Система доменных имен. DNS-серверы.

Адресация IP-пакетов используется на сетевом уровне и транспортных уровнях. Для использования на верхних уровнях она не удобна – конечному пользователю, желающему связаться с каким-либо узлом сети, пользоваться последовательностью четырех чисел затруднительно. Для работы на высших уровнях принята символьная адресация, построенная по иерархическому доменному принципу DNS (Domain Name System). Этот принцип рассмотрим на конкретном примере – адресе Web-сервера ЦНИИ РТК www.rtc.neva.ru. Этот адрес состоит из четырех элементов, разделенных точками. Крайний справа элемент «ru» - имя домена верхнего уровня, которое известно во всей глобальной сети Интернет. Имя домена верхнего уровня определяется по территориальному или организационному принципу. Имя домена верхнего уровня регистрируется в организации Internet NIC (http://www.internic.net). Каждый домен верхнего уровня может содержать произвольное число узлов и дочерних доменов, каждый из узлов и доменов имеет свое символическое имя, присоединяемое слева через точку к имени родительского домена. В данном случае в домене «ru» (Россия) имеется домен «neva» (в городе на Неве), в котором зарегистрирован домен rtc (сокращенное имя института). И, наконец, в домене rtc.neva.ru имеется узел с именем «www». В каждом домене имеется сервер, который хранит таблицу соответствия символических имен и IP-адресов его узлов и дочерних доменов, в ней же присутствует и запись, относящаяся к родительскому домену. По этой иерархической системе каждый узел может получить информацию об IP-адресе любого узла сети, обращаясь последовательно ко всем DNS-серверам вверх по иерархии, доходя до точки, общей для этих узлов, и спускаясь до домена, содержащего искомый узел. Обратная задача – определение символьного имени по IP-адресу – не всегда имеет однозначное решение, поскольку один и тот же узел (IP-адрес) и даже домен могут иметь несколько псевдонимов (aliases), зарегистрированных даже в разных доменах. Кроме того, применяется и кэширование – хранение записей не только своего домена, но и наиболее используемых записей чужих доменов. Как и при всяком кэшировании, здесь необходимо следить за тем, чтобы изменения в кэшируемых базах данных своевременно отражалась в кэше.

Стек протоколов Novell NetWare

Для обеспечения транспортных услуг операционных систем Novell NetWare фирмой Novell был создан собственный стек протоколов, получивший название по протоколу Сетевого уровня – IPX. По аналогии с TCP/IP этот стек еще называют IPX/SPX. Вторая часть – это протокол Транспортного уровня SPX (последовательный обмен пакетами).

В некоторых аспектах протоколы IPX/SPX похожи на TCP/IP. На Сетевом уровне оба стека используют ненадежные протоколы без установления соединения. Подобно IP, IPX отвечает за адресацию дейтаграмм и их маршрутизацию до места назначения.

Протоколы Канального уровня

Стек протоколов NetWare не имеет собственных протоколов Канального уровня. В большинстве сетей стек IPX работает поверх Ethernet или Token Ring. Единственный необычный аспект конфигурирования серверов NetWare заключается в том, что необходимо указать тип (или типы) кадров для каждой сети. NetWare поддерживает 4 типа кадров Ethernet. Они отличаются особенностями формата, и IPX может использовать любой из них. Однако выбор определенного типа может повлиять на возможность поддержки сетью других стеков протоколов (например, TCP/IP). Возможные типы кадров Ethernet:

• Ethernet_802.3. Этот формат еще известен как “сырой» Ethernet (“raw Ethernet”), он является типом кадра по умолчанию для NetWare до версии 3.11. Такой тип кадра может использоваться только в тех сетях, где на Сетевом уровне работает единственный протокол – IPX.
• Ethernet_802.2. Этот кадр тоже не дает возможности идентифицировать протокол Сетевого уровня, он тоже не имеет поля Ethertype. Такой тип кадра может использоваться только в тех сетях, где на Сетевом уровне работает единственный протокол – IPX.
• Ethernet_II, Ethernet_SNAP. Эти типы кадров идентифицируют протокол Сетевого уровня, и могут работать с другими стеками протоколов, кроме IPX.

Чтобы не иметь проблем в сети NetWare, нужно, чтобы все серверы и рабочие станции использовали одинаковый тип кадра Ethernet.

Протокол IPX

IPX обеспечивает транспортные услуги без установления соединения, подобно протоколу IP. Заголовок IPX-пакета имеет длину 30 байтов (IP-пакета – 20 байтов). Формат IPX пакета:

Контрольная сумма Checksum	Длина Length
Управление доставкой	Тип пакета	Адрес сети назначения
Адрес сети назначения (продолжение)	Адрес узла назначения
Адрес узла назначения (продолжение)
Сокет назначение	Адрес сети источника
Адрес сети источника (продолжение)	Адрес узла источника
Адрес узла источника (продолжение)
Сокет источника	Начались данные …

Длина – размер пакета в байтах

Управление доставкой – счетчик транзитов, количество маршрутизаторов, которые прошла дейтаграмма на пути к месту назначения. Передающая система устанавливает его в нуль, а каждый маршрутизатор при обработке увеличивает на 1. Как только это количество увеличится до 16, последний маршрутизатор уничтожает пакет.

Тип пакета – идентифицирует сервис или протокол верхнего уровня, который создал данные, переносимые дейтаграммой.

Адрес сети назначения – 4 байта, содержит значение, выделенное администратором или ОС при инсталляции NetWare.

Адрес узла назначения – аппаратный адрес компьютера, которому предназначен пакет.

Сокет назначения – идентификатор процесса, которому предназначены данные. Используются следующие значения:

• 0451 – NetWare Core Protocol (NCP, основной протокол NetWare)
• 0456 – диагностический пакет
• 4000-6000 – сокеты, отведенные процессам сервера
• 9000 – NetWare Link Services Protocol

Для источника те же поля: адрес сети, адрес узла, сокет.

Протокол SPX

SPX (Sequenced Packet eXchange) – последовательный обмен пакетами. Этот протокол работает на Транспортном уровне и обеспечивает надежность передачи данных. SPX – протокол с установлением соединения, похожий на TCP в стеке TCP/IP. Однако системы NetWare используют его гораздо реже, чем системы TCP/IP – протокол TCP. Это происходит потому, что типичные процессы доступа к файлам в NetWare используют протокол NCP, который и отвечает за большую часть трафика. SPX применяется только для задач, которые связаны конкретно с его услугами: обменом данными между серверами печати, очередями печати и принтерами, сеансы удаленного управления и сетевое резервное копирование.

Протокол NCP

NCP (NetWare Core Protocol) – основной протокол NetWare. Он отвечает за проводку большей части сетевого трафика между клиентами и серверами. Все запросы к сетевым файлам выполняются с помощью NCP. С помощью NCP серверы передают файлы клиентам. NCP применяет подтверждение прихода каждого пакета данных.

Обмен сообщениями NCP строится по схеме запрос/ответ. Сервер генерирует сообщение-ответ на каждый запрос клиента. Формат запросов и ответов разный.

Протокол NCPB

NCPB (NetWare Core Packet Burst) – основной протокол пакетной передачи NetWare. Этот протокол позволяет пересылать несколько пакетов данных с одним общим подтверждением (пакетная передача). Протокол NCP требует ответа на каждый запрос, и когда передаются большие файлы, это создает избыточное количество запросов (следовательно, и избыточный трафик). Протокол NCPB позволяет передавать до 64 Кбайт данных с одним подтверждением.

Протокол SAP

SAP (Service Advertising Protocol) – протокол извещения об услугах. Применяется системами NetWare для составления и поддержания списка файловых серверов, серверов печати, маршрутизаторов. При помощи SAP серверы сообщают другим системам в сети о своем присутствии. Клиент NetWare, прежде чем отправлять свои запросы к серверам, должен узнать об их существовании из сообщений SAP.

Каждый сервер посылает широковещательные сообщения SAP каждые 60 сек (интервал по умолчанию). Эти сообщения содержат имя сервера, его адрес и описание его услуг. Другие системы при получении такого сообщения создают временную запись в своей базе данных ресурсов сети (bindery).

Домены Windows NT

Домен (domain) Windows NT – это просто группа компьютеров в сети, использующих общую модель безопасности и единую базу данных учетных записей в системе защиты. Эта база данных называется SAM (Security Account Manager), и содержит информацию о всех пользователях и группах домена. Эта база данных находится на одной или нескольких системах, называющихся контроллерами домена (domain controllers).

Контроллеры домена

Основа любого домена – контроллер домена. Контроллер домена – это компьютер с ОС Windows NT Server, который был назначен контроллером еще на этапе инсталляции ОС. Если ОС уже установлена, ни отменить назначение контроллером, ни назначить им уже невозможно. Для этого нужно переустановить операционную систему.

Замечание. В ОС Windows 2000 система Active Directory позволяет в любой момент перевести сервер в контроллер домена и обратно.

Домен Windows NT может иметь два вида контроллеров: основные и резервные. В структуру каждого домена обязан входить один (и только один) основной контроллер домена (PDC, Primary Domain Controller). Этот контроллер ведет базу данных SAM – информацию о пользователях, группах и паролях. Все вносимые изменения отражаются именно в базе SAM основного контроллера.

Резервный контроллер домена (BDC, Backup Domain Controller) – функционирует в качестве резерва на случай отказа основного контроллера. Если основной контроллер станет недоступным, резервный контроллер назначают основным с помощью утилиты Windows NT Server Manager. Бывший основной контроллер переводится при этом в состояние резервного. Домен может иметь любое количество резервных контроллеров домена или не иметь ни одного, но рекомендуется иметь хотя бы один.

Доверительные отношения

Поскольку система доменов не может быть иерархической, в больших сетях приходится создавать несколько доменов. Пользователи одного домена не могут обращаться к ресурсом другого домена. Эта возможность возникает только при установлении доверительных отношений (trust relationship) между доменами.

Если домен А доверяет домену В, то пользователи, подключившиеся к А, могут получить также доступ к ресурсам домена В. Но это не означает, что пользователи домена В получают доступ к ресурсам домена А. Доверительные отношения действуют только в одну сторону. Чтобы два домена взаимно доверяли друг другу, их администраторы должны установить доверительные отношения в обоих направлениях.

Для создания доверительных отношений между доменами нужно использовать утилиту User Manager for Domains, и выбрать пункт Trust Relationships (Доверительные отношения) из меню Policies (Политики).

Служба Active Directory

Служба каталогов, основанная на доменах, не может применяться для корпоративных сетей большого размера. Взаимодействие между доменами в такой системе ограничено доверительными отношениями, которые устанавливает администратор.

Более совершенная служба каталогов реализована в системах Windows, начиная с Windows 2000: это Active Directory (AD). Active Directory – это объектно-ориентированная иерархическая распределенная служба каталогов, имеющая собственную базу данных об оборудовании, программном обеспечении и пользователях корпоративной сети. Она основана на стандарте Х.500, и во многом похожа на службу каталогов фирмы Novell (NetWare Directory Services, NDS).