Проектирование вычислительной системы предприятия

Служба Active Directory позволит нам:

• обеспечить единую систему регистрации в сети (используя свое регистрационное имя и пароль, пользователь получает доступ ко всем ресурсам сети независимо от их расположения);
• обеспечивать требуемый уровень безопасности сети для защиты от несанкционированного доступа, используя встроенные средства аутентификации и управления доступом к ресурсам;
• осуществлять централизованное управление всеми ресурсами сети, широко используя такие инструменты, как групповые политики, в случае необходимости делегируя рутинную административную работу наиболее опытным пользователям;
• поддерживать текущую информацию об объектах сети, облегчая тем самым доступ к этим объектам и их свойствам;
• распределять каталог между несколькими серверами (контроллерами домена) в сети с помощью службы репликации, обеспечивая его доступность и отказоустойчивость, а также снижая сетевую нагрузку;

Для создания контроллера домена, нам нужно сначала установить роль доменных служб Active Directory, а затем запустить мастер установки доменных служб, который открывается с помощью команды Dcpromo.exe.

В результате у нас запустится мастер «Вас приветствует мастер установки  доменных служб Active Directory».Нам нужны расширенные опции, поэтому ставим галочку напротив «Использовать расширенный режим установки» и нажимаем Далее.

На странице «Совместимость операционной системы» мастер предупреждает о  том, что ваши NT и non-Microsoft SMB клиенты  будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008.У нас нет таких проблем в нашей тестовой среде, поэтому просто нажимаем Далее.

На странице «Выбор конфигурации установки» выбираем опцию Создание нового домена в лесу. Мы делаем это по той простой причине, что это новый домен в новом лесу

На странице «Имя корневого домена в лесу» мы вводим название домена в текстовое поле FQDN корневого  домена в лесу. Назовем домен serverbux-ok.local.Нажимаем Далее.

На странице «Определение функционального  уровня леса» выбираем опцию Windows Server 2008.Нажимаем «Далее».

На странице «Дополнительные опции  контроллера домена» нажимаем Далее.

Появится диалоговое окно, говорящее  о том, что невозможно создать  делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер, нажимаем «Да», чтобы продолжить.

Оставляем папки для Database, Log Files и SYSVOL на своих местах по умолчанию и  нажимаем Далее.

На странице «Пароль администратора в режиме восстановления служб каталогов» вводим надежный пароль в текстовые поля Пароль и Подтверждение.

Проверяем информацию на странице «Сводка» и нажимаем Далее.

Установится Active Directory. Установка первого контроллера домена занимает немного времени. Отмечаем опцию «Перезагрузить по окончании», чтобы машина автоматически перезагрузилась после установки контроллера домена.

Теперь после того, как мы установили контроллер домена, зайдем в свойства «Моего компьютера»:

Мы видим, что наш сервер входит в домен Visan.local.Это необходимо для идентификации компьютера в сети. Всех пользователей нашей сети также необходимо добавить в домен. Так как доступ к данным будут иметь только пользователи этого домена.

Установка AD на сервер добавляет на вкладку «Administrative Tools» инструменты: «Active Directory Domains and Trusts», «Active Directory Sites and Services» и «Active Directory Users and Computers».Последний используется для управления пользователями, компьютерами, группами безопасности и другими объектами в AD. На левой панели этого приложения мы увидим структуру AD, созданный домен visan.local и находящиеся в нем встроенные контейнеры.

Начнем создание структуры домена. Щелкнем правой кнопкой мыши узел домена visan.local в дереве каталога и выберем из появившегося меню опцию «Создать», а затем «Подразделение».

Назовем это подразделение buh, и  после нажатия кнопки «ОК» оно  появится в дереве каталога ниже узла домена.

Поместим в этот контейнер пользователей. Для этого щелкнем правой кнопкой мыши нужное подразделение и выберем из контекстного меню сначала «Создать», а затем «Пользователь».

Заполним появившееся окно свойств  пользователя, установим для него пароль, и, проверив эти сведения, нажмем кнопку «Готово».

Проделав эту операцию несколько  раз, мы разместим всех пользователей в соответствующие подразделения. Теперь, щелкнув правой кнопкой мыши одного из пользователей и выбрав вкладку.

«Все задачи», ознакомимся с  теми задачами, которые может выполнять  с ней администратор.

Контейнеры AD допускают добавление дочерних контейнеров, поэтому не составит большого труда создать ОП Printers, вложенное в подразделение buh, и разместить в нем сетевые принтеры.

4.2 Настройка SHDSL-модемов

Подключив сетевой кабель на витой  паре, а также телефонный провод к SHDSL-модемам, нужно произвести их настройку.

По умолчанию сетевой адрес  модема 192.168.1.1.Набрав в адресной строке браузера данный адрес, мы увидим страницу с приглашением для ввода пароля.

Введя имя и пароль (по умолчанию  admin и 1234) мы попадем на главную страницу.

Первая группа отвечает за установку сетевых параметров для портов WAN и LAN, а также за функционирование NAT. WAN-порт может работать в режиме моста или маршрутизатора. Допустимы следующие варианты инкапсуляции: PPPoA, RFC 1483, ENET ENCAP и PPPoE. Здесь настраиваются и IP-адреса для этого порта. В настройках WAN-порта можно ограничить максимальную и минимальную скорость приема и передачи данных и включить режим динамического изменения скорости в зависимости от качества линии связи. Для увеличения скорости устройство поддерживает работу на четырехпроводной линии. В этом случае при использовании аналогичного маршрутизатора с другой стороны линка максимальная скорость удваивается и составляет 11,38 Мбит/с.Дополнительные настройки WAN-порта включают в себя включение протоколов RIP и мультикаст. Допускается задание до семи виртуальных подключений на одной физической линии. При необходимости, можно активировать резервирование линии через другой маршрутизатор или с использованием аналогового модема, подключаемого через стандартный порт RS-232.

LAN-порт, кроме основного IP-адреса, может иметь и два дополнительных. Аналогично WAN-порту, для него можно включить протокол динамической маршрутизации и мультикаст. Для упрощения настройки клиентов, в маршрутизатор встроен DHCP-сервер. Технология трансляции сетевых адресов (NAT) позволяет использовать для подключения к Интернет только один адрес для всех клиентов. Кроме этого режима (SUA) возможно использование и Full Feature NAT, когда WAN-порт имеет несколько адресов. В случае использования NAT, можно настроить внешний доступ к внутренним сервисам, использовав перенаправление портов. При необходимости, NAT можно выключить, тогда устройство будет работать в режиме классического маршрутизатора.

Вторая группа настроек относится  к функциям безопасности и ограничения доступа. Основная функция - это, конечно, межсетевой экран. Он работает на направлениях LAN-WAN и WAN-LAN. При настройке правил можно использовать адреса источника и получателя (в том числе и диапазоны), сервисы (выбор из заданного производителем списка и десяти пользовательских) и время работы правила. Допустимые действия включают в себя Permit, Drop и Reject. При срабатывании правила можно записывать детальную информацию о пакете в логфайл и отправлять сообщение администратору. Предусмотрена защита от DoS-атак - можно установить лимиты на количество различных типов сессий.

Пункт меню настройки Advanced включает в себя настройку постоянных маршрутов (максимум 16), функцию управления полосой пропускания, активацию клиента DynDNS, настройку сервисов для удаленного управления и UPnP (в том числе и разрешение совместимым программам и устройствам автоматически «пробрасывать» порты и открывать Firewall).

В последней группе - Maintenance - собраны все системные функции: обновление прошивки, сохранение и восстановление конфигурации, изменение паролей на доступ к устройству, диагностика и лог-файл. Для последнего можно выбрать группы событий, которые будут протоколироваться, и настроить отправку их на e-mail (авторизация не поддерживается) или syslog-сервер. Информация о критичных событиях (например, атаках) может быть отправлена по электронной почте без задержек.

Как и большинство других устройств  на базе ZyNOS, рассматриваемый маршрутизатор можно настроить и через telnet.Кроме того, у P-793H есть и классический консольный порт, и поддержка системы управления TR-069, например, ZyXEL CNM Access.Возможности настройки через telnet несколько превышают функции Web-интерфейса. В частности, можно настроить фильтрацию пакетов, VLAN для физических портов, бюджеты на время работы с провайдером и политики маршрутизации.

Если есть возможность эксплуатации устройств в режиме моста (Bridge), то можно достичь несколько большей скорости, особенно в двухпроводном режиме. Что касается скорости работы с небольшими пакетами, то для 512-байтных пакетов она снижается до 1,3 Мбит/с, а для 64-байтных - до 0,2 Мбит/с.

Цифры показывают, что P-793H во всех режимах обеспечивает предусмотренную стандартом скорость работы.

4.3 Настройка рабочих станций

Для того чтобы рабочие станции присоединить к домену необходимо проделать следующие действия.

Заходим в свойства компьютера на закладку «Имя компьютера» и нажимаем кнопку «Изменить».В данном окне указываем новое имя компьютера (если необходимо) и домен visan.local.

После чего нужно будет указать имя и пароль учетной записи с правами на присоединение к домену.

И если все указано правильно, то мы увидим следующее окно в котором  будет надпись «Добро пожаловать в домен visan.local» .Затем нужно будет перезагрузить компьютер.

После перезагрузки компьютера при входе в Windows нужно будет указать имя пользователя и пароль пользователя, которого мы создали ранее в Active Directory.На этом настройка подключения рабочей станции к домену закончена.То же самое необходимо проделать с остальными рабочими станциями.

4.4 Настройка доступа в Интернет

После того как модем будет физически  подключен к центральному концентратору  нашей ЛВС по каналу Ethernet и к линии телефонной связи по стандарту ADSL, необходимо произвести его настройку.

Для этого нужно выполнить следующие действия:

1. Запустить web-браузер и в адресной строке набрать IP адрес модема (по умолчанию 192.168.1.1), после чего мы должны увидеть окно с приглашением для ввода пароля.

2. После ввода пароля мы попадем на главную страницу web-конфигуратора модема.

3. Пройдя на страницу Network – LAN, на закладках IP, DHCP Setup, Client List производим настройку IP адреса модема и маску подсети; устанавливаем DHCP-сервер (начальный IP адрес для DHCP-сервера и количество раздаваемых IP адресов); добавляем список клиентов (с указанием IP и MAC адреса сетевой карты).

4. Пройдя по ссылке Network – WAN, на закладке Internet Access Setup необходимо указать настройки подключения к Интернету полученные у поставщика услуг Интернета (провайдера).

5. Затем производим настройку файрвола на странице Security – Firewall – General.Разрешаем (permit), запрещаем (drop), либо делаем отброс (reject) на передачу пакетов. В данном случае свойство reject позволяет настроить правила передачи пакетов по протоколам TCP/IP для каждого пользователя в отдельности.

На данном этапе настройка модема закончена.Теперь, для того чтобы убедиться в том, что модем настроен правильно, и его файрвол работает, попросим провайдера произвести атаку на наш IP адрес. Наш модем удачно отражает атаку (сканирование портов), и можно считать, что обеспечение безопасности ЛВС от вторжений из вне произведено.

4.5 Доступ в Интернет пользователей ЛВС через прокси-сервер

Прокси-сервер - служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, файл), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша. В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от мощных сетевых атак.

Прокси-серверы применяются для следующих целей:

• Обеспечение доступа с компьютеров локальной сети в Интернет.
• Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.
• Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика.
• Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер).
• Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.
• Анонимизация доступа к различным ресурсам.

Администрирование при помощи прокси - сервера UserGate

Мы используем прокси - сервер UserGate - полнофункциональное решение, позволяющее  администратору организовать работу пользователей локальной сети в Интернет. Позволяет централизованно управлять Интернет-подключениями с помощью гибкой системы правил, осуществляет кэширование сетевых ресурсов, ведет точный подсчет трафика с помощью драйвера NAT, имеет встроенную биллинговую систему, а также систему статистики. Программа проста в настройке и удобна в использовании.

С помощью гибкой системы правил администратор сети может блокировать  доступ пользователей к определенным ресурсам, регулировать скорость соединения, задавать расписание работы различных пользователей. Программа предоставляет возможность детального мониторинга активных Интернет - сессий пользователя в реальном времени, - IP адрес, имя пользователя, точное количество переданного и полученного трафика, а также посещенные URL.

Администратор может ознакомиться с текущим балансом пользователя, установить квоты на количество трафика, продолжительность пребывания в  сети, а также на количество потраченных  средств, по исчерпанию которых работа пользователя будет заблокирована, или переведена в ограниченный режим. В UserGate реализована биллинговая система, позволяющая гибко управлять тарифными планами. В состав UserGate входит модуль статистики, позволяющий составлять различные статистические отчеты. В числе других особенностей программы - различные методы авторизации пользователей; фильтры URL, позволяющие запретить доступ к нежелательным ресурсам или настроить "баннерорезку"; назначение портов для переадресации трафика с одного порта на другой; публикация ресурсов (доступ к внутренним ресурсам сети из Интернета); встроенный файервол; кэширование HTTP ресурсов; автодозвон до провайдера; возможность удаленного администрирования. UserGate имеет интуитивно понятный интерфейс, прост в настройке и использовании. Программа поддерживает все известные TCP/UDP протоколы - HTTP, FTP, POP3, SMTP, IMAP4, Telnet, IRC, NNTP, ICQ и другие.