Работа в сетях Windows. Сетевые службы

Взаимодействие компьютеров между собой, а также с другим активным сетевым оборудованием, в TCP/IP-сетях организовано на основе использования сетевых служб, которые обеспечиваются специальными процессами сетевой операционной системы (ОС) - демонами в UNIX - подобных ОС, службами в ОС семейства Windows.

Специальные процессы операционной системы (демоны, службы) создают «слушающий» сокет и «привязывают» его к определённому порту (пассивное открытие соединения), обеспечивая тем самым возможность другим компьютерам обратиться к данной службе. Клиентская программа или процесс создаёт запрос на открытие сокета с указанием IP - адреса и порта сервера, в результате чего устанавливается соединение, позволяющее взаимодействовать двум компьютерам с использованием соответствующего сетевого протокола прикладного уровня.

Данная глава посвящена основным сетевым службам при работе в сетях Windows.

Служба DHCP

Протокол DHCP (англ. Dynamic Host Configuration Protocol) - протокол динамической конфигурации узла) - это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей TCP/IP. Стандарт протокола DHCP был принят в октябре 1993 года.

Компания Microsoft впервые включила сервер DHCP в поставку серверной версии Windows NT 3.5, выпущенной в 1994 году. Начиная с Windows 2000 Server реализация DHCP - сервера от Microsoft позволяет динамически обновлять записи DNS, что используется в Active Directory.

Internet Systems Consortium выпустил первую версию ISC DHCP Server (для Unix - подобных систем) 6 декабря 1997 года. 22 июня 1999 года вышла версия 2.0, более точно соответствующая стандарту.

Компания Cisco включила сервер DHCP в Cisco IOS 12.0 в феврале 1999 года. Компания Sun добавила DHCP - сервер в Solaris 8 в июле 2001 года.

В настоящее время существуют реализации сервера DHCP для ОС Windows в виде отдельных программ, в том числе открытых, позволяющих выполнять роль сервера DHCP компьютерам под управлением несерверных версий данной ОС.

Протокол DHCP является расширением протокола BOOTP, использовавшегося ранее для обеспечения бездисковых рабочих станций IP-адресами при их загрузке. DHCP сохраняет обратную совместимость с BOOTP.

Новая версия DHCP, предназначенная для использования в среде IPv6, носит название DHCPv6 и определена в RFC 3315 (июль 2003 года).

Протокол DHCP предоставляет три способа распределения IP-адресов:

· Ручное распределение. При этом способе сетевой администратор сопоставляет аппаратному адресу (для Ethernet сетей это MAC-адрес) каждого клиентского компьютера определённый IP - адрес. Фактически, данный способ распределения адресов отличается от ручной настройки каждого компьютера лишь тем, что сведения об адресах хранятся централизованно (на сервере DHCP), и потому их проще изменять при необходимости.

· Автоматическое распределение. При данном способе каждому компьютеру на постоянное использование выделяется произвольный свободный IP - адрес из определённого администратором диапазона.

· Динамическое распределение. Этот способ аналогичен автоматическому распределению, за исключением того, что адрес выдаётся компьютеру не на постоянное пользование, а на определённый срок. Это называется арендой адреса. По истечении срока аренды IP - адрес вновь считается свободным, и клиент обязан запросить новый.

Некоторые реализации службы DHCP способны автоматически обновлять записи DNS, соответствующие клиентским компьютерам, при выделении им новых адресов.

Служба DNS

Сетевая служба DNS (англ. Domain Name System) используется для преобразования символьных имён в IP-адреса, но также может выполнять и обратный процесс преобразования, работает на прикладном уровне модели OSI и использует для работы TCP- или UDP - порт 53 для ответов на запросы.

Работа службы регламентирована спецификациями RFC 1034, RFC 1035 / STD 13. Наиболее известные реализации данной службы - BIND, PowerDNS или Microsoft DNS Server.

В более широком понимании DNS можно рассматривать как распределённую систему для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу.

Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения - другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть доменного имени.

Начиная с 2010 года, в систему DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами.

Ключевыми понятиями DNS являются:

· Домен (англ. domain - область) - узел в дереве имён, вместе со всеми подчинёнными ему узлами (если таковые имеются), то есть именованная ветвь или поддерево в дереве имен. Структура доменного имени отражает порядок следования узлов в иерархии; доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости), корневым доменом всей системы является точка (.), ниже идут домены первого уровня (географические или тематические), затем - домены второго уровня, третьего и т. д. На практике точку в конце имени часто опускают, но она бывает важна в случаях разделения между относительными доменами и FQDN (англ. Fully Qualifed Domain Name, полностью определённое имя домена).

· Поддомен (англ. subdomain) - подчиненный домен. (rambler.ru поддомен домена ru, а mail.rambler.ru домена rambler.ru). Теоретически такое деление может достигать глубины 127 уровней, а каждая метка может содержать до 63 символов, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения. Например, если у вас есть домен вида mydomain.ru, вы можете создать для него различные поддомены вида mysite1.mydomain.ru, mysite2.mydomain.ru и т. д.

· Ресурсная запись - единица хранения и передачи информации в DNS. Каждая ресурсная запись имеет имя (то есть привязана к определенному Доменному имени, узлу в дереве имен), тип и поле данных, формат и содержание которого зависит от типа.

· Зона - часть дерева доменных имен (включая ресурсные записи), размещаемая как единое целое на некотором сервере доменных имен (DNS-сервере), а чаще - одновременно на нескольких серверах. Целью выделения части дерева в отдельную зону является передача ответственности за соответствующий Домен другому лицу или организации, так называемое Делегирование. Как связная часть дерева, зона внутри тоже представляет собой дерево. Если рассматривать пространство имен DNS как структуру из зон, а не отдельных узлов/имен, тоже получается дерево; оправданно говорить о родительских и дочерних зонах, о старших и подчиненных. На практике, большинство зон 0-го и 1-го уровня ('.', ru, com, …) состоят из единственного узла, которому непосредственно подчиняются дочерние зоны. В больших корпоративных доменах (2-го и более уровней) иногда встречается образование дополнительных подчиненных уровней без выделения их в дочерние зоны.

· Делегирование - операция передачи ответственности за часть дерева доменных имен другому лицу или организации. За счет делегирования в DNS обеспечивается распределенность администрирования и хранения. Технически делегирование выражается в выделении этой части дерева в отдельную зону, и размещении этой зоны на DNS-сервере, управляемом этим лицом или организацией. При этом в родительскую зону включаются «склеивающие» ресурсные записи (NS и А), содержащие указатели на DNS-сервера дочерней зоны, а вся остальная информация, относящаяся к дочерней зоне, хранится уже на DNS-серверах дочерней зоны.

· DNS-сервер - специализированное ПО для обслуживания DNS, а также компьютер, на котором это ПО выполняется. DNS-сервер может быть ответственным за некоторые зоны и/или может перенаправлять запросы вышестоящим серверам.

· DNS-клиент - специализированная библиотека (или программа) для работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента.

· Авторитетность (англ. authoritative) - признак размещения зоны на DNS - сервере. Ответы DNS - сервера могут быть двух типов: авторитетные (когда сервер заявляет, что сам отвечает за зону) и неавторитетные (англ. Non-authoritative), когда сервер обрабатывает запрос, и возвращает ответ других серверов. В некоторых случаях вместо передачи запроса дальше DNS - сервер может вернуть уже известное ему (по запросам ранее) значение (режим кеширования).

· DNS-запрос (англ. DNS query) - запрос от клиента (или сервера) серверу. Запрос может быть рекурсивным или нерекурсивным.

Система DNS содержит иерархию DNS-серверов, соответствующую иерархии зон. Каждая зона поддерживается как минимум одним авторитетным сервером DNS, на котором расположена информация о домене.

Имя и IP-адрес не тождественны - один IP - адрес может иметь множество имён, что позволяет поддерживать на одном компьютере множество веб - сайтов (это называется виртуальный хостинг). Обратное тоже справедливо - одному имени может быть сопоставлено множество IP - адресов: это позволяет создавать балансировку нагрузки.

Для повышения устойчивости системы используется множество серверов, содержащих идентичную информацию, а в протоколе есть средства, позволяющие поддерживать синхронность информации, расположенной на разных серверах. Существует 13 корневых серверов, их адреса практически не изменяются.

Традиционно запросы и ответы отправляются в виде одной UDP датаграммы. TCP используется для AXFR - запросов.

Служба WINS

Сетевая служба WINS (англ. Windows Internet Name Service) отвечает за сопоставление NetBIOS - имён компьютеров с IP - адресами узлов. Сервер WINS осуществляет регистрацию имён, выполнение запросов и освобождение имён. Использует 137 порт TCP и UDP.

В настоящее время существует два WINS сервера - один из них поставляется с операционной системой Microsoft Windows Server, второй включен в пакет Samba (также существует отдельный порт Samba4WINS).

Если в сети развернуты WINS-серверы, конечные пользователи могут обращаться к сетевым ресурсам, используя для этого имена вместо трудных для запоминания IP - адресов. Кроме того, программы и другие службы, установленные на компьютерах и других устройствах, могут выполнять запросы имен к WINS-серверу для разрешения (конвертации) имен в IP - адреса.

Служба WINS предоставляет ряд преимуществ администраторам сетей TCP/IP, среди которых:

· динамическая база данных сопоставлений имен и адресов, обеспечивающая поддержку регистрации и разрешения имен компьютеров;

· централизованное управление базой данных сопоставлений имен и адресов, благодаря которому сокращается объем операций, связанных с управлением файлами Lmhosts;

· уменьшение широковещательного трафика NetBIOS в подсетях за счет того, что клиенты, запрашивающие WINS - серверы, могут непосредственно искать удаленные системы;

· поддержка клиентов, использующих ранние версии Microsoft Windows и NetBIOS, в сети, разрешая им просматривать списки удаленных доменов Windows независимо от наличия локальных контроллеров доменов в каждой подсети;

· поддержка DNS - клиентов, позволяя им находить ресурсы NetBIOS, если реализована интеграция просмотра WINS.

Разрешение имен для WINS - клиентов является расширением аналогичного процесса разрешения имен, который используется всеми клиентами службы Microsoft NetBIOS через TCP/IP (NetBT) в сети, запрашивающими разрешение NetBIOS - имен. Действительный способ разрешения имен прозрачен для пользователя.

Основными компонентами сети WINS являются WINS - серверы и WINS - клиенты. В некоторых конфигурациях также используются посредники - WINS - прокси.

WINS - сервер обрабатывает запросы на регистрацию имен, поступающие от WINS - клиентов, регистрирует их имена и IP-адреса и отвечает на запросы разрешения NetBIOS-имен от клиентов, возвращая IP - адрес по имени, если это имя находится в базе данных сервера.

WINS - серверы можно также настроить для репликации содержимого их баз данных (в которых хранятся сопоставления NetBIOS - имен компьютеров с IP - адресами) на другие WINS - серверы. При запуске WINS-клиента в сети, например рабочей станции, его имя и IP-адрес отправляются в запросе на регистрацию непосредственно к основному WINS-серверу, настроенному для этого клиента. Поскольку именно этот сервер регистрирует клиентов, его называют владельцем записей о клиентах в базе данных.

В базе данных WINS хранятся сопоставления NetBIOS-имен и IP - адресов компьютеров сети. Если для WINS - сервера настроен партнер репликации, содержимое базы данных на локальном сервере реплицируется (принудительно отправляется) на сервер партнера репликации. Если партнеры репликации настроены как «запрашивающие» партнеры, записи удаленного WINS - сервера копируются в локальную базу данных. Интервалы репликации настраиваются в консоли управления (MMC) с помощью оснастки WINS, которая также называется консолью WINS. Кроме того, консоль WINS предоставляет средства, необходимые для управления, просмотра, резервного копирования и восстановления базы данных WINS-сервера.

WINS - клиенты регистрируют свои имена на WINS - сервере, когда они запускаются или подключаются к сети. Затем клиенты делают запрос к WINS - серверу для разрешения в адреса удаленных имен, когда это необходимо.

Клиентами, поддерживающими службу WINS, являются компьютеры, которые могут быть настроены на непосредственное использование WINS-сервера. Большинство WINS - клиентов обычно имеют несколько NetBIOS - имен, которые они должны зарегистрировать для использования в сети.

WINS - прокси представляет собой компьютер WINS-клиента, настроенный на работу от имени других компьютеров, которые не могут использовать службу WINS непосредственно. WINS - прокси помогает в разрешении NetBIOS - имен компьютерам, расположенным в маршрутизируемых сетях TCP/IP.

По умолчанию большинство компьютеров, которые не могут использовать службу WINS, применяют широковещательную рассылку для разрешения NetBIOS-имен и регистрируют свои NetBIOS-имена в сети. WINS - прокси может быть настроен на прослушивание от имени этих компьютеров и на запрос у WINS-сервера имен, не разрешенных широковещательной рассылкой.