Отчет по практике в АГЦТТ

Аудит файлов и папок

После того как стратегия аудита определена, остается выбрать папки и файлы, подлежащие аудиту, указать, какие события этих файлов и папок должны регистрироваться, а также пользователей и группы, действия которых с этими объектами должны отслеживаться. Чтобы вызвать диалоговое окно Directory Auditing (Аудит каталога) или File Auditing (Аудит файла), щелкните правой кнопкой мыши папку или файл в Windows NT Explorer (Проводник), выберите из появившегося меню пункт Properties (Свойства), щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит).

В приведенной ниже таблице описаны параметры аудита папок. При настройке аудита файлов эти параметры не появляются на экране.

Таблица 3. Аудит папок

В следующей таблице описаны события, аудит которых возможен и для папок, и для файлов. 

Таблица 4. Аудит папок и файлов

План восстановления работы Домена после сбоя. Служба Active Directory (AD) недаром считается краеугольным камнем новых технологий, реализованных в Windows 2000. AD служит центральным хранилищем и точкой доступа к огромным объемам информации, поэтому безупречное состояние и постоянная готовность этой службы являются непременным условием бесперебойной работы сети. Если каталог AD выйдет из строя, то, скорее всего, от всей инфраструктуры служб IT не будет никакого толку. Отсюда вывод: тщательно продуманный план восстановления службы AD просто необходим.

Для успешного проведения операции восстановления нужно знать, какие именно данные следует копировать. Как известно, каталог AD хранится на контроллерах доменов сети, поэтому полное восстановление AD предполагает наличие полных резервных копий каждого контроллера домена. И уж во всяком случае для всех доменов леса нужно иметь резервные копии всех серверов глобальных каталогов (Global Catalog, GC) и всех контроллеров, отвечающих за исполнение операций (Operations Masters). В идеале требуется полное резервирование этих машин, однако нужно иметь в виду, что все данные, необходимые для резервирования каждого DC, содержатся на системном разделе диска и в сведениях о состоянии системы System State. Эта информация для контроллера домена включает данные AD, а также файлы для работы взаимодействующих с AD служб (например, файлы реестра, загрузочные файлы, файлы каталога Sysvol, базы данных службы сертификатов Certificate Services и службы Microsoft Cluster). Как известно, служба DNS имеет большое значение для функционирования AD, поэтому в данные состояния System State включаются только зоны, интегрированные с AD. Это одна из причин необходимости резервирования системного раздела, где и расположены стандартные зоны.

Подробный план восстановления данных после сбоя системы предусматривает не только меры по обеспечению резервного копирования, но и предоставление обновленных данных, которые позволяют контроллерам доменов выступать в роли серверов GC и Operations Masters. Каждый сервер GC содержит копию каждого объекта леса, и это обстоятельство обеспечивает возможность поиска по AD без обращения к контроллерам доменов в каждом домене. Определить, на каком контроллере домена хранится глобальный каталог, можно с помощью оснастки Active Directory Sites and Services консоли управления Microsoft Management Console (MMC). Активизировав консоль, нужно щелкнуть правой кнопкой мыши на объекте Ntds интересующего сервера и выбрать пункт Properties. Если данный сервер является сервером GC, в открывшемся диалоговом окне будет выставлен флажок Global Catalog.

Исполнители ролей Operations Masters — это контроллеры доменов, выполняющие в своих доменах или лесах особые задачи по обслуживанию важнейших функций AD, которые не используют применяемый в AD метод репликации с несколькими владельцами. К примеру, схема AD определяет, какие типы объектов могут создавать пользователи, а контроллер — исполнитель роли владельца схемы (Schema Master) — является единственным на весь лес контроллером домена, уполномоченным принимать изменения в схеме. Определить, какие контроллеры доменов выступают в качестве Operations Masters, можно с помощью оснастки Active Directory Users and Computers консоли MMC. Это касается контроллеров, исполняющих любые роли, кроме роли мастера схемы Schema Master; в этом случае следует обратиться к оснастке Schema Manager консоли MMC. Чтобы выяснить, какие контроллеры доменов играют роль Operations Masters, нужно запустить оснастку Active Directory Users and Computers, щелкнуть правой кнопкой мыши на имени домена в левой панели консоли и в контекстном меню выбрать пункт Operations Masters. Кроме того, можно использовать утилиту командной строки Ntdsutil.

Теперь, когда известно, какие именно данные требуется резервировать на контроллере домена и какие контроллеры доменов сети нужно резервировать в любом случае, можно переходить к выбору метода восстановления. В зависимости от ситуации восстановление службы AD и возвращение в строй отказавшего контроллера домена можно осуществлять с помощью повторной установки или восстановления с резервной копии непринудительным (nonauthoritative) или принудительным (authoritative) методом.

Восстановление AD посредством повторной установки

Если на одном из контроллеров домена сети нарушена целостность файлов или базы данных, для восстановления службы AD проще всего переустановить Windows 2000 и затем запустить мастер Active Directory Installation Wizard (DCPromo). В процессе выполнения DCPromo система связывается с другим контроллером в рамках того же домена и получает от него новейшую копию каталога AD.

Восстановление AD с помощью резервной копии

В некоторых случаях восстановление каталога службы AD с помощью повторной установки Windows 2000 вполне допустимо, но бывают ситуации, когда приходится прибегнуть к помощи резервных копий содержимого контроллера домена. К примеру, при работе с узлом, располагающим всего одним контроллером домена, и использовании глобальных каналов связи WAN передача данных в процессе репликации с помощью мастера DCPromo невозможна. Лучше всего, не прибегая к переустановке Windows 2000, восстановить AD с резервной копии. В этой ситуации следует выбрать непринудительный метод восстановления. Ну а при попытке восстановить информацию, которая была по ошибке удалена из AD (и, следовательно, не может быть извлечена из других контроллеров данного домена), придется выполнить принудительное восстановление каталога службы AD.

5. Задание № 5

Постановка задачи:

1. Определение физической и логической структуризации сети.
2. Коммуникационные устройства: концентратор, коммутатор, мост, маршрутизатор. Характеристики, достоинства и недостатки.
3. Установка и настройка концентратора.

Выполнение:

  Под физической топологией понимается конфигурация связей, образованных отдельными частями кабеля, а под логической – конфигурация информационных потоков между компьютерами сети. Во многих случаях физическая и логическая топологии совпадают, но есть примеры несовпадения физической и логической топологий. Например, концентратор Ethernet поддерживает в сети физическую топологию звезда, однако логическая топология – общая шина. Концентратор 100VG AnyLAN поддерживает в сети физическую топологию звезда, однако логическая топология – кольцо. Концентратор используется в сети для соединения различных сегментов кабеля с целью увеличения общей длины сети. Этот процесс называется физической структуризацией сети. Физическая структуризация сети необходима и полезна во многих  случаях, но в сетях больших и среднего размера необходима логическая структуризация сети.

   Сети, где все сегменты  рассматриваются в качестве одной  разделяемой среды, оказывается  неадекватной структуре информационных  потоков в большой сети. Например, в сети с общей шиной взаимодействие  любой  пары компьютеров занимает её на всё время обмена, поэтому при увеличении числа компьютеров шина становится узким местом. Компьютеры одного отдела на предприятии вынуждены ждать, когда кончит обмен пара компьютеров другого отдела, и это при том, что необходимость в связи между компьютерами разных отделов  возникает гораздо реже и требует небольшой пропускной способности. Решение проблемы состоит в отказе от идеи единой разделяемой среды. Это значит, что в сеть каждого из отделов должны попадать те и только те кадры, которые адресованы узлам этой сети. При такой организации сети её производительность существенно повысится, так как компьютеры одного отдела не будут простаивать в то время, когда обмениваются данными компьютеры других отделов. Такая организация сети называется логической структуризацией. Под логической структуризацией сети понимается разбиение общей разделяемой среды на логические сегменты, которые представляют самостоятельные разделяемые среды с меньшим количеством узлов. Взаимодействие между логическими сегментами организуется с помощью мостов, коммутаторов и маршрутизаторов. Перечисленные устройства передают кадры с одного своего порта на другой, анализируя адрес назначения, помещённый в этих кадрах. Мосты и коммутаторы выполняют операцию передачи кадров на основе плоских адресов канального уровня, т. е. МАС , а маршрутизаторы на основе номера сети. При этом единая разделяемая среда, созданная концентраторами (или в предельном случае – одним сегментом кабеля) делится на несколько частей, каждая из которых присоединена к порту моста, коммутатора или маршрутизатора. Логический сегмент представляет собой единую разделяемую среду.

   Каждый способ структуризации  – с помощью канального протокола  и с помощью сетевого протокола - имеет свои преимущества и недостатки. В современных сетях часто используют комбинированный способ логической структуризации – небольшие сегменты объединяются устройствами канального уровня  в более крупные подсети, которые в свою очередь, соединяются маршрутизаторами. 

Маршрутизаторы. Основная задача маршрутизатора - выбор наилучшего маршрута в сети - часто является достаточно сложной с математической точки зрения. Особенно интенсивных вычислений требуют протоколы, основанные на алгоритме состояния связей, вычисляющие оптимальный путь на графе, - OSPF, NLSP, IS-IS. Кроме этой основной функции в круг ответственности маршрутизатора входят и другие задачи, такие как буферизация, фильтрация и фрагментация перемещаемых пакетов. При этом очень важна производительность, с которой маршрутизатор выполняет эти задачи. Поэтому типичный маршрутизатор является мощным вычислительным устройством с одним или даже несколькими процессорами, часто специализированными или построенными на RISC-архитектуре, со сложным программным обеспечением. То есть сегодняшний маршрутизатор - это специализированный компьютер, имеющий скоростную внутреннюю шину или шины (с пропускной способностью 600-2000 Мбит/с), часто использующий симметричное или асимметричное мультипроцессирование и работающий под управлением специализированной операционной системы, относящейся к классу систем реального времени. Многие разработчики маршрутизаторов построили в свое время такие операционные системы на базе операционной системы Unix, естественно, значительно ее переработав.

Корпоративные модульные концентраторы. Большинство крупных фирм-производителей сетевого оборудования предлагает модульные концентраторы в качестве «коммутационного центра» корпоративной сети. Такие концентраторы отражают тенденцию перехода от полностью распределенных локальных сетей 70-х годов на коаксиальном кабеле к централизованным коммуникационным решениям, активно воздействующим на передачу пакетов между сегментами и сетями. Модульные корпоративные концентраторы представляют собой многофункциональные устройства, которые могут включать несколько десятков модулей различного назначения: повторителей разных технологий, коммутаторов, удаленных мостов, маршрутизаторов и т. п., которые объединены в одном устройстве с модулями-агентами протокола SNMP, и, следовательно, позволяют централизованно объединять, управлять и обслуживать большое количество устройств и сегментов, что очень удобно в сетях большого размера.

Модульный концентратор масштаба предприятия обычно обладает внутренней шиной или набором шин очень высокой производительности - до нескольких десятков гигабит в секунду, что позволяет реализовать одновременные соединения между модулями с высокой скоростью, гораздо большей, чем скорость внешних интерфейсов модулей. Основная идея разработчиков таких устройств заключается в создании программно настраиваемой конфигурации связей в сети, причем сами связи между устройствами и сегментами могут также поддерживаться с помощью различных методов: побитовой передачи данных повторителями, передачи кадров коммутаторами и передачи пакетов сетевых протоколов маршрутизаторами. Пример структуры корпоративного концентратора приведен на рис. 4.30. Он имеет несколько шин для образования независимых разделяемых сегментов Ethernet 10 Мбит/с, Token Ring и FDDI, а также высокоскоростную шину в 10 Гбит/с для передач кадров и пакетов между модулями коммутации и маршрутизации. Каждый из модулей имеет внешние интерфейсы для подключения конечных узлов и внешних коммуникационных устройств - повторителей, коммутаторов, а также несколько интерфейсов с внутренними шинами концентратора. Концентратор рассчитан на подключение конечных узлов в основном к внешним интерфейсам повторителей (для образования разделяемых сегментов) и коммутаторов (для поддержки микросегментации). Уже готовые сегменты, то есть образованные внешними повторителями и коммутаторами, могут подключаться к внешним интерфейсам коммутаторов и маршрутизаторов корпоративного концентратора. Дальнейшее соединение разделяемых сегментов и коммутируемых узлов и сегментов происходит модулями коммутации и маршрутизации концентратора по внутренним связям с помощью высокоскоростной шины. Конечно, модули могут связываться между собой и через внешние интерфейсы, но такой способ нерационален, так как скорость обмена ограничивается при этом скоростью протокола интерфейса, например 10 Мбит/с или 100 Мбит/с. Внутренняя же шина соединяет модули на гораздо более высокой скорости, примерно 10/N Гбит/с, где N - количество портов, одновременно требующих обмена. Внешние связи между модулями превращают корпоративный концентратор просто в стойку с установленными модулями, а внутренний обмен делает эту стойку единым устройством с общей системой программного управления трафиком. Обычно для конфигурирования модулей и связей между ними производители корпоративных концентраторов сопровождают их удобным программным обеспечением с графическим интерфейсом. Отдельный модуль управления выполняет общие для всего концентратора функции: управления по протоколу SNMP, согласование таблиц коммутации и маршрутизации в разных модулях, возможно использование этого модуля как межмодульной коммутационной фабрики вместо общей шины.