Олизарович Евгений Владимирович ИПКиПК ГрГУ им. Я.Купалы. 2012-2013 Компьютерные сети Организация корпоративных сетей. Домены Active Directory. Обзор. - презентация

1 Олизарович Евгений Владимирович ИПКиПК ГрГУ им. Я.Купалы Компьютерные сети Организация корпоративных сетей. Домены Active Directory. Обзор.

2 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

3 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

4 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

5 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 LAN

6 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Согласование адресных пространств. Обеспечение безопасности. Оптимизация потоков и контроль доступа. >>>>>>>> Межсетевой экран (firewall, брандмауэр) NAT proxy Подключение локальных сетей к Интернет

7 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

8 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Настройка хоста для работы в Интернет: IP – адрес (маска), IP - адрес шлюза, IP – адрес сервера DNS, IP – адрес прокси-сервера.

9 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

10 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 DSL маршрутизатор/мост RJ45 Wi-Fi тел DNS FW NAT

11 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ИНТЕРНЕТ (INTERNET) – открытая сеть ИНТРАНЕТ (INTRANET) – закрытая корпоративная сеть ЭКСТРАНЕТ (EXTRANET) – корпоративная сеть с удаленными пользователями и сетями партнеров

12 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

13 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Прикладные сервисы

14 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Адрес web-страницы (URL): Доменное имя сайта – mysite.by d:\mysite\index.html или d:\WWWRoot\index.html

15 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 FTP HTTP Сеть Microsoft SQL USB Flash Способы редактирования содержимого (контента) web-сайта Web – сервер – IP- адрес Web-сайт - URI

16 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Электронная почта

17 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Службы организации корпоративных сетей. Домен Active Directory.

18 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

19 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

20 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ДОСТУП К РЕСУРСАМ СЕРВЕРА

21 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Сетевые клиенты

22 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Обращение к хосту Обращение к файлу NetBIOS – имяPC1 DNS – имя pc1.grsu.by IP-адрес UNC \\Server\disk_d\folder\file.txt \\PC1\disk_d\folder\file.txt \\pc1.grsu.by\disk_d\folder\file.txt \\ \disk_d\folder\file.txt URIsmb:// /disk_d/folder/file.txt ftp:// /disk_d/folder/file.txt UNCW\\serverNW\disk_d:folder\file.txt

23 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Доступ к файлам и данным. Права доступа. 1. Приложения. 2. Сетевая подсистема. 3. Файловая система. Сетевое приложение ААА Аутентификация Авторизация Аудит

24 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 MS (NW) RЧтение WЗапись XВыполнение D (E)Удаление P (A) Изменение разрешений O Принятие статуса владельца A (S)Все права L (F)Просмотр каталога No AccessНет доступа Сочетание прав. · LR пользователь может просматривать каталоги и имена файлов в каталогах. · RX пользователь может читать файлы из каталога и запускать программы. · WX пользователь может добавлять файлы в каталог, но не читать или просматривать содержимое каталога. · RWX пользователь имеет права на чтение и добавление данных. · RWXD пользователь имеет право читать, добавлять, менять содержимое каталога и удалять файлы. · RWXDPO пользователь обладает всеми правами доступа.

25 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Учетные записи

26 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Учетные записи

27 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 PC1PC2PC3PC4 SAM PC1: USER_1 USER_2 … USER_N SAM PC2: USER_1 USER_2 … USER_N SAM PC3: USER_1 USER_2 … USER_N SAM PC4: USER_1 USER_2 … USER_N Локальные учетные записи ACL PC1: D:\ USER_1 R C:\ USER_2 RW ACL PC2: D:\ USER_1 R C:\ USER_2 RW ACL PC3: D:\ USER_1 R C:\ USER_2 RW ACL PC4: D:\ USER_1 R C:\ USER_2 RW Списки прав доступа

28 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ServerPC1PC2PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1: Administrator Локальные учетные записи ACL PC1: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Списки прав доступа SAM PC1: Administrator SAM PC1: Administrator ACL PC3: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW ACL PC2: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW

29 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Установка прав доступа к файлам Установка прав сетевого доступа

30 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Наследование правРезультирующие права

31 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 УПРАВЛЕНИЕ РЕСУРСАМИ КОРПОРАТИВНОЙ СЕТИ

32 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ServerPC1PC2PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1: Administrator Локальные учетные записи ACL PC1: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Списки прав доступа SAM PC1: Administrator SAM PC1: Administrator ACL PC3: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW ACL PC2: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW

33 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Большая компьютерная сеть нуждается в централизованном хранении как можно более полной справочной (технической) информации: о пользователях сети (именах для входа в систему, паролях, правах доступа к ресурсам и т.д.); о компонентах сети (серверах, клиентских компьютерах, маршрутизаторах, шлюзах и т.д.); о ресурсах сети (томах файловых систем, принтерах и др.)

34 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Инфраструктура сети Каталог Active Directory

35 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 В сетевых операционных системах для хранения упорядоченной справочной информации используется централизованная база справочной информации – служба каталогов (Directory Services). Стандарты служб каталогов: OSI X.500, DAP (Directory Access Protocol), LDAP Служба каталогов обычно строится на основе модели клиент-сервер: серверы хранят базу справочной информации. клиенты используют эту информацию.

36 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Наибольшее распространение получили каталоги: служба Active Directory для Windows; служба NDS компании Novell.

37 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Домен Windows - группа компьютеров, пользователей и ресурсов, образующих общую область администрирования и управляемых как одно целое

38 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

39 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Active Directory (AD) Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003, Windows Server 2008, Windows Server AD - база данных LDAP

40 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

41 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 функции контроллеров доменов: Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену. Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. *** Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. *** Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость.

42 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Рисунок 1. Типичная структура домена AD. Рисунок 2. Дерево доменов AD. Рисунок 3. Лес доменов AD. Active Directory

43 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 База данных Active Directory содержит следующие структурные объекты: Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена (оптимально иметь два или более). Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса. Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена, могут использовать существующее пространство имен Active Directory совместно или иметь отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена, нужно создать новое дерево домена. Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory. Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они обеспечивают соединение между логическими компонентами Active Directory и физической сетевой инфраструктурой. Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory).

44 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Доменный компонент (DC - Domain Component). Используется для определения компонента DNS-имени объекта Active Directory. Организационная единица (OU). Организационная единица. Общее имя (CN - Common Name). Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.

45 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Имена объектов каталогов: DN (Distinguished Name, уникальное имя): = DC (компонент домена) + OU (организационный модуль) + CN (общее имя) Примеры: DC=grsu OU=main CN=users CN=Sidorov LDAP://cn=Sidorov, cn=users, ou=main, dc=grsu

46 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

47 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Протоколы аутентификации в AD NT LAN Manager (NTLM) Kerberos v.5

48 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 %systemroot%\NTDS\NTDS.DIT

49 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Локальные политики (secpol.msc) Групповые политики (gpedit.msc)

50 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Управление на основе групповых политик (GPO)

51 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Default Domain Policy (Заданная по умолчанию политика домена) Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена) Виды групповых политик и порядок их применения 1. Local group policy (Локальная групповая политика). 2. Site-level group policies (Групповые политики уровня сайта). Групповые политики, связанные с объектом сайта в Active Directory. 3. Domain-level group policies (Групповые политики уровня домена). Групповые политики, связанные с объектом домена в Active Directory. 4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем OU низшего уровня. GPResult.msc

52 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 gpedit.msc

53 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 GPEdit.msc GPUpdate.msc GPResult.msc Инструменты управления групповой политикой

54 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Сетевое управление программным обеспечением рабочих станций Групповые политики Microsoft Systems Management Server (SMS) Software Update Service (SUS) LANDesk Intel и др. wake-on-LAN

55 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Программирование Active Ditectory VB/VBScript, JScript, C/C++ интерфейсы службы Active Directory (ADSI); интерфейсы MAPI; интерфейс программирования LDAP API. класс DirectoryEntry

56 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Adsiedit.msc Ldp.exe Domain.msc Dsa.msc Active Directory Web Services (ADWS) Инструменты управления каталогом

57 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

58 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Инфраструктура

59 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

60 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

61 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ЦЕНТР ОБРАБОТКИ ДАННЫХ (ЦОД)

62 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Требования к серверной платформе: производительность компонентов конфигурация системы надежность узлов отказоустойчивость подсистем удаленное управление

63 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Intel: 8088, 8086, i286, i386, i486, Pentium, Pentium II, Pentium III, Celeron, Pentium 4, Core 2 Duo, Core 2 Quad, Core i3, Core i5, Core i7, Xeon (5520, 5530, 5540, X серия процессоров для серверов), Itanium, Atom (серия процессоров для встраиваемой техники). AMD: x86, K6, K7 (Athlon, Duron, Sempron) x86-64 (Athlon 64, Athlon 64 X2, Phenom, Opteron и др.). IBM: POWER6, POWER7, Xenon, PowerPC (суперкомпьютерaы, видеоприставки, встраиваемая техника; Apple. На рынке микропроцессоров для ПК, ноутбуков и серверов доля корпорации Intel составляет около 80 %, доля AMD около 20 %.

64 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 СЕТЕВЫЕ ДИСКОВЫЕ МАССИВЫ

65 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

66 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

67 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 blade-сервер

68 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Top500 – 11/2011 United States (Academic -22, Industry -169, Research -60, др. - 12) China -74 (Academic -3, Industry -64, Research -7) Japan -30 (Academic -8, Industry -13, Research -9|top) United Kingdom – 27 (Academic -2, Industry -10, Research -9, др. - 6) France -23 (Academic -3, Industry -9, Research -7, др. -4) Germany -20 (Academic -8, Industry -6, Research -6) Canada -9 (Academic -6, Research -3) Poland -6 (Academic -4, Industry -1, Research -1) Russia -5 (Academic -3, Industry -1, Research -1) Australia -4, Austria -2, Belgium - 1, Brazil - 2, Denmark -2, Finland -1, India -2, Ireland -3, Israel -3, Italy -4, Korea South – 3, Saudi Arabia -3, Singapore -1, South Africa -1, Spain -3, Sweden -3, Switzerland -3, Taiwan TFlops – 10,5 PFlops Высокопроизводительные вычисления (HPC)

69 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

70 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

71 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Облачные технологии SaaS (Software as a Service) – программное обеспечение как услуга IaaS (Infrastructure as a Service) – инфраструктура как услуга PaaS (Platform as a Service) – платформа как услуга управление

72 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

73 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Обеспечение доступности (availability) - авторизованные пользователи всегда должны иметь доступ к необходимой информации. (технические и организационные меры) Обеспечение конфиденциальности (confidentiality) - система должна обеспечивать доступ к данным только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). (шифрование данных и каналов) Обеспечение целостности (integrity) - подразумевает, что неавторизованные пользователи не могут каким- либо образом модифицировать данные. (контрольная сумма, CRC, хэш-функции, ЭЦП) Безопасность

74 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Безопасность

75 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Мониторинг Анализ Прогнозирование УПРАВЛЕНИЕ ДИАГНОСТИКА Диагностика Для выяснения причин неудовлетворительной работы прикладного ПО необходимо проводить комплексную диагностику сети.

76 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Линии и каналы передачи данных Сетевое оборудование Серверы, приложения, пользователи Объекты диагностики

77 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Информационно-коммуникационная система (http, ftp, smtp ) Телекоммуникационная система (Ethernet, ip, tcp) ИНФОРМАЦИЯ (web, сообщение, …) Информационно-коммуникационные системы УПОРЯДОЧЕННАЯ ИНФОРМАЦИЯ (web 2.0, соц. сети, протоколы «facebook», «wiki» ) ИНФОРМАЦИЯ (знания, …)

78 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Разработка сети

79 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ОБЗОР

80 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Компьютерная система – это система, объединяющая компьютеры и периферийное оборудование (принтеры, сканеры, маршрутизаторы и т.д.) в единую инфраструктуру.

81 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Компьютерная система (computer system) – это система, в которой часть функций реализована с использованием средств вычислительной (микропроцессорной) техники.

82 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ХОСТ –устройство (компьютер), подключенное к сети. СЕРВЕР – компьютер (хост), предоставляющий свои ресурсы другим компьютерам. КЛИЕНТ - компьютер (хост), использующий ресурсы, предоставляемые другими компьютерами (серверами). ответ запрос

83 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

84 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Виды адресации в компьютерных сетях: Аппаратный/физический адрес (МАС) – определяет направление передачи между устройствами, на канальном уровне. (00:14:A5:6D:38:46 ) (Сетевой адаптер, ОС, RAS) Сетевой адрес (IP, IPX) – определяет направление передачи между хостами и сетями, на сетевом уровне. ( ) (ОС, DHCP) Сокет (комбинация TCP порта и IP-адреса) – определяет уникальный адрес прикладной программы (клиент или сервер). ( :80 ). (ОС, rfc) Символьное имя (DNS, URI) – определяет удобное для человека именование сетевых устройств (pc.domen.com ), сервисов и ресурсов ( ) на прикладном уровне. (ОС, DNS)

85 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013

86 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Коммутация пакетов

87 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Структура пакета Заголовки информационных уровней

88 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Мультисервисная сеть

89 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 ЛВС

90 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 Кабельная подсистема ЛВС

91 Компьютерные сети ИПКиПК ГрГУ им. Я.Купалы 2012/2013 УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ Раздел XII ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Глава 31 ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Статья 349. Несанкционированный доступ к компьютерной информации. Статья 350. Модификация компьютерной информации. Статья 351. Компьютерный саботаж. Статья 352. Неправомерное завладение компьютерной информацией. Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети. Статья 354. Разработка, использование либо распространение вредоносных программ. Статья 355. Нарушение правил эксплуатации компьютерной системы или сети. Эксплуатация компьютерных систем

92 Олизарович Евгений Владимирович ИПКиПК ГрГУ им. Я.Купалы Компьютерные сети