este posibilă atunci când sistemul are prevăzută o asemenea resursă, ce asigură rezervarea la cald; d) reîncărcarea sistemului, este aplicată, în general, în cazul apariŃiei problemelor generate de funcŃionarea necontrolată a unui modul software; e) instalarea unei alte resurse care să acŃioneze în direcŃia remedierii defectului, precum şi f) reorganizarea serviciilor: astfel încât să folosească alte resurse ale reŃelei, ocolind astfel zona care este sub influenŃa defectului apărut, constituie tot atâtea soluŃii privind metodologia îndepărtării defectelor. 5. Administrarea problemelor urmăreşte minimizarea impactului pe care apariŃia unei probleme poate să îl aibă asupra reŃelei. În general, apariŃia defectelor (sau problemelor) se manifestă imediat printr-o degradare a calităŃii unui anumit serviciu oferit clientului. După cum s-a putut observa şi în fig. 1.12, informaŃiile care indică apariŃia unei noi probleme pot apărea atât de la propriul mecanism de supraveghere a alarmelor cât şi de la client. În acest ultim caz, clientul sesizează că un anumit serviciu al reŃelei nu funcŃionează în parametrii impuşi şi transmite această informaŃie sistemului de management. Abordarea mai nouă a managementului problemelor, care poate fi găsită în [X.790], se bazează pe modelul agenŃilor de management. Există două entităŃi distincte implicate în acest proces: agentul de management, care va efectua asupra elementului de reŃea afectat acele operaŃii care să îl readucă în parametrii normali de funcŃionare şi managerul, care este responsabil de recepŃionarea informaŃiilor privind problemele apărute şi coordonarea agenŃilor în vederea rezolvării acestora.

15

1.3.3 Managementul performanŃelor

Principalele obiective ale managementului performanŃelor constau, în primul rând, în a monitoriza şi evalua comportamentul şi eficienŃa unei reŃele şi a calităŃii serviciilor oferite de aceasta utilizatorilor săi. În recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale managementul performanŃelor: a) monitorizarea performanŃelor; b) analiza performanŃelor (prelucrarea datelor); c) controlul managementului performanŃelor. FuncŃia de monitorizare a performanŃelor, aşa cum este ea definită în recomandarea M.3400, se ocupă de colectarea şi observarea unui set specific de atribute, asociat resurselor reŃelei în vederea măsurării performanŃelor acesteia. În Recomandarea Q.822 a ITU-T este prezentat un model de realizare a monitorizării performanŃelor. În acest scop există un set de obiecte monotorizate (obiecte referitoare la performantele reŃelei) prin intermediul cărora se pot evalua performanŃele reŃelei. Nivelul performanŃelor este corelat (comparat) cu un set de valori de prag. Sistemul de managemnent al performnŃelor trebuie să conŃină şi un istoric al parametrilor de performanŃă care să permită cacarterizarea acestora în timp.

FuncŃia de analiză a performanŃelor este o a doua arie funcŃională a managementului performanŃelor, după funcŃia de monitorizare a performanŃelor. Scopul acestei funcŃii este acela de a analiza datele de performanŃă, colectate într-o primă fază, în vederea furnizării unor anumite tipuri standard de informaŃii către sistemul de management, ca de exemplu:  dacă a apărut sau este posibil să apară o stare de congestie într-un punct oarecare al reŃelei;  dacă nivelul de calitate al serviciilor oferite de către reŃea, într-un anumit moment de timp, se încadrează în limitele impuse;  dacă poate fi respectat nivelul de performanŃă pentru noile servicii planificate a fi implementate. 16

Pe baza acestor informaŃii, sistemul de management poate lua deciziile potrivite pentru controlul performanŃelor. În cadrul acestei arii funcŃionale, sunt definite atât caracteristicile de performanŃă specifice reŃelelor cu comutare de circuite cât şi cele specifice reŃelelor cu comutare de pachete. Vom aprofunda, în capitolele următoare, o parte din aceste criterii de performanŃă, de aceea, aici, ne limităm doar la enumerarea câtorva dintre cele mai importante.  Pentru analiza performanŃelor unei reŃele cu comutare de circuite sunt importante criterii precum: capacitatea medie de trafic a reŃelei, capacitatea instantanee de trafic a reŃelei, rata de apeluri pierdute, probabilitatea de congestie etc.  Pentru analiza performanŃei unei reŃele cu comutare de pachete sunt de luat în considerare noŃiuni precum: probabilitatea întârzierii, numărul mediu de mesaje aflate în coadă, numărul mediu de apeluri de date etc. Controlul managementului performanŃelor este cea de-a treia şi ultima arie funcŃională a managementului performanŃelor, obiectivul acesteia fiind de a controla acele acŃiuni efectuate în cadrul unei reŃele, fie cu scopul menŃinerii unui anumit nivel minim al performanŃelor sistemului, fie pentru a preveni apariŃia şi extinderea unor situaŃii nedorite (de exemplu congestia sau blocarea unor resurse). Pentru a-şi atinge Ńelul propus, funcŃia de control al managementului performanŃelor utilizează date obŃinute atât de la etapa monitorizării performanŃelor cât şi date deja prelucrate în etapa de analiză a performanŃelor. În recomandarea ITU-T [M.3400] sunt evidenŃiate două aspecte principale ale funcŃiei de control al performanŃelor: controlul traficului şi administrarea performanŃelor. Controlul traficului este o parte importantă a menŃinerii performanŃelor unei reŃele în cadrul unor limite bine definite. Datorită dinamicii mari a modificărilor apărute în configuraŃia unei reŃele este necesară adaptarea permanentă a schemelor de rutare în vederea prevenirii apariŃiei unor situaŃii de criză de tipul congestiei sau pentru a se asigura distribuirea în mod uniform a traficului în cadrul reŃelei, obŃinându-se în acest fel drept rezultat o încărcare echilibrată a reŃelei [RSOH97, SMMC99, SCKN98 şi APOST99] Administrarea performanŃelor este responsabilă de crearea unei politici de management al performanŃelor, obŃinută printr-o coordonare judicioasă a activităŃilor descrise mai sus, de tipul monitorizare a performanŃelor sau analiză a performanŃelor. În cadrul acestor acŃiuni de coordonare, trebuie efectuate anumite categorii de operaŃii, de tipul celor enumerate în continuare: 17

 coordonarea activităŃilor de planificare referitoare la managementul performanŃelor;  executarea unor acŃiuni directe de control asupra resurselor reŃelei;  interacŃiunea cu alte aplicaŃii de management precum managementul defectărilor sau cel al configuraŃiei, în vederea îmbunătăŃirii performanŃelor. 1.3.4 Managementul securităŃii Este responsabil cu prevenirea şi minimizarea utilizării frauduloase a resurselor reŃelei. Acest deziderat poate fi urmărit prin intermediul unui set specific de acŃiuni, de tipul:  prevenirea fraudelor, ce se focalizează pe un mecanism de securitate complex, al cărui scop este menŃinerea utilizatorilor rău intenŃionaŃi în afara zonelor sensibile ale reŃelei;  atunci când prevenirea fraudelor nu mai este posibilă, este necesară detectarea imediată a violărilor de securitate şi minimizarea efectelor acestora la nivelul reŃelei;  în cazul apariŃiei unor fraude, sunt importante atât limitarea efectelor apărute cât şi refacerea stării iniŃiale a sistemului. Limitarea efectelor datorate unui acces fraudulos se face prin izolarea elementelor de reŃea afectate, urmată de neutralizarea impactului pe care acesta l-a avut asupra acestora din urmă;  este de asemenea responsabilitatea managementului securităŃii de a furniza instrumentele şi mecanismele adecvate scopului urmărit. Acestea pot fi de tipul: chei de criptare, mecanisme de autentificare, protocol de securitate şi mecanism de control acces. 1.3.5 Managementul contabilităŃii

Managementul contabilităŃii, din cadrul reŃelelor de comunicaŃii şi calculatoare, este un proces complex al cărui obiectiv final este de a genera venituri pentru operatorul reŃelei, pe baza serviciilor oferite de acesta către client. Procesul începe cu colectarea informaŃiilor referitoare la resursele reŃelei utilizate de un element de reŃea şi se termină cu trimiterea facturii către client pentru plata serviciilor de telecomunicaŃii folosite. Sunt incluse, de asemenea, şi procese intermediare precum trimiterea datelor de la elementul de reŃea către sistemul de management, validarea cantităŃii de date utilizate şi aplicarea apoi a politicilor tarifare. Toate aceste tipuri de activităŃi sunt dependente, în general, de tipul de echipamente, de interfaŃa dintre acestea şi sistemul de tarifare şi nu în ultimul rând chiar de politica de tarifare proprie furnizorului. ApariŃia unor noi game de servicii, aplicate unor noi tipuri de 18

reŃele multi-furnizor şi multi-operator, a condus la creşterea majoră a necesităŃilor de standardizare a funcŃiei de management al contabilităŃii. Implementarea unor metodologii comune, standardizate, de tarifare va permite negocierea calităŃii serviciilor între diferiŃi operatori ai reŃelei şi, mai ales, stabilirea unor repere comune în politica de tarifare. Modul de realizare a standardizărilor specifice managementului contabilităŃii poate fi găsit în recomandarea X.742 a ITU-T.

1.4 Concluzii În acest capitol au fost descrise noŃiunile de bază din domeniul managementului sistemelor. Pornindu-se de la descrierea cerinŃelor funcŃionale impuse unui sistem de management, am prezentat modalităŃi şi instrumente de bază necesare implementării acestora. Ultima parte a capitolului am dedicat-o descrierii celor cinci arii funcŃionale ale managementului de reŃea: managementul configurării, managementul performanŃelor, managementul defectărilor, managementul securităŃii şi managementul contabilizării.

Întrebări şi teste de verificare 1. 2. 3. 4. 5. 6.

Care sunt principalele activităŃi ale unui administrator de reŃea? Care sunt ariile funcŃionale ale managementului de reŃea? DescrieŃi principalele activităŃi referitoare la managementul configurării. DescrieŃi principalele activităŃi referitoare la managementul defectelor. DescrieŃi etapele ciclului de viaŃă al managementului defectelor DescrieŃi principalele activităŃi referitoare la managementul performanŃelor unei reŃele.

19

CompletaŃi spaŃiile goale cu cuvinte cheie şi texte adecvate:

1 ActivităŃile de management al reŃelelor presupun desfăşurarea şi coordonarea resurselor acestora în vederea .. .............................................................................. ...................................................................................................................................... astfel încât să fie asigurate permanent serviciile propuse, cu un cost rezonabil şi la o capacitate optimă.

2. Principalii factori care contribuie la îndeplinirea obiectivelor enunŃate sunt - ..................................................................... - ..................................................................... - .....................................................................

3. Structura ierarhică a sistemului de management cuprinde: - nivelul 1 ....................................................................... - nivelul 2. ........ .............................................................. - nivelul 3 ...... ................................................................

4. Managementul configurării este responsabil de: 1 ....................................................................... 2. ........ .............................................................. 3 ...... ................................................................ 4 ...... ................................................................ 5 ...... ................................................................

5. Managementul defectărilor constă dintr-un set de funcŃii dedicate ............................., .................................., ......................................... condiŃiilor anormale de lucru, care afectează funcŃionarea unei reŃele de telecomunicaŃii. 6. Principalele obiective ale managementului performanŃelor constau, în primul rând, în a ...................... şi .................... ............................... şi ............................. unei reŃele şi a calităŃii serviciilor oferite de aceasta utilizatorilor săi. 20

7. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]:  ................................. - verifică conexiunea între două entităŃi distincte;  ............................... - verifică conectivitatea între două entităŃi distincte;  ....................................- verifică dacă datele transferate între două entităŃi distincte ale reŃelei sunt corupte;  .................................... - determină timpul necesar transferării datelor între două entităŃi, pe o conexiune dată;  ............................................... - determină dacă două entităŃi sunt capabile sau nu să schimbe date între ele prin intermediul unui protocol specificat;  .....................................................- verifică comportamentul unei resurse a reŃelei, atunci când aceasta a ajuns la limita capacităŃilor sale.

8. În Recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale managementul performanŃelor: a) ............................................................................... b) ................................................................................. c) .................................................................................

9. Gravitatea alarmelor este cuantificată pe următoarele şase nivele: • ................................................................; • ..................................................................; • .................................................................. ; • ..............................................................; • ....................................................................................................; • ..................................................................;

10. Managementul contabilităŃii din cadrul reŃelelor de comunicaŃii şi calculatoare este un proces al cărui obiectiv final este .......................... .............................................................................................., pe baza serviciilor oferite de acesta către client.

21

TEMA 2 Arhitecturi şi protocoale utilizate pentru managementul reŃelelor de comunicaŃii Tema are ca scop cunoaşterea unor protocoale de administrare a reŃelelor cu arhitectură OSI. Sunt definite elementele componente ale procesului de management, sunt descrise protocoalele CMISE, CMIP şi SNMP şi serviciile care implementază aceste protocoale, utilizate în administrarea reŃelelor.

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte: • Care sunt elementele componente ale procesului de management • Arhitectura pe nivele a managementului OSI • Ce este o reŃea de management pentru telecomunicaŃii (TMN) şi arhitecturile sale fizică, funcŃională şi informaŃională • Protocoalele CMISE, CMIP şi SNMP

Cuprins 2.1 2.2

Concepte de bază în managementul reŃelelor Managementul reŃelelor cu arhitecturi OSI

2.2.1 2.2.2

Arhitectura pe nivele a managementului OSI Protocoale CMISE/CMIPfolosite pentru managementul sistemelor OSI

2.3

ReŃea de management pentru telecomunicaŃii (TMN)

2.4 2.5

Protocolul CMOT (CMIP over TCP/IP) SNMP

Cuvinte cheie: proces de management, agent de management, obiect administrat, MIB, MIT, CMISE, CMIP, SNMP, CMOT, SMAE, TMN, OS Bibliografie [1] Vonica Ion- Managementul reŃelelor integrate de telecomunicaŃii, Teză de doctorat, UPB, Bucureşti, 2002 [2] Recomandarea ITU-T M.3010 TMN http://eu.sabotage.org/www/ITU/M/M3010e.pdf [3] Aiko Pras, Bert-Jan van Beijnum, Ron Sprenkels - Introduction to TMN, CTIT Technical Report 99-09, April 1999 [4] SNMP Tutorial - http://www.dpstele.com/pdfs/white_papers/snmp_tutorial.pdf [5] http://www.net-snmp.org/wiki/index.php/Tutorials Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 3 ore 22

Concepte de bază în managementul reŃelelor  proces de management (“management process”), activitate de bază a managementului de reŃea, responsabil de transmiterea ordinelor de management către agenŃii de administrare şi primirea rapoartelor de la aceştia;  agent de administrare1) (“managing agent”), entitate a activităŃii de management ce dialoghează cu procesul de management, raportându-i informaŃii despre starea elementelor reŃelei şi primind instrucŃiuni de la acesta, referitoare la acŃiunile ce trebuie întreprinse asupra elementelor reŃelei;  bază cu informaŃii de administrare (MIB – “Management Information Base”), BD ce conŃine informaŃii despre elementele reŃelei administrate şi poate fi accesată atât de procesul de management cât şi de agenŃii de administrare.  arborele informaŃiei de administrare (MIT) – structura arborescentă ierarhică a obiectelor administrate. Această structură permite accesul rapid la orice informaŃie de administrare.  Suplimentar faŃă de aceste componente ale sistemului de management, a fost introdusă în capitolul 1 şi noŃiunea de element de reŃea administrat.  obiecte administrate - sunt componente de reŃea supuse acŃiunii de management.

Bază cu informaŃii de management

PROCES DE MANAGEMENT

comenzi

AGENT DE ADMINISTRARE

OBIECT DE ADMINISTRAT

informaŃii de stare

AGENT DE ADMINISTRARE

OBIECT DE ADMINISTRAT

OBIECT DE ADMINISTRAT

OBIECT DE ADMINISTRAT

Fig. 2.1. Elemente componente ale activităŃii de management

1)Agentul este un modul soft care acŃionează pentru un user sau pentru un alt program în scopul realizării unora dintre funcŃiile (sarcinile) sale. AcŃiunea “în numele unui utilizator” presupune o anumită autoritate dacă şi când o acŃiune este cerută, adecvată, corectă.

NoŃiunile cu care se operează, referitor la un obiect, din perspectiva recomandărilor ISO, sunt:

23

 atribute, reprezintă caracteristicile acestuia, prezente la interfaŃa sa cu alte obiecte;  rapoarte, pe care un obiect le poate trimite la un agent de administrare şi care conŃin informaŃii de stare;  tipuri de operaŃii ce pot fi efectuate de agentul de administrare asupra sa;  acŃiuni de răspuns la operaŃiile efectuate asupra sa. O altă arie de interes este cea a modului în care sunt identificate şi administrate resursele reŃelei. În modelul OSI-RM aceste operaŃii se efectuează prin intermediul arborelui informaŃiei de administrare (MIT – “Management Information Tree”), iar în cadrul Internet prin sistemul numelor pentru domenii (DNS – “Domain Name System”).

rădăcină

Nivel 1

1.1

2.1

3.1

4.1 Fig. 2.2. Exemplu de arbore DNS/MIT

ExerciŃii: 1. DaŃi exemple e obiecte administrate

2. OrganizaŃi aceste obiecte într-o structură arborescentă

24

Nivel 2

Nivel 3

Nivel 4

2.2 Managementul reŃelelor cu arhitecturi OSI Managementul reŃelelor cu arhitectură ISO-OSI-RM, este asigurat pe baza protocoalelor de nivel înalt: aplicaŃie, prezentare şi sesiune. La aceste niveluri sunt implementate funcŃiile (serviciile) de management prin intermediul protocoalelor dedicate.

2.2.1 Arhitectura pe nivele a managementului OSI Managementul sistemelor se realizează, în general, la nivelul aplicaŃie şi foloseşte entităŃi SMAE (System Management Application Element). Ce sunt de fapt SMAE? De exemplu, solicitarea de la un element de reŃea de informaŃii referitoare la starea sa.

Această entitate SMAE este, la rândul ei, constituită dintr-un set de elemente de serviciu aplicaŃie ASE (“Application Service Element” – Element de serviciu aplicaŃie) care cooperează între ele (fig. 2.3). De exemplu, solicitarea informaŃiilor de stare a unui element de reŃea poate conŃine mai multe operaŃii elementare: localizarea elemenului de reŃea, stabilirea unei conexiuni cu el, cerere de transmitere a unei informaŃii, răspunsul ER, o altă cerere urmată de răspuns, etc. Procesare informaŃie

SMAE SMASE

CMISE

ASE ACSE

ROSE

ASE

Nivel AplicaŃie Nivel Prezentare

Fig. 2.3. Structură de management pentru sistemele OSI

Alte tipuri de elemente ale serviciilor de management sunt: − ROSE (“Remote Operations Service Element”), − ACSE (“Association Control Service Element”) 25

− SMASE (”Systems Management Application Service Element” - Element de serviciu al aplicaŃiei de management a sistemelor). 2.2.2 Protocoale CMISE/CMIP folosite pentru managementul sistemelor OSI Protocolul cel mai des utilizat în managementul sistemelor construite conform OSI-RM este constituit dintr-o suită de servicii şi protocoale definite în CMISE/CMIP. CMISE este cel ce stabileşte ce tip de servicii trebuie furnizat de fiecare element al sistemului de management în scopul administrării reŃelei. CMIP specifică modul în care sunt implementate serviciile definite de CMISE. Clasele de servicii definite de CMISE Orice aplicaŃie de management care rulează în sistem foloseşte serviciile CMISE, devenind un utilizator de servicii pentru acesta. În funcŃie de scopul lor, aceste servicii au fost grupate în trei clase distincte: 1.

servicii de asociere de management;

2.

servicii de raportare de management;

3.

servicii ale operaŃiilor de management. Serviciile de asociere de management sunt destinate, în principal, asigurării

controlului asocierilor ce se stabilesc între două sisteme de management corespondente, situate pe acelaşi nivel ierarhic. Ele controlează iniŃializarea, eliberarea normală sau forŃată a unei conexiuni destinată unei asocieri de management între două puncte corespondente, utilizând pentru aceasta trei tipuri distincte de servicii:  M-INITIALIZE;  M-TERMINATE;  M-ABORT. Serviciul M-INITIALIZE este folosit pentru a stabili o asociere între doi utilizatori de servicii ai CMISE. Serviciul M-TERMINATE încheie în mod normal o asociere între două entităŃi de management Serviciul M-ABORT încheie în mod forŃat acest tip de asociere. Aceste servicii de asociere utilizează pentru operare serviciile furnizate de ACSE, iar în cazuri mai rare pe cele ale ROSE. 26

Proces aplicaŃie de management

SMAE

SMASE CMISE

⇐ Nivel 7

CMIP ACSE

ROSE

ISO - Prezentare

⇐ Nivel 6

ISO - Sesiune

⇐ Nivel 5

ISO - Transport

⇐ Nivel 4

ISO – ReŃea

⇐ Nivel 3

ISO – Legătură de date

⇐ Nivel 2

ISO - Fizic

⇐ Nivel 1

Fig. 2.4. Protocoale CMISE/CMIP în ierarhia OSI-RM

Serviciul raportare de management furnizează informaŃii despre evenimentele apărute în reŃea. În acest scop, se utilizează serviciul M-EVENT-REPORT care informează un utilizator de servicii al CMISE despre un eveniment apărut la utilizatorul corespondent. Servicii ale operaŃiilor de management sunt în număr de cinci, după cum urmează:  M-GET;  M-SET;  M-ACTION;  M-CREATE;  M-DELETE. Serviciul M-GET este apelat, de un utilizator de servicii CMISE pentru a solicita informaŃii de management de la un utilizator corespondent. Este de tipul cu confirmare, deoarece necesită un răspuns la cerere. Serviciul M-SET permite unui utilizator CMISE să modifice informaŃiile de management ale altui utilizator. După cum aşteaptă sau nu răspuns, poate fi de tipul cu confirmare sau nu. Serviciul M-ACTION este folosit de un utilizator CMISE pentru a indica unui corespondent efectuarea unei anumite operaŃii prezente. Poate lucra atât cu confirmare, cât şi fără confirmare.

27

Serviciul M-CREATE este utilizat de un utilizator de servicii CMISE pentru a cere unui utilizator corespondent crearea unei alte instanŃieri a obiectului administrat. Serviciul M-DELETE este folosit de un utilizator CMISE pentru a cere utilizatorului corespondent ştergerea unui instanŃier al obiectului administrat şi este pemis doar lucrul în modul confirmat.

Asocieri de management O asociere de management este, de fapt, o conexiune logică realizată între două sisteme corespondente, aflate pe acelaşi nivel al OSI-RM, în vederea realizării managementului de sistem. Realizarea conexiunii presupune implicarea serviciului CMISE la interfaŃa cu protocoale situate pe alte nivele ierarhice. CMISE asigură suportul necesar realizării a patru tipuri distincte de asocieri între două sisteme corespondente, după cum urmează:  asociere tip eveniment;  asociere tip eveniment/monitor;  asociere tip monitor/control;  asociere tip manager/agent. asocierea tip eveniment permite celor două sisteme corespondente, aflate în conexiune, să schimbe între ele mesaje tip M-EVENT-REPORT; asocierea tip eveniment/monitor este prevăzută cu facilitatea suplimentară de a primi sau trimite şi mesaje de tip M-GET; asocierea tip monitor/control permite utilizatorilor corespondenŃi să trimită mesaje de cerere de tip M-GET, M-SET, M-CREATE, M-DELETE şi M-ACTION, fără să aibă facilităŃile primului tip de asociere; asocierea tip manager/agent permite utilizatorilor corespondenŃi utilizarea oricărui tip de servicii.

28

2.3 ReŃele de management pentru telecomunicaŃii – TMN ReŃelele de management sunt reŃele distincte, dedicate managementului sistemelor de telecomunicaŃii. Principiile TMN (Telecommunications Management Network) sunt descrise în Recomandarea ITU-T, M.3010 Are la bază principiul că reŃeaua administrată este tratată separat de reŃeaua care o administrează. Pornind de la necesitatea îndeplinirii acestei cerinŃe, pot fi evidenŃiate trei arhitecturi de sistem complementare, care furnizează o imagine completă asupra structurii TMN: 1. arhitectura fizică a TMN; 2. arhitectura funcŃională a TMN; 3. arhitectura informaŃională a TMN. Arhitectura fizică şi elementele funcŃionale ce o definesc:  OS (”Operations System” – Sistem de operare), soft de management ce se poate afla în nodurile de control şi are rolul de a procesa informaŃiile de management;  NE (“Network Element” – Element de reŃea), se referă la orice echipament de telecomunicaŃii, ce se află în nodurile controlate ale reŃelei, comunicând cu TMN în vederea administrării lui;  Q-A (“Q-Adaptor” – Adaptor Q), este un dispozitiv care asigură conectarea între NE-uri sau OS-uri cu elementele compatibile care nu aparŃin unei reŃele TMN (în general NE-uri exterioare);  MD (“Mediation Device” – Dispozitiv de mediere), are drept scop realizarea funcŃiei de mediere între OS şi NE sau între OS şi Q-A;  DCN (“Data Communication Network” – ReŃea de comunicaŃii de date), reprezintă o reŃea de date internă reŃelei TMN, ce asigură funcŃiile şi serviciile specifice primelor trei nivele din ierarhia ISO;  WS (“Workstation” – StaŃie de lucru), furnizează utilizatorului final accesul bidirecŃional la sistemul de management şi anume: într-un sens colectează toate datele relevante de la sistem şi le afişează utilizatorului într-un format potrivit, iar în celălalt sens decodifică şi trimite spre sistemul de management comenzile primite de la managerul de sistem.

29

TMN

X

F

Q3

TMN

OS X

F

F WS

DCN

WS

Q3

MD Q3

Q3

QX

DCN QX

Q-A

NE

Q-A

QX

NE m

NE

Fig. 2.6. Exemplu de arhitectură fizică TMN

Între aceste dispozitive componente pot fi realizate interconexiuni, folosind anumite tipuri de interfeŃe standard:     

interfeŃe Q, care pot fi de două feluri: interfaŃa Q3 între OS şi una dintre următoarele componente: NE, Q-A sau MD; interfaŃa Qx între MD şi Q-A sau între MD şi NE; interfaŃa F între OS şi WS, deci între un sistem şi un terminal; interfaŃa X, care poate fi folosită între două TMN-uri diferite. O posibilă arhitectură fizică de reŃea, care conŃine şi interfeŃele definite mai sus, este prezentată în fig. 2.6 (conform recomandării M.3010 a ITU-T).

Arhitectura funcŃională Este construită pe baza arhitecturii fizice, evidenŃiind funcŃiile pe caree trebuie să le îndeplinească sistemul de management şi legăturile (interfeŃele) dintre ele.  OSF (”Operations System Function” – FuncŃie sistem de operaŃii), ce procesează informaŃiile de management în scopul monitorizării, coordonării şi controlului funcŃiilor de telecomunicaŃii; 30

TMN

x

OSF

q

f

f

MF

WSF

WSF

TMN

 NEF (”Network Element Function” – FuncŃie element de reŃea), ce comunică cu TMN pentru a permite acestuia monitorizarea şi controlul NE-ului asociat;  WSF (”Workstation Function” – FuncŃie staŃie de lucru), ce interpretează informaŃiile primite de la TMN pentru a le transmite în formatul potrivit spre utilizator;  MF (”Mediation Function” – FuncŃie de mediere), menită să asigure transferul corect al informaŃiilor între OSF şi NEF sau QAF;  QAF (”Q Adapter Function” – FuncŃie adaptor Q), ce este utilizată pentru a asigura conectarea părŃilor componente funcŃionale ale TMN la elemente ce nu aparŃin TMN (ca de exemplu NEF sau OSF) .

g

g

q

QAF

q

NEF

q

QAF

q

NEF

Fig. 2.7. Exemplu de arhitectură funcŃională TMN

În concluzie, TMN defineşte o reŃea de management pentru reŃelele de telecomunicaŃii şi are la bază patru tipuri distincte de arhitecturi: funcŃională, fizică, stratificată logic şi informaŃională. Avantajele utilizării TMN în managementul reŃelelor de telecomunicaŃii pot fi rezumate astfel:  cu ajutorul modelului TMN pot fi integrate sisteme de management diverse întrun singur punct de control centralizat al operaŃiilor, reducând astfel costurile necesare întreŃinerii cu personal şi resurse a mai multor centre de management în paralel;  folosirea interfeŃei Q3 va conduce la standardizarea schimbului de informaŃii de management între sistemele de management şi diverse elemente de reŃea;  folosirea modelelor informaŃionale ale TMN, pentru modelarea tuturor elementelor de reŃea ce trebuie administrate, va conduce la o uniformizare a reprezentării acestora, simplificând astfel operaŃiile de management şi dezvoltare ulterioară a reŃelei.

31

2.4 Protocolul CMOT (CMIP over TCP/IP) Este descris în documentul RFC 1095 (1989) şi este, de fapt, o adaptare a protocoalelor de administrare a reŃelelor OSI la reŃelele ce folosesc protocolul de transport TCP/IP, cum este şi Internet-ul. Manager

Agent

+-----------------------+ +-----------------------+ | | | | | +----+ +----+ +-----+ | | +----+ +----+ +-----+ | | |ACSE| |ROSE| |CMISE| | CMIP | |ACSE| |ROSE| |CMISE| | | +----+ +----+ +-----+ | | +----+ +----+ +-----+ | | | | | +-----------------------+ +-----------------------+ | LPP | | LPP | +-----------------------+ +-----------------------+ | TCP | UDP | | TCP | UDP | +-----------------------+ +-----------------------+ | IP | | IP | +-----------------------+ +-----------------------+ | Link | | Link | +-----------------------+ +-----------------------+ | | ========================================================= Network =========================================================

Figure 2.8.

Architectura Protocolului CMOT

La fel ca CMISE, CMOT se bazează pentru realizarea unei comunicaŃii pe protocoalele ACSE, ROSE şi CMIP. Noutatea constă în utilizarea protocolului LPP (”Light weight Presentation Protocol” – Protocol de prezentare de categorie uşoară), definit în RFC 1085 şi care înlocuieşte protocolul de prezentare al lui ISO, nedezvoltat încă. De fapt, el trebuie să asigure interfaŃa cu două din cele mai cunoscute protocoale de nivel transport utilizate în Internet, TCP şi UDP (fig. 2.12). Acest protocol trebuie să aibă capabilitatea stabilirii uneia din cele patru tipuri de asocieri utilizate de CMISE: asociere eveniment, asociere eveniment/monitor, asociere monitor/control şi asociere manager/agent. Protocolul LPP trebuie să interfaŃeze protocoalele de nivel 7 OSI, ROSE şi ACSE, cu nivelul 5 OSI, dacă acesta este implementat, iar dacă nu direct cu protocoalele de nivel transport din Internet, TCP/IP sau UDP.

32

MANAGEMENT de REłEA

Baza cu informaŃii de management

AGENT PROXY

AGENT DE ADMINISTRARE InformaŃii de stare

comenzi

ENTITATE DE ADMINISTRAT

ENTITATE DE ADMINISTRAT

Element de reŃea

Fig. 2.11. Elemente componente ale managementului Internet Proces aplicaŃie de management CMISE ACSE

ROSE

⇐ Nivel 7

LPP

⇐ Nivel 6

ISO - Sesiune

⇐ Nivel 5

UDP

TCP

⇐ Nivel 4

IP

⇐ Nivel 3

ISO – Legătură de date

⇐ Nivel 2

ISO - Fizic

⇐ Nivel 1

Fig. 2.12. Arhitectura protocoalelor CMOT în ierarhia OSI-RM

Fiind de nivel 6, adică prezentare, pentru LPP au fost deja implementate cinci servicii specifice acestui nivel şi anume:  serviciul P-CONNECT;  serviciul P-RELEASE;  serviciul P-U-ABORT;  serviciul P-P-ABORT;  serviciul P-DATA. Pentru conectarea directă la nivelul de transport, au fost alocate şi numere distincte de porturi, un tip pentru cel de manager şi altul pentru cel de agent:  număr port manager pentru conectare la TCP: 163/TCP;  număr port manager pentru conectare la UDP: 163/UDP; 33

 număr port agent pentru conectare la TCP: 164/TCP;  număr port agent pentru conectare la UDP: 164/UDP. Simplitatea protocolului LPP este dictată şi de lipsa oricărei posibilităŃi de negociere pentru parametrii serviciilor asigurate.

2.5 SNMP Acest protocol a fost primul dezvoltat pentru managementul reŃelelor ce folosesc protocoalele TCP/IP şi a trecut până în prezent prin mai multe etape de standardizare. Cea mai actuală descriere a arhitecturii şi procedurilor SNMP se găseşte în RFC 1157, dar pot fi consultate, pentru completarea unei priviri de ansamblu, şi mai vechiul RFC 1098 sau RFC 1156 pentru MIB-I şi RFC 1231, pentru noul standard MIB-II. În realizarea arhitecturii actuale a SNMP, descrisă în RFC 1157, s-au avut în vedere anumite cerinŃe exprese, şi anume:  arhitectura trebuie să fie independentă de tipurile de staŃii de lucru, gateway-uri şi routere utilizate;  construirea unui agent de administrare cât mai simplu şi mai ieftin;  asigurarea unui număr cât mai mare şi mai variat de funcŃii de management de la distanŃă pentru a se putea profita cât mai bine de resursele imense ale Internet-ului. Conceptual SNMP operează cu următoarele noŃiuni:  element de reŃea - o reprezentare pe obiecte a componentelor ce vor fi administrate;  agent de administrare – ce asigură interfaŃa funcŃională între elementul de administrat şi administrator;  staŃie SNMP – ce reprezintă platforma pe care rulează procesele de administrare;  MIB - este baza de date ce conŃine informaŃii despre toate resursele reŃelei. SNMP foloseşte un set standard de mesaje pentru a asigura comunicaŃia între agent şi staŃie, fiecare din aceste mesaje fiind transmis într-un unic pachet. Acest mod de abordare face posibilă utilizarea protocoalelor de transport fără conexiune, de tipul UDP-ului. O prezentare bloc a modului de interacŃionare a SNMP cu celelalte protocoale de reŃea se găseşte în fig. 2.13. Au fost definite cinci tipuri de mesaje utilizate în cadrul SNMP:  Get-Request;  Get-Response;  Get-Next-Request;  Set-Request;  Trap.

34

Get-Request este utilizat de staŃia SNMP pentru a solicita informaŃii de la un element de reŃea, care este servit de un agent ce poate prelua mesajul. SNMP

cerere ⇒

⇐ răspuns

UDP IP Legătură de date Strat fizic

Fig. 2.13. Protocolul SNMP în arhitectura protocoalelor Internet

Get-Next-Request poate fi folosit împreună cu Get-Request atunci când se utilizează o organizare a obiectelor în tabele. Cu ajutorul lui Get-Next-Request se poate cere, într-un mod simplificat, următorul obiect din tablou, incrementând cu o unitate poziŃia din tabel setată de Get-Request. Mesajul Get-Response dă răspunsul la una din tipurile de cereri descrise mai sus poate fi dată de elementul de reŃea prin intermediul agentului asociat. Set-Request permite modificarea de la distanŃă a configuraŃiei parametrilor elementului de reŃea administrat. SNMP Trap este singurul tip de mesaj nesolicitat de staŃie, care poate fi generat de agent atunci când acesta doreşte să informeze managementul de sistem despre apariŃia unui anumit eveniment.

Concluzii În cadrul acestui capitol am trecut în revistă câteva dintre cele mai uzuale şi moderne moduri de abordare a managementului reŃelelor de telecomunicaŃii. Am pornit cu prezentarea managementului sistemelor ce pot fi reprezentate de modelul de referinŃă OSI al ISO, acestea fiind şi primele şi cele mai complexe încercări de standardizare în domeniu. A fost prezentat apoi un model de reŃea de management distinct de reŃeaua de telecomunicaŃii (TMN), aceasta fiind una din abordările utilizate în prezent. Principalele caracteristici ale TMN care sunt de interes din această perspectivă:

35

 arhitectura TMN - sunt specificate trei tipuri de arhitecturi: funcŃională, informaŃională şi fizică;  interfeŃele standard - există trei tipuri de interfeŃe (Q, X şi F) prin intermediul cărora este realizată interoperabilitatea managementului dintre diferite elemente de reŃea;  modelul informaŃional al TMN - este constituit dintr-o mulŃime de obiecte administrate, care reprezintă resursele administrate ale reŃelei;  protocolul de management al TMN - determină modul în care sunt transportate informaŃiile de management de la un cap la altul al reŃelei;  modelul agent-manager - specificaŃiile TMN adoptă modelul de comunicare larg răspândit, tip agent-manager, prin care sistemul de management emite instrucŃiunile de management spre agenŃi şi recepŃionează datele de management de la aceştia.

Teste de verificare 1. DefiniŃi şi explicaŃi conŃinutul următoarelor noŃiuni: proces de management, agent de management, baza informaŃiilor de management, arborele informaŃiilor de management, obiect administrat, sistem de operare de reŃea. 2. DescrieŃi elementele componente ale unei activităŃi de management de reŃea şi stucturarea lor pe nivele ierarhice. 3. EnumeraŃi clasele de servicii definite de CMISE 4. DefiniŃi şi explicaŃi conceptul TMN 5. DescrieŃi arhitectura fizică şi arhitectura funcŃională a TMN 6. DescrieŃi protocolul SNMP şi utilizarea sa în administrarea reŃelelor 7. DescrieŃi protocolul CMOT 8. PrecizaŃi cele 5 elemente componente care definesc un obiect administrat 9. PrecizaŃi cel puŃin 5 grupuri de obiecte din MIB-II 10. DaŃi trei exemple de obiecte din grupul interfeŃe 11. PrecizaŃi la ce se referă obiectul ifMtu

Răspunsuri: 3.

a) servicii de asociere de management; b) servicii de raportare de management; c) servicii ale operaŃiilor de management.

4. TMN defineşte o reŃea de management pentru reŃelele de telecomunicaŃii şi are la bază patru tipuri distincte de arhitecturi: funcŃională, fizică, stratificată logic şi informaŃională. TMN reprezintă suportul prin care se transmite informaŃia de management necesară administrării reŃelei de telecomunicaŃii. 5. Sistemul de operare, elemente de reŃea, adaptoare de management (adaptor Q), dispozitive de mediere, reŃeaua de transmisii de date, staŃiile de lucru ale administratorului de reŃea 36

6. Modelul de administrare pe care se bazează SNMP este format din staŃii de administrare şi elemente de reŃea. •



StaŃiile de administrare de reŃea asigură execuŃia protocoului de administrare a reŃelei şi a aplicaŃiilor de administrare care urmăresc şi controlează elementele reŃelei. Elementele din reŃea, numite şi elemente administrate, sunt echipamente de tipul sistemelor gazdă, punŃi, rutere, comutatoare, echipamente care au agenŃi care îndeplinesc funcŃiile de administrare solicitate de către staŃiile de administrare, sau eventual semnalează diferite evenimente.

SNMP asigura modalitatea de comunicare între statiile de administrare şi elementele de reŃea. Este conceput ca un protocol simplu care dă posibilitate administratorului reŃelei să inspecteze sau să modifice variabile la un element de reŃea, de la o staŃie aflată la distanŃă. Implementarea SNMP se remarcă prin relativa simplitate şi prin faptul că necesită resurse reduse din partea reŃelei. Strategia urmarită la implementarea SNMP este ca toată administrarea să poată fi facută la staŃia de administrare, cu exceptia unor situaŃii rare. StaŃia de administrare interoghează (poll) elementele de reŃea pentru a obŃine informaŃii sau pentru a modifica variabile la elementul de reŃea. Elementul de reŃea va iniŃia comunicaŃia cu staŃia de administrare (prin Trap) doar în situaŃii deosebite. Mesajele Trap nesolicitate pot fi trimise de la un element de reŃea pentru informare sau pentru corectarea temporizării la interogari de la staŃia de administrare. Numărul mesajelor Trap este însa limitat pentru a se evita traficul intens şi solicitarile reŃelei pentru activitatea de administrare. Operatii SNMP Sistemele de gestionare a retelelor (NMS) si agentii SNMP, schimba informatii SNMP prin intermediul unor operatii. Fiecare din operatiile SNMP are o datagrama (PDU) standard. Aceste operatii sunt: get getnext getbulk (SNMPv2 si SNMPv3) set getresponse trap notification (SNMPv2 si SNMPv3) inform (SNMPv2 si SNMPv3) report (SNMPv2 si SNMPv3) Aceste operatii sunt implementate de majoritatea NMS-urilor sau pot fi gasite sub forma de pachet de tool-uri în linie de comandă. Un astfel de pachet este NetSNMP Tools care este un proiect open source, şi care ofera un set de programe în linie de comandă ce permit executarea operaŃiilor mai sus menŃionate. 37

8.

a) nume obiect - denumirea unică a obiectului cu rol de identificator; b) sintaxă – denumire conform regulilor ASN.1; c) definiŃie – descrie semnificaŃia obiectului; d) acces – precizează drepturile de acces asupra obiectului; e) stare – precizează statul obiectului (obligatoriu, opŃional sau învechit)

9.

a) grupul sistem b) grupul adrese IP c) grupul protocoale TCP d) grupul protocoale UDP e) grupul interfeŃe f) grupul protocoale SNMP

10.

a) ifNumber b) ifType c) ifTable 11. ifMtu se referă la lungimea maximă exprimată în octeŃi a pachetelor ce pot fi transmise/recepŃionate pe interfaŃa specificată

Test de autoverificare Folosind cuvinte cheie sau espresii şi termeni din text, completaŃi spaŃiile goale din testul de mai jos: 1. Procesul de management este responsabil de ............................................................ şi ....................................................................................................

2. Agentul de administrare dialoghează cu peocesul de management transmiŃând .................................................................... şi primind ............................................ .........................

3. Obiectele administrate sunt ...................................................................................

4. MIB este o ............... cce conŃine ............................................................................ 5. Un obiect din MIB este caracterizat de ............................................................................ 38

6. Managementul sistemelor ISO-OSI este constituit dintr-o suită de servicii şi protocoale definite în ...........................................

7. Clasele de servicii definite ......................................................... b) ............................................................,

de

sunt:

CMISE

a)

c) .......................................................

8. O asociere de management este ............................................................................. ........................................................................................................

9. Principiul de bază al ........................................................................

susŃine

TMN



..................................................................................................................................

10. Sistemul de operare de management este ............................................... care se află instalat ................................................................ ..............................................

11. ReŃea de comunicaŃii .................................

de

date

pentru

şi

management

are

(DCN)

rolul

este

şi asigură ................................................................................................... 12. Adaptorul Q este un ....................................................................

dispozitiv

care

asigură

drept

scop

.................................................................................................. 13. Dispozitivul de mediere are ................................................................................ 14. Arhitectura fizică a ........................................,

TMN

39

conŃine

........................................,

..................................................., .................................................. 15. Arhitectiura funcŃională a ....................................................................

evidenŃiază

TMN

....................................................................................................................... 16. Conceptual, SNMP operează cu următoarele noŃiuni: ............................., ......................................................, .................................................................... 17. SNMP foloseşte un set ...........................................

standard

de

mesaje

pentru

a

asigura

........................................................., fiecare din aceste mesaje fiind transmis întrun unic pachet ....................... 18. CMOT este un protocol de nivel .............................., folosit pentru administarea reŃelelor cu arhitectură ..........................

40

Tema 3. Windows Server 2003 Tema are ca scop cunoaşterea sistemelor de operare care stau la baza funcŃionării şi administrătrii reŃelelor de tip Windows. După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte: • Care sunt principalele sisteme de operare de reŃea de tip Windows Server (2000, 2003, 2008) • Componentele sistemului de operare Windows Server 2003 Timpul minimde pereŃea care asigurate trebuie să-l modul este de 10 ore. 2003 • Serviciile deacordaŃi sistemulacestui de operare Windows Server • Rolul principalelor servere de reŃea • Serviciul de directoare Active Directory • Structurarea domeniilor şi subdomeniilor în arbori şi păduri • Ce este o relaŃie de încredere între domenii administrate separat

Cuvinte cheie: server, client, domeniu, controler de domeniu, arbore de domenii, pădure de domenii, Active Directory, server DNS, server DHCP, server ISA, politică de securitate, catalog global

Cuprins 3.1 Introducere 3.2 Cele mai importante caracteristici ale Windows Server 2003 3.3 Componentele Windows Server 2003 3.4 Active Directory 3.5 Crearea unui domeniu şi a unei păduri

Bibliografie [1] Munteanu A., Greavu-Şerban V., Cristescu G. – ReŃele Windows. Servere şi clienŃi. Exemple practice, Editura Polirom, Bucureşti, 2004 [2] Munteanu A., Greavu-Şerban V.– ReŃele locale de calculatoare. Proiectare şi administare, Editura Polirom, Bucureşti, 2003 [3] Praoveanu I. – ReŃele de calculatoare, Editura Univ. T. Maiorescu, Bucureşti, 2009 [4] Cisco Systems – CCNA2: Routers and Router Basics v3.1, 2005 [5] Mayers M. - Manual Network. Administrarea şi depanarea reŃelelor, Editura Rosetti Educational, Bucureşti, 2006

Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 6 ore.

41

3.1 Introducere Windows Server este un brand ce cuprinde o serie de produse software pe care se poate construi o infrastructură de reŃea, aplicaŃii şi servicii web destinate nevoilor informaŃice specifice organizaŃiilor, începând de la cele simple, de tipul grup de lucru, până la cele complexe, bazate pe data center. Seria de servere Windows cuprinde sisteme de operare de reŃea cum ar fi Windows Server 2000, 2003, 2008, dar şi multe aplicaŃii de sine stătătoare cum ar fi Exchange Server, SQL Server, ISA Server, IIS Server, Forefront Server, Communication Server etc. Windows Server 2003 este un sistem de operare de reŃea fiabil, care oferă soluŃii simple şi rapide pentru firme (mediu enterprise). Acest pachet software este o alegere ideală pentru a crea un mediu colaborativ, sub forma unei reŃele de organizaŃie, adecvată satisfacerii cerinŃelor de fiecare zi ale firmelor de orice dimensiune. Windows Standard Server 2003 constituie o soluŃie pentru: − partajarea fişierelor şi imprimantelor, − conectarea securizată la Internet, − securizarea aplicaŃiilor, clienŃilor, fişierelor, − desfăşurarea centralizată a aplicaŃiilor din spaŃiul de lucru, − posibilitatea unei colaborări fructuoase între angajaŃi, parteneri şi clienŃi. Windows Standard Server 2003 permite multiprocesarea. Multiprocesarea simetrică (SMP) este o tehnologie care permite software-ului să utilizeze mai multe procesoare pe un singur server pentru a îmbunătăŃi performanŃa, un concept cunoscut şi sub denumirea de scalare hardware sau scaling up.

3.2 Cele mai importante caracteristici ale Windows Server 2003 1. Uşor de implementat, administrat şi utilizat Cu interfaŃa sa familiară, Windows Server 2003 este uşor de utilizat. AsistenŃii de tip wizard simplifică setup-ul diferitelor roluri de server şi fluentizează sarcinile de administrare. Administratorii au la îndemână mai multe caracteristici noi sau îmbunătăŃite, proiectate pentru facilitarea implementării Active Directory. Copii ale structurilor Active Directory de mari dimensiuni pot fi distribuite pe medii de backup. Upgrade-ul de la versiunile anterioare, cum ar fi Windows NT Server 4.0, este simplificat cu Active Directory Migration Tool (ADMT), care copiază parolele şi este deplin programabil prin scripturi. 42

Administrarea Active Directory este mai uşoară, având posibilitatea de redenumire a domeniilor sau redefinire a schemelor. Administratorii dispun de flexibilitatea mai mare pentru a face faŃă schimbărilor organizaŃionale ce pot apărea. În plus, cross-forest trusts permite administratorilor să conecteze structuri forest Active Directory, asigurând autonomia fără a sacrifica integrarea. În final, instrumentele îmbunătăŃite pentru distribuire, cum ar fi RIS (Remote Installation Services), ajută administratorii să creeze imagini de sistem pentru a le instala pe servere.

2. Infrastructură sigură Arhitectura hardware este modulară, structurată pe mai multe niveluri (fig 1).

AplicaŃii Win32

AplicaŃii POSIX*

AplicaŃii OS/2

Subsistemul Win32

Subsistemul POSIX

Subsistemul OS/2

Modul utilizator Modul kernel

Servicii executive Manager I/O

Manager securitate

Manager memorie

Manager procese

Manager plug&play

Manager frerstre

Manager obiecte Sistem de fişiere

Kernel

Drivere dispozitive

Hardware Absrtraction Layer (HAL)

Drivere ptr. dispozitive grafice

Hardware

Fig. 1 Structura sistemului de operare Windows Server 2003 * POSIX or "Portable Operating System Interface [for Unix]"[1] is the name of a family of related standards specified by the IEEE to define the application programming interface (API)

3. Cost total de deŃinere mai scăzut prin utilizarea celor mai noi tehnologii Windows Server 2003 asigură multe avantaje de ordin tehnic ce ajută organizaŃiile să scadă costurile totale de deŃinere.

43

De exemplu, Windows Resource Manager, permite administratorilor să seteze nivele maxime de alocare a resurselor (procesoare sau memorie) pentru aplicaŃiile server. Administrarea acestor resurse se face prin setări Group Policy. Sistemele de stocare ataşate la reŃea permit consolidarea serviciilor de fişiere.

4. Creare facilă de site-uri Web dinamice pe intranet sau Internet IIS 6.0, serverul Web inclus în Windows Server 2003, asigură o securitate îmbunătăŃită şi o arhitectură solidă ce oferă aplicaŃiilor izolare şi performanŃă de excepŃie. Rezultatul este o mai bună fiabilitate, iar serviciile Microsoft Windows Media uşurează construirea de soluŃii performante pentru fluxuri media cu programare dinamică a conŃinutului. 5. Dezvoltare rapidă cu Integrated Application Server Arhitectura Microsoft .NET Framework este adânc integrată în sistemul de operare Windows Server 2003. Microsoft ASP.NET face posibilă crearea de aplicaŃii Web de înaltă performanŃă. Cu tehnologia .NET, dezvoltatorii sunt eliberaŃi de sarcina scrierii codului pentru conectare, putându-se concentra asupra aspectelor importante, de funcŃionalitate. Mai mult, ei pot dezvolta aplicaŃii folosind limbajele şi instrumentele cu care sunt obişnuiŃi. Windows Server 2003 asigură multe caracteristici ce sporesc productivitatea dezvoltatorilor şi valoarea aplicaŃiilor. AplicaŃiile existente pot fi reîmpachetate ca servicii Web XML. AplicaŃiile UNIX pot fi uşor integrate sau migrate. Dezvoltatorii pot construi rapid aplicaŃii şi servicii Web orientate spre dispozitivele mobile prin ASP.NET Mobile Web Forms sau alte instrumente. 6. Instrumente robuste de management Aşteptat pentru a fi disponibil ca şi componentă add-in, instrumentul GPMC (Group Policy Management Console) permite administratorilor să distribuie şi să gestioneze mai bine politicile ce automatizează configurările cheie în arii cum ar fi staŃiile utilizator, setările, securitatea şi profilurile roaming. Un nou set de instrumente în linia de comandă va oferi administratorilor posibilitatea de a scripta şi automatiza funcŃiile de management – majoritatea sarcinilor de administrare vor putea fi efectuate din linia de comandă dacă se doreşte. Suportul pentru Microsoft Software Update Services (SUS) va ajuta administratorii să automatizeze distribuirea şi instalarea ultimelor actualizări software disponibile. Serviciul Volume Shadow Copy îmbunătăŃeşte backup-ul, restaurarea şi sarcinile de administrare SAN (System Area Network).

44

7. FuncŃionalităŃi noi pentru utilizatori, simultan cu reducerea costurilor Cu noua caracteristică Shadow Copy, utilizatorii pot regăsi instantaneu versiuni anterioare ale documentelor. ÎmbunătăŃirile aduse la nivelul DFS (Distributed File System) şi serviciului de replicare a fişierelor asigură utilizatorilor o modalitate consistentă de a-şi accesa fişierele oriunde s-ar afla. Pentru utilizatorii de la distanŃă care au nevoie de securitate la nivel înalt, Connection Manager poate fi configurat să acorde utilizatorilor acces VPN fără ca aceştia să fie nevoiŃi să cunoască informaŃiile tehnice necesare setării conexiunii.

3.3 Componentele Windows Server 2003 Windows Server 2003 este un sistem de operare de reŃea de tip enterprise destinat gestionării resurselor (resurse fizice, aplicaŃii, clienŃi) într-o reŃea de organizaŃie, cu o arhitectură de tip client - server. Componentele sale sunt destinate în primul rând gestionării şi folosirii în comun a acestor resurse şi nu transferului de date în reŃele mari sau între reŃele. Sistemul de operare conŃine şi unele facilităŃi de lucru în reŃele de arie largă, cum ar fi conectare la distanŃă, aplicaŃii VPN, tehnici de rutare etc. Componentele principale ale Windows Server 2003 sunt aplicaŃii instalate pe sereve dedicate, destinate lucrului cu fişiere, printării, securizării clienŃilor şi aplicaŃiilor, conectării la distanŃă, dezvoltării de aplicaŃii web, serviciului de poştă electronică etc.

1. Server DNS Serverul de nume de domenii este necesar pentru buna funcŃionare a serviciului Active Directory. DNS-ul reprezintă mecanismul prin care sunt denumite şi recunoscute toate resursele unei reŃele Windows. Pe de altă parte, fiecare resursă din reŃea are şi o adresă IP de identificare unică. DNS-ul face rezoluŃia numelor cu adresele IP. Un serviciu DNS cuprinde următoarele componente:    

spaŃiul numelor de domenii înregistrări de resurse servere DNS clienŃi DNS

SpaŃiul numelor de domenii este o structură arborescentă care porneşte de la o rădăcină, de exemplu .ro, din care se formează recursiv subdomenii în care se fac înregistrările de resurse. De exemplu, o resursă poate fi un calculator al unui student denumit student_1.utm.ro. O altă resursă poate fi adresa e-mail a unui student [email protected]

45

Serverul NS este calculatorul pe care se configurează softul specific acestui tip de serviciu şi conŃine două elemente: name sreverul şi resolverul. Serverul de nume are rolul de a răspunde cererilor lansate prin intermediul browserului de conversie a numelui în adrese IP. Dacă serverul nu poate da acest răspuns, atunci apelează resolverul care va trimite cererea la un alt server DNS situat pe un nivel superior. Dacă nici aceste nu poate rezolva cererea, o va trimite mai departe, spre alt server etc. Cea mai uzuală înregistrare de resursă în baza de date a serverului DNS este adresa IP a resursei. O altă înregistrare importantă este SOA (Start of Authority). Ea conŃine informaŃii foarte importante folosite de serverul DNS în rezolvarea cererilor de numelor de domenii: -

denumirea serverului de nume al zonei,

-

adresa de mail a administratorului dimeniului,

-

numărul serial al zonei,

-

timpul de aşteptare al transferului de date între zone, atunci când o zonă nu mai este disponibilă

-

timpul de viaŃă al unei înregistrări,

-

aliasul (CNAME) al unui host.

În configurarea unui server DNS se foloseşte conceptul de zonă, care reprezintă o secŃiune continuă din spaŃiul numelui de domeniu. Înregistrările pentru o anumită zonă sunt sunt memorate şi gestionate la un loc, chiar dacă domeniul este împărŃit în subdomenii. De exemplu studenti.utm.ro şi profesori.utm.ro sunt zone separate ale domeniului utm.ro. Zonele pot fi de două feluri: -

primară în care se pot face actualizări secundară, copie a celei primare.

O zonă este de fapt o bază de date pentru un singur nume de domeniu. Dacă se mai adaugă şi alte domenii după cel folosit pentru a crea zone, acestea pot să facă parte din aceeaşi zonă sau din zone diferite. Presupunând că s-au creat subdomenii noi, acestea pot fi gestionate ca parte a înregistrărilor din zona de origine sau pot fi delegate unei alte zone, creată pentru a deservi acel subdomeniu. De exemplu când se crează prima dată domeniul utm.ro pe un server, va fi cofigurat ca o singură zonă pentru întreg spaŃiu al numelor DNS din utm.ro. Dacă administratorul va crea ulterior subdomenii în domeniul utm.ro, de exemplu inf.utm.ro sau psih.utm.ro, acestea pot fi incluse în zona creată odată cu utm.ro sau pot fi delegate altei zone. Orice zonă nou creată trebuie să aibă asociat un nume ce derivă din spaŃiul numelor DNS-ului pentru care serverul respectiv este autorizat să rezolve cererile. În cazul nostru, numele zonei va fi chiar utm.ro. Deoarece zona este din punct de vedere fizic o bază de date, trebuie stabilit

46

un nume pentru fişierul carte va gestiona înregistrările serverului DNS. Acest nume va fi de forma utm.ro.dns, unde .dns are semnificaŃia de extensie a numelui fişierului. Un server DNS trebuie instalat şi apoi administrat. Rolul de server DNS se instalează, de regulă, odată cu Active Directory, dar se poate face şi separat. După alegerea rolului, procesul de instalare este uşor, realizat printr-un wizard. La început acesta detectează toate setările ce Ńin de configurarea reŃelei. Apoi administratorul poate alege opŃiunea de configurare tipică sau la cerere. Ultima necesită luarea unor decizii/opŃiuni din partea celui care face instalarea. De asemenea, trebuie selectată varianta de DNS recomandată pentru reŃele (întreprinderi) mici/medii sau mari. Pentru cazul mici/medii se alege o Create forward lookup zone (recommanded for small networks) Această opŃiune ne obligă să spunem serverului nostru de DNS care este următorul server DNS care va rezolva cererile pe care serverul nostru nu le poate rezolva.

2. Active Directory şi Domain Controller

Active Directory reprezintă organizarea resurselelor din reŃea, iar Domain Controller este serverul care găzduieşte AD şi face serviciul de administrare a datelor. Rolul de DC se instalează odată cu AD. Un domeniu reprezintă o grupare logică de servere şi alte resurse dintr-o reŃea sub un singur “nume de domeniu”. Un domeniu este o structura logica care va avea propriile politici de grup si va putea avea relatii de încredere cu alte domenii. Domeniul este cea mai simplă unitate de reproducere şi securitate într-o reŃea Windows. Utilizarea domeniilor oferă următoarele avantaje: • Politicile de grup nu trec de la un domeniu la altul ci se vor opri la limitele domeniului. • ajuta la structurarea retelei astfel încât sa reflecte mai bine structura organizatiei sau grupului. •

permite delegarea autoritatiilor administrative.

• Fiecare domeniu va contine doar informatii care se refera la obiectele din domeniul respectiv. Fiecare domeniu cuprinde unul sau mai multe controllere de domeniu.

47

Un controller de domeniu este o aplicaŃie soft de tip server, care rulează pe un calculator unde este instalată o versiune de server Windows (2000, 2003, 2008) sau Linux, ce se ocupă de managementul resurselor de reŃea, ceea ce include logarea, autentificarea şi accesul la resurse, politici de securitate. Fiecare domeniu are propriile forme de securitate şi relaŃii speciale cu alte domenii. Uneori un domeniu se poate întinde pe mai multe locaŃii fizice, alte ori se pot crea mai multe domenii pe aceeaşi locaŃie, pentru a separa funcŃional unităŃi ale organizaŃiei. Un controller de domeniu conŃine următoarele informaŃii ce fac parte şi din Active Directory : - Date despre fiecare obiect şi container din domeniul respectiv - Date despre alte domenii din arbore sau pădure, pentru a putea asigura localizarea resurselor - O listă cu toate domeniile din arbore şi pădure - LocaŃia serverului de tip Catalog Global. Catalogul Global se ocupă de rezovarea interogărilor obişnuite. Este creat şi reîmprospătat cu informaŃii noi provenite din Active Directory.

3.

Terminal server

TS este aplicaŃia care implementează serviciul terminal. Terminal services oferă acces la distanŃă la un server (staŃie de lucru) pe care rulează diferite aplicaŃii. Prin intermediul Terminal Services, programul client nu recepŃionează decât interfaŃa utilizator, toate comenzile transmise pri intermediul tastaturii sau mousului fiind procesate de către server. Pentru utilizator sesiunea de lucru pare a se desfăşura chiar pe staŃia locală. Fiecare utilizator logat cu cont şi parolă personale, vede propria sa sesiune de lucru, are propriu său desktop, rulează propriile aplicaŃii independent de alŃi utilizatori cu care partajează resursele serverului. Mai mult, maşina locală la care lucrează un utilizator poate fi una de tip “thin client”, cu resurse hard foarte reduse, deoarece ea are rol doar de simulare a unui terminal.Pentru conectare la terminal server, utilizatorul are la dispoziŃie aplicaŃii client: • Remote desktop şi • Remote Assistance, ambele implementate în toate sistemele de operare Wondows începând cu Windows NT. 4.

DHCP server

Dynamic Host Configuration Protocol este un standard IP (face din suita de protocoale TCP/IP) conceput în scopul simplificării procesului de administarea a adreselor IP într-o reŃea. Un server DHCP va fi configurat cu setarile corespunzatoare pentru o retea data. Aceste setari includ un set fundamental de parametri cum ar fi gateway, DNS, masti de retea, si o

48

clasa de adrese IP. Utilizarea DHCP intr-o retea inseamna ca administratorii nu trebuie sa configureze aceste setari individual pentru fiecare client din retea. DCHP va distribui automat acesti parametri fiecarui client individual. Serverul DHCP atribuie unui client o adresa IP luata dintr-un grup de adrese (numit în limbajul de specialitate scope) predefinit pentru un anumit timp. Administrarea serverului DHCP include următorii paşi : ♦ ÎmpărŃirea adreselor disponibile în grupuri de adrese numite scope ♦ Stabilirea pentru fiecare scope în parte : defaul gateway, server DNS, server WINS ♦ Stabilirea pentru fiecare scope în parte a duratei de închiriere ♦ Stabilirea rezervărilor de adrese pentru clienŃii care au nevoie mereu de aceiaşi adresă. Daca o adresa IP este necesara pentru mai mult timp decat a fost setat timpul alocat, clientul trebuie sa ceara o extindere inainte ca perioada sa expire. Daca clientul nu a solicitat o reinnoire a perioadei de alocare (lease time), adresa IP va fi considerata libera si va fi alocata unui alt client. Daca utilizatorul doreste sa-si schimbe adresa IP poate utiliza comanda „ipconfig /release” urmata de „ipconfig /renew” in linia de comanda. Aceasta va sterge adresa IP curenta si va aloca una noua. Pot fi definite „rezervari” intr-un server DHCP pentru a permite anumitor clienti de a avea propria adresa IP. Adresele pot fi rezervate pe baza adresei MAC sau a hostname-ului astfel incat acesti clienti vor avea o adresa IP fixa ce este configurata automat. Majoritatea furnizorilor de servicii Internet utilizeaza DHCP pentru a atribui noi adrese IP calculatoarelor client cand acestea se conecteaza la Internet, ceea ce simplifica lucrurile la nivelul utilizatorului.

5.

Server web (IIS – Internet Information Server)

Internet Information Server este serverul web care suportă aplicaŃiile web dezvoltate pe platforme Windows. Este cel mai utilizat server web la ora actuală după Apache HTTP Server. Ultima versiune IIS 7.5 suportă HTTP, HTTPS, FTP, FTPS, SMTP şi NNTP. Este parte componentă a familiei Windows Server, dar şi a sistemelor de operare Windows Vista, Windows 7 şi chiar unele versiuni de Windows XP. Totuşi el nu se instalează în mod implicit când se instalează sistemul de operare. Un server web este o aplicaŃie soft rezidentă pe o maşină fizică care găzduieşte pagini sau situri web şi care acceptă cererile unui client de web (program de navigare), procesează cerere şi întoarce răspunsul solicitat. Serverele web moderne efectuează mai multe operaŃii decât acceptarea cererilor de căutare, localizarea fişierelor prin adresa URL şi returnarea conŃinutului acestora solicitantului. Procesarea fiecărei cereri poate cuprinde o serie de paşi cum ar fi: - Rezolvarea numelui paginii web cerute implicând un serviciu DNS - Autentificarea clientului

49

- Verificarea drepturilor de acces ale clientului - Verificarea drepturilor de acces asupra paginii - Verificarea memoriei cash - ObŃinerea paginii cerute de pe suportul fizic - Determinare tipului MIME ce va fi inclus - Transmiterea răspunsului - Înregistrare în jurnalul serverului Internet Information Services (IIS) 6.0 este un server de Web cu toate caracteristicile necesare aplicaŃiilor şi serviciilor Web XML din ziua de azi. IIS 6.0 a fost complet reproiectat, noua arhitectură având un model de procesare tolerant la defecte, capabil să crească dramatic fiabilitatea site-urilor şi aplicaŃiilor Web. IIS poate să izoleze unele de altele aplicaŃiile sau site-urile Web. Acestea sunt dispuse în procese independente (numite application pool) ce comunică direct cu kernel-ul sistemului de operare. Caracteristica este de natură să crească throughput-ul şi capacitatea aplicaŃiilor, simultan cu economisirea resurselor pe servere, reducând efectiv nevoile hardware. Aceste application pools independente previn propagarea problemelor unei aplicaŃii individuale la alte site-uri, aplicaŃii sau servicii Web XML ce rulează pe acelaşi IIS. IIS oferă de asemenea capabilităŃi de monitorizare pentru descoperirea, recuperarea şi prevenirea căderilor aplicaŃiilor Web. Pe Windows Server 2003, Microsoft ASP.NET foloseşte nativ noul model de procesare al IIS. Aceste caracteristici avansate vor fi disponibile şi aplicaŃiilor Web deja existente, care deocamdată rulează încă pe IIS 4.0 sau 5.0 – marea majoritate a acestor aplicaŃii nu vor necesita vreo modificare în cazul migrării la IIS 6.0.

6.

ISA Server

Internet Security si Acceleration (ISA) Server este o componenta de mare ajutor în protejarea mediilor IT şi a infrastructurilor de date oferind utilizatorilor acces de la distanŃă atât pentru resursele interne cât şi pentru procesele tehnice operate în cadrul administrării reŃelei locale. Este succesorul lui Microsoft's Proxy Server 2.0 şi parte a Microsoft .NET. ISA Server 2004 este o soluŃie de securitate a reŃelei Windows care înglobează: - firewall- protecŃie la viruşi şi acces neutorizat - web caching – accesul rapid la resurse din Internet FacilităŃi ISA Server: - multinetworking permite divizarea reŃelei interne în subreŃele pe principii funcŃionale (compartimentale) şi stabilirea regulilor de tranasfer a datelor între subreŃele (reguli bazate pe rutare sau pe translaŃie de adrese). Permite crearea reŃelelor de perimetru (reŃele ecranate, DMZ) pentru protejarea serverelor publice la accesul din Internet

50

- politica de firewall care permite controlul porturilor sursă şi destinaŃie pentru toate protocoalele, autentificare de tip Windows sau RADIUS, sau RSA, definirea propriilor obiecte de reŃea (calculatoare, reŃele, seturi de reŃele etc. ), intervale de adrese IP, redirectarea conexiunilor spre servere publice etc. - suport pentru clienŃi VPN. ISA permite crearea conexiunilor VPN (conexiuni securizate peste o reŃea publică) între locaŃii distante ale organizaŃiei, accesul la distanŃă securizat pentru membrii organizaŃiei sau pentru clienŃi ai acesteia. - monitorizare complexă a traficului prin configurarea dorită a politicilor de firewall 7.

Exchange Server

Serverul pentru poştă electronică, mesagerie şi lucru colaborativ în organizaŃie pus la dispoziŃie de Microsoft este Exchange Server. Principalele caracteristici sunt: poştă electronică, calendar, listă contacte, suport pentru acces la informaŃii web, inclusiv pentru telefonie mobilă, data storage etc. Serviciul Windows Exchange are numeroase versiuni, de la Exchange 1.0 pentru Windows 95, până la Exchange Server 2010 lansat în 2009 în mai multe variante. Un server de poştă electronică are, în principal, următoarele funcŃii: găzduieşte şi administrează conturile utilizatorilor de mail verifică accesul utilizatorilor la serviciu de mail acceptă cereri de conexiune de la clienŃi de mail rulează protocolul SMTP prin care se face transferul mesajelor de poştă găzduieşte mesajele de poştă prin intermediul cutiilor poştale ale abonaŃilor Deoarece Exchange server este deplin integrat cu Active Directory, crearea conturilor de mail se poate face direct din AD. Pentru o bună funcŃionare a serviciului de poştă electronică, pe server trebuie instalate mai multe servicii: .NET Framework ASP.NET Internet Information Server SMTP NNTP Una dintre cele mai utilizate metode de acces la un server de mail este direct din Internet, prin intermmediul unui browser. În exchange, modalitatea de citire a mail-urilor prin HTTP este Outlook Web Access (OWA). Accesarea serviciului de mail prin Internet poate crea probleme de confidenŃialitate şi de accea se recomandă folosirea unui protocol de navigare securizat, HTTPS. 8.

Microsoft Office Communications Server

Microsoft Office Communications Server este un server de comunicare în timp real între membrii unei organizaŃii, asigurând infrastructura pentru mesagerie instant, transfer de fişiere, conferinŃe audio, video şi web, conectivitate la reŃeaua telefonică, convorbiri unu la unu sau unu la mai mulŃi etc. Serverul de comunicaŃii foloseşte, în principal, următoarele protocoale:

51

• • •

SIP (Session Initiation Protocol) SIMPLE (Instant Messaging and Presence Leveraging Extensions) and RTP (Real-Time Transport Protocol).

Serverul de comunicaŃii acceptă următorii clienŃi în mediul de comunicaŃii colaborativ: • Windows Messenger 5.0 • Windows Messenger 5.0 for MAC • Microsoft Office Communicator 2005 • Microsoft Office Communicator Web Access

3.4 Active Directory Cea mai simplă definiŃie pentru Active Directory s-ar traduce într-un serviciu cu ajutorul căruia utilizatorii caută şi găsesc obiecte. Principala funcŃie a unui serviciu de director este de a permite găsirea informaŃiei într-o reŃea şi a face accesibile datele proprii ale utilizatorilor. AD organizează resursele unei reŃele (resurse fizice, utilizatori, aplicaŃii etc.) într-um mod asemănător cum NTFS organizează resursele unei staŃii de lucru (fişiere, aplicaŃii etc). Dar Active Directory face mult mai mult decât a permite utilizatorilor să găsească informaŃiile utile. De fapt, Active Directory reprezintă o soluŃie completă de management al sistemului informatic al unei reŃele de calculatoare. Active Directory are mai multe roluri importante printre care se numără : •

bază de date pentru fiecare obiect din reŃea şi atributele sale



un punct central pentru administrare



un mecanism pentru comunicarea între sisteme de operare diferite



un mijloc de consolidare a serviciilor de directoare



un sistem de reproducere a datelor.



un sistem de securitate privind acesul la obiecte şi relaŃiile de încredere între domenii

Active Directory permite gruparea staŃiilor de lucru împreună pentru o administrarea mai uşoară. Folosind serviciul de director, staŃiile de lucru pot fi actualizate, configurate şi chiar depanate de la distanŃă. O singură interfaŃă de management care este accesibilă din orice punct al reŃelei înseamnă eficienŃă sporită şi timp câştigat în intervenŃia asupra oricăror resurse de reŃea. 52

Active Directory oferă modalitatea de autentificare unică pentru utilizatorii din reŃea. Acest lucru înseamnă că utilizatorii nu vor mai trebui să reŃină parole multiple pentru diverse aplicaŃii. De fapt, se poate aplica o politică globală de securitate pentru configurarea setărilor conturilor de utilizator.

Fig. 2 Resurse administrate de AD Active Directory reprezintă inima reŃelelor bazate pe sisteme de operare Windows. Principalele avantaje oferite de implementarea Active Directory în reŃea sunt : •

Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator al reŃelei pe bază de utilizator şi parolă unică.



Administrarea centralizată a tuturor serverelor şi staŃiilor de lucru din reŃea.



Autorizarea accesului la resurse – pentru fiecare resursă din reŃea pot fi configurate liste de acces care specifică explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.



Aplicarea consistentă a unor politici de securitate în cadrul reŃelei. Acesta din urmă este în particular un avantaj foarte important în procesul de securizare al reŃelei.

Active Directory face un mare pas înainte în direcŃia furnizării acestei infrastructuri, în condiŃiile în care reduce şi costurile menŃinerii unei staŃii de lucru sau unui PC. Cu Active Directory, angajaŃii pot afla uşor informaŃii despre toate resursele conectate la reŃeaua proprie. Administratorii pot gestiona reŃeaua dintr-un singur punct central, chiar şi atunci când organizaŃia se întinde în mai multe oraşe, Ńări sau continente.

ÎmbunătăŃirile Active Directory în Windows Server 2003 Introdus odată cu Windows 2000, serviciul Microsoft Active Directory simplifică administrarea directoarelor complexe din reŃele şi facilitează utilizatorilor localizarea resurselor chiar şi în cele mai largi reŃele. În Windows Server 2003 acesta este deplin integrat la nivelul sistemului de operare. Numeroasele îmbunătăŃiri aduse cu Windows Server 2003 facilitează utilizarea şi

53

implementarea: cross-forest trusts, posibilitatea redenumirii domeniilor, posibilitatea dezactivării atributelor şi claselor din scheme pentru ca definiŃiile să poată fi schimbate.

Group Policy Management Console Administratorii pot utiliza Group Policy pentru a defini setări şi acŃiuni permise pentru utilizatori şi calculatoare. În contrast cu politicile locale, organizaŃiile pot folosi Group Policy pentru a seta politici aplicabile unui întreg site, domeniu sau unitate organizaŃională din Active Directory. Managementul bazat pe politici simplifică sarcinile cum ar fi operaŃiile de actualizare a sistemului, instalarea aplicaŃiilor, profiluri de utilizator sau “îngheŃarea” unui sistem desktop.

Resultant Set of Policy Instrumentul RSoP (Resultant Set of Policy) permite administratorilor să vadă dinainte efectul pe care l-ar avea aplicarea unei politici asupra calculatoarelor sau utilizatorilor Ńintă. Cu RSoP, organizaŃiile au la îndemână un instrument puternic şi flexibil pentru planificare, monitorizare şi detectare a problemelor Group Policy. RSoP este o infrastructură furnizată ca set de componente snap-in în MMC (Microsoft Management Console). Cu ea, administratorii vor putea să determine şi să analizeze setul curent de politici în două moduri: logging mode şi planning mode. Cu logging mode, administratorii pot stabili ce s-a aplicat unei anumite Ńinte. Iar în planning mode se poate vedea cum va fi aplicată o politică asupra unei Ńinte şi ce rezultate ar avea aplicarea politicii – înainte de a efectua modificarea propriu zisă în Group Policy.

Volume Shadow Copy Restore Ca parte a serviciului Volume Shadow Copy, această caracteristică permite administratorilor să configureze copii ale volumelor cu date critice la anumite momente în timp, fără a întrerupe serviciul. Aceste copii pot fi ulterior folosite pentru restaurarea serviciului sau pentru arhivare. Utilizatorii pot regăsi versiuni arhivate ale documentelor lor – transparent menŃinute de către server.

.NET Framework Integrat Microsoft .NET Framework este modelul de programare al software-ului conectat prin .NET, pentru tehnologiile destinate construirii, implementării şi rulării aplicaŃiilor Web, programelor client inteligente şi serviciilor Web XML. .NET Framework asigură un mediu de înaltă productivitate, bazat pe standarde, pentru integrarea investiŃiilor existente cu următoarea generaŃie de aplicaŃii şi servicii. În plus, ajută organizaŃiile să rezolve provocarea implementării de aplicaŃii capabile să opereze la scară Internet.

Administrare în linie de comandă Familia Windows Server 2003 aduce o infrastructură pentru administrare din linia de comandă semnificativ îmbunătăŃită, permiŃând administratorilor să efectueze cele mai multe sarcini fără a utiliza interfaŃa grafică. 54

De importanŃă specială este posibilitatea de a efectua sarcini accesând informaŃii din WMI (Windows Management Instrumentation). Caracteristica WMIC (WMI Commandline) furnizează o interfaŃă text simplă ce interoperează cu shell-urile şi utilitarele existente, putând fi extinsă prin scripturi sau alte aplicaŃii destinate administrării. Per ansamblu, funcŃionalitatea mai bună a Windows Server 2003 în ce priveşte administrarea din linia de comandă, combinată cu scripturile gata folosibile furnizate, rivalizează cu puterea altor sisteme de operare. Administratorii obişnuiŃi cu interfaŃa text pentru managementul sistemelor UNIX sau Linux pot trece uşor la familia Windows Server 2003.

1. Păduri, domenii şi relaŃii de încredere



În termeni simpli am putea defini cele trei concepte în felul următor: Un forest este o colecŃie de date partajate şi domenii;



Un domeniu este o ierarhie de obiecte care se replică între unul sau mai multe controllere de domeniu;



Un trust reprezintă o relaŃie de încredere între două domenii pentru a îngădui utilizatorilor, grupurilor sau computerelor accesarea resurselor în celălalt domeniu.



Un tree (copac) este o grupare de domenii care formează un spaŃiu de nume comun.



Un spaŃiu de nume comun este un set de nume de domenii în care fiecare subdomeniu adaugă unul sau mai mulŃi identificatori la începutul numelui DNS de domeniu. De exemplu, dacă domeniul părinte este utm.local şi subdomeniul său este inf.utm.local, acestea două vor forma un spaŃiu de nume comun.

Numele unui tree (arbore) este numele domeniului care este cel mai înalt în rang. În exemplul de faŃă, utm.local este numele arborelui, care se mai numeşte şi rădăcina arborelui de domeniu. Domeniile în arborii Active Directory impart anumite elemente cum ar fi: - schema (definiŃia pentru toate obiectele Active Directory), - catalogul global (informaŃia configurărilor din Active Directory). Aceste obiecte sunt replicate între controllerele de domeniu în cadrul tree-ului. În acest fel se asigură consistenŃa definiŃiei obiectelor, setărilor, şi configuraŃia Active Directory din toată organizaŃia.

Domeniile active directory sunt definite (numite) folosind serviciul de nume DNS. Domeniile care fac parte dintr-un DNS cunoscut sunt considerate a fi în acelaşi domain tree. De exemplu inf.utm.local, psi.utm.local, ase.utm.local şi utm.local fac parte din tree-ul

55

utm.local. Un singur domain tree este suficient pentru mai multe implementări, dar în cazul corporaŃiilor (care includ mai multe companii) este necesar ca fiecare companie să îşi păstreze identitatea şi deci şi domain name-ul, o să avem de a face cu mai multe forest-uri, domenii şi implicit trust-uri între acestea.

Domeniile reprezintă partiŃii logice în Active Directory organizate cu scopul de a securiza directorul şi pentru replicarea acestuia. Domeniile sunt nume unice la fel ca numele de domeniu ce se regăsesc pe internet. De exemplu google.com reprezintă un nume de domeniu şi totodată şi dga.local. Domeniile au rolul de container pentru obiectele din Active Directory (acestea includ utilizatori, servere, staŃii de lucru, dispozitive de reŃea, etc). Fiecare domeniu reŃine informaŃii doar despre obiectele ce le conŃine. Un domeniu Active Directory poate conŃine până 10 milioane de obiecte. ToŃi utilizatorii Active Directory trebuie să se autentifice într-un domeniu, altfel nu se pot loga în reŃea. Controllerele de domeniu sunt responsabile pentru autenticitatea parolelor utilizatorilor, iar Active Directory oferă securitate pentru autentificarea unică pe întreg domeniul. Domeniile delimitează de asemenea şi politicile de grup. Politicile de securitate care sunt definite într-un domeniu nu se propagă şi în alte domenii. Acest lucru înseamnă ca setările ca de exemplu drepturile administrative nu ajung dintr-un domeniu în altul. Într-un domeniu, informaŃiile despre obiecte sunt replicate între toate controllerele de domeniu pentru a se asigura redundanŃa şi securitatea adiŃională. Fişierele importante dintr-un domeniu pot fi replicate pentru a asigura suportul în cazul defecŃiunilor harware sau mentenanŃei. Cu toate acestea, informaŃiile nu se replică între domenii. Acest lucru înseamnă că domeniile delimitează şi replicarea. Domeniile sunt reprezentate în Active Directory prin obiecte domainDNS. Numele distinct al unui obiect domainDNS corespunde direct cu numele DNS al domeniului. De exemplu pentru domeniul inf.utm.local vom avea un DN format din: dc=inf, dc=utm, dc=local. În tabela de mai jos avem câteva dintre cele mai interesant atribute ce se regăsesc intr-un obiect.

Delimitează politicile de grup

Delimitează autentificarea

UTM.LOCAL Delimitează replicarea Fig.3 Obiecte ale domeniului UTM.LOCAL

56

RelaŃii de încredere tranzitive Într-un arbore Active Directory, relaŃiile de încredere leagă domeniile între ele pentru ca acestea să poată fi administrate în mod unitar. De fiecare dată când un domeniu este adăugat în arbore, se formează o relaŃie de încredere tranzitivă. Dacă domeniul A are trust cu domeniul B, atunci domeniul A va avea trust cu toate domeniile în care B are trust. În Fig 4, este o relaŃie de încredere între UTM.LOCAL şi INF.UTM.LOCAL. Dacă este adăugat încă un domeniu LAW.UTM.LOCAL care are un trust cu UTM.LOCAL, atunci se va realiza automat un trust între cele două domenii copil. UTM.LOCAL

Rel. de încredere

Rel. de încredere

Rel. de încredere tranzitivă

INF.UTM.LOCAL

LAW.UTM.LOCAL Fig. 4

Realizarea unei relaŃii tranzitive

UTM.LOCAL

INF.UTM.LOCAL

STUDENT.INF.UTM.LOCAL

Fig. 5 Arbore de domenii

Pădurile Active Directory O pădure (forest) este compusă din unul sau mai mulŃi arbori. Spre deosebire de arbore, o pădure poate conŃine mai multe spaŃii de nume fără să împartă un sufix comun. În Fig. 6 pădurea conŃine doi arbori, fiecare cu spaŃiul său de nume. UTM.LOCAL şi UNIBUC.LOCAL. Pădurea ia numele primului arbore instalat în ea. În acelaşi fel în care relaŃiile tranzitive de încredere există între domenii într-un tree, există trust-uri bidirecŃionale între domeniile de vârf din forest. La fel ca arborii, pădurile împart o schemă comună, o configuraŃie şi un catalog global.

57

Pădurile reprezintă o modalitate de legare a sucursalelor (subunităŃilor) unei companii sau a diferitelor organizaŃii care colaborează. O pădure este o structură logică care reprezintă de fapt o colecŃie de domenii, plus configuraŃia şi schema contextelor de nume, a aplicaŃiilor şi a partiŃiilor. Ele sunt considerate primele linii de securitate în Active Directory. Prin asta se înŃelege că dacă vrem să restricŃionăm accesul la un domeniu astfel încât administratorii unui alt domeniu să nu aibă acces, este nevoie de implementarea unei păduri separate (şi un domeniu în acel forest.) în loc să folosim un domeniu în acelaşi forest. Aceasta se datorează faptului că există un nivel de încredere tranzitiv între toate domeniile unui forest şi a permisiunilor extinse pe care grupul Domain Admins îl are.

UNIBUC.LOCAL

UTM.LOCAL

INF.UTM.LOCAL

Schema

FMI.UNIBUC.LOCAL

ConfiguraŃia

Catalogul global

Fig. 6 .Pădure de domenii

Rezumat ReŃelele Windows sunt o categorie largă de reŃele de organizaŃie de tip client-server, realizate pe baza unor aplicaŃii software specifice, denumite generic Windows Server. ReŃelele Windows sunt în primul rând reŃele locale, destinate necesităŃilor de comunicare şi conlucrare din interiorul unei firme, organizaŃii sau instituŃii, dar au şi importante componente specifice reŃelelor de arie largă. Seria de produse Windows Server (2000, 2003, 2008) cuprinde principalele aplicaŃii de reŃea: servere de administare, server de email, de baze de date, de fişiere, de printare, de securitate etc. Active Directory este componenta de bază a administrării reŃelelor Windows. În esenŃă, ea este o aplicaŃie în care se pot defini Ńi administra toate obiectele din reŃea. Domain Controllerul, care găzduieşte Active Directory administrează toate obiectele de reŃea din interiorul unui domeniu Windows.

58

Test de autoverificare Folosind cuvinte cheie şi expresii din text, completaŃi spaŃiile următoare: 1. Windows Server 2003 este .........................................., care oferă soluŃii pentru imprementarea următoarelor servicii necesare într-o oprganizaŃie: ..............................., ......................................., ........................................... 2. Seria de servere Windows cuprinde sisteme de operare de reŃea cum ar fi: ...................., ....................., ....................................., dar şi servere de sine stătătoare: ......................, ......................., ....................................., ......................................... 3. Windows Standard Server 2003 permite multiprocesarea, care este o tehnologie ce admite ............................................................ pentru a spori performanŃa. 4. Arhitectura Microsoft .NET Framework este ........................... 5. Windows Server 2003 este un sistem de operare de reŃea de tip ....................., destinat gestionării resurselor (resurse fizice, aplicaŃii, clienŃi) într-o reŃea de organizaŃie, cu o arhitectură de tip ........................ 6. Sistemul de operare conŃine şi unele facilităŃi de lucru în reŃele de arie largă, cum ar fi: ..............................................., ..............................., ............. ........................ 7. Un serviciu DNS reprezintă mecanismul prin care sunt ......................................... şi .................................... toate .............................................. 8. SpaŃiul numelor de domenii este ....................................... care porneşte de la o rădăcină, din care se formează recursiv ................. în care se fac înregistrările de resurse. 9. În configurarea unui server DNS se foloseşte conceptul de zonă, care reprezintă ........................................................... Înregistrările pentru o anumită zonă sunt sunt ........................................................ 10. Active Directory reprezintă ...................................................., Controllerul este ..............................................................

iar

11. Un domeniu reprezintă o grupare logică de ....................... ..................................., sub un singur ............................................

Domain

şi

alte

12. Domeniul este cea mai simplă ............................................ într-o reŃea .....................

59

13. Un controller de domeniu conŃine următoarele informaŃii: -

Date despre fiecare ................ şi ......................... din domeniul respectiv Date despre alte ..................... din arbore sau ...................... O listă cu .................................................. LocaŃia serverului de tip .........................................

14. Serviciul terminal oferă ............................................ la un server (staŃie de lucru) pe care rulează ............................................... 15. Serviciul DHCP atribuie unui client ……………………………………… luată dintrun …………………………. numit ………………………………………. 16. Internet Information Server este .............................. .................................... dezvoltate pe platforme Windows.

care

suportă

17. Un server web este o ......................... rezidentă pe o maşină fizică care găzduieşte .............. sau ........................ şi care acceptă cererile unui ..........................(.....................), procesează cererea şi ........................... răspunsul solicitat. 18. ISA server este o soluŃie .............................. a reŃelei Windows care înglobează - ............................. - protecŃie la viruşi şi acces neutorizat - ............................. – accesul rapid la resurse din Internet 19. FuncŃia de networking a Windows server 2003 .................................................... pe principii ............................... şi ..........................................................

permite stabilirea

20. Politica de firewall a ISA server permite controlul ................................................ pentru toate .................................., autentificare de tip .................... sau ............................. sau .............. 21. Principalele caracteristici ale Exchange Server sunt: ......................................., ...................., .................. ........................., suport pentru accesa la ........................., ........................ 22. Un server de poştă electronică are, în principal, următoarele funcŃii: -

........................... şi ............................. conturile utilizatorilor de email ........................ accesul utilizatorilor ........................ cereri de conexiune ..................... protocolul SMTP prin care se face .............................. .........................mesajele de email prin intermediul .............................. 60

23. Microsoft Office Communications Server este un ............................................. în timp real între membrii unei organizaŃii, asigurând infracstructura pentru ............................., ......................................, .............................................., ................................... 24. Serverul de comunicaŃii foloseşte, în principal, următoarele …………….., …………………………, …………………………….

protocoale:

25. Active Directory organizează ..................................... într-un mod similar cum NTFS organizează ........................... unei staŃii de lucru 26. Active Diretory are mai multe roluri: -

Bază de date pentru .............................................. Punct central de .................................................... Sistem de reproducere/replicare a ................................... Sistem de securitate a ........................................................

27. Un domeniu este o ierarhie de ......................... care se replică între unul sau mai multe ................................................. 28. Un tree (copac) este o grupare de ........................... care formează un .............................. 29. Un spaŃiu de nume comun este un set de ................................., în care fiecare .................... adaugă unul sau mai mulŃi identificatori la .......................... 30. Domeniile ....................... politicile de securitate. Politicile de securitate definite întrun domeniu ......................... şi la alt domeniu.

Întrebări de control 1. Ce este un sistem de operare de reŃea de tip enterprise şi ce servicii de reŃea sunt necesare într-o organizaŃie? 2. Cum au evoluat sistemele de operare de reŃea de tip Windows? 3. Ce este Windows Server 2003 şi care sunt componentele sale? 4. DefiniŃi conceptul de domeniu Windows şi daŃi exemple. Care este utilitatea unui domeniu în administrarea reŃelelor? 5. Ce este serviciul de directoare Active Directory? 6. Ce este un Controller de Domeniu şi care este legătura sa cu serviciul de directoare?

61

7. Ce este serviciul numelor de domenii şi care este legătura sa cu serviciul de directoare Active Directory? 8. Ce este un arbore de domenii? Dar o pădure de domenii? DaŃi exemple. 9. Ce este un “trust” între domenii şi ce utilitate are în administrarea reŃelelor? 10. DescrieŃi paşii privind instalarea unui controller de domeniu. 11. DescrieŃi structura unui AD 12. Ce sunt grupurile organizaŃionale şi cum se pot crea? Ce elemente se pot crea şi administra într-o UO? 13. DescrieŃi ce este un grup de securitate şi cum poate fi creat. 14. Ce este o politică de securitate şi cum se poate implementa?

Teme de casă şi exerciŃii 1. Într-un mediu de virtualizare (VMware ACE, VMware Player sau altele) să se instaleze o Windows server 2003 2. Să se instaleze un Controller de domeniu pe maşina virtuală Windows server 2003 3. Să se creeze şi să se administreze conturi de utilizator, grupuri organizaŃionale şi politici de securitare pe Windows server 2003 4. Să se facă un studiu comparativ privind administrarea conturilor utilizatorilor în mediul Windows Server 2003 şi Windows XP 5. Să se exemplifice administrarea conturilor de utilizator în mediile Windows Vista/Windows 7/Windows XP

62

Tema 4 Instalarea unui Controller de Domeniu (DC)

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte: • Cum se instalează un controller de domeniu • Care sunt componentele (structura) Active Directory (AD) • Cum se pot crea structuri organizaŃionale • Administrarea obiectelor din AD • Ce sunt arborii şi pădurile de domenii • Structurarea domeniilor şi subdomeniilor în arbori şi păduri • Ce este o relaŃie de încredere între domenii administrate separat

Cuprins 4.1 Instalarea Active Directory 4.2 Crearea unei structuri organizaŃionale 4.3 Managementul AD 4.4 Crearea unui domeniu şi a unei păduri

Cuvinte cheie: Active Directory, controler de domeniu (DC), unitate organizaŃională (OU), container, politică de securitate, identificator de securitate, grup de securitate, politică de grup, domeniu, arbore de domenii, pădure de domenii, relaŃie de încredere (trust)

Bibliografie [1] Munteanu A., Greavu-Şerban V., Cristescu G. – ReŃele Windows. Servere şi clienŃi. Exemple practice, Editura Polirom, Bucureşti, 2004 [2] Munteanu A., Greavu-Şerban V.– ReŃele locale de calculatoare. Proiectare şi administare, Editura Polirom, Bucureşti, 2003 [3] Praoveanu I. – ReŃele de calculatoare, Editura Univ. T. Maiorescu, Bucureşti, 2009 [4] Cisco Systems – CCNA2: Routers and Router Basics v3.1, 2005 [5] Mayers M. - Manual Network. Administrarea şi depanarea reŃelelor, Editura Rosetti Educational, Bucureşti, 2006 Timp de studiu: minimum 4 ore

63

AD reprezintă serviciul director din Windows Server 2003. El stochează informaŃii despre obiectele (resursele) unei reŃele oferind posibilitatea de a fi localizate şi folosite de utilizatori. Serviciul AD presupune existenŃa controlerului de domeniu (DC). Fiecare domeniu trebuie să aibă un DC.

4.1 Instalarea Active Directory DC are rolul de a controla accesul utilizatorilor la aceste resurse de reŃea. El se instalează pe un server (poate fi acelaşi cu DNS sau altul) prin stabilirea rolului de DC. Rolul de AD al unui server se stabileşte prin promovarea lui ca DC. Pentru aceasta se poate folosi utilitarul Manage your server sau comanda dcpromo din Start→ Run→dcpromo. Paşii sunt următorii: 1. Imediat după lansarea în execuŃie se deschide fereastra Active Directory Installation Wizard care conduce instalarea rolului DC. 2. Dacă serverul pe care se instalează DC este primul din domeniu, la Domain Controller Type se alege opŃiunea DC for a new domain→ Next. 3. Se deschide fereastra Create New Domain cu trei opŃiuni: Domain în a new forest, sau Child Domain in an existing domain tree, sau... 4. Dacă se alege prima opŃiune se va crea un nou domenui al cărui nume va trebui specificat, de exemplu utm.ro. Este de menŃionat că numele domeniului trebuie să coincidă cu cel din DNS. → Next. 5. Se specifică numele NetBIOS (Domain NetBIOS name) al noului domeniu (se va folosi acelaşi nume). Acest nume va fi folosit de staŃiile cu sisteme de operare mai vechi pentru identificarea serverului din reŃea. → Next. 6. În fereastra Database and Log Folders se solicită acordul administratorului pentru locaŃia bazei de date a AD precum şi a fişierelor jurnal. Se recomandă alegerea locaŃiei implicite, care este în directorul NTDS din directorul de instalare a sistemului de operare. → Next. 7. În Shared System Volume se specifică locaŃia directorului SYSVOL în care se păstrează şi se pun la dispoziŃie informaŃii partajate din reŃea: poltici de securitate, scripturi, profile etc. 8. Dacă nu a fost instalat serviciul DNS, wizardul atenŃionează şi cere instalarea acestuia. Dacă ere instalat, se recomandă a se face verificări privind integrarea AD cu DNS. Se face cu comanda: Start → Run→ dnsmgmt.msc→ OK Se deschide fereastra DNS Registration Diagnostics → Next. 9. Se deschide fereastra utm.ro Properties Rclick pe numele zonei, Dynanic updates Nonsecure and secure. 10. Se restartează calculatorul

4.2 Crearea unei structuri organizaŃionale Un aspect important în politica de securitate a unui domeniu Windows este cerarea conturilor de utilizator, organizarea acestora pe grupuri organizaŃionale şi crearea unei politici de securitate pe utilizatori separată de staŃiile de lucru sau de serverele din reŃea. În 64

multe cazuri este util a se grupa utilizatorii pe criterii funcŃionale, pe colective care să faciliteze schimbul de informaŃii în interiorul grupului şi restricŃionarea accesului userilor din alte grupuri. Administrarea serverului AD din consolă se poate face din: Start→ Run→dsa.msc→ OK sau Start→Administrative Tools→ Active Directory Users and Computers. În fereastra de administare a AD se vede organizarea arborescentă a acestuia, conŃinând patru directoare şi un grup organizaŃional:

Name

Type

Description

Builtin Computers Domain Controllers Foreign Security Principals Users

Builtin Domain Container Org Unit Container Container

Default contain Default contain Default contain Default contain Default contain

Builtin înregistrează 16 grupuri de securitate asupra cărora nu se pot efectua operaŃii de şterere, mutare sau redenumire. Ele fac parte din categoria celor de top level, neputând face parte din alte grupuri de securitate. OperaŃii permise sunt: schimbarea scrierii, asignarea de adrese de mail, introducere de noi membrii etc. Computers este directorul în care se înregistrează toate staŃiile de lucru sau serverele membru care sunt adăugate în domeniu. Aceste obiect pot fi ulerior transferate în alte grupuri organizaŃionale. Domain Controllers este grupul organizaŃional în care se regăsesc toate controlerele de domeniu. ForeignSecurityPrincipals înregistrează identificatorii de securitate (SID) ai unor obiecte din exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu care s-au stabilit relaŃii de încredere. Users reprezintă directorul în care se înregistrează în mod implicit utilizatorii domeniului. Implicit sunt 17 obiecte în acest director, dintre care 3 utilizatori, iar restul grupuri de securitate. Elementele care pot fi înregistrate şi gestionate într-o UO sunt: • Computer – staŃii de lucru sau servere de reŃea • Contact – obiect folosit de AD pentru a găsi diverse informaŃii • Group – grup de securitate prin care se propagă politica de securitate asupra membrilor grupului. Unui grup i se pot asigna membrii, iar grupul în sine poate fi asignat altor grupuri. • InetOrgPerson – categorie specială de utilizatori, derivată din clasa User, folosită de reŃele non Windows, care folosesc ca serviciu director LDAP sau X400. • Organizational Unit – emulează o structură organizaŃională a companiei • Printer – imprimante de reŃea gestionate de AD, pentru a fi găsite şi folosite de userii reŃelei şi pentru configurarea drepturilor de acces asupra lor. 65





User – cel mai uzual obiect din AD. În general corespunde unei persoane din cadrul organizatiei, dar pot fi şi obiecte user aparŃinând unui grup de persoane, ori aplicaŃii, ori grupuri de aplicaŃii. Share Folder – directoare partajate în reŃea şi înregistrate în AD pentru o mai bună gestionare şi securizare a acestora.

Un obiect special din grupul User este cel de administrator, denumit astfel în mod implicit. El are cele mai multe drepturi şi, ca urmare, este cel mai vânat de atacatori. De aceea, numele acestuia este schimbat intenŃionat pentru a nu fi recunoscut uşor. Schimbarea denumirii se poate face prin mai multe procedee (vezi ReŃele Windows, pag. 124-126). Profilul userului administrator, chiar denumit altfel, se află în directorul Administrator, de pe discul C:\ al serverului PDC (Primary Domain Controller). Crearea unei unităŃi organizaŃionale Se deschide interfaŃa Active Directory Users and Computers (ADUC) În fereastra din stânga se răsfoieşte părintele ce va conŃine noua unitate organizaŃională, click dreapta pe el şi se selectează New Organizational Unit. Se introduce numele dorit si apoi click OK. Pentru a introduce o descriere a unităŃii organizaŃionale, se face click dreapta pe unitatea organizaŃională şi se selectează Properties Click OK după ce s-au efectuat operaŃiunile dorite. UnităŃile organizaŃionale sunt folosite în Active Directory pentru a structura datele. Există patru principale motive pentru care este necesară crearea de unităŃi organizaŃionale. 1. Segregarea(separarea) obiectelor Ca o practică generală, se grupează obiectele cu legătură între ele în unităŃi organizaŃionale. De exemplu, obiectele user şi computer sunt de obicei stocate în unităŃi organizaŃionale separate (de fapt, aceasta este setarea implicită în Active Directory). Unul din motivele pentru care acest lucru se întâmplă este acela de a facilita căutarea obiectelor. 2. Delegarea administrării Probabil cel mai utilizat motiv pentru a crea unităŃi organizaŃionale este delegarea administrării. Cu ajutorul unităŃilor organizaŃionale se pot acorda unei persoane sau unui grup diverse funcŃii şi drepturi asupra obiectelor din unitatea organizaŃională. 3. Aplicarea unei politici de grup O unitate organizaŃională este mai mică unitate ce poate căreia îi poate fi aplicată o politică de grup. Dacă există mai multe tipuri de utilizatori în organizaŃie, care necesită politici de grup diferite, cea mai uşoară cale pentru setarea acesteia este de a grupa utilizatorii în unităŃi organizaŃionale diferite. 66

4. Controlarea vizibilităŃii obiectelor Se pot utiliza unităŃi organizaŃionale ca o modalitate de a restricŃiona utilizatorii şi ceea ce pot să vadă aceştia în Active Directory.

OperaŃii asupra UO

a) Mutarea obiectelor dintr-o unitate organizaŃională în altă unitate organizaŃională şi mutarea unităŃilor organizaŃionale Se deschide interfaŃa Active Directory Users and Computers (ADUC) Dacă este nevoie de schimbarea de domeniu, se face click dreapta pe Active Directory Users and Computers din fereastra din stânga, se selectează Connect to Domain, se introduce numele domeniului, şi apoi click OK. În panoul din stânga, se răsfoieşte unitatea organizaŃională din care se doreşte mutarea obiectelor şi se face click pe acestea pentru a le selecta Mai departe se face click dreapta şi apoi „move”, urmând să se răsfoiască locaŃia dorită pentru mutare şi click OK. În cazul în care se doreşte mutarea întregii unităŃi organizaŃionale se procedează la fel ca în descrierea de mai sus, numai că se face click dreapta pe OU si se execută „move”.

b) Delegarea controlului asupra unei unităŃi organizaŃionale Se doreşte delegarea accesului administrativ al unei unităŃi organizaŃionale pentru a permite unui grup de utilizatori să gestioneze obiectele din OU. Se deschide interfaŃa Active Directory Users and Computers (ADUC) Dacă este nevoie de schimbarea de domeniu, se face click dreapta pe Active Directory Users and Computers din fereastra din stânga, se selectează Connect to Domain, se introduce numele domeniului, şi apoi click OK. În panoul din stânga, se răsfoieşte unitatea organizaŃională, se face click dreapta pe ea şi se selectează „Delegate Control”. Se selectează utilizatorii sau grupurile dorite folosind butonul Add şi apoi click Next. Se selectează tipul de privilegiu şi apoi click Next. Click Finish. 67

c) Legarea unei politici de grup de o unitate organizaŃională Se doreşte aplicarea de setări politică de grup unor utilizatori şi/sau computere dintr-o anumită unitate organizaŃională, sau legarea unei politici de grup de o unitate organizaŃională. Se deschide interfaŃa Group Policy Management (GPMC) Se răsfoieşte forestul din panoul din stânga Se răsfoieşte domeniul dorit şi se alege unitatea organizaŃională de care se vrea legarea politicii de grup. Click dreapta pe aceasta, si se selectează ori Create and Link a GPO Here (dacă politica de grup nu există) sau Link an Existing GPO (dacă politica de grup există)

4.3 Managementul AD Managementul AD se face de regulă de către administratorul de reŃea. Această funcŃie realizează: 1. Gestionarea grupurilor de securitate Grupurile de securitate sunt de 2 tipuri: • Grupuri de securitate – folosite pentru definirea permisiunilor de acces la resurse şi obiecte • Grupuri de distribuŃie – folosite pentru a distribui mesaje Ficare din cele două tipuri poate avea scopuri diferite: - grup cu scop universal- poate avea drept membrii grupuri sau conturi de utilizator din oricare domeniu Windows, din cadrul oricărui arbore de domeniu. - grup cu scop global poate avea membrii numai din domeniul curent, dar pot fi create politici de securitate Ńi acces la obiectele din oricare domeniu al pădurii - grup cu scop local poate avea membrii doar din domniul curent, şi poate avea permisiuni numai în domeniul curent. Crearea unui grup de securitate Din consola de administrare a AD se dă Rclick pe un grup organizational→new→Group apoi se specifică numele grupului, scopul, tipul şi eventual ataşarea unei adrese de e-mail dacă serverul de mail este deja instalat, →Finish. Adăugarea unui membru la grup Rclick pe grup, Proprties, Members, Add. Se deschide fereastra Select users, Contacts, Computers, or Group şi se scrie numele utilizatorului pe care dorim să-l cereem, Ok, OK. Alte operaŃii asupra grupurilor: - schimbarea scopului 68

-

schimbarea tipului ştergerea grupului.

2. Gestionarea conturilor de utilizator Crearea contului Rclick pe numele grupului, →New→User Se completează prenumele, numele, Full name, User logon name (numele de acces în reŃea), se specifică domeniul în care va fi creat (@utm.ro), datele decpre parolă şi modul de expirare a ei (la prima conectare (recomandat), nu se poate schimba, nu expiră) →Finish. Alte operaŃii care se pot face asupra conturilor de utilizator: - copierea - dezactivarea - activarea - ştergerea - modificarea proprietăŃilor - mutarea - redenumirea - schimbarea parolei - mutarea dintr-un grup în altul

Crearea profilurilor de utilizator Profilul de utilizator conŃine setările personale ale acestuia la interfaŃa cu utilizatorul (display). Aceste informaŃii sunt grupate pe directoarele: Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Tamplates. Profilul utilizatorului se află stocat pe directorul Documents and Settings de pe discul pe care se află instalat sistemul de operare. Profilul unui user poate fi de tipul: - Roaming, (se salvează pe server la fiecare schimbare făcută de pe orice staŃie şi se reflctă la conectare pe orice staŃie) sau - mandatory (obligatoriu), (se crează pe server şi se pune la dispoziŃie în reŃea prin sharing, nu se modifică la delogare). Crearea unui profil se realizează automat la conectarea pe o staŃie de lucru. El se poate copia întrun template.

Gestiunea resurselor fizice 69

Pe lângă grupurile organizaŃionale, grupurile de securitate, conturile de utilizator, în AD pot fi adăugae şi resursele fizice ale reŃelei: staŃii de lucru, servere, imprimante. Adăugarea unui membru în AD De pe staŃia sau serverul care se doreşte a fi adăugat se face Rclick pe Start, My Computer, Properties, Computer Name→Change În fereastra Computer Name and Changes, secŃiunea Member of se alege Domain şi se specifică numele domeniului, OK. Se va deschide fereastra de autentificare la domeniu în care se specifică numele administratorului domeniului respectiv (sau delegat). Se primeşte mesajul de Bun venit în reŃea, după care se restartează sistemul. Obs. La configuraŃia TCP-IP a membrului unui domeniu trebuie să se specifice la Preferred DNS Server, adresa IP a serverului DNS al domeniului. La Alternative DNS server se poate (trebuie) specifica(tă) adresa IP a serverului DNS secundar sau a serv DNS a ISP-ului. Pentru a găsi o impimantă în AD ea trebuie să fie publică şi să aibă specificată opŃiunea List in the directory din fereastra imprimantei (v fig 5.22, pag. 138).

Suplimentar

4.4 Crearea unui domeniu şi a unei păduri 4.4.1. Crearea unui domeniu Start -> Run: se foloseşte comanda dcpromo • • • •

Se selectează "Domain controller for a new domain" şi apoi se alege una dintre opŃiunile: Domain in a new forest Child domain in an existing domain tree Domain tree in an existing forest

4.4.2. Ştergerea unui domeniu Pentru a şterge un domeniu este nevoie de depromovarea tuturor controlerelor de domeniu din domeniu. Pentru ultimul controller din domeniu este nevoie de selectarea opŃiunii

70

„This server is the last domain controller in the domain" în wizardul dcpromo pentru a putea fi siguri că obiectele asociate cu domeniul sunt şterse. Notă: Dacă domeniul pe care vrem să îl ştergem are subdomenii, trebuie şterse mai întâi acestea. După ce controllerul de domeniu a fost depromovat este nevoie de ştergerea înregistrărilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dacă nu au fost şterse automat prin deregistrarea WINS-ului sau DNS-ului în timpul depromovării. Următoarele comenzi ne pot ajuta să determinăm dacă toate înregistrările au fost şterse: > netsh wins server \\ show name 1c > nslookup > nslookup -type=SRV _ldap._tcp.dc._msdcs. > nslookup

4.4.3. Redenumirea unui domeniu Redenumirea unui domeniu este un proces destul de sofisticat şi ar trebui realizat doar dacă este neapărat necesar. Schimbarea numelui unui domeniu poate avea un impact în aproape toate componentele începând cu DNS, replicare, politici de grup, DFS, şi serviciile de certificare. De asemenea, schimbarea numelui de domeniu necesită ca toate controllerele de domeniu şi computerele membre să fie repornite. În Windows 2000 nu exista un proces de redenumire suportat de sistemul de operare. În Windows 2003 însă, avem un utilitar pus la dispoziŃie de către Microsoft. Acesta funcŃionează dacă avem Windows Server 2003 sistem de operare care rulează pe toate controllerele de domeniu din forest. Se numeşte rendom.exe şi o descriere detaliată se poate găsi la: http://technet.microsoft.com/en-us/windowsserver/bb405948.aspx Redenumirea se poate face în câteva feluri: • Redenumirea unui domeniu fără repoziŃionarea acestuia în domeniu tree; • RepoziŃionarea domeniului în tree-ul de domeniu; • Crearea unui nou tree de domeniu cu domeniul redenumit.

4.4.4 Crearea unui forest a) Crearea unui forest nou domeniu rădăcină (root domain). Start -> Run: se foloseşte comanda dcpromo •

Se selectează Domain controller for a new domain apoi se dă click pe Next 71

• •

Se selectează Domain in a new forest şi apoi click Next Se urmează restul paşilor pentru a ajunge la sfârşitul wizard-ului.

b) Ştergerea unui forest Pentru a şterge un forest este nevoie de depromovarea (retrogradarea) tuturor controllerelor de domeniu din forest. După ce am realizat acest proces, în funcŃie de cum este configuraŃie, este nevoie de ştergerea înregistrărilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dacă nu au fost şterse automat prin deregistrarea WINS-ului sau DNS-ului în timpul depromovării. Următoarele comenzi ne pot ajuta să determinăm dacă toate înregistrările au fost şterse: > netsh wins server \\ show name 1c > nslookup > nslookup -type=SRV _ldap._tcp.gc._msdcs. > nslookup

Această metodă descrisă este soluŃia pentru a înlătura cu succes un forest. Se poate de asemenea şterge un forest prin metoda brute-force şi anume prin simpla reinstalare a sistemului de operare pe toate controllerele de domeniu din forest. Această metodă nu este recomandată pentru ca nu este o modalitate curată deoarece controllerele de domeniu nu ştiu că forestul a fost şters şi pot genera erori până când acesta va fi reconstruit. Va fi totodată nevoie ca toate înregistrările DNS pentru controllerele de domeniu să fie şterse de pe serverele DNS, deoarece controllerele de domeniu nu le şterg dinamic în timpul procesului de depromovare (retrogradare).

4.4.5 OperaŃii cu trusturi Crearea unui trust tranzitiv între două foresturi Active Directory Notă: Este nevoie ca pe amândouă foresturile să avem nivelul de funcŃionare Windows Server 2003 Folosind interfaŃa grafică: •

Se deschide Active Directory Domains and Trusts.



În fereastra din stânga, click dreapta pe forestul rădăcină de domeniu şi se selectează Properties



Click pe tab-ul Trusts.



Click pe butonul New Trust.



După ce se deschide wizard-ul, se dă click Next. 72



Se tastează numele DNS al forestului AD si apoi click Next.



Se selectează Forest trust şi apoi click Next.



Se completează wizard-ul cu urmarea paşilor necesari.

Folosind linia de comandă: > netdom trust /Domain: /Twoway /Transitive /ADD[RETURN] [/UserD: /PasswordD:*][RETURN] [/UserO: /PasswordO:*]

În Windows Server 2003 a fost introdus un nou tip de trust şi anume forest trust. În Windows 2000 dacă se dorea crearea unui mediu de trust între toate componentele a două foresturi, trebuiau setate trusturi two-way external între fiecare domeniu din cele două foresturi. Presupunând că avem două foresturi, fiecare cu 3 domenii şi se doreşte un model de trust între toate domeniile este nevoie de nouă trusturi individuale ca in figura 7.

Figura 7. Trusturi necesare pentru două foresturi Windows 2000 pentru a se realiza relaŃii de încredere reciproce. Cu forest trust se poate defini o singură relaŃie de trust tranzitivă single One-way sau two-way trust pentru toate domeniile din amândouă foresturile. Dacă este nevoie de fuziunea unui nou domeniu şi este necesar ca toate resursele domeniului nou să fie accesate de către mediul actual Active Directori şi vice-versa. Figura 8 ne prezintă un scenariu forest trust. Pentru a crea un forest trust este nevoie de utilizarea conturilor de Enterprise Admins pentru fiecare forest. 73

Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc

Crearea unui trust scurtătură între două domenii Active Directory Folosind interfaŃa grafică: •

Se deschide Active Directory Domains and Trusts.



În fereastra din stânga, click dreapta pe domeniul pentru care se doreşte adăugarea trustului şi se selectează Properties



Click pe tab-ul Trusts.



Click pe butonul New Trust.



După ce se deschide wizard-ul New Trust, click Next.



Se tastează numele DNS al domeniului AD si apoi click Next.



Presupunând că domeniul AD este rezolvabil prin DNS, următorul pas vom fi întrebaŃi de direcŃia trust-ului. Se selectează Two-way şi apoi click Next.



Pentru proprietăŃile de ieşire ale trustului, se selectează toate resursele care se vor autentifica si apoi click Next.



Se introduce şi apoi se retastează parola şi apoi click Next.



Click Next de două ori.

Folosind linia de comandă: > netdom trust /Domain: /Twoway /ADD[RETURN]

74

[/UserD: /PasswordD:*][RETURN] [/UserO: /PasswordO:*]

Considerăm forestul din figura 9. Are cinci domenii şi un singur domain tree. Pentru ca cererile de autentificare pentru Domeniul 3 să fie procesate de către Domeniul 5, cererea trebuie să traverseze calea de la Domeniul 3 la Domeniul 2 la Domeniul 1 la Domeniul 4 şi la Domeniul 5. Dacă însă creăm un trust scurtătură între Domeniul 3 şi Domeniul 5, calea de autentificare urmează un singur hop, şi anume de la Domeniul 3 la Domeniul 5. Pentru a crea un trust scurtătură, trebuie să utilizăm un utilizator din grupul Domain Admins pentru amândouă domeniile, sau un utilizator membru al grupului Enterprise Admins (pentru forest).

Verificarea unui trust Se doreşte verificarea funcŃionabilităŃii unui trust. Aceasta este prima măsură ce trebuie luată în cazul în care observăm că autentificarea către un domeniu distant eşuează. Folosind interfaŃa grafică: •

În fereastra din stânga click dreapta pe domeniul către care se face relaŃia de trust şi se selectează Properties.



Click pe tab-ul Trusts.



Click pe domeniul care este asociat cu trustul pe care dorim să îl verificăm.



Click pe butonul Properties.



Click pe butonul Validate.

Folosind linia de comandă: > netdom trust /Domain: /Verify /verbose[RETURN] [/UserO: /PasswordO:*][RETURN] [/UserD: /PasswordD:*]. Ştergerea unui trust

Acest aspect este de obicei întâlnit în cazul în care domeniului la care se făcea trust i-a fost ştearsă delegarea sau accesul la acesta nu mai este necesar. Folosind interfaŃa grafică: •

Se deschide Active Directory Domains and Trusts.

75



În fereastra din stânga click dreapta pe domeniul către care se face relaŃia de trust şi se selectează Properties.



Click pe tab-ul Trusts.



Click pe domeniul care este asociat cu trustul pe care dorim să îl ştergem.



Click pe butonul Remove



Click OK.

Folosind linia de comandă: > netdom trust /Domain: /Remove /verbose[RETURN] [/UserO: /PasswordO:*][RETURN] [/UserD: /PasswordD:*]

Trusturile sunt stocate in Active Directory sub forma a două obiecte; un obiect trustedDomain în locaŃia System şi un obiect user în locaŃia Users. Amândouă aceste obiecte trebuie şterse când se şterge un trust. SoluŃiile în interfaŃa grafică şi în cea de linie de comandă realizează acest lucru în primul pas.

Rezumat Domain Controllerul are rolul de a controla accesul utilizatorilor la aceste resurse de reŃea dintr-un domeniu Windovs. El se instalează pe un server prin stabilirea rolului de DC (promovarea ca DC). FuncŃionarea DC este stâns legată de existenŃa şi funcŃionarea serverului de nume de domeniu. Rolul de DC sub Windows Server 2003 sau 2008 poate fi uşor configurat din utilitarul Manage Your Server sau folosind comanda dcpromo. AcŃiunea unui DC este limitată la un domeniu Windows, care, la rândul său poate fi un domeniu singular, sau poate fi inclus într-un arbire sau într-o pădure de domenii. Instalarea unui DC crează automat un AD cu o structura implicită, care apoi poate fi completată şi dezvoltată de administratorul de domeniu. Prin intermediul AD, administratorul de reŃea gestionează resursele (utilizatori, computere, printere şi servere, aplicaŃii, politici de securitate etc.) din întregul domeniul Windows.

76

Întrebări şi teste de verificare 1. 2. 3. 4.

Ce este un domeniu Windows? Ce este un controler de domeniu? Ce este o unitate organizaŃională (UO) dintr-un domeniu Windows şi cum poate fi creată? EnumeraŃi elementele care pot fi înregistrate şi gestionate într-o UO.

CompetaŃi spaŃiile goale cu cuvinte cheie sau informaŃii din text 1. Active Directory stochează informaŃii despre ........................... unei reŃele oferind posibilitatea de a fi ...................... şi ........................... de utilizatori. 2. Domain Controller-ul are rolul de a ...................... accesul utilizatorilor la ....................... de reŃea. 3. Un domeniu Windows trebuie să aibă cel puŃin un ................................. 4. Replicarea informaŃiilor între DC presupune ............................................................ 5. DC se instalează pe un server (poate fi acelaşi cu DNS sau altul) prin ....................... rolului de DC. Rolul de AD al unui server se stabileşte prin .............................. lui ca DC. 6. Cele patru directoare şi grupul organizaŃional din fereastra de administare a AD sunt: ..................................................., .................................................... .................................................... .................................................... .................................................... 7. În directorul Computers se înregistrează ................................... sau ................... care sunt adăugate în domeniu. 8. Containerul ForeignSecurityPrincipals înregistrează ............................................ ai unor obiecte din exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu care s-au stabilit .................................... 9. Directorul Builtin înregistrează 16 grupuri de securitate asupra cărora nu se pot efectua operaŃii de .................... , ................................ sau .............................

77

10. Elementele care pot fi înregistrate şi gestionate într-o UO sunt: ..................................................., .................................................... .................................................... .................................................... .................................................... .................................................... .................................................... .................................................... 11. Motivele crearea de unităŃi organizaŃionale sunt următoarele: .................................................... .................................................... .................................................... ................................................... .................................................... 12. Grupurile de securitate create în AD sunt de 2 tipuri a. Grupuri de securitate – folosite pentru .................................................... la resurse şi obiecte b. Grupuri de distribuŃie – folosite pentru ...................... mesaje. 13. Principalele operaŃii care se pot face asupra conturilor de utilizator sunt: ..................................................., .................................................... .................................................... .................................................... .................................................... .................................................... .................................................... .................................................... .................................................... 14. Profilul de utilizator conŃine ................................. ale acestuia la interfaŃa cu utilizatorul.

78

15. Profilul unui user poate fi de tipul: ............................. sau .....................................

Teme de casă 1. InstalaŃi rolul de controler de domeniu pe o maşină cu Windows Server 2003. NotaŃi şi reŃineŃi principalii paşi de instalare. 2. În fereastra de administare a AD, vizualizaŃi structura arborescentă a AD creat la instalarea controlerului de domeniu. ExplicaŃi şi detaliaŃi semnificaŃia, conŃinutul şi importanŃa directoarelor create implicit. 3. AdăugaŃi obiecte noi de tipul utilizatori şi computere în directoarele corespunzătoare. 4. CreaŃi o structură organizaŃională nouă, denumită Grupa StudenŃi, în care introduceŃi câtiva membrii. 5. CreaŃi un obiect de tip Grup de securitate în care să precizaŃi numele, scopul, tipul acestuia şi eventual ataşaŃi o adresă de mail acestuia. 6.

ExersaŃi principalele operaŃii care se pot efectua asupra unui cont de utilizator: creare, ştergere, parolare, redenumire, mutare, modificare proprietăŃi, activare, dezactivare etc.

79

Tema 5 Internet Security and Acceleration Server 2004

Tema are ca scop prezentarea unor soluŃii de securitate a reŃelelor Windows realizate cu ISA Server 2004

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte: • Ce este ISA server şi ce facilităŃi de securitate asigură • Şabloanele tipice de configurare a ISA server ca soluŃie firewall • Cum se configurează logic o reŃea în subreŃele care să permită împlementarea unor soluŃii optime de securitate • Ce sunt politicile de firewall şi cum se stabilesc • FacilităŃile ISA server pentru aplicaŃii VPN • FuncŃia de accelerare a ISA server

Cuprins 5.1 ISA Server: descriere, instalare, administrare 5.2. Multinetworking cu ISA server 5.3 Politici de Firewall 5.4 VPN cu ISA server 2004 5.5 FuncŃia de accelerare (Caching)

Cuvinte cheie: firewall, multinetworking, VPN, NAT, DMZ, caching, Firewall policy, tunelare, IKE, Ipsec, L2TP, PPTP

Bibliografie 1. [1] Munteanu A., Greavu-Şerban V., Cristescu G. – ReŃele Windows. Servere şi clienŃi. Exemple practice, Editura Polirom, Bucureşti, 2004 2. [2] Munteanu A., Greavu-Şerban V.– ReŃele locale de calculatoare. Proiectare şi administare, Editura Polirom, Bucureşti, 2003 3. [3] Praoveanu I. – ReŃele de calculatoare, Editura Univ. T. Maiorescu, Bucureşti, 2009 4. Mayers M. - Manual Network. Administrarea şi depanarea reŃelelor, Editura Rosetti Educational, Bucureşti, 2006

Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 4 ore. 80

5.1 ISA Server: descriere, instalare, administrare ISA Server 2004 este o soluŃie de securitate a reŃelei Windows care înglobează: - firewall- protecŃie la viruşi şi acces neutorizat - web caching – accesul rapid la resurse din Internet FacilităŃi ISA Server: multinetworking permite stabilirea de relaŃii, reguli de acces clare, între reŃele. Presupune crearea reŃelelor de perimetru pentru protejarea serverelor publice, poate defini reguli de rutare între reŃele, limitează comunicaŃia dintre clienŃi etc. De exemplu o comunicaŃie mai securizată înre reŃele poate folosi tehnica NAT. politica de firewall care permite controlul porturilor sursă şi destinaŃie pentru toate protocoalele, autentificare de tip Windows sau RADIUS, sau RSA, definirea propriilor obiecte de reŃea (calculatoare, reŃele, seturi de reŃele etc. ), intervale de adrese IP, redirectarea conexiunilor spre servere publice etc. suport pentru clienŃi VPN monitorizare complexă

5.1.1 Instalarea ISA Server 2004 După instalare sunt preconfigurate următoarele setări (setări implicite): - Permisiuni - membrii grupului Administrator de pe maşina locală pot configura politica de firewall - Serări de reŃea – sunt create umătoarele reŃele: 1. Local host – maşina pe care rulează ISA Server. Poate fi utilizată pentru a restricŃiona accesul spre şi dinspre aplicaŃile ce rulează pe ISA server. 2. External – reprezintă Internetul 3. Internal – reprezintă reŃeaua internă 4. VPN Clients – calculatoarele conectate prin VPN Sunt create următoarele reguli de conectare în reŃea: - local host acces defineşte o relaŃie de tip rutare între reŃeaul Local Host şi toate celelalte reŃele - Internet acces defineşte o relaŃie de tip NAT între reŃelele interne şi cele externe - VPN clients to Internal Network defineşte o relaŃie de tip rutare între reŃeaua VPN Clients şi reŃeaua internă 81

-

Firewall policy – crează o regulă implicită care blochează tot traficul

-

System Policy – inplicit permite doar funcŃionarea serviciilor critice

-

Web caching – default rule specifică faptul că toate cererile Web Proxy ale clienŃilor sunt direct din Internet

-

Caching - dimensiunea spaŃiului caching este 0

-

Alert – activează implicit majoritatea alertelor , dar pot fi reconfigurate ulterior

-

Client config – la crearea şi configurarea clienŃilor web Proxy şi Firewall, aceştia sut automat descoperiŃi

Fig. 5.1 Model de organizare a unei reŃele de organizaŃie

5.1.2. Administrarea ISA Server Administrarea serverului ISA se poate face din consola ISA Server Management care are 3 secŃiuni: Structură – afisează arborele structurii consolei (nodurile din consolă) Detalii – despre obiectul selectat din arbore Sarcini – activităŃi ce pot fi executate legate de obiectul selectat 82

Fiecare nod din arbore dispune de propriul meniu şi bară de utilitare care ajută utilizatorul în derularea sarcinilor de lucru. După crearea sau configurarea obiectelor din arborele de structură, este permisă aplicarea sau renunŃarea la modificările făcute. În fereastra de sarcini (a 3-a secŃiune) există tabul Toolbox disponibil în cazul selectării nodului Firewall Policy. Cu ajutorul lui se pot seta politicile şi regulile de firewall. ConŃine opŃiunile: Protocols, Users, Content Types, Schedules, Network Objects. Protocoalele disponibile sunt grupate după funcŃionalitate: -

protocoale comune: HTTP, FTP, SMTP, POP3

-

de infrastructură: DNS, ICMP, SNMP, RIP ....

-

de mail: IMAP4, POP3S

-

de conectare la distanŃă: Telnet, SSH, RDP

-

de streaming: RTSP, HTTP,

-

VPN şi Ipsec: (IKE, Ipsec, L2TP, PPTP)

-

de web: (FTP, HTTP, HTTPS)

Utilizatorii pot fi grupaŃi după cele trei seturi predefinite (All users, All authenticated users, System and Network services) sau pot fi definite propriile seturi de utilizatori. Tipurile de conŃinut se aplică traficului de tip HTTP şi FTP şi sunt predefinite (video, audio, arhive, text, aplicaŃii) sau se pot defini şi popriilr conŃinuturi. Programări permite activarea /dezactivarea regulilor de firewall după anumite programări (în weekenduri, în ore de lucru, pe zile etc.).

5.2. Multinetworking cu ISA server 5.2.1 Conceptul de multinetworking Multinetworking este facilitatea ISA serverului de a grupa staŃiile de lucru din reŃeaua internă în seturi de reŃele şi permite definirea unor politici de securitate specifice fiecăreia. Dacă într-o companie doar staŃiile din reŃelele IT şi Management au acces la Internet, atunci se poate defini un set de reŃea Acces Inernet care să cuprindă cele două reŃele, set care va fi folosit în regula de firewall care permite accesul la Internet.

83

ISA server permite stabilirea regulilor de rutare după care seturile de reŃele comunică între ele (comunicarea se face prin intermediul ISA). În cazul în care se doreşte separarea serverelor publice de reŃeaua internă, ISA permite crearea unui subnet ecranat şi configurarea modului în care se face traficul din reŃeaua internă în reŃeaua ecranată, precum şi între reŃeaua ecranată şi exterior. Dacă nu este configurată nicio legătură între două reŃele prin intermediul ISA server, acesta blochează tot traficul dintre ele. Pentru a configura traficul dintre reŃele prin intermediul ISA server, există mai multe şabloane (Templates), dintre care se poate alege cel care corespunde cel mai bine nevoilor concrete.

Fig. 5.2 Modul de configurare a legăturilor dintre reŃele

5.2.2 Şabloane de reŃea cu firewall Şablonul Edge Firewall În această configurare, firewall-ul se dispune la marginea (limita) reŃelei interne şi a celei externe, asigurând accesul doar clienŃilor autorizaŃi şi filtrând traficul după regulile de firewall.

84

Fig. 5.3 Configurare ISA server ca Edge Firewall

Şablonul 3-Leg Perimeter Este cea mai folosită configuraŃie în companiile medii şi mari, fiind cunoscută şi ca zonă demilitarizată (DMZ) sau reŃea ecranată. Este folosită atunci când se doreşte publicarea în mod securizat numai anumite servicii pe Internet, cum ar fi cele de web sau de e-mail.

Fig. 5.4 Configurare 3-Leg Firewall Cum se vede şi în fig. 5.4 , deşi serverele din reŃeaua ecranată (Perimetral Network) au adrese IP rutabile, ISA server nu permite accesul direct la resursele interne ale reŃelei şi va ruta spre reŃeaua ecranată numai pachetele destinate acesteia în funcŃie de regulile firewall-ului. Atît traficul intern cât şi cel extern se fac prin ISA server (firewall). Dezavantajul este că la căderea serverului se compromite traficul din ambele reŃele.

85

Şablonul Front Firewall şi Back Firewall Arhitectura din fig. 5.5 conŃine două servere ISA, unul configurat ca Front Firewall (i se aplică template-ul Front Firewall) şi altul configurat Back Firewall, localizate în ambele părŃi ale reŃelei ecranate. Firewall-ul extern este conectat la Internet, iar cel intern la Intranet. În această configuraŃie nu mai există un singur punct de acces la Internet. Avantajul unei astfel de configurări este acela că permite stabilirea unor reguli foarte granulare pentru accesul intern şi extern la reŃea.

Fig. 5.5 Configurare Front Firewall şi Back Firewall

Single Network Adapter Este folosit ca Web Proxy şi caching în interiorul reŃelei. Nu poate face funcŃii de firewall şi nu filtrează pachete IP, nu suportă VPN sau publicarea de servere.

5.2.3. Configurare reŃele cu ISA server Şabloanele prezentate mai sus se pot accesa din consola ISA Server Management/ Configuration / Networks. În secŃiunea a 3-a a consolei apar taburile Task, Templates şi Help, dintre care se alege Templates şi apoi şablonul dorit. Se deschide wizardul de configurare. Prima fereastră care se deschide este cea de configurare adrese IP pentru reŃeaua internă. Dacă reŃeaua internă este segmentată în mai multe reŃele (4 în cazul nostru: manager, IT, autentificare şi marketing) nu se va specifica niciun interval de adrese IP. Dacă reŃeaua intrnă nu este segmentată, atunci wizardul permite introducerea intervalului de adrese IP în trei moduri: - prin specificarea primei şi ultimei adrese din interval - prin specificarea adresei de reŃea a interfeŃei (tabul Add Adapter) care leagă ISA de reŃeaua internă (şi va lua tot intervalul de adrese disponibile clasei IP-lui interfeŃei) - prin selectarea unui interval de adrese IP private

86

După setările de reŃea internă se dă Next şi se deschide fereastra Perimeter Network IP Addresses, unde se specifică intervalul de adrese IP al reŃelei protejate (perimetrale, DMZ). Next Se deschide fereastra Select a Firewall Policy din care se alege o politică de firewall predefinită pentru o reŃea ecranată. SemnificaŃia acesora este următoarea: • •



• • • •

No access – se alege atunci când se doreşte definirea întregii politici de firewall. Ea blochează tot traficul dintre toate reŃelele la care este conectat ISA server. No access - network services on Perimeter Network – blochează tot accesul, mai puŃin cel ce Ńine de serviciile de reŃea, (de exemplu, serviciul DNS), pentru reŃeaua ecranată. No access – ISP network services – se foloseşte atunci când nu este configurat un server DNS în interiorul reŃelei şi foloseşte serverul DNS al ISP-ului. Blochează tot traficul, mai puŃin accesul la serverul DNS al ISP. Restricted Web access – blochează tot accesul, mai puŃin cel spre serverul web şi permite accesul clienŃilor VPN. Restricted Web access – network services op Perimeter network- asmănător cu Restricted Web access – dar permite accesul serverului DNS. Restricted Web access – ISP network services – permite accesul web, VPN şi cererile spre serverul DNS al porviderului de Internet. Unrestricted Internet access – permite accesul complet dinspre reŃeaua internă şi clienŃii VPN spre Internet şi reŃeaua ecranată.

Pentru a defini propria politică de firewall se va selecta, evident, No access. După alegerea sau definirea unei politici de firewall se dă Next şi ultima fereastră din Network Template Wizard este Copmpleting The Network Template Wizard care ne permite rvizuirea setărilor efectuate şi salvarea lor. ObservaŃie! Din punct de vedere al ISA server, o reŃea este un element al unei reguli, care conŃine unul sau mai multe intervale de adrese IP. Se pot aplica reguli pentru una sau mai multe reŃele (retea în sensul de menŃionat anterior) sau se pot aplica reguli pentru toate adresele, mai puŃin cele din reŃelele specificate. După aplicarea Template-ului 3-Leg Perimeter ISA server este configurat (implicit) cu următoarele 6 reŃele:  Local Host. Aceasta reprezintă ISA Server. Ea nu poate fi modificată sau ştearsă. Local host se utilizează ca element al unei reguli atunci când se doreşte definirea accesului către sau dinspre ISA server.  Default External. Această reŃea include toate staŃiile de lucru (adr IP) care nu sunt asociat la nicio reŃea, adresa IP a reŃelei Local Host şi adr IP ale interfeŃelor 87

de pe ISA server. Ea nu poate fi modificată sau ştearsă. Ea este o reŃea nesigură şi, ca urmare, legăturile cu aceasta sunt configurate NAT.  Internal Include toate staŃiile de lucru (adr. IP) care sunt specificate de către administrator în timpul procesului de instalare. Ea nu poate fi ştearsă.  Perimeter. Este reŃeaua ce conŃine adr. IP ale serverelor din reŃeaua ecranată (DMZ). Din ea fac parte serverele Web, Exchange, SQL, SharePoint.  VPN Clients. ConŃine adresele clienŃilor VPN conectaŃi la acest moment când se configurează VPN-ul. ReŃeaua VPN nu poate fi stearsă.  Quarantined VPN Clients. ConŃine adr. ClienŃilor VPN care nu au ieşit din carantină. Nu poate fi ştearsă. Pentru regulile de acces, trebuie specificate reŃeaua-destinaŃie şi reŃeaua-sursă cărora li se vor aplica regula. Pentru crearea reŃelei de autentificare trebuie parcurşi următorii paşi: 1. In consola ISA Server Management, în arborele de structură, secŃiunea Configuration, se face click pe Networks 2. În secŃiunea activităŃi (3) se face click pe Tasks, Networks Tasks, Create New Network 3. se deschide wizardul ptr crearea reŃelei. Îi dăm numele Autentificare 4. În fereastra Network Type trebuie specificat tipul ei (Internal, Perimetral, External, ...). În cazul nostru este o reŃea internă, deci bifăm Internal, apoi Next. 5. În fereastra Network Addresses, butonul Add, IP Address Range Properties, completăm intervalul de adrese (10.1.1.1 – 10.1.1.2) În mod sinilar se crează şi celelalte reŃele: IT, Management, Marketing. După ce au fost definite reŃelele, se pot configura proprităŃile lor. Pentru exemplificare continuăm cu reteaua Autentificare. În arborele de structură selectăm Networks, Rclick pe numele reŃelei (Autentificare), Properties, sau din panoul de activităŃi, tabul Tasks, Network tasks, Edit Selected Network. S-a deschis fereastra Autentificare Properties cu următoarele opŃiuni:  Domains (se aplică doar clienŃilor de firewall) – permite specificarea domeniilor care vor fi incluse în reŃea. Pentru domeniile din reŃea, cererile clienŃilor nu vor fi înaintate prin ISA server. Se pot specifica: - un singur calculator prin numele său complet din domeniu, - un întreg domeniu prin *.nume_domeniu - toate domeniile prin *.  Web browser – specifică serverele (prin indicarea intervalelor de adrese IP) sau numele de domenii pe care clienŃii le pot accesa direct, precum şi modul de redirectare a clienŃilor către Internet atunci când ISA nu mai este disponibil.

88

 Auto discovery – specifică dacă şi modul în care clienŃii din această reŃea vor putea găsi serverul ISA. Pentru activarea acestei opŃiuni trebuie activat serverul web Proxy.  Firewall client – specifică dacă această retea va asculta pe portul 1745 pentru cererile clienŃilor de firewall.  Web Proxy – specifică dacă această reŃea va asculta pentru cererile TCP După instalate, ISA server este preconfigurat cu două seturi de reŃele, care nu pot fi modificate sau şterse: • All Networks – reprezintă toate reŃelele definite pe ISA server. Orice reŃea nouă definită pe ISA este inclusă automat în acest set. • All Protected Networks – conŃine toate reŃelele definite pe ISA, mai puŃin reŃeaua External. Orice reŃea nouă definită pe ISA este şi ea inclusă în acest set. În afara acestor seturi predefinite, se pot crea alte seturi, la dorinŃa administratorului. De exemplu, reŃelele IT şi Marketing au nevoie de acces la Internet. Atunci putem crea un nou set de reŃea, Acces Internet, care să le cuprindă pe acestea două. Acest set va fi utilizat în regula de firewall ce permite accesul la serviciul de Internet. În mod asemănător, constatăm că reŃelele IT, Marketing şi Management au nevoie de serviciul de e-mail. Creem atunci setul de reŃea Acces E-mail care să le conŃină. Modul de caeare a acestor seturi de reŃea este următorul: 1. În consola ISA Server Management , în arborele de structură, Configuration, click pe Networks 2. În panoul ActivităŃi, click pe Tasks, Network Sets Tasks, click Create a New Network Set 3. Se deschide wizardul de configurare a noului set de retea, pe care îl numim Acces Internet 4. Din fereastra Network selection seectăm reŃelele care vor face parte din acest nou set (Management si IT), sau reversul, toate reŃelele, exceptând cele selectate. 5. Se finalizează wizardul şi se apasă Apply pentru salvare. Similar se face şi pentru crearea setului Acces E-mail. Următorul pas în configurarea serverului ISA este crearea regulilor de reŃea, definind astfel topologia reŃelei. Aceste reguli indică dacă există sau nu o legătură între două entităŃi de reŃea, şi de ce tip sunt ele – rutare sau NAT. În cazul că nu se defineşte nicio legătură între reŃele, atunci ISA blochează toate pachetele care circulă între reŃele. O regulă de reŃea nu poate fi definită între o reŃea şi ea insăşi, iar traficul dintre staŃiile din aceeaşi reŃea este considerat ca rutat (nu poate fi definit ca NAT). Regulile de reŃea sunt ordonate – au asignate numere care le asigură prioritate. Atunci când ISA verifică dacă între două reŃele esistă legătură, parcurge regulile în ordinea priorităŃilor. În cazul configurării ISA server după şablonul 3-Leg Perimeter, sunt create următoarele reguli:

89

1. Local Host Access – defineşte o relaŃie de rutare înte reŃeaua Local Host şi toate celelalte reŃele. Prin acasta este stabilită conectivitatea dintre ISA server şi toate reŃelele conectata la el. 2. VPN clients to Internal Network – defineşte o relaŃie de tip rutare între reŃeaua internă şi clienŃii VPN 3. Perimeter configuration – defineşte o relaŃie de tip NAT între reŃeaua internă, clienŃii VPN şi reŃeaua de perimetru. 4. Perimeter access – defineşte o relaŃie de rutare între reŃeaua de perimetru şi reŃeaua externă (External). 5. Internal Access – definşte o relaŃie de tip NAT între reŃeaua internă, clienŃii VPN şi reŃeaua externă. Pentru modificarea regulilor Perimeter Configuration şi Internal Access se parcurg următorii paşi:  Selectăm regula şi apoi din panoul ActivităŃi, tabul Tasks, secŃiunea Network Rule Tasks, Edit Selected Netwok Rule  În fereastra proprietăŃi a regulii, click pe Source Networks  Selectăm pe rând cele trei reŃele-sursă şi le ştergem prin Remove  După ce le-am şters, adăugăm reŃelele pe care le-am creat (IT, Management, Marketing), apăsând butonul Add, din fereastra Add Networks Entities, expandând nodul Networks.  Confirmăm cu OK  Salvăm modificările cu butonul Apply. Singura regulă pe care trebuie să o creem în cazul reŃelei noastre este aceea prin care rutăm trafcul între reŃelele interne. Pentru aceasta:  Selectăm regula şi apoi, din panoul activităŃi, tab-ul Tasks, secŃiunea Network Rule Tasks, facem click pe Create a New Network Rule  Apare wizardul de configurare a regulii, Next  În fereastra urmărtoare, Network Trafic Source, selectăm sursele traficului (pot fi reŃele sau seturi de reŃele, staŃii individuale intervale de adrese IP, subreŃele, seturi de staŃii). În cazul nostru sunt toate cele 4 reŃele interne, Next  În fereastra urmărtoare, Network TraficDestination, trebuie selectată destinaŃia, care în cazul nostru vor fi tot cele 4 reŃele interne, Next  Finalizăm wizardul cu revizuirea setărilor regulii nou create  Salvăm cu Apply După aceste configurări, panoul de detalii, secŃiunea Network Rules va arăta ca în fig 6.25 Munteanu

90

5.3 Politici de Firewall O politică de firewall este un set de reguli de publicare sau de acces prin care definim (limităm) accesul din exterior către reŃeaua organizaŃiei şi invers, din reŃea spre exterior. ISA server are două roluri mari: 1. de a conecta sursa cu destinaŃia prin intermediul regulilor de reŃea 2. de a proteja reŃeaua internă de accesul neautorizat prin intermediul regulilor de firewall. Modul în care este tratată o cerere a unui client din interiorul reŃelei este următorul: - prima dată ISA server verifică dacă este definită o legătură între reŃeaua sursă şi reŃeaua destinaŃie prin intermediul unei reguli de reŃea - dacă da, prelucreaă regulile din politica de firewall verificând îndeplinirea simultană a elementelor: • protocol • sursa • dacă este programată • destinaŃia (adr IP, URL) • utilizatori • conŃinut La instalarea ISA server şi aplicarea şablonului 3-Leg Perimeter, este preconfigurată o regul firewall numită Default rule, cu prioritate Last, care va fi întotdeauna ultima şi blochează traficul pe toate protocoalele dinspre toate reŃelele spre toate reŃelele şi pentru toŃi utilizatorii. Ea nu poate fi modificată sau ştearsă. Dacă nu mai sunt definite alte reguli de firewall, chiar dacă sunt definite relaŃii între reŃele, tot traficul dintre ele va fi blocat. Să vedem cum se poate configura accesul nerestricŃionat al staŃiilor din reŃeaua Management spre Internet. Pentru aceasta trebuie configurate două reguli: - o regulă de reŃea care permite accesul dinspre Management spre Internet - o regulă de firewall care permite traficul dinspre Management spre Intenet, pe toate protocoalele, pentru toŃi utilizatorii În ceea ce priveşte accesarea serverelor din reŃeaua de primetru în od securizat, de către clienŃii din exteriorul reŃelei organizaŃiei, ISA permite crearea unei politici de publicare formată din reguli de publicare a serverelor web, a serverelor de e-mail, a serverelor securizate de web etc.

5.3.1 Reguli de acces. Regulile de acces spcifică serverului ISA cum să trateze cererile venite de la reŃelelesursă de a accesa reŃelele-destinaŃie. Presupunem că dorim un acces nelimitat al reŃelei de

91

Management la reŃeaua (resursele) Internet. Va trebui construită o regulă de acces Full Management. Pentru crearea acestei reguli, se parcurg etapele: - se deschide consola ISA Server Management, iar din arborele de structură, în secŃiunea Configuration, se face click pe Firewall Policy - în panoul activităŃi se face click pe Tasks, iar în Firewall Policy Tasks click pe Create a New Access Rule - se deschide wizardul de configurare, se specifică numele noii reguli de acces (Full Management) - în următoarea fereastră, Rule Action, se specifică dacă accesul este permis sau blocat atunci când condiŃiile sunt îndeplinite. Vom selecta Allow pentru a permite accesul spre Internet. - Următoarea feresatră ne solicită specificarea protocoalelor cărora li se aplică regula. Dorind acces nelimitat la Internet, secectăm opŃiunea All outbond protocols. Dacă dorim doar anumite protocoale, alegem opŃiunea Selected protocols, şi apoi adăugăm protocoalele dorite. Dacă se doreşte excluderea unor protocoale, se va alege opŃiunea All outbond protocols exept selected şi le adăugăm pe cele dorite a fi excluse. De asemenea pentru toate cele trei opŃiuni avem posibilitatea specificării unui interval de porturi sursă cărora să li se aplice regula. - Fereastra Access Rule Sources solicită specificarea reŃelelor-sursă cărora li se va aplica regula. În cazul nostru reŃeaua Management - Fereastra Access Rule Destinations solicită specificarea reŃelelor-destinaŃie cărora li se va aplica regula. În cazul nostru reŃeaua External, pe care o adăugăm în listă - Fereastra User Sets solicită specificarea uilizatorilor sau a grupurilor de utilizatori din domeniu sau locali; în cazul nostru vom adăuga grupul Management, care a fost setat în avans, în Active Directory. Implicit setarea este All users. - Finalizăm wizardul şi îl salvăm cu Apply. Asupra regulii de acces Full Management creată mai sus, se pot efectua următoarele acŃiuni: • Editrae • Dezactivare • ştergere În plus, la editarea regulii de acces se mai pot face două lucruri: Schedule şi Content Groups. OpŃiunea Schedule permite specificarea perioadei din zi /săptămână în care regula este sctivă sau inactivă. OpŃiunea Content Groups permite aplicarea regulii la tipuri de conŃinut specificate. De exemplu, dacă se doreşte blocarea descărcării de pa Internet a fişierelor video, creem o regulă de blocare a accesului la HTTP, dar numai pentru conŃinuturile din grupul video.

92

5.3.2 Reguli de publicare a serverelor web Ce înseamnă publicarea unui server web? Serverele din reŃeaua ecranată (DMZ, Perimetral) pot fi accesate sau nu din Internet. Publicarea lor înseamnă accesibilitatea lor din Internet, posibilitatea de a fi văzute şi utilizate si de useri din afara reŃelel proprii. Regulile de publicare a serverelor pe web ne permit configurarea modului în care ISA server va trata cererile pentru obiecte HTTP adresate serverului din interiorul organizaŃiei şi modul în care serverul ISA va răspunde în locul serverului web. Serverul web în cazul reŃelei pe care o analizăm este IIS server care are adresa IP 125.125.125.104. Pentru a-l publica se parcurg următorii paşi: 1. se deschide consola ISA server management şi din arborele de structură, secŃiunea Configuration, se dă click pe Firewall policy. 2. În panoul de activităŃi se face click pe tabul Tasks, iar în secŃiunea Firewall Policy Tasks se face click pe Publish a Web server 3. se deschide wizardul de configurare a regulilor de publiare şi se începe cu numele lui, în cazul nostru Web 125.125.125.104 4. În fereastra Select Rule Action se specifică dacă accesul este permis sau blocat, atunci cînd condiŃiile sunt îndeplinite. Selectam Allow. 5. În fereastra Select Web Site to Publish, se introduce adresa IP a serverului web. 6. În fereastra Select Public Domain Name se introduce mumele de domeniu al serverului web. Ca exemplu, ar putea fi www.myorg.ro 7. În fereastra Select Web Listener trebuie configurat un ascultător (receptor) de cereri care specifică adresa IP şi portul pe care ISA server va recepta cererile web. 8. Se finalizează wizardul. Se pot publica şi servere web securizate (HTTPS), servere de mail sau alte servere dedicate.

5.4 VPN cu ISA server 2004 O reŃea virtuală privată este o extindere a reŃelei private peste o reŃea publică. VPN emulează o legătură punct la punct, fie că ea conectează un singur utilizator îndepărtat, sau un site aflat la distanŃă, de reŃeaua organizaŃiei. Pentru a se realiza o conexiune VPN este necesar ca abonaŃii îndepărtaŃi care se conectează să fie autentificaŃi şi conexiunea să fie secirizată. ISA server 2004 permite realizarea conexiunilor VPN în două moduri, uşor diferite între ele: 93

-

conexiune de tip Remote access prin care un client îndepărtat se conecrtează pe serverul VPN care în autentifică şi apoi îi permite accesul în toată reŃeaua, conform drepturilor sale - conexiune de tip site-to-site când serverul VPN face o conexiune de tip VPN între două situri ale reŃelei. Desi modul de funcŃionare a celor două variante este usor diferită, configurarea cu ISA server este similară. ISA server tratează cererile de conexiune VPN de la un client sau de la un site folosind aceleaşi protocoale de tunneling, metode de autentificare, accesul la reŃea, asignarea şi configurarea adreselor IP. Pentru a configura ISA server ca server VPN, se parcurg următorii paşi: 1. din panoul arborelui de structură al consolei de management se selectează Virtual Private Netwrk (VPN) şi în panoul de detalii, click pe VPN Clients 2.

în panoul de activităŃi selectăm Tasks, Enable VPN Client Access. La activarea accesului la clienŃi VPN, regula implicită (automat activată) este de a permite accesul. În continuare trebuie configurate numărul de conexiuni concurente, utilizatorii care au drept de acces şi protocoalele de acces.

3.

În panoul de activităŃi (Tasks) se face click pe Configure VPN Client Access

4.

În fereastra Properties, în tabul General, se completează nr max de conexiuni simultane

5.

în tabul Users se adaugă în listă userii sau grupurile de useri care au dreptul de a se conecta prin VPN.

6.

în tabul Protocols se marchează protocoalele de tunelare pe care dorim să le utilizăm, în funcŃie de gradul de securizare al legăturii.

După activarea VPN-ului, trebuie configurate reŃelele din care se pot conecta clienŃi de VPN, modul de asignare a adreselor IP, metode de autentificare, eventual autentificare clienŃi wireless. Aceasta se face din tabul Tasks, General VPN Configuration. Aici sunt enumerate următoarele activităŃi: VPN Access Points Address Assignment Authentification Methods RADIUS Configuration Pentru a defini reŃelele acceptate, asignarea adreselor etc., trebuie selectat nodul Virtual Priveta Network (VPN). Sunt afişate numele reŃelelor configurate în ISA server: External, Internat, Perimetral, All Networks, All Protected Networks. 1. Din panoul de activităŃi (Tasks), din General VPN Configuration, click pe VPN Access Point, 2. Marcăm reŃelele cărora le permite accesul VPN (implicit este marcată External) 94

3. Asignarea adreselor cu tabul Address Asignment, selectăm asignarea statică sau DHCP (implicit DHCP) 4. Pentru definirea metodei de autentificare, selectăm tabul Authentification, şi din el o metodă mde autentificare din listă. Implicit este Microsoft encrypted authentification vers 2 (MS-CHAPv2) 5. Definirea clienŃilor wireless Se foloseşte tabul RADIUS care permite serverului RADIUS să realizeze procesul de logare si/sau autentificare. Apoi trebuie făcută specificarea serverului RADIUS

5.5 FuncŃia de accelerare (Caching) Pentru îmbunătăŃirea performanŃelor reŃelei, în primul rând a timpului de căutare pe net şi de răspuns la cererile clienŃilor, ISA server are posibilitatea de a depozita obictele mai des solicitate de clienŃi. La instalarea ISA server, opŃiunea de depozitare este dezactivată, spaŃiul de depozitare fiind nul. Activarea depoziării se face aunci când la instalarea ISA server se specifică spaŃiul de pe disk destinat depozitării. După activare, se pot configura reguli de depozitare prin care se specifică ce reŃele au dreptul să solicite obiecte depozitate de ISA server, modul şi durata de memorare, dimensiunea maximă a obiectelor, modul de descărcare (automat, la anumite momente). Descărcarea la anumite momente poate fi avantajoasă dacă se aşteaptă descărcarea unor obiecte mari atunci când reŃeaua este mai puŃin solicitată. Dacă s-a configurat depozitarea, atunci obiectele pot fi accesate de orice browser Web, îmbunătăŃind performanŃele şi optimizând gradul de ocupare a benzii conexiunii de Internet. Depozitarea funcŃionează astfel: - un client din reŃeaua internă solicită un obiect Web de la serverele în reŃeaua externă - ISA server verifică dacă obiectul este în depozit. Dacă este îl returnează serverului ISA. Dacă nu este îl cere din Internet. Serverul returnează obiectul către ISA Server şi menŃie şi o copie a sa. Configurarea depozitului cache pentru ISA se face din consola de administrare, din arborele de structură, nodul Cache, secŃiunea Configurare, panoul detalii. Se selectează tabul Tasks, Define Cache Drivers, fereastra ProprietăŃi. Se pot selecta partiŃia pentru stocare, dimensiunea ei. De exemplu dacă se doreşte depozitarea paginilor din domeniul *.ro, trebuie creată o regulă nouă, cu următorii paşi: -

în panoul detalii, click pe tabul Cache Rules în panoul activităŃi click Tasks, Create ă Cache Rule se lansează wizardul de configurare a regulii căreia i se dă un nume (exp “ro”), Next se specifică pentru ce destinaŃii din Internet se aplică regula. Pentru aceasta se crează un set de nume de domenii (Domain Name Set) se fce click pe Add, New, şi din listă selectăm Domain Name Set

95

-

-

în fereastra New Domain Name Set Policy Element, specificăm numele de domenii incluse în acest set (în cazul nostru, *.ro), Next în fereastra Content Retrieval se specifică modul de extragere a obiectelor din depozit. În fereastra Cache Content se poate specifica dacă obiectele vor fi stocat în depozit. În mod normal pentru depozitare se alege opŃiunea If source and request headers indicate to cache. Dacă se alege opŃiunea Never. No content will ever be cached, atunci se invresează regula de stocare, adică obiectele din *.ro nu vor fi stocate. În fereastra Cache Advanced Cofiguration se setează dimensiunea maximă a obiectelor . Dacă se doreşte depozitarea obiectelor de tip HTTP (Enable HTTP caching), se poate selecta durata de depozitare (TTL-Time to Live) Dacă dorim depozitare obiecte FTP se marchează căsuŃa Enable FTP Caching, şi se specifică TTL-ul dorit Se finalizează configurarea cu Finish

Regulile de depozitare sunt ordonate. Ele se procesează după priorităŃi, cea implicită fiind ultima. Dacă o cerere îndeplineşte condiŃiile impuse de regulă, ea se procesează. Dacă nu, se procesează următoarea regulă. Rezumat Securitatea informaŃiei în reŃelele de calculatoare este o problemă de mare impotranŃă pentru un administrator de reŃea. Protejarea informaŃiei implică o mulŃime de măsuri de natură organizaŃională, procedurală şi tehnică şi poate fi realizată numai folosind soluŃii de securitate testate şi validate în practică. ISA server 2004 este o astfel de soluŃie folosită cu succes în reŃelele de organizaŃie. ISA server permite configurarea logică a unei reŃele de organizaŃie în subreŃele (prin facilitatea de networking) şi definirea regulilor de rutare astfel încât anumiŃi utilizatori interni să nu fie văzuŃi şi accesaŃi direct în exteriorul reŃelei. ISA server asigură serviciul de firewall şi definirea unor politici de acces şi de filtrare a traficului care să corespundă optim structurii unei organizaŃii. De asemenea, ISA server permite crearea conexiunilor de tip VPN pentru membrii îndepărtaŃi ai organizaŃiei sau pentru clienŃi speciali. Conexiunile VPN realizate cu ISA server îndeplinesc două cerinŃe fundamentale referitoare la securitatea reŃelelor de calculatoare: - autentificarea utilizatorilor - secretizarea comunicaŃiei pe canalul fizic În fine, facilitatea de cacheing oferită de ISA server măreşte considerabil viteza de comunicare pe Internet, ceea ce este deosebit de important într-o organizaŃie în care membrii au nevoie să descarce în mod frecvent date similare de pe Internet.

96

Întrebări de control şi teste 1. Care este rolul ISA server într-o reŃea de calculatoare? 2. ExplicaŃi noŃiunea de networking în accepŃiunea ISA server. 3. ExplicaŃi conceptul DMZ (zonă demilitarizată). Ce servere se plasează în acestă zonă? 4. Ce se înŃelege prin “publicarea serverelor” şi cun se poate realize? 5. Ce este un firewall şi care este rolul său în aministrarea unei reŃele? 6. Care sunt configuraŃiile tipice de firewall realizate cu ISA server? 7. Ce reprezintă funcŃia de accelerare (cashing) şi ce utilitate are în funcŃionarea unei reŃele? 8. Ce facilităŃi VPN asigură ISA server 2004? DaŃi exemple. Teme de casă 1. DescrieŃi modul de realizare a unor conexiuni VPN folosond ISA Server 2. PoiectaŃi o reŃea de organizaŃie folosind facilităŃile de networking ale ISA server, evidenŃiind reŃeaua internă, zona demilitarizată, reŃeaua externă 3. DescrieŃi modul de realizare a unor politici de securitate folosind ISA server ca firewall.

97

Tema 6 Instalarea şi configurarea unui Server DHCP Tema are ca scop prezentarea serviciului DHCP şi configurarea sa în reŃele de calculatoare.

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte: • Ce este serviciul DHCP şi care este utilitatea sa în cadrul unei reŃele • Cum se instalează un server DHCP • Cum se configurează un srever DHCP Cuprins 6.1 6.2 6.3 6.4

Rolul serviciului DHCP într-o reŃea de calculatoare Instalarea unui server DHCP Crearea spaŃiului de adrese ale unui server DHCP Configurarea de bază a serverului

Cuvinte cheie: server DHCP, server DNS, adresa IP, mască de reŃea, poartă implicită, pool de adrese, adrese temporare, Bibliografie 1. [1] Munteanu A., Greavu-Şerban V., Cristescu G. – ReŃele Windows. Servere şi clienŃi. Exemple practice, Editura Polirom, Bucureşti, 2004 2. [2] Munteanu A., Greavu-Şerban V.– ReŃele locale de calculatoare. Proiectare şi administare, Editura Polirom, Bucureşti, 2003 3. [3] Praoveanu I. – ReŃele de calculatoare, Editura Univ. T. Maiorescu, Bucureşti, 2009 4. Mayers M. - Manual Network. Administrarea şi depanarea reŃelelor, Editura Rosetti Educational, Bucureşti, 2006

Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 3 ore.

6.1 Rolul serviciului DHCP într-o reŃea de calculatoare DHCP (Dynamic Host Configuration Protocol) este un standard IP proiectat pentru a reduce complexitatea administrării configuraŃiilor de adrese IP. Un server DHCP va fi configurat cu setările corespunzatoare pentru o reŃea dată. Există două versiuni de servere DHCP: una pentru IPv4 şi alta pentru IPv6.

98

Aceste setări includ un set fundamental de parametri cum ar fi: - gateway, - DNS, - masti de retea si - o clasa de adrese IP. Toate adresele IP şi celelalte elemente de configurare legate de localizatea calculatoarelor în reŃea sunt stocate într-o bază de date conŃinută de serverul DHCP. Utilizarea DHCP într-o retea simplifică munca administratorilor în sensul că ei nu trebuie sa configureze aceste setari individual pentru fiecare calculator sau alt tip de echipament din retea care necesită adrese IP. DCHP va distribui automat aceşti parametri fiecarui client individual. Chiar şi în reŃele mici, DHCP este folositor, deoarece simplifica adăugarea unor noi echipamente în reŃea. Serverul DHCP atribuie unui client o adresa IP luata dintr-un set (în original se numeşte scope) predefinit pentru un anumit timp. Daca o adresa IP este necesara pentru mai mult timp decat a fost setat timpul alocat, clientul trebuie sa ceara o extindere inainte ca perioada sa expire. Daca clientul nu a solicitat o reinnoire a perioadei de alocare (lease time), adresa IP va fi considerata libera si va fi alocata unui alt client. Daca utilizatorul doreste sa-si schimbe adresa IP poate utiliza comanda „ipconfig /release” urmata de „ipconfig /renew” in linia de comanda. Aceasta va sterge adresa IP curenta si va aloca una noua. Pot fi definite „rezervari” intr-un server DHCP pentru a permite anumitor clienti de a avea propria adresa IP. Adresele pot fi rezervate pe baza adresei MAC sau a hostname-ului astfel incat acesti clienti vor avea o adresa IP fixa ce este configurata automat. Majoritatea furnizorilor de servicii Internet utilizeaza DHCP pentru a atribui noi adrese IP calculatoarelor client cand acestea se conecteaza la Internet, ceea ce simplifica lucrurile la nivelul utilizatorului. În funcŃie de implementare, serverul DHCP poate avea trei metode de alocare a adreselor IP: •





alocare dinamică: Un administrator de reŃea atribuie o serie de adrese IP la DHCP, şi fiecare computer din LAN este configurat să ceară o adresa de IP de la serverul DHCP în timpul iniŃializării de reŃea. Procesul de cerere şi aprobare foloseşte un concept ca un contract de leasing pe o perioada determinată, permiŃând serverului DHCP să revendice (şi să realoce) adrese IP disponibile (refolosirea dinamică de adrese de IP). alocare automată: Serverul DHCP alocă în permanenŃă o adresă de IP disponibilă, din gama definită de administrator, către un client. Acest proces este asemănător alocării dinamice, dar serverul DHCP păstrează un tabel cu alocările de IP anterioare, astfel încât să poată atribui preferenŃial pentru un client aceeaşi adresă de IP pe care acesta a avut-o anterior. alocare statică: Serverul DHCP alocă adresa de IP în baza unui tabel cu perechi adresa MAC/adresa IP, acestea fiind completate manual (probabil de către administratorul reŃelei). Numai clienŃii care au adresa MAC lisată în acest tabel vor primi o adresă de IP. Această caracteristică (care nu e suportată de orice router) este denumită Static DHCP Assignment.

99

Serviciul DHCP este un serviciu de tip client-server. Când un client configurat (un computer sau orice alt dispozitiv de reŃea) se conectează la reŃea, clientul DHCP trimite o interogare broadcast în reŃeaua locală printr-un pachet UDP numit DHCPDISCOVER cerând informaŃia necesară la serverul DHCP. Serverul DHCP de pe segmentul local din care face parte staŃia, care gestionează o rezervă de adrese IP şi informaŃii despre configurarea parametrilor clientului, răspunde cu cu un alt pachet UDP numit DHCPOFFER, prin care oferă o adresă IP şi celelelte informaŃii necesare (masca de subreŃea, gateway-ul implicit, numele domeniului, serverul DNS, perioada de validitate a alocării respective etc.). Interogarea este de obicei iniŃiată imediat după bootare, şi trebuie să fie completată, înainte ca clientul să poată iniŃia comunicarea IP cu alte gazde. Este posibil ca înainte de a oferi adresă clientului, serverul să facă anumite verificări în reŃea: să verifice dacă adresa nu este deja alocată altei staŃii, dacă o reŃea are mai multe segmente şi un singur server DHCP să verifice disponibilitatea adresei şi în acele segmente etc. Dacă există mai multe servere, un client poate primi pachete DHCPOFFER de la toate serverele. În acest caz, clientul trebuie să aleagă un singur server pe care trebuie să-l identifice explicit ca serverul cu cea mai bună ofertă şi să-i retrimită cererea DHCPREQUEST. Instalarea unui server DHCP DHCP este un soft free, prtând fi instalat liber pe orice sistem Windows, UNIX, Linux etc. care suportă suita de protocoale TCP/IP. Înainte de a descrie paşii instalării şi configurării unui server DHCP trebuie explicate unele noŃiuni referitoare la acesta. • Scope – reprezintă intervalul de adrese IP consecutive, alocabile, de obicei, într-o singură reŃea, pe care o va gestiona serverul. • Superscope – reprezintă gruparea administrativă a mai multor scopuri pentru a putea fi folosite în cazul mai multor subreŃele. Această grupare cuprinde o listă de scopuri membre şi scopuri child. Configurarea unui scop implică configurarea individuală a membrilor acestuia. • Exclusion range – reprezintă o secvenŃă de adrese IP din cadrul unui scop care nu pot fi oferite clienŃilor DHCP. • Address pool – sunt adresele rezultate prin eliminarea din cadrul unui scop a intervalului amintit mai sus. • Lease (închirierea) – se referă la timpul pe care un client îl are la dispoziŃie să folosească adresa IP. Înainte de expirarea acestui timp, clientul trebuie să reînoiască cererea către server. • Reservation – se utilizează atunci când se doreşte ca un anumit dispozitiv să folosească de fiecare dată aceeaşi adresă IP. • Option types – sunt parametii de configurare ai serverului: IP-ul gateway-ului, serverul DNS, etc. • Option class – se referă la faptul că se pot crea clase de clienŃi cărora li se pot asocia tipuri de opŃiuni de configurare. Instalarea unui server DHCP presupune crearea unui scop şi definirea intervalului de adrese. Paşii de configurare DHCP sub Windows Server 2003 sunt următorii: 100

1. Se dă click pe Start -> Control Panel şi apoi se alege Add/Remove Programs. 2. Se dă click pe butonul Add/Remove Windows Components. 3. Se selectează din listă Networking services, şi click pe butonul Details.

4. Se bifează componenta Dynamic Host Configuration Protocol (DHCP) si apoi click pe OK.

5. Se dă click pe butonul Next. Se introduce CD-ul cu kitul de Windows Server în unitatea CD-ROM şi se instalează serviciul DHCP. Se dă click pe Finish pentru a termina instalarea. 6. Se închide fereastra Add/Remove Programs.

101

Serverul DHCP conŃine o bază de date cu adrese IP în care sunt toate adresele IP disponibile pentru distribuŃie. Dacă clientul (având ca sistem de operare Windows 2000 sau XP Professional) are setat „Obtain an IP address automatically” în setările TCP/IP, atunci este setat să primească o adresa IP de la un server DHCP. Crearea spaŃiului de adrese ale unui server DHCP SpaŃiul de adrese disponibile pentru alocare dinamică, denumit şi „scop” este o colecŃie de adrese IP pentru calculatoarele dintr-un subnet ce utilizează DHCP. Pentru crearea unui spaŃiu de adrese se dă clic pe Start ->Settings->Control Panel->Administrative Tools>DHCP. Apoi se dă clic dreapta pe numele serverului DHCP şi se alege optiunea New Scope…

102

Urmatoarea fereastra va cere definirea domeniul de adrese care vor fi distribuite în reŃea şi masca de reŃea pentru adresa IP. Se completează datele cerute şi se dă clic pe Next.

Se deschide apoi o fereastra în care trebuie adaugate, dacă este cazul, excluziuni în domeniul de adrese IP specificat în fereastra anterioară. De exemplu, dacă adresa IP 192.168.90.50 este aceea a router-ului companiei, atunci nu este de dorit ca serverul DHCP să distribuie acea adresă. În acest exemplul de mai jos este exclus domeniul de adrese IP 192.168.90.100 – 192.168.90.115 şi o singura adresa 192.168.90.50. În acest caz, 16 adrese IP vor fi rezervate si nu vor fi distribuite clienŃilor din reŃea.

103

În continuare se setează durata rezervării (lease) pentru cât timp un client poate utiliza o adresă IP atribuită din acest scop. Este recomandat să se stabilească perioade de „lease” mai mari pentru o reŃea fixă şi perioade de „lease” mai scurte pentru conexiuni de la distanŃă sau laoptop-uri. În acest exemplu este setată perioada de alocare la 12 ore, întrucât clienŃii sunt sisteme desktop într-un birou local şi timpul de lucru uzual este de opt ore.

În următoarea fereastra se cere precizarea daca se doreşte sau nu configurarea optiunilor DHCP pentru scop acum sau mai târziu. Dacă se alege Yes, atunci vor apare o serie de casete de dialog pentru setarea acestor optiuni. Dacă se alege, No aceste optiuni vor putea fi configurate într-o alta fază.

104

În urmatoarea fereastră trebuie sa setată adresa IP a router-ului sau a gateway-ului şi astfel calculatoarele client vor şti ce router sa utilizeze.

În urmatoarea fereastră se setează serverul DNS şi numele domeniului. Adresa IP a serverului DNS va fi distribuită de către serverul DHCP şi va fi atribuită clienŃilor.

Dacă în reŃea existăun server de WINS, aici trebuie setate adresa IP şi numele acelui server în caseta potrivită şi se apasă „Resolve” pentru a permite găsirea respectivei adrese IP. Daca nu există un server de WINS în retea, se lasă aceasta pagina necompletată. 105

Ultimul pas este de a activa scopul prin apasarea pe butonul Next, în fereastra de mai jos. Serverul de DHCP nu va funcŃiona dacă nu se activează scopul.

La sfârşit se dă clic pe Finish pentru a termina configurarea şi activarea scopului. Serverul DHCP este acum instalat cu toate setările de bază. Următoarea etapă este de a-l configura dupa nevoile structurii reŃelei.

106

Configurarea de baza a unui server DHCP Grupul de adrese afişează o lista de domenii de IP-uri asignate pentru distribuŃie şi excluziuni de adrese IP. Se poate adauga o excluziune de adrese dând un clic dreapta pe Address Pool din partea stângă a ferestrei MMC şi selectând opŃiunea „New Exclusion Range”. Aceasta va afişa o caseta de dialog ce va permite adaugarea domeniul de adrese ce va fi exclus. SE introduc doar adresele IP de început şi de sfârşit. Dacă se introduce numai adresa IP de început, se va adauga o singura adresa IP.

Server-ele DHCP permit rezervarea unei adrese IP pentru un client. Aceasta înseamnă că acel client va avea aceeaşi adresă IP atât cât se doreşte. Pentru a realiza acest lucru, trebuie să fie cunoascută adresa fizica (MAC) a fiecărei placi de reŃea. Se dă clic dreapta pe „Reservations” şi se alege opŃiunea „New Reservation”. Se tastează numele rezervării, adresa IP dorită, adresa MAC şi descrierea. Noua rezervare va fi adaugată în lista. Ca exemplu este rezervată adresa IP 192.168.90.144 pentru un calculator client numit Workstation1.

107

Dacă se dă clic dreapta pe Scope Options în consola MMC şi se alege „Configure Options” va apărea o fereastră în care se pot configura mai multe servere şi parametrii lor. Aceste setări vor fi distribuite de către serverul DHCP împreună cu adresa IP. OpŃiunile server-ului se comportă implicit pentru toate scopurile în serverul DHCP. Totuşi, opŃiunile de scop au precedenŃa faŃă de opŃiunile de server.

Într-un domeniu Windows Server 2003, toate server-ele DHCP trebuie să fie autorizate în Active Directory. Pentru a autoriza un server, trebuie să fi logat ca administrator, sau ca un membru al grupului Enterprise Admins. Apoi se dă clic dreapta pe icon serverului DHCP şi se alege opŃiunea Authorize. Rezumat În reŃelele mari, configurarea statică a adreselor IP nu este rezonabilă din mai multe considerente: număr mare de utilizatori, utilizatori mobili care îşi schimbă frecvent locul, 108

actualizarea sistemelor de operare de reŃea, reconfigurarea reŃelei etc. Serviciul DHCP vine în ajutor din acest punct de vedere, prin automatizarea procesului de obŃinere a adreselor IP, atât cea de gazdă, cât şi cea a DNS-ului, a gateway-ului şi a măştii de subreŃea. Intervalul de adrese din care un server DNS poate aloca adrese IP se numeşte domeniu de adrese (scope) şi el este stabilit de administratorul de reŃea atunci când face proiectarea reŃelei. Timpul de alocare (închiriere) a unei adrese IP este flexibil, fiind stabilit tot de administrator ân funcŃie de specificul fiecărui utilizator. Mai mult chiar, în cazul utilizării unui server DHCP, anumite adrese pot fi dedicate, ataşate unei adrese MAC, deci legate de o anumită maşină. Instalarea serviciului DHCP este o acŃiune uşoară şi presupune configurare atât pe maşina server, cât şi pe maşina client. După configurarea corectă a serviciului DHCP, acesta este rareori predispus la apariŃia erorilor. Comenzile utile pentru restabilirea operaŃiunilor de configurare TCP/IP sunt ipconfig/release care ;terge informaŃiile curente şi ipconfig/renew care reînoieşte informaŃiile obŃinute de la server.

Test de verificare 1. Care dintre următoarele servicii de reŃea sunt necesare astfel încât clienŃii de email să găsească serverele de email, clienŃi FTP să găsească serverele FTP, browserele web să găsească serverele web? a) Server DHCP b) Server DNS c) Server de email d) Server WINS 2. Care este numele dat setului de adrese IP pe care le poate le poate aloca un server DHCP? a) Adrese temporare b) Adrese rezervate c) Domeniu de adrese d) Adrese dinamice 3. Care este termenul folosit pentru adresele alocate de un server fiecărui client DHCP? a) Adrese temporare b) Adrese statice c) Adrese dinamice d) Interval de adrese 4. Serviciul (protocolul) DHCP este de nivel: a) ReŃea b) AplicaŃie c) Transport d) Sesiune 5. Un client DHCP se poate instala pe o maşină care are un sistem de operare: 109

a) Linux b) Windows XP c) Windows Server 2003 d) UNIX 6. Pentru comunicarea într-o retea TCP/IP, o statie conectată trebuie configurată pentru retea cu: a) adresa proprie IP b) masca adresei IP c) adresa implicita a porŃii de iesire din subreŃea d) adresa serverului DNS 7. Pentru listarea întregii configuraŃii de reŃea a unui calculator configurat DHCP se foloseşte comanda cmd: a) ipconfig b) ipconfig/all c) show ip config d) ipconfig/release 8. Pentru anularea unei configuraŃii incorecte pe interfaŃa de reŃea a calculatorului se poate folosi comanda: a) ipconfig /release b) ipconfig /renew c) del/ipconfig d) erase ipconfig 9. Pentru obŃinerea unei noi configuraŃii dinamice se foloseşte comanda: a) ipconfig/renew b) ipconfig/release c) renew ipconfig d) renew dhcpconfig 10. Configurarea în reŃea a unui calculator Windows XP se face din: a) Start - Control Panel - Network Connections - LAN Properties - Internet Protocol (TCP/IP) - Internet Protocol (TCP/IP) Properties: - Obtain an IP address automatically - Obtain DNS server address automatically b) Linia de comenzi cmd tastând - ipconfig c) Linia de comenzi cmd tastând - dhcp d) Start - Control Panel - Internet Options – LAN Settings – Automatically Detect Settings

ExerciŃiul 1 DescrieŃi acŃiunea următoarelor comenzi date în linia de comandă cmd: Comanda Ipconfig

AcŃiune

110

ipconfig/all ipconfig/release ipconfig/renew ipconfig/flushdns net send Nbtstat nbtstat –c net view Ping 127.0.0.1 Ping localhost

ExerciŃiul 2 DescrieŃi semnificaŃia şi acŃiunea următoarelor mesaje care circulă între un client şi un server DHCP: Mesaj AcŃiune DHCPDISCOVER

DHCPREQUEST

DHCPDECLINE

DHCPRELEASE DHCPINFORM

Temă de casă DescrieŃi sinoptic funcŃionarea serviciului DHCP specificând schimbul de mesaje dintre un client DHCP şi un server DHCP Recomandare: folosiŃi linkul http://support.microsoft.com/kb/169289 111