Пятница
29.03.2024, 16:03
В гостях у DimNSK
Приветствую Вас Гость | RSS
Главная Каталог статей Регистрация Вход
Меню сайта

Категории раздела
Настройка Windows 2003 [11]
Все о настройках

Наш опрос
Какой OS Вы пользуетесь
Всего ответов: 829

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа




Главная » Статьи » Windows 2003 Server » Настройка Windows 2003

Установка необходимых сетевых сервисов
Операционная система Windows Server 2003 обладает огромными возможностями по настройке и управлению различными сетевыми службами и сервисами. Их грамотное использование позволяет значительно увеличить скорость взаимодействия между членами сети и повысить уровень ее защищенности.

Основные требования, которые предъявляются пользователями современных локальных сетей различного уровня, от небольших домашних до огромных корпоративных, практически одинаковы: скорость передачи данных и возможность доступа к Интернету. Удовлетворить эти запросы можно несколькими способами. Основным средством, способным помочь быстро и эффективно увеличить скорость передачи данных внутри сети, является служба Routing And Remote Access («Маршрутизация и удаленный доступ»), которая позволит связать несколько разделенных сегментов сети или, другими словами, назначить серверу роль маршрутизатора. Эта же служба поможет провести настройки, необходимые для обеспечения доступа всех членов локальной сети к Интернету.

Проблема роста

По мере увеличения числа компьютеров, входящих в состав той или иной сети, неизбежно снижается и средняя скорость передачи данных внутри нее. Предположим, в вашей сети находятся 40 компьютеров и один сервер, от каждого компьютера в коммуникационный узел протянут провод, и все 40 кабелей подключены к двум коммутаторам или концентраторам. Коммутаторы (все описанное в равной мере относится и к концентраторам) соединены вместе, в один из них включен основной сервер. 6 данной сети используется протокол IP, допустим, что сервер имеет адрес 192.168.1.200, а клиенты — 192.168.1.1, 192.168.1.2,... 192.168.1.40, и в этой сети будет использоваться стандартная маска 255.255.255.0.

Пусть сервер подключен к коммутатору через 100-мегабитный порт, при этом получается, что все сорок клиентских компьютеров используют полосу пропускания 100 Мбит, и в худшем случае (при максимальной нагрузке) каждому клиенту достанется 100/40 = 2,5 Мбит или примерно 300 кбайт в секунду. Возможно, вам не хватает такой скорости работы сети, но нет возможности использовать более дорогое оборудование, то есть переходить со 100 Мбит на 1 Гбит. В этом случае можно просто разделить один сегмент сети, состоящий из 40 компьютеров, на два сегмента по 20 машин. Для этого необходимо установить в сервер дополнительную сетевую плату и, разорвав соединение между коммутаторами, подключить их к разным сетевым платам.

После этих изменений клиенты будут использовать два канала по 100 Мбит каждый, при этом скорость обмена информацией с сервером увеличится в два раза. На физическом уровне проблема действительно решена, но еще остается и уровень логический — после того как сеть была разделена на два сегмента, клиенты в разных физических областях сети больше не могут соединяться друг с другом напрямую, как это было возможно раньше.

Межсетевой мост

Первое, что можно сделать, используя Windows Server 2003, чтобы восстановить прежнее состояние, это включить мост и таким образом снова объединить два сегмента в один, но теперь уже на логическом уровне. Для этого необходимо выполнить следующие действия. В настройке «Network Connections», которая находится в панели управления, отображается список установленных сетевых интерфейсов. Удерживая клавишу «Ctrl», отметьте два подключения и затем, вызвав контекстное меню и нажав правую кнопку мыши, выберите раздел «Bridge Connections» («Настройка моста»). После этого произойдет его создание, и в списке подключений появится новое — «Network Bridge» («Сетевой мост»).

Дальнейшие настройки протокола TCP/IP выполняются именно для него. В контекстном меню этого подключения необходимо выбрать раздел «Properties» и в появившемся диалоговом окне в списке «This connection uses the following items» («Компоненты, используемые этим подключением») перейти к свойствам пункта «Internet Protocol (TPC/IP)».

Там необходимо выбрать опцию «Use the following IP address:» («Использовать следующий IP-адрес:») и в появившемся поле ввести адрес, который ранее имел единственный сетевой интерфейс сервера. При переходе к полю «Subnet mask:» («Маска подсети:») оно заполняется автоматически. Подтверждаем свой выбор, нажав «0К». После успешного проведения этих настроек сервер становится похож на обычный коммутатор. Он будет обрабатывать входящие пакеты следующим образом.

Если пакет приходит из сегмента А и предназначен компьютеру, находящемуся в сегменте А, то такой пакет остается в этом сетевом сегменте.

Если пакет приходит из сегмента А и предназначен компьютеру, находящемуся в сегменте В, он пересылается в сегмент В.

Если из сегмента А приходит широковещательный пакет, он отправляется во все сегменты кроме сегмента А — мост пропускает широковещательные пакеты через себя.

Очевидно, что если широковещательные пакеты составляют сравнительно небольшой процент среди всех обрабатываемых пакетов, в каждом сегменте сети скорость работы увеличивается. В итоге вы получаете при измененной физической структуре сети ту же самую логическую структуру, и при этом нет необходимости выполнять какую-либо конфигурацию протокола IP. Эта возможность построения сетевого моста, появившаяся в Windows Server 2003, представляется очень полезной в описанной ситуации.

И все-таки такой вариант нельзя считать идеальным для любых условий. По мере увеличения размера сегментов и их количества, широковещательные пакеты будут составлять все более значительную долю трафика. Например, если у вас будет 10 сегментов по 50 компьютеров и каждый из них будет посылать широковещательный пакет раз в секунду, то каждый из 500 компьютеров будет 500 раз в секунду получать широковещательный пакет и обрабатывать его.

Маршрутизатор

Скажем, вы бы хотели разделить ваши компьютеры на две IP-сети: 192.168.1.x и 192.168.2.x со стандартной для таких сетей маской. Для этого необходимо из-
менить IP-адреса компьютеров, оказавшихся во втором сегменте.

Выполнить эту задачу можно разными способами: установить новые адреса вручную или с помощью службы DHCP. Кроме этого необходимо также выбрать адрес для второго сетевого интерфейса сервера. (Причем если до этого использовался мост, необходимо его удалить, после чего станет возможным задавать параметры интерфейсов независимо.) Пусть это будет адрес 192.168.2.200.

Выполнив необходимые настройки, проверьте соединение компьютера С1-1 из сети А с сервером по IP-адресу, используя для этого команду ping. Компьютеры сети А могут обращаться друг к другу, в сети В компьютеры также обращаются к серверу и друг к другу. Сложности возникают при попытке клиента из сети 192.168.1.0 (например компьютера С1-1 с адресом 192.168.1.1) обратиться к клиенту в сети 192.168.2.0 (компьютеру С2-1 с адресом 192.168.2.1). На компьютере С1-1 получаем картину, изображенную на рис. 5. Это сообщение говорит о том, что компьютер С1-1 не определил, куда отправить пакет. Он знает, как отправить пакет компьютерам, расположенным в его сети (192.168.1.x), исходя из своего IP-адреса 192Л68.1.1 и маски 255.255.255.0, но не знает, как пакет должен попадать в другие сети. Ему нужен какой-то шлюз, соединяющий его сеть с другими. Таким шлюзом в данной сети будет являться ваш сервер, именно он соединяет сеть 192.168.1.0 и сеть 192.168.2.0. Поэтому его адрес и нужно ввести в поле «Default Gateway:» («Основной шлюз:») в свойствах протокола TCP/IP сетевого подключения на С1-1.

Все, что вы сделали на С1-1, необходимо повторить на компьютере С2-1, ведь теперь он, получив IP-пакет с адресом отправителя (192.168.1.1), должен отправить ответ именно ему. Для этого он должен знать, как его сеть (192.168.2.0) связана с остальными. А связана она также через ваш сервер, отличие составляет только адрес интерфейса, поэтому в сети 192.168.2.0 шлюзом будет являться 192.168.2.200.

Настроив таким образом оба компьютера, необходимо теперь разобраться и с сервером, который просто не знает о том, что вы хотите использовать его в качестве маршрутизатора. И действительно, для того чтобы использовать сервер в качестве шлюза между сетями, необходимо задействовать службу маршрутизации и удаленного доступа. Включить ее достаточно просто с помощью мастера настройки сервера.

В диалоге «Manage Your Server» («Управление данным сервером») выберите пункт «Add or remove a rote» («Добавить или удалить роль»). На экране появляется мастер настройки сервера. После его запуска начнется определение параметров сетевых подключений. В появившемся списке «Server Role» выбираем раздел «Remote Access/VPN Server» («Сервер удаленного доступа или VPN-сервер»), Произойдет запуск мастера установки сервера маршрутизации и удаленного доступа. В списке возможных конфигураций выбираем пункт «Custom configuration» («Особая конфигурация») и после этого в открывшемся окне отмечаем службу «LAN routing» («Маршрутизация ЛВС»). На предложение ОС запустить ее отвечаем утвердительно. На этом мастер настройки сервера заканчивает свою работу. Теперь IP-пакеты отправляются из сети 1 в сеть 2 и обратно.

Маршрутизация IP настраивается достаточно просто. Система Windows Server 2003 сама строит маршруты на основании параметров существующих интерфейсов. Просмотреть сетевые маршруты можно следующими способами.

  • Набрать в командной строке словосочетание route print.
  • Выбрать в окне «Manage Your Server» пункт «Manage this remote access/VPN server» («Управление удаленным доступом или VPN-сервером»).В появившейся консоли управления службой маршрутизации выберите свой сервер, затем, «IP Routing -» Static Routes» и вызовите контекстное меню. Выберите в меню пункт «Show IP Routing Table...» («Отобразить таблицу IP-маршрутизации...»).

Кажется, что разделение одной IP-сети на две завершено, но это не совсем так. Сложности возникают при попытке компьютера С1-1 из сети А обратиться к компьютеру в сети В по имени. Это говорит о том, что компьютер С1-1 не может выполнить преобразование имени в IP-адрес. И тут пришло время задуматься о том, почему это преобразование работало раньше, когда сеть состояла из одного сегмента, и позже, когда использовался мост. В системе Windows преобразование имен выполняется с помощью двух механизмов: DNS и NetBIOS. Если вы ранее не настраивали DNS, в вашей сети работало преобразование имен через NetBIOS. Оно происходило следующим образом — компьютер, желающий преобразовать имя С2-1 в IP-адрес, посылал широковещательный запрос всем: «Какой компьютер имеет имя С2-1?» Компьютер с таким именем посылал ответ и сообщал в нем свой IP-адрес. Пока сегмент был один или использовался мост, широковещательные пакеты приходили ко всем компьютерам сети, поэтому преобразование имен NetBIOS работало. Теперь же, когда вы построили две различные IP-сети, широковещательный пакет, посланный в сети А, остается в ней: компьютеры в другой сети его не получают, теперь таким способом их имена не могут быть преобразованы в IP-адреса. Если вы используете клиентские компьютеры с системами Windows 95, то для решения возникшей проблемы можно включить на сервере службу WINS, которая будет собирать имена и адреса компьютеров, работающих в каждой из сетей и выполнять преобразование имен в IP-адреса по запросу клиентов. Для современных клиентских операционных систем рекомендуется использовать систему преобразования имен DNS. Выполнив и эти настройки, вы получили сеть организации, состоящую из двух различных IP-сетей, в которой все клиенты могут обращаться к серверу и друг к другу по IP-адресам и именам.

Удаленный доступ

Теперь пришло время подумать о подключении этой сети к Интернету. Для этого понадобится установить необходимое оборудование: модем, ISDN или DSL.

Далее будет рассмотрено подключение с помощью модема, но все описанное в равной мере относится и к другому оборудованию, работающему по протоколу РРР (например ISDN). Если же используется Ethernet-интерфейс, то, с точки зрения Windows, это будет такая же сетевая плата, как и остальные, поэтому настройку удаленного доступа выполнять не требуется и вы можете перейти сразу к следующему разделу «Протокол NAT».

Установите модем на вашем сервере. Настройку подключения с помощью мастера выполнять не нужно. Подключение к Интернету вы проведете, воспользовавшись возможностями системной службы «Routing and Remote Access».

Помимо того что эта служба может маршрутизировать пакеты между разными сегментами сети, она также может выполнять подключение по требованию к другим сетям (в том числе и к Интернету). Это означает, что служба будет устанавливать заданное соединение по мере необходимости (по запросу ваших клиентов). Кроме этого, если соединение в течение определенного времени не используется, оно может быть разорвано.

Выполните настройку интерфейса подключения к Интернету по требованию следующим образом. В консоли управления службой маршрутизации измените свойства вашего сервера. Для этого на вкладке «General» установите переключатель в положение «LAN and Demand-dial routing». В ответ на предложение перезапустить сервер ответьте утвердительно. Обратите внимание, что в списке доступных модулей сервера маршрутизации появились также «Ports». Просмотрите их свойства. Выберите в появившемся списке установленный модем и нажмите кнопку «Configure». Учитывая то, что вы хотите использовать модем для установления вызова по требованию, отразите это в настройках. Осталось только определить соответствующий интерфейс по требованию — в контекстном меню «Network Interfaces» выберите пункт «New Demand-dial Interface...». С помощью мастера создания интерфейса определите необходимые параметры подключения к провайдеру, такие как название интерфейса, тип подключения, используемый адаптер и номера телефонов вашего интернет-провайдера.

Проверьте используемые параметры безопасности (возможно, вам придется использовать незашифрованный пароль для подключения к Сети).

На следующем экране нам необходимо определить маску сети, обслуживаемой вашим интерфейсом. Затем задаются имя и пароль пользователя, которые должны быть назначены провайдером. На этом работа мастера настройки интерфейса вызова по требованию заканчивается.

Теперь, как только вы обратитесь с сервера к внешнему (находящемуся за пределами ваших двух сетей) узлу, служба будет устанавливать соединение с Интернетом автоматически. Вы сможете, находясь на сервере, работать в Интернете, но ваши клиенты по-прежнему не имеют такой возможности. Прежде чем исправить это положение, необходимо определить, каким образом вы подключаетесь к Интернету. Получили ли вы один или несколько реальных IP-адресов или же подключаетесь по dial-up, при этом IP-адрес всего один, и он динамически изменяется от подключения к подключению.

В случае, если провайдер выделил несколько IP-адресов (по числу установленных компьютеров) и вы решили использовать для машин в своей сети реальные IP-адреса, необходимо изменить логическую структуру своей сети. Назначьте каждому компьютеру адрес из выданного диапазона и настройте маршрутизацию — установка дополнительных компонентов на сервер не потребуется.

Протокол NAT

Если же IP-адресов получено меньше, чем компьютеров в сети, вы не сможете выдать каждому ПК реальный IP-адрес. Возможно, для некоторых программ это является серьезным ограничением, но все-таки большинство программ работают не на уровне IP, а выше — с протоколами TCP/UDP. В этих протоколах помимо номера компьютера (IP-адреса) определен также номер порта (1б-битное число, связанное в компьютере с определенным сетевым приложением). Пакет, который отправляется одним сетевым приложением другому, помимо адресов отправителя/получателя содержит также и их порты.

Протокол NAT (Network Address Translation), реализованный в службе маршрутизации Windows Server 2003 позволяет «сэкономить» на IP-адресах, учитывая порты передаваемых пакетов. Каждый пакет, который отправляется из внутренней сети во внешнюю, подвергается обработке. NAT-преобразователь заносит адрес/порт компьютера/приложения, отправившего пакет, в свою таблицу (например 192.168.1.1: 8019). Кроме этого он выбирает свой свободный порт (например 8139) и также запоминает его в таблице. Затем он заменяет адрес отправителя (из внутренней сети 192.168.1.1) своим реальным адресом (например 1.0.0.1) и порт отправителя (8019) выбранным (8139). Когда вызываемый клиентом узел Интернета возвращает ответ, он возвращает его по внешнему адресу сервера (1.0.0.1:8139). NAT-преобразователь найдет в таблице запись, связанную сданным портом (8139), и перешлет пакет компьютеру/порту, указанному в этой записи (192.168.1.1:8019). Таким образом, с точки зрения клиента, все выглядит прозрачно, его приложения работают так, как они работали бы с реальным IP-адресом.

Помимо того что можно обеспечить выход в Интернет нескольким компьютерам, используя всего один реальный IP-адрес, вы также получаете дополнительную степень защиты. Адреса компьютеров вашей внутренней сети остаются внутри — пока работает NAT-преобразование, подключиться к ним из внешней сети невозможно. Протокол NAT превращает ваш сервер в брандмауэр или межсетевой экран. Теперь сервер разделяет сети, при этом Windows Server 2003 не пропустит через себя пакеты, предназначенные компьютерам во внутренней сети. Иногда все же возникает необходимость открыть доступ к некоторым приложениям (портам) в вашей внутренней сети. Например, вы захотите опубликовать веб-сервер, работающий на компьютере во внутренней сети. Для этого вы можете определить статическое преобразование — задать, что обращения к определенному порту (например 80-й порт — веб-сервер) должны направляться к компьютеру, расположенному во внутренней сети (например с адресом 192.168.1.1).

Настроить протокол NAT достаточно просто. Если вы обратите внимание, в списке модулей IP-маршрутизации уже присутствует протокол NAT/Basic Firewall.

Вызовите контекстное меню этого протокола и выберите «New Interface».

Выберите интерфейс «Internal», в свойствах NAT установите параметры «Public interface connected to the Internet», «Enable NAT on this interface», «Enable a basic firewall on this interface». Если провайдер выдал вам несколько статических адресов, задайте их на вкладке «Address Pool», кроме этого вы можете назначить перенаправление пакетов, предназначенных определенным приложениям, работающим во внутренней сети, на вкладке «Services and Ports». На вкладке «ICMP» вы можете задать, будет ли ваш сервер передавать управляющие и тестирующие сообщения протокола IP. После этого подтвердите свой выбор, нажав кнопку «ОК».
Затем добавьте внутренние интерфейсы и отметьте их как «Private interface connected to private network».

Далее необходимо также настроить клиентов на использование DNS. Это можно сделать, задав адрес, указанный провайдером на каждом из компьютеров в поле «DNS server». Можно использовать службу DNS-сервер, входящую в состав операционной системы Windows Server 2003. Для этого установите ее, воспользовавшись мастером управления вашим сервером. Выберите пункт «Add or remove a role». В списке «Server Role» на этот раз выберите «DNS server». Дождитесь окончания настройки компонентов Windows (возможно, вам понадобится вставить установочный компакт-диск Windows Server 2003), По окончании установки будет запущен мастер настройки DNS-сервера. Настройку сервера DNS вы проведете вручную. В диалоговом окне «Manage Your Server» выберите ссылку «Manage this DNS server». На экране появляется консоль управления вашим DNS-сервером. Вызовите на экран диалог определения свойств сервера. На его вкладке «Forvarders» укажите адрес DNS-сервера вашего провайдера. Выполнив настройку сервера, установите его адрес в поле «DNS server» в параметрах протокола TCP/IP каждого сетевого клиента.

Результаты работы

В итоге вы получили работающую IP-сеть, состоящую из нескольких физических сегментов, в которой каждый клиент может обращаться к серверу, соседним компьютерам и к серверам в сети Интернет. Для этого вам понадобилось только обычное сетевое оборудование: недорогие сетевые платы, коммутаторы/концентраторы, модем или ISDN/DSL и всего один сервер, работающий под управлением Windows Server 2003. Удобный интуитивно понятный интерфейс различных мастеров Windows Server 2003, предоставляет системному администратору эффективный механизм для развертывания сети и управления объединенными компьютерами.

Дальнейшее развитие

Вы можете продолжить развитие вашей сети, если внедрите в ней НТТР-прокси-сервер. У вашей сегодняшней сети есть определенные недостатки. Во-первых, если один пользователь обращается в Интернет за страницей www.ipad-dress.org, а через несколько минут за ней обратится другой пользователь, то его компьютер будет снова устанавливать соединение с соответствующим веб-узлом и загружать эту страницу. В результате вы будете оплачивать многократную загрузку одних и тех же данных, а вместе с этим снизится скорость использования Интернета другими пользователями. Во-вторых, вы не можете гибко ограничивать посещение вашими пользователями сайтов сомнительного содержания. Проблемы эти нельзя решить используя только протокол NAT, так как он работает на уровне TCP и UDR а вам нужно оперировать с понятиями «веб-страница» и «веб-сервер». А они существуют на уровне HTTP. Эти проблемы поможет решить кэширующии HTTP-прокси-сервер. В состав Windows Server 2003 не входит встроенный HTTP-прокси-сервер, но можно использовать дополнительные программные продукты; Internet Security and Acceleration server от Microsoft (www.microsoft.com/ISAServer/) или Winroute Firewall, пришедший на замену WlnGate от компании DeerField (www.deerfield.com/products/winroute-firewall/). Если вы решите использовать один из множества доступных кэширующих НТТР-прокси-серверов, он будет заносить загруженные из Интернета веб-страницы в собственный кэш. При повторном обращении клиентов к тем же страницам он выдаст их из своего кэша, что приведет к значительному увеличению скорости загрузки веб-содержимого. Помимо этого вы можете гибко ограничивать количество сайтов, посещаемых вашими пользователями, воспользовавшись фильтрами.


Автор: Александр Лахин
Иcточник: Журнал CHIP
Опубликована - 16.01.2005



Источник: http://www.oszone.net/143/
Категория: Настройка Windows 2003 | Добавил: DimNSK (14.09.2007) | Автор: Дмитрий E W
Просмотров: 12586
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz


  • Copyright DimNSK © 2024