Administrarea Reţelelor de Calculatoare

CAPITOLUL 1
Introducere n managementul reelelor digitale integrate de

comunicaii i calculatoare
Tema are ca scop cunoaterea unor noiuni i concepte de baz
privind administrarea reelelor de comunicaii i calculatoare.
Sunt definite conceptele de administrare a reelelor, obiectivele
administrrii, factorii implicai n administrare, domeniile
funcionale acoperite de administare.
Dup parcurgerea i nsuirea acestei teme, studentul va cunoate:
Ce reprezint activitatea de administrare a reelelor
Ce funcii asigur activitatea de administrare de reea
Care este structura ierarhic a sistemului de management
Detalii referitoare la coninutul domeniilor de management
- Managementul configurrii
- Managementul defectelor
- Managementul performanelor
- Managementul securitii
Cuprins
1.1 Ce este managementul reelelor?
1.2 Structurarea ierarhic a sistemului de management
1.3 Ariile funcionale ale managementului reelelor de telecomunicaii
1.4 Rezumat
Cuvinte cheie: management de reea, arie de management, serviciu de reea,
element de reea, planificare, configurare, defectare, trestare, monitorizare, alarm,
sistem de operare, aplicaie de management
Bibliografie
[1] Vonica Ion- Managementul reelelor integrate de telecomunicaii, Tez de doctorat,
UPB, Bucureti, 2002
[4] Parker T., Sportak - M. TCP/IP, Editura Teora, Bucuresti, 2002
[5] Praoveanu I. Reele de calculatoare, Editura Univ. T. Maiorescu, Bucureti, 2009
[6] Cisco Systems CCNA2: Routers and Router Basics v3.1, 2005
1
[7] Halsall F. Data Communications, Computer Networks and Open Systems, Fourth
Edition, Addison-Wesley, 1996
[8] Mayers M. - Manual Network. Administrarea i depanarea reelelor, Editura Rosetti
Educational, Bucureti, 2006
Materialul trebuie parcurs n ordinea sa fireasc prezentat n continuare,

inclusiv n poriunea referitoare la aplicaii. Se recomand conspectarea i notarea
ideilor principale i consultarea Internetului pentru detalii i informaii suplimentare.
Timpul minim pe care trebuie s-l acordai acestui modul este de 3 ore.
1.1 Ce este managementul reelelor?

Activitile de management al reelelor presupun desfurarea i
coordonarea resurselor acestora n vederea planificrii, operrii,
administrrii, analizrii, evalurii, proiectrii i extinderii reelelor,
astfel nct s fie asigurate permanent serviciile propuse, cu un cost
rezonabil i la o capacitate optim.
Ce face managementul de reea?
asigurarea permanent a serviciilor oferite utilizatorului final
capabilitatea de a ocoli sau nlocui automat elementele de reea defecte.
capabilitatea reelei de a fi operaional chiar dac o parte important a
resurselor acesteia se defecteaz
capabilitatea de a monitoriza i diagnostica permanent condiiile funcionale
i operaionale la nivelul ntregii reele
analiza n timp real a performanelor reelei,
asigurarea unei interfee cu utilizatorul n timp real,
furnizarea unei puternice baze de date pentru managementul reelei,
pstrarea n baza de date a istoricului funcional al reelei i a statisticilor
efectuate automat n timpul funcionrii.
asigurarea unui timp de rspuns mic la schimbrile survenite n aplicaii, n
configuraia abonailor, a dispozitivelor, n politica de tarifare i de servicii;
2
scalabilitatea i reconfigurarea dinamic a capacitilor reelei pe baza

utilizrii intensive a tehnicilor de management al lrgimii de band;
asigurarea securitii datelor, aplicaiilor, utilizatorilor la nivelul ntregii
reele,
integrarea managementului de reea
respectarea standardelor internaional acceptate;
Principalii factori care contribuie la ndeplinirea obiectivelor enunate sunt:
resursele umane implicate
instrumentele hardware i software folosite
procesele
managementului
procedurile
care
stabilesc
modul
de
realizare
1.2 Structurarea ierarhic a sistemului de management

Manager
de reea
Nivelul 3
Nivelul 2
Nivelul 1
Integrator al sistemelor de
management
Sisteme de management ale
elementelor de reea
Elemente de reea
Fig. 1.1 Organizarea ierarhic a managementului de reea
Elemente de reea trebuie s aib implementate capabiliti utile

managementului de reea, cum ar fi, de exemplu, furnizarea de informaii privitoare
la propria lor stare sau propriile lor performane.
Pentru aceasta, sunt necesare dispozitive de monitorizare incluse n acestea,

capabile s genereze automat sau la cerere anumite informaii, ca de exemplu:
rapoarte, avertizri sau alarme.
n cele mai multe cazuri, mai ales la noile generaii de elemente de reea, acestea
sunt prevzute cu asemenea faciliti.
Nivelul
serviciilor
Utilizarea
resurselor
Rapoarte
serviciu
Nivelul
convenit al
serviciilor
BDC
BDP
BD cu configuraia
reelei
Rapoarte
defectri
Rapoarte de
tarifare
OBS: n cazul absenei acestora, pot fi ataate dispozitive externe de monitorizare,

capabile s realizeze funcii de mamagement.
Capaciti de proiectare
i configurare a reelei
Sistem integrator de management (OS)
BD
BD
SMER
SMER
SMER
BD
BD cu performanele
reelei
Comenzi
Rapoarte
ER
ER
ER
SMER
BDC
BDP
ER
ER
ER
ER
Reea de comunicaii i calculatoare
ER
Element de Reea
Sistem de Management al Elementelor de Reea
Baz de Date a Configurrilor
Baz de Date a Performanelor
Fig. 1.2 Elemente ale sistemului de managementului de reea
Al doilea nivel, poziionat ierarhic imediat deasupra nivelului elementelor de

reea, este nivelul sistemelor de management ale elementelor de reea.
Aceste sisteme sunt un complex de hardware i software care pot fi localizate fie
n elementul de reea nsui, fie n procesoare dedicate sau n nodurile reelei.
Este important s se asigure un mod de comunicaie bidirecional, ntre
elementele de reea administrate i sistemul care realizeaz administrarea (fig. 1.2).
Al treilea nivel, cel al sistemelor integrate de management al elementelor de reea,
integreaz sistemele de management aflate la nivelul doi, realiznd un sistem unitar
de management la nivelul ntregii reele.
1.3 Ariile funcionale ale managementului reelelor de

telecomunicaii
Funciile pe care trebuie s le realizeze sistemele de management al reelelor
de comunicaii i calculatoare pot fi grupate n cinci domenii, numite tradiional arii
funcionale ale managementului
Managementul reelei
Manag.
configurrii
Manag.
Manag.
defectrilor performanelor
Manag.
securitii
Manag.
contabilizrii
Fig. 1.3 Principalele arii funcionale ale managementului de reea
1.3.1 Managementul configurrii

Managementul configurrii este responsabil de:
planificarea
configurarea
instalarea unei reele de comunicaii
aducerea n stare operaional a serviciilor de reea
furnizarea acestora ctre clieni.
Procesul configurrii este un proces liniar, prezentat n fig. 1.4.

Se pornete de la setul de cerine stabilite mpreun cu beneficiarul, care
definesc tipul i caracteristicile generale reelei, traversnd pas cu pas toate fazele
5
configurrii (descrise n cele ce urmeaz), pn la faza final de administrare i

control al elementelor de reea.
n recomandarea E.175 a ITU-T sunt detaliate principalele etape ce trebuie
parcurse n procesul de planificare a unei reele.
Prima etap, aceea a planificrii i proiectrii reelei are drept principal obiectiv
transformarea cerinelor de sistem ntr-un proiect de sistem. Urmeaz apoi un plan
de implementare a acestui proiect.
Principalele caracteristici ale reelei ce sunt vizate n procesul proiectrii sunt:
serviciile de reea i infrastructura reelei.
Cerine de reea
Planificarea i
proiectarea reelei
Planurile de implementare
Instalarea reelei
Reeaua este instalat
Planificarea i
negocierea serviciilor
Furnizarea de servcii
i configuraii
Reeaua este operaional
Funciile de stare i
control ale
elementelor de reea
Fig. 1.4 Principalele etape ale managementului configurrii
A. Paii unui proces de planificare de reea sunt urmtorii:

pasul 1: colectarea informaiilor de intrare, impuse de setul de cerine iniiale;
pasul 2: determinarea infrastructurii de reea, pe baza cerinelor comerciale, tehnice i

operaionale ale clientului;
pasul 3: proiectarea schemelor de rutare a traficului pe structura de reea propus
anterior (evaluarea structurii de reea propus din perspectiva cerinelor de trafic).
Dac acestea nu pot fi satisfcute pe structura de lucru creat, se revine la pasul
anterior i se adapteaz structura astfel nct s corespund necesitilor impuse la
acest punct;
pasul 4: estimarea i clasificarea costurilor de reea. Pot fi difereniate trei mari
categorii de costuri:
costurile totale asociate construirii infrastructurii reelei;
costurile estimate de ntreinere a reelei, clasificate pe tipurile de
faciliti oferite;
costurile necesare extinderilor viitoare ale reelei;
pasul 5: Analizarea rezultatelor obinute mpreun cu beneficiarul i obinerea
acordului acestuia de continuare a implementrii, pe baza stabilirii unei nelegeri.
pasul 6: repetarea unor etape, din procesul de planificare, dac este necesar.
B. Procesul de instalare a reelei

instalarea echipamentelor;
instalarea software-ului.
Etapele unui asemenea proces de instalare pot fi observate n fig. 1.6.
Cerere de instalare

verificrile de preinstalare;
planificarea instalrii i a livrrii echipamentelor;
programarea i desfurarea testelor prefuncionale;
coordonarea instalrii software-lui de echipamente;
actualizarea bazei de date pentru aceast instalare.
Raport de stare
Fig. 1.6 Etapele procesului de instalare a echipamentelor

7
C. Planificarea i negocierea serviciilor de reea, etap care acoper

urmtoarele arii de interes:
identificarea cerinelor clientului;
definirea caracteristicilor pentru serviciile cerute;
planificarea implementrii serviciilor cerute;
Sistem
Unitate de
software
Software
Distribuitor de
software
Fig. 1.8 Clase de obiecte software
D. Furnizarea de servicii i configuraii se refer la:

furnizarea de servicii,
furnizarea de configuraii la nivel de reele
furnizarea de configuraii la nivelul elementelor de reea.
Furnizarea de servicii ctre un client ncepe cu recepionarea unui ordin de
serviciu de la sistemul de management al serviciilor i se termin cu livrarea ctre
elementul de reea a datelor specifice serviciului respectiv. Datele relative la acel
serviciu fac referire la utilizatorul sau procesul cruia i este destinat acest serviciu.
Furnizarea de configuraii la nivel de reea are drept obiectiv asigurarea unui
nivel adecvat al configurrii resurselor, la nivelul ntregii reele, astfel nct s fie
satisfcute cerinele clientului de servicii.
Sunt identificate aici urmtoarele arii de interes din cadrul procesului de asigurare
cu resurse (fig. 1.10):
managementul topologiei de reea;
8
managementul conexiunilor de reea;

managementul alocrii resurselor la nivelul ntregii reele.
Pentru a implementa un nou serviciu, sunt necesare, mai nti, planificarea i
activarea managementului conexiunilor la nivelul reelei.
Managementul conexiunilor este responsabil pentru stabilirea, meninerea i
monitorizarea conexiunilor ntre elementele de reea.
Este apoi obligaia funciei de management al topologiei de reea i a celei de
management al resurselor de reea s menin acea configuraie, care va satisface
necesitile crerii conexiunilor respective.
Managementul furnizrii de configuraii i servicii la nivelul elementelor de reea
are drept obiectiv satisfacerea cerinei ca la elementele de reea s fie desfurate i
configurate resursele adecvate n vederea implementrii serviciilor cerute de client.
n recomandarea M.3400 a ITU-T sunt identificate trei arii generale de interes n
cadrul furnizrii de configuraii i servicii la nivelul elementelor de reea (fig. 1.10):
configurarea elementelor de reea;
funciile administrative;
administrarea bazei de date.
Furnizarea de configuraii i servicii la nivelul

elementelor de reea

managementul configurrii resurselor la

elementul de reea;
managementul sistemului;
managementul bazei de date a
elementelor de reea.
Managementul furnizrii de
configuraii i servicii la nivel
de reea
Managementul
performanelor i
defectrilor
Resursele
elementului de reea
Fig. 1.10 Aprovizionarea la nivelul elementelor de reea i interaciunea sa cu

alte aplicaii de management
E. Controlul i starea resurselor elementului de reea

Una din sarcinile principale ale managementului configurrii elementelor de
reea este cea de a administra i controla, n timp real, numeroasele resurse fizice i
logice integrate n reea, ca elemente de reea.
Operaiile de control al elementelor de reea pot fi clasificate n mai multe categorii:
Activarea i dezactivarea resurselor, se refer la:
pornirea/oprirea componentelor software i hardware;
managementul strii resurselor;
iniializarea parametrilor asociai resurselor;
anunarea tuturor prilor implicate despre activarea/ dezactivarea unor
resurse etc.
Operaiile de comutare ce permit transferul serviciilor de la o resurs activ la
una de rezerv n cazul unor defectri, al unor operaii de ntreinere sau de
diagnosticare a unei legturi active la un moment dat.
Starea resurselor, din punctul de vedere al managementului, este un atribut al
obiectului administrat i reprezint capabilitatea de a furniza informaii sistemului de
management despre condiiile n care se afl obiectul administrat.
n recomandrile ITU-T [X.731] au fost standardizate trei dintre cele mai uzuale stri
n care se pot afla elementele de reea:
Operabilitatea, starea care indic dac resursa respectiv a reelei este

operaional, neoperaional sau necunoscut.
Utilizarea, reprezint starea de utilizare a unei resurse a reelei i are

trei posibile variante: nefolosit, activ i ocupat.
Starea administrativ indic managementului de sistem dac resursa

poate sau nu s fie folosit, independent de starea ei operaional sau de starea
utilizrii. Resursa se poate afla n una din cele trei stri administrative:
1. blocat, ceea ce semnific c este blocat pentru furnizarea de servicii ctre
utilizatorii si;
2. neblocat, adic este administrativ deschis pentru a furniza servicii ctre
utilizatorii si;
10
3. n curs de oprire, stare n care resursa poate furniza servicii doar ctre
utilizatorii care aveau deja permisiunea utilizrii ei, nefiind permis
folosirea ei de ctre noi utilizatori.
Anunarea schimbrii de stare este o opiune care poate sau nu s fie

implementat. Dac este implementat ca mecanism, atunci ea are rolul de a informa
aplicaia de management asupra modificrilor de stare ce pot surveni n cazul unui
element de reea.
Managementul strii resurselor elementelor de reea
Prin starea resurselor de reea se nelege o gam mai variat de atribute de stare,
care pot semnifica prezena sau absena unei condiii particulare, specifice acelei
resurse. n recomandrile ITU-T, dedicate acestui subiect [X.731] au fost definite o
serie ntreag de atribute. Astfel:
atributul strii de alarm, indic starea unui anumit tip de alarm asociat cu o
resurs: gravitatea ei, efectul alarmei asupra resursei, o msur a rezoluiei alarmei
etc;
atributul de stare al procedurii, indic tipul de procedur care a fost cerut n
vederea efecturii ei de ctre resursa respectiv sau indic faza de execuie a
procedurii n curs de efectuare;
atributul strii de disponibilitate, indic condiiile de lucru care pot afecta
disponibilitatea unei anumite resurse;
atributul strii de control, indic aciunea de control care a fost efectuat
asupra resursei i impactul pe care l-a avut asupra strii acesteia;
atributul strii de ateptare, indic tipul de condiie de ateptare n care se afl
resursa i are neles doar atunci cnd resursa respectiv face parte dintr-o
configuraie de dublare a anumitor resurse.
1.3.2 Managementul defectrilor
Prin defect se nelege o condiie anormal care afecteaz n mod negativ

serviciile ntr-o reea de telecomunicaii.
Managementul defectrilor const ntr-un set de funcii dedicate
detectrii, izolrii i corectrii condiiilor anormale de lucru, care
afecteaz funcionarea unei reele de telecomunicaii.
11
Ciclul de via a managementului defectrilor, presupune cteva faze ntr-o

succesiune previzibil. nti defectul este detectat i raportat imediat sistemului de
management. Acesta iniiaz teste de diagnosticare n scopul identificrii cauzei care
a condus la apariia defectului propriu-zis.
n fig. 1.12 pot fi urmrite principalele etape ale ciclului de via al
procesului de management al defectrilor.
Supravegherea alarmelor, este responsabil pentru detectarea defectelor,
defectul fiind definit ca o condiie persistent n starea unui element al sistemului i
care l mpiedic pe acesta s funcioneze n parametri normali.
Managementul testelor, este responsabil pentru planificarea i coordonarea
testelor efectuate n vederea identificrii cauzei primare a defectului.
Localizarea defectelor, este responsabil pentru identificarea cauzei primare a
defectului.
Corectarea defectelor, este responsabil pentru iniierea i desfurarea acelor
aciuni potrivite pentru eliminarea cauzei defectelor.
Administrarea problemelor este responsabil pentru meninerea actualizat a
bazei de date, ce conine rapoartele cu problemele recepionate de la client sau de la
sistemul de management.
Raport privind
probleme/alarme
Supravegherea
alarmelor
Raport ctre
client
Raport de la client
asupra problemei
Administrarea
problemelor
Raport de
defectare
Managementul
testelor
Rezultatele testelor
Localizarea
defectelor
Cauza i localizarea
defectului
Corectarea
defectelor
Fig. 1.11. Model pentru ciclul de via a managementului
12
1. Procesul de supraveghere a alarmelor urmrete permanent detectarea a noi

defecte, genernd apoi un raport detaliat, ctre sistemul de management, referitor la
noul defect aprut.
Acest proces poate fi divizat n trei etape successive:
colectarea informaiilor de stare i detectarea anomaliilor funcionale;
informaiile culese sunt filtrate i prelucrate pentru a se obine tipul real
de alarm;
alarma detectat este raportat ntr-o form predefinit sistemului i
nregistrat, dac acest lucru este prevzut.
Rapoartele privitoare la alarme trebuie s conin informaii standardizate privind:
categoriile de alarme, care pot fi de tipul:
alarme de comunicaii;
alarme referitoare la calitatea serviciilor;
alarme de procesare;
alarme de echipament;
alarme de mediu;
gravitatea alarmelor, cuantificat pe urmtoarele ase nivele:
alarme critice;
alarme majore;
alarme minore;
alarme de atenionare;
alarme care indic faptul c a disprut un anumit tip de alarm
anterioar;
alarme nedeterminate;
un set predefinit de cauze probabile, care este definit n [X.733].
2. Managementul testelor poate fi clasificat, n funcie de nivelul la care

acioneaz, astfel: la nivelul servicii, la nivelul reea sau la nivelul element de reea.
Prima categorie de teste, referitoare la servicii, reprezint o activitate
complex, care nu este standardizat complet nc i care trebuie s in cont de
interaciunile i gradul de dependen dintre diferitele servicii implicate. O testare
complet a unui serviciu pornete de la definirea strategiei de testare, apoi proiectarea
unei combinaii de teste referitoare la anumite caracteristici ale serviciului i ale
legturilor pe care acestea le au cu alte servicii, urmat de desfurarea efectiv a
13
testelor, i, n final, de generarea unor rapoarte de testare ntr-un format standard

prestabilit.
A doua categorie de teste, cele desfurate la nivelul ntregii reele, presupune
urmtoarea succesiune logic de pai:
este definit un plan de testare, la nivelul unor seciuni din reea, pentru a
determina care segment este generator de probleme;
sunt selectate acele teste care pot satisface cerinele planului de testare propus;
rezultatele obinute, pentru fiecare segment de reea, sunt adunate i corelate
pentru a fi identificat poriunea de reea care genereaz probleme.
Pentru tipul de teste ce pot fi efectuate asupra elementelor de reea, gama
acestora este foarte variat, innd seama de eterogenitatea reelelor de
telecomunicaii actuale i de varietatea de soluii oferite de furnizorii de echipamente.
Totui, n recomandrile ITU-T [X.745] este specificat cadrul de lucru general pentru
managementul testelor, acesta fiind concentrat pe testele efectuate asupra elementelor
de reea.
Principalele tipuri de teste de diagnosticare recomandate de ITU-T
[X.745]:
teste de conexiune - verific conexiunea ntre dou entiti distincte;
teste de conectivitate - verific conectivitatea ntre dou entiti distincte;
teste de integritate a datelor, verific dac datele transferate ntre dou entiti
distincte ale reelei sunt corupte;
teste de bucl - determin timpul necesar transferrii datelor ntre dou entiti,
pe o conexiune dat;
teste de integritate a protocolului - determin dac dou entiti sunt capabile
sau nu s schimbe date ntre ele prin intermediul unui protocol specificat;
teste de limitare a resurselor - verific comportamentul unei resurse a reelei,
atunci cnd aceasta a ajuns la limita capacitilor sale.
3. Localizarea defectelor are drept sarcin principal identificarea cauzelor
primare ale defectelor, pe baza rezultatelor testelor de diagnosticare, a alarmelor deja
filtrate de procesul de supraveghere a alarmelor ct i pe baza altor condiii
predefinite.
4. Corectarea defectelor presupune:
- nlturarea cauzei defectelor nou aprute (dac este posibil),
- refacerea strii anterioare a serviciilor,
14
a) nlocuirea resurselor defecte, este aplicabil unei categorii foarte mari de

elemente de reea, care pot fi uor ncadrate n specificaii tehnice i
funcionale precise;
b) izolarea defectului, presupune izolarea acelei componente de reea care
prezint anomalii n funcionare, ncercnd astfel s fie prevenit extinderea
aciunii defectului respectiv asupra altor componente;
c) comutarea pe o resurs de rezerv, este posibil atunci cnd sistemul are
prevzut o asemenea resurs, ce asigur rezervarea la cald;
d) rencrcarea sistemului, este aplicat, n general, n cazul apariiei problemelor
generate de funcionarea necontrolat a unui modul software;
e) instalarea unei alte resurse care s acioneze n direcia remedierii defectului,
precum i
f) reorganizarea serviciilor: astfel nct s foloseasc alte resurse ale reelei,
ocolind astfel zona care este sub influena defectului aprut, constituie tot
attea soluii privind metodologia ndeprtrii defectelor.
5. Administrarea problemelor urmrete minimizarea impactului pe care
apariia unei probleme poate s l aib asupra reelei. n general, apariia defectelor
(sau problemelor) se manifest imediat printr-o degradare a calitii unui anumit
serviciu oferit clientului. Dup cum s-a putut observa i n fig. 1.12, informaiile care
indic apariia unei noi probleme pot aprea att de la propriul mecanism de
supraveghere a alarmelor ct i de la client. n acest ultim caz, clientul sesizeaz c un
anumit serviciu al reelei nu funcioneaz n parametrii impui i transmite aceast
informaie sistemului de management.
Abordarea mai nou a managementului problemelor, care poate fi gsit n
[X.790], se bazeaz pe modelul agenilor de management. Exist dou entiti
distincte implicate n acest proces: agentul de management, care va efectua asupra
elementului de reea afectat acele operaii care s l readuc n parametrii normali de
funcionare i managerul, care este responsabil de recepionarea informaiilor privind
problemele aprute i coordonarea agenilor n vederea rezolvrii acestora.
15
1.3.3 Managementul performanelor
Principalele obiective ale managementului performanelor constau, n primul

rnd, n a monitoriza i evalua comportamentul i eficiena unei reele i a calitii
serviciilor oferite de aceasta utilizatorilor si.
n recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale
managementul performanelor:
a) monitorizarea performanelor;
b) analiza performanelor (prelucrarea datelor);
c) controlul managementului performanelor.
Funcia de monitorizare a performanelor, aa cum este ea definit n
recomandarea M.3400, se ocup de colectarea i observarea unui set specific de
atribute, asociat resurselor reelei n vederea msurrii performanelor acesteia. n
Recomandarea Q.822 a ITU-T este prezentat un model de realizare a monitorizrii
performanelor.
n acest scop exist un set de obiecte monotorizate (obiecte referitoare la
performantele reelei) prin intermediul crora se pot evalua performanele reelei.
Nivelul performanelor este corelat (comparat) cu un set de valori de prag.
Sistemul de managemnent al performnelor trebuie s conin i un istoric al
parametrilor de performan care s permit cacarterizarea acestora n timp.
Funcia de analiz a performanelor este o a doua arie funcional a

managementului performanelor, dup funcia de monitorizare a performanelor.
Scopul acestei funcii este acela de a analiza datele de performan, colectate ntr-o
prim faz, n vederea furnizrii unor anumite tipuri standard de informaii ctre
sistemul de management, ca de exemplu:

dac a aprut sau este posibil s apar o stare de congestie ntr-un punct
oarecare al reelei;

dac nivelul de calitate al serviciilor oferite de ctre reea, ntr-un anumit
moment de timp, se ncadreaz n limitele impuse;

dac poate fi respectat nivelul de performan pentru noile servicii planificate a
fi implementate.
16
Pe baza acestor informaii, sistemul de management poate lua deciziile

potrivite pentru controlul performanelor.
n cadrul acestei arii funcionale, sunt definite att caracteristicile de
performan specifice reelelor cu comutare de circuite ct i cele specifice reelelor
cu comutare de pachete. Vom aprofunda, n capitolele urmtoare, o parte din aceste
criterii de performan, de aceea, aici, ne limitm doar la enumerarea ctorva dintre
cele mai importante.
Pentru analiza performanelor unei reele cu comutare de circuite sunt
importante criterii precum: capacitatea medie de trafic a reelei, capacitatea
instantanee de trafic a reelei, rata de apeluri pierdute, probabilitatea de congestie etc.
Pentru analiza performanei unei reele cu comutare de pachete sunt de luat n
considerare noiuni precum: probabilitatea ntrzierii, numrul mediu de mesaje aflate
n coad, numrul mediu de apeluri de date etc.
Controlul managementului performanelor este cea de-a treia i ultima arie
funcional a managementului performanelor, obiectivul acesteia fiind de a controla
acele aciuni efectuate n cadrul unei reele, fie cu scopul meninerii unui anumit
nivel minim al performanelor sistemului, fie pentru a preveni apariia i extinderea
unor situaii nedorite (de exemplu congestia sau blocarea unor resurse).
Pentru a-i atinge elul propus, funcia de control al managementului
performanelor utilizeaz date obinute att de la etapa monitorizrii performanelor
ct i date deja prelucrate n etapa de analiz a performanelor.
n recomandarea ITU-T [M.3400] sunt evideniate dou aspecte principale ale funciei
de control al performanelor: controlul traficului i administrarea performanelor.
Controlul traficului este o parte important a meninerii performanelor unei
reele n cadrul unor limite bine definite. Datorit dinamicii mari a modificrilor
aprute n configuraia unei reele este necesar adaptarea permanent a schemelor de
rutare n vederea prevenirii apariiei unor situaii de criz de tipul congestiei sau
pentru a se asigura distribuirea n mod uniform a traficului n cadrul reelei,
obinndu-se n acest fel drept rezultat o ncrcare echilibrat a reelei [RSOH97,
SMMC99, SCKN98 i APOST99]
Administrarea performanelor este responsabil de crearea unei politici de
management al performanelor, obinut printr-o coordonare judicioas a activitilor
descrise mai sus, de tipul monitorizare a performanelor sau analiz a performanelor.
n cadrul acestor aciuni de coordonare, trebuie efectuate anumite categorii de
operaii, de tipul celor enumerate n continuare:
17

coordonarea activitilor de planificare referitoare la managementul
performanelor;

executarea unor aciuni directe de control asupra resurselor reelei;

interaciunea cu alte aplicaii de management precum managementul
defectrilor sau cel al configuraiei, n vederea mbuntirii performanelor.
1.3.4 Managementul securitii
Este responsabil cu prevenirea i minimizarea utilizrii frauduloase a resurselor
reelei. Acest deziderat poate fi urmrit prin intermediul unui set specific de aciuni,
de tipul:
prevenirea fraudelor, ce se focalizeaz pe un mecanism de securitate complex,
al crui scop este meninerea utilizatorilor ru intenionai n afara zonelor sensibile
ale reelei;
atunci cnd prevenirea fraudelor nu mai este posibil, este necesar detectarea
imediat a violrilor de securitate i minimizarea efectelor acestora la nivelul reelei;
n cazul apariiei unor fraude, sunt importante att limitarea efectelor aprute
ct i refacerea strii iniiale a sistemului. Limitarea efectelor datorate unui acces
fraudulos se face prin izolarea elementelor de reea afectate, urmat de neutralizarea
impactului pe care acesta l-a avut asupra acestora din urm;
este de asemenea responsabilitatea managementului securitii de a furniza
instrumentele i mecanismele adecvate scopului urmrit. Acestea pot fi de tipul: chei
de criptare, mecanisme de autentificare, protocol de securitate i mecanism de control
acces.
1.3.5 Managementul contabilitii
Managementul contabilitii, din cadrul reelelor de comunicaii i

calculatoare, este un proces complex al crui obiectiv final este de a genera venituri
pentru operatorul reelei, pe baza serviciilor oferite de acesta ctre client. Procesul
ncepe cu colectarea informaiilor referitoare la resursele reelei utilizate de un
element de reea i se termin cu trimiterea facturii ctre client pentru plata serviciilor
de telecomunicaii folosite. Sunt incluse, de asemenea, i procese intermediare
precum trimiterea datelor de la elementul de reea ctre sistemul de management,
validarea cantitii de date utilizate i aplicarea apoi a politicilor tarifare. Toate aceste
tipuri de activiti sunt dependente, n general, de tipul de echipamente, de interfaa
dintre acestea i sistemul de tarifare i nu n ultimul rnd chiar de politica de tarifare
proprie furnizorului. Apariia unor noi game de servicii, aplicate unor noi tipuri de
18
reele multi-furnizor i multi-operator, a condus la creterea major a necesitilor de

standardizare a funciei de management al contabilitii. Implementarea unor
metodologii comune, standardizate, de tarifare va permite negocierea calitii
serviciilor ntre diferii operatori ai reelei i, mai ales, stabilirea unor repere comune
n politica de tarifare. Modul de realizare a standardizrilor specifice managementului
contabilitii poate fi gsit n recomandarea X.742 a ITU-T.
1.4 Concluzii
n acest capitol au fost descrise noiunile de baz din domeniul
managementului sistemelor. Pornindu-se de la descrierea cerinelor funcionale
impuse unui sistem de management, am prezentat modaliti i instrumente de
baz necesare implementrii acestora. Ultima parte a capitolului am dedicat-o
descrierii celor cinci arii funcionale ale managementului de reea:
managementul configurrii, managementul performanelor, managementul
defectrilor, managementul securitii i managementul contabilizrii.
ntrebri i teste de verificare

1.
2.
3.
4.
5.
6.
Care sunt principalele activiti ale unui administrator de reea?

Care sunt ariile funcionale ale managementului de reea?
Descriei principalele activiti referitoare la managementul configurrii.
Descriei principalele activiti referitoare la managementul defectelor.
Descriei etapele ciclului de via al managementului defectelor
Descriei principalele activiti referitoare la managementul performanelor
unei reele.
19
Completai spaiile goale cu cuvinte cheie i texte adecvate:
1 Activitile de management al reelelor presupun desfurarea i coordonarea

resurselor acestora n vederea .. ..............................................................................
......................................................................................................................................
astfel nct s fie asigurate permanent serviciile propuse, cu un cost rezonabil i la o
capacitate optim.
2. Principalii factori care contribuie la ndeplinirea obiectivelor enunate sunt

- .....................................................................
- .....................................................................
- .....................................................................
3. Structura ierarhic a sistemului de management cuprinde:

- nivelul 1 .......................................................................
- nivelul 2. ........ ..............................................................
- nivelul 3 ...... ................................................................
4. Managementul configurrii este responsabil de:

1 .......................................................................
2. ........ ..............................................................
3 ...... ................................................................
4 ...... ................................................................
5 ...... ................................................................
5. Managementul defectrilor const dintr-un set de funcii dedicate

............................., .................................., ......................................... condiiilor
anormale de lucru, care afecteaz funcionarea unei reele de telecomunicaii.
6. Principalele obiective ale managementului performanelor constau, n primul
rnd, n a ...................... i .................... ............................... i .............................
unei reele i a calitii serviciilor oferite de aceasta utilizatorilor si.
20
7. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]:

................................. - verific conexiunea ntre dou entiti distincte;
............................... - verific conectivitatea ntre dou entiti distincte;
....................................- verific dac datele transferate ntre dou entiti
distincte ale reelei sunt corupte;
.................................... - determin timpul necesar transferrii datelor ntre
dou entiti, pe o conexiune dat;
............................................... - determin dac dou entiti sunt capabile
sau nu s schimbe date ntre ele prin intermediul unui protocol specificat;
.....................................................- verific comportamentul unei resurse a
reelei, atunci cnd aceasta a ajuns la limita capacitilor sale.
8. n Recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale

managementul performanelor:
a) ...............................................................................
b) .................................................................................
c) .................................................................................
9. Gravitatea alarmelor este cuantificat pe urmtoarele ase nivele:

................................................................;
..................................................................;
.................................................................. ;
..............................................................;
....................................................................................................;
..................................................................;
10. Managementul contabilitii din cadrul reelelor de comunicaii i

calculatoare este un proces al crui obiectiv final este ..........................
.............................................................................................., pe baza serviciilor
oferite de acesta ctre client.
21
TEMA 2
Arhitecturi i protocoale utilizate pentru
managementul reelelor de comunicaii
Tema are ca scop cunoaterea unor protocoale de administrare a reelelor cu
arhitectur OSI. Sunt definite elementele componente ale procesului de
management, sunt descrise protocoalele CMISE, CMIP i SNMP i serviciile care
implementaz aceste protocoale, utilizate n administrarea reelelor.

Care sunt elementele componente ale procesului de management
Arhitectura pe nivele a managementului OSI
Ce este o reea de management pentru telecomunicaii (TMN)
i arhitecturile sale fizic, funcional i informaional
Protocoalele CMISE, CMIP i SNMP
Cuprins
2.1
2.2
Concepte de baz n managementul reelelor

Managementul reelelor cu arhitecturi OSI
2.2.1
2.2.2
Arhitectura pe nivele a managementului OSI

Protocoale CMISE/CMIPfolosite pentru managementul sistemelor OSI
2.3
Reea de management pentru telecomunicaii (TMN)
2.4
2.5
Protocolul CMOT (CMIP over TCP/IP)

SNMP
Cuvinte cheie: proces de management, agent de management, obiect administrat,

MIB, MIT, CMISE, CMIP, SNMP, CMOT, SMAE, TMN, OS
Bibliografie
[1] Vonica Ion- Managementul reelelor integrate de telecomunicaii, Tez de doctorat,
UPB, Bucureti, 2002
[2] Recomandarea ITU-T M.3010 TMN http://eu.sabotage.org/www/ITU/M/M3010e.pdf
[3] Aiko Pras, Bert-Jan van Beijnum, Ron Sprenkels - Introduction to TMN, CTIT
Technical Report 99-09, April 1999
[4] SNMP Tutorial - http://www.dpstele.com/pdfs/white_papers/snmp_tutorial.pdf
[5] http://www.net-snmp.org/wiki/index.php/Tutorials
Timpul minim pe care trebuie s-l acordai acestui modul este de 3 ore
22
Concepte de baz n managementul reelelor

proces de management (management process), activitate de baz a
managementului de reea, responsabil de transmiterea ordinelor de management ctre
agenii de administrare i primirea rapoartelor de la acetia;
agent de administrare1) (managing agent), entitate a activitii de management
ce dialogheaz cu procesul de management, raportndu-i informaii despre starea
elementelor reelei i primind instruciuni de la acesta, referitoare la aciunile ce trebuie
ntreprinse asupra elementelor reelei;
baz cu informaii de administrare (MIB Management Information Base),
BD ce conine informaii despre elementele reelei administrate i poate fi accesat att de
procesul de management ct i de agenii de administrare.
arborele informaiei de administrare (MIT) structura arborescent ierarhic a
obiectelor administrate. Aceast structur permite accesul rapid la orice informaie de
administrare.
Suplimentar fa de aceste componente ale sistemului de management, a fost
introdus n capitolul 1 i noiunea de element de reea administrat.
obiecte administrate - sunt componente de reea supuse aciunii de management.
Baz cu
informaii de
management
PROCES DE
MANAGEMENT
comenzi
AGENT DE
ADMINISTRARE
OBIECT DE
ADMINISTRAT
informaii de
stare
AGENT DE
ADMINISTRARE
OBIECT DE
ADMINISTRAT
OBIECT DE
ADMINISTRAT
OBIECT DE
ADMINISTRAT
Fig. 2.1. Elemente componente ale activitii de management
1)Agentul este un modul soft care acioneaz pentru un user sau pentru un alt program n scopul realizrii
unora dintre funciile (sarcinile) sale. Aciunea n numele unui utilizator presupune o anumit autoritate
dac i cnd o aciune este cerut, adecvat, corect.
Noiunile cu care se opereaz, referitor la un obiect, din perspectiva recomandrilor

ISO, sunt:
23
atribute, reprezint caracteristicile acestuia, prezente la interfaa sa cu alte

obiecte;
rapoarte, pe care un obiect le poate trimite la un agent de administrare i care
conin informaii de stare;
tipuri de operaii ce pot fi efectuate de agentul de administrare asupra sa;
aciuni de rspuns la operaiile efectuate asupra sa.
O alt arie de interes este cea a modului n care sunt identificate i administrate
resursele reelei. n modelul OSI-RM aceste operaii se efectueaz prin intermediul
arborelui informaiei de administrare (MIT Management Information Tree), iar n
cadrul Internet prin sistemul numelor pentru domenii (DNS Domain Name System).
rdcin
Nivel 1
1.1
2.1
3.1
4.1
Fig. 2.2. Exemplu de arbore DNS/MIT
Exerciii:
1. Dai exemple e obiecte administrate
2. Organizai aceste obiecte ntr-o structur arborescent
24
Nivel 2
Nivel 3
Nivel 4
2.2 Managementul reelelor cu arhitecturi OSI

Managementul reelelor cu arhitectur ISO-OSI-RM, este asigurat pe baza
protocoalelor de nivel nalt: aplicaie, prezentare i sesiune. La aceste niveluri sunt
implementate funciile (serviciile) de management prin intermediul protocoalelor
dedicate.
2.2.1 Arhitectura pe nivele a managementului OSI

Managementul sistemelor se realizeaz, n general, la nivelul aplicaie i folosete
entiti SMAE (System Management Application Element).
Ce sunt de fapt SMAE? De exemplu, solicitarea de la un element de reea de informaii
referitoare la starea sa.
Aceast entitate SMAE este, la rndul ei, constituit dintr-un set de elemente de serviciu
aplicaie ASE (Application Service Element Element de serviciu aplicaie) care
coopereaz ntre ele (fig. 2.3).
De exemplu, solicitarea informaiilor de stare a unui element de reea poate conine
mai multe operaii elementare: localizarea elemenului de reea, stabilirea unei conexiuni
cu el, cerere de transmitere a unei informaii, rspunsul ER, o alt cerere urmat de
rspuns, etc.
Procesare informaie
SMAE
SMASE
CMISE
ASE
ACSE
ROSE
ASE
Nivel Aplicaie
Nivel Prezentare
Fig. 2.3. Structur de management pentru sistemele OSI
Alte tipuri de elemente ale serviciilor de management sunt:

ROSE (Remote Operations Service Element),
ACSE (Association Control Service Element)
25
SMASE (Systems Management Application Service Element - Element de

serviciu al aplicaiei de management a sistemelor).
2.2.2 Protocoale CMISE/CMIP folosite pentru managementul
sistemelor OSI
Protocolul cel mai des utilizat n managementul sistemelor construite conform
OSI-RM este constituit dintr-o suit de servicii i protocoale definite n CMISE/CMIP.
CMISE este cel ce stabilete ce tip de servicii trebuie furnizat de fiecare element
al sistemului de management n scopul administrrii reelei.
CMIP specific modul n care sunt implementate serviciile definite de CMISE.
Clasele de servicii definite de CMISE
Orice aplicaie de management care ruleaz n sistem folosete serviciile CMISE,
devenind un utilizator de servicii pentru acesta. n funcie de scopul lor, aceste servicii au
fost grupate n trei clase distincte:
1.
servicii de asociere de management;
2.
servicii de raportare de management;
3.
servicii ale operaiilor de management.

Serviciile de asociere de management sunt destinate, n principal, asigurrii
controlului asocierilor ce se stabilesc ntre dou sisteme de management corespondente,

situate pe acelai nivel ierarhic.
Ele controleaz iniializarea, eliberarea normal sau forat a unei conexiuni
destinat unei asocieri de management ntre dou puncte corespondente, utiliznd pentru
aceasta trei tipuri distincte de servicii:
M-INITIALIZE;
M-TERMINATE;
M-ABORT.
Serviciul M-INITIALIZE este folosit pentru a stabili o asociere ntre doi
utilizatori de servicii ai CMISE.
Serviciul M-TERMINATE ncheie n mod normal o asociere ntre dou entiti
de management
Serviciul M-ABORT ncheie n mod forat acest tip de asociere.
Aceste servicii de asociere utilizeaz pentru operare serviciile furnizate de ACSE,
iar n cazuri mai rare pe cele ale ROSE.
26
Proces aplicaie de management
SMAE
SMASE
CMISE
Nivel 7
CMIP
ACSE
ROSE
ISO - Prezentare
Nivel 6
ISO - Sesiune
Nivel 5
ISO - Transport
Nivel 4
ISO Reea
Nivel 3
ISO Legtur de date
Nivel 2
ISO - Fizic
Nivel 1
Fig. 2.4. Protocoale CMISE/CMIP n ierarhia OSI-RM
Serviciul raportare de management furnizeaz informaii despre evenimentele

aprute n reea.
n acest scop, se utilizeaz serviciul M-EVENT-REPORT care informeaz un
utilizator de servicii al CMISE despre un eveniment aprut la utilizatorul corespondent.
Servicii ale operaiilor de management sunt n numr de cinci, dup cum urmeaz:
M-GET;
M-SET;
M-ACTION;
M-CREATE;
M-DELETE.
Serviciul M-GET este apelat, de un utilizator de servicii CMISE pentru a solicita
informaii de management de la un utilizator corespondent. Este de tipul cu confirmare,
deoarece necesit un rspuns la cerere.
Serviciul M-SET permite unui utilizator CMISE s modifice informaiile de
management ale altui utilizator. Dup cum ateapt sau nu rspuns, poate fi de tipul cu
confirmare sau nu.
Serviciul M-ACTION este folosit de un utilizator CMISE pentru a indica unui
corespondent efectuarea unei anumite operaii prezente. Poate lucra att cu confirmare,
ct i fr confirmare.
27
Serviciul M-CREATE este utilizat de un utilizator de servicii CMISE pentru a

cere unui utilizator corespondent crearea unei alte instanieri a obiectului administrat.
Serviciul M-DELETE este folosit de un utilizator CMISE pentru a cere
utilizatorului corespondent tergerea unui instanier al obiectului administrat i este pemis
doar lucrul n modul confirmat.
Asocieri de management
O asociere de management este, de fapt, o conexiune logic realizat ntre dou
sisteme corespondente, aflate pe acelai nivel al OSI-RM, n vederea realizrii
managementului de sistem.
Realizarea conexiunii presupune implicarea serviciului CMISE la interfaa cu
protocoale situate pe alte nivele ierarhice.
CMISE asigur suportul necesar realizrii a patru tipuri distincte de asocieri ntre
dou sisteme corespondente, dup cum urmeaz:
asociere tip eveniment;
asociere tip eveniment/monitor;
asociere tip monitor/control;
asociere tip manager/agent.
asocierea tip eveniment permite celor dou sisteme corespondente, aflate n
conexiune, s schimbe ntre ele mesaje tip M-EVENT-REPORT;
asocierea tip eveniment/monitor este prevzut cu facilitatea suplimentar de a
primi sau trimite i mesaje de tip M-GET;
asocierea tip monitor/control permite utilizatorilor corespondeni s trimit mesaje
de cerere de tip M-GET, M-SET, M-CREATE, M-DELETE i M-ACTION, fr s aib
facilitile primului tip de asociere;
asocierea tip manager/agent permite utilizatorilor corespondeni utilizarea oricrui tip
de servicii.
28
2.3 Reele de management pentru telecomunicaii TMN

Reelele de management sunt reele distincte, dedicate managementului sistemelor de
telecomunicaii. Principiile TMN (Telecommunications Management Network) sunt
descrise n Recomandarea ITU-T, M.3010
Are la baz principiul c reeaua administrat este tratat separat de reeaua
care o administreaz.
Pornind de la necesitatea ndeplinirii acestei cerine, pot fi evideniate trei arhitecturi
de sistem complementare, care furnizeaz o imagine complet asupra structurii TMN:
1. arhitectura fizic a TMN;
2. arhitectura funcional a TMN;
3. arhitectura informaional a TMN.
Arhitectura fizic i elementele funcionale ce o definesc:
OS (Operations System Sistem de operare), soft de management ce se
poate afla n nodurile de control i are rolul de a procesa informaiile de management;
NE (Network Element Element de reea), se refer la orice echipament de
telecomunicaii, ce se afl n nodurile controlate ale reelei, comunicnd cu TMN n
vederea administrrii lui;
Q-A (Q-Adaptor Adaptor Q), este un dispozitiv care asigur conectarea
ntre NE-uri sau OS-uri cu elementele compatibile care nu aparin unei reele TMN (n
general NE-uri exterioare);
MD (Mediation Device Dispozitiv de mediere), are drept scop realizarea
funciei de mediere ntre OS i NE sau ntre OS i Q-A;
DCN (Data Communication Network Reea de comunicaii de date),
reprezint o reea de date intern reelei TMN, ce asigur funciile i serviciile specifice
primelor trei nivele din ierarhia ISO;
WS (Workstation Staie de lucru), furnizeaz utilizatorului final accesul
bidirecional la sistemul de management i anume: ntr-un sens colecteaz toate datele
relevante de la sistem i le afieaz utilizatorului ntr-un format potrivit, iar n cellalt sens
decodific i trimite spre sistemul de management comenzile primite de la managerul de
sistem.
29
TMN
Q3
TMN
OS
X
F
WS
DCN
WS
Q3
MD
Q3
Q3
QX
DCN
QX
Q-A
NE
Q-A
QX
NE
m
NE
Fig. 2.6. Exemplu de arhitectur fizic TMN
ntre aceste dispozitive componente pot fi realizate interconexiuni, folosind

anumite tipuri de interfee standard:

interfee Q, care pot fi de dou feluri:

interfaa Q3 ntre OS i una dintre urmtoarele componente: NE, Q-A sau MD;
interfaa Qx ntre MD i Q-A sau ntre MD i NE;
interfaa F ntre OS i WS, deci ntre un sistem i un terminal;
interfaa X, care poate fi folosit ntre dou TMN-uri diferite.
O posibil arhitectur fizic de reea, care conine i interfeele definite mai sus,
este prezentat n fig. 2.6 (conform recomandrii M.3010 a ITU-T).
Arhitectura funcional
Este construit pe baza arhitecturii fizice, evideniind funciile pe caree trebuie s
le ndeplineasc sistemul de management i legturile (interfeele) dintre ele.
OSF (Operations System Function Funcie sistem de operaii), ce proceseaz
informaiile de management n scopul monitorizrii, coordonrii i controlului funciilor
de telecomunicaii;
30
TMN
OSF
MF
WSF
WSF
TMN
NEF (Network Element Function Funcie element de reea), ce comunic cu

TMN pentru a permite acestuia monitorizarea i controlul NE-ului asociat;
WSF (Workstation Function Funcie staie de lucru), ce interpreteaz
informaiile primite de la TMN pentru a le transmite n formatul potrivit spre utilizator;
MF (Mediation Function Funcie de mediere), menit s asigure transferul
corect al informaiilor ntre OSF i NEF sau QAF;
QAF (Q Adapter Function Funcie adaptor Q), ce este utilizat pentru a
asigura conectarea prilor componente funcionale ale TMN la elemente ce nu aparin
TMN (ca de exemplu NEF sau OSF) .
QAF
NEF
QAF
NEF
Fig. 2.7. Exemplu de arhitectur funcional TMN
n concluzie, TMN definete o reea de management pentru reelele de

telecomunicaii i are la baz patru tipuri distincte de arhitecturi: funcional, fizic,
stratificat logic i informaional.
Avantajele utilizrii TMN n managementul reelelor de telecomunicaii pot fi
rezumate astfel:
cu ajutorul modelului TMN pot fi integrate sisteme de management diverse ntrun singur punct de control centralizat al operaiilor, reducnd astfel costurile necesare
ntreinerii cu personal i resurse a mai multor centre de management n paralel;
folosirea interfeei Q3 va conduce la standardizarea schimbului de informaii de
management ntre sistemele de management i diverse elemente de reea;
folosirea modelelor informaionale ale TMN, pentru modelarea tuturor
elementelor de reea ce trebuie administrate, va conduce la o uniformizare a reprezentrii
acestora, simplificnd astfel operaiile de management i dezvoltare ulterioar a reelei.
31
2.4 Protocolul CMOT (CMIP over TCP/IP)

Este descris n documentul RFC 1095 (1989) i este, de fapt, o adaptare a
protocoalelor de administrare a reelelor OSI la reelele ce folosesc protocolul de transport
TCP/IP, cum este i Internet-ul.
Manager
Agent
+-----------------------+
+-----------------------+
|
|
|
|
| +----+ +----+ +-----+ | <-------> | +----+ +----+ +-----+ |
| |ACSE| |ROSE| |CMISE| |
CMIP
| |ACSE| |ROSE| |CMISE| |
| +----+ +----+ +-----+ |
| +----+ +----+ +-----+ |
|
|
|
|
+-----------------------+
+-----------------------+
|
LPP
|
|
LPP
|
+-----------------------+
+-----------------------+
|
TCP
|
UDP
|
|
TCP
|
UDP
|
+-----------------------+
+-----------------------+
|
IP
|
|
IP
|
+-----------------------+
+-----------------------+
|
Link
|
|
Link
|
+-----------------------+
+-----------------------+
|
|
=========================================================
Network
=========================================================
Figure 2.8.
Architectura Protocolului CMOT
La fel ca CMISE, CMOT se bazeaz pentru realizarea unei comunicaii pe

protocoalele ACSE, ROSE i CMIP. Noutatea const n utilizarea protocolului LPP
(Light weight Presentation Protocol Protocol de prezentare de categorie uoar),
definit n RFC 1085 i care nlocuiete protocolul de prezentare al lui ISO, nedezvoltat
nc. De fapt, el trebuie s asigure interfaa cu dou din cele mai cunoscute protocoale de
nivel transport utilizate n Internet, TCP i UDP (fig. 2.12).
Acest protocol trebuie s aib capabilitatea stabilirii uneia din cele patru tipuri de
asocieri utilizate de CMISE: asociere eveniment, asociere eveniment/monitor, asociere
monitor/control i asociere manager/agent.
Protocolul LPP trebuie s interfaeze protocoalele de nivel 7 OSI, ROSE i ACSE, cu
nivelul 5 OSI, dac acesta este implementat, iar dac nu direct cu protocoalele de nivel
transport din Internet, TCP/IP sau UDP.
32
MANAGEMENT
de REEA
Baza cu
informaii de
management
AGENT PROXY
AGENT DE
ADMINISTRARE
Informaii
de stare
comenzi
ENTITATE DE
ADMINISTRAT
ENTITATE DE
ADMINISTRAT
Element de reea
Fig. 2.11. Elemente componente ale managementului Internet

Proces aplicaie de management
CMISE
ACSE
ROSE
Nivel 7
LPP
Nivel 6
ISO - Sesiune
Nivel 5
UDP
TCP
Nivel 4
IP
Nivel 3
ISO Legtur de date
Nivel 2
ISO - Fizic
Nivel 1
Fig. 2.12. Arhitectura protocoalelor CMOT n ierarhia OSI-RM
Fiind de nivel 6, adic prezentare, pentru LPP au fost deja implementate cinci servicii
specifice acestui nivel i anume:
serviciul P-CONNECT;
serviciul P-RELEASE;
serviciul P-U-ABORT;
serviciul P-P-ABORT;
serviciul P-DATA.
Pentru conectarea direct la nivelul de transport, au fost alocate i numere distincte de
porturi, un tip pentru cel de manager i altul pentru cel de agent:
numr port manager pentru conectare la TCP: 163/TCP;
numr port manager pentru conectare la UDP: 163/UDP;
33
numr port agent pentru conectare la TCP: 164/TCP;

numr port agent pentru conectare la UDP: 164/UDP.
Simplitatea protocolului LPP este dictat i de lipsa oricrei posibiliti de
negociere pentru parametrii serviciilor asigurate.
2.5 SNMP
Acest protocol a fost primul dezvoltat pentru managementul reelelor ce folosesc
protocoalele TCP/IP i a trecut pn n prezent prin mai multe etape de standardizare. Cea
mai actual descriere a arhitecturii i procedurilor SNMP se gsete n RFC 1157, dar pot
fi consultate, pentru completarea unei priviri de ansamblu, i mai vechiul RFC 1098 sau
RFC 1156 pentru MIB-I i RFC 1231, pentru noul standard MIB-II.
n realizarea arhitecturii actuale a SNMP, descris n RFC 1157, s-au avut n vedere
anumite cerine exprese, i anume:
arhitectura trebuie s fie independent de tipurile de staii de lucru, gateway-uri i
routere utilizate;
construirea unui agent de administrare ct mai simplu i mai ieftin;
asigurarea unui numr ct mai mare i mai variat de funcii de management de la
distan pentru a se putea profita ct mai bine de resursele imense ale Internet-ului.
Conceptual SNMP opereaz cu urmtoarele noiuni:
element de reea - o reprezentare pe obiecte a componentelor ce vor fi
administrate;
agent de administrare ce asigur interfaa funcional ntre elementul de
administrat i administrator;
staie SNMP ce reprezint platforma pe care ruleaz procesele de administrare;
MIB - este baza de date ce conine informaii despre toate resursele reelei.
SNMP folosete un set standard de mesaje pentru a asigura comunicaia ntre agent i
staie, fiecare din aceste mesaje fiind transmis ntr-un unic pachet. Acest mod de abordare
face posibil utilizarea protocoalelor de transport fr conexiune, de tipul UDP-ului. O
prezentare bloc a modului de interacionare a SNMP cu celelalte protocoale de reea se
gsete n fig. 2.13.
Au fost definite cinci tipuri de mesaje utilizate n cadrul SNMP:
Get-Request;
Get-Response;
Get-Next-Request;
Set-Request;
Trap.
34
Get-Request este utilizat de staia SNMP pentru a solicita informaii de la un element

de reea, care este servit de un agent ce poate prelua mesajul.
SNMP
cerere
rspuns
UDP
IP
Legtur de date
Strat fizic
Fig. 2.13. Protocolul SNMP n arhitectura protocoalelor Internet
Get-Next-Request poate fi folosit mpreun cu Get-Request atunci cnd se utilizeaz o

organizare a obiectelor n tabele. Cu ajutorul lui Get-Next-Request se poate cere, ntr-un
mod simplificat, urmtorul obiect din tablou, incrementnd cu o unitate poziia din tabel
setat de Get-Request.
Mesajul Get-Response d rspunsul la una din tipurile de cereri descrise mai sus poate
fi dat de elementul de reea prin intermediul agentului asociat.
Set-Request permite modificarea de la distan a configuraiei parametrilor
elementului de reea administrat.
SNMP Trap este singurul tip de mesaj nesolicitat de staie, care poate fi generat de
agent atunci cnd acesta dorete s informeze managementul de sistem despre apariia
unui anumit eveniment.
Concluzii
n cadrul acestui capitol am trecut n revist cteva dintre cele mai uzuale i
moderne moduri de abordare a managementului reelelor de telecomunicaii. Am pornit cu
prezentarea managementului sistemelor ce pot fi reprezentate de modelul de referin OSI
al ISO, acestea fiind i primele i cele mai complexe ncercri de standardizare n
domeniu. A fost prezentat apoi un model de reea de management distinct de reeaua de
telecomunicaii (TMN), aceasta fiind una din abordrile utilizate n prezent.
Principalele caracteristici ale TMN care sunt de interes din aceast perspectiv:
35
arhitectura TMN - sunt specificate trei tipuri de arhitecturi: funcional,

informaional i fizic;
interfeele standard - exist trei tipuri de interfee (Q, X i F) prin intermediul
crora este realizat interoperabilitatea managementului dintre diferite elemente de reea;
modelul informaional al TMN - este constituit dintr-o mulime de obiecte
administrate, care reprezint resursele administrate ale reelei;
protocolul de management al TMN - determin modul n care sunt transportate
informaiile de management de la un cap la altul al reelei;
modelul agent-manager - specificaiile TMN adopt modelul de comunicare larg
rspndit, tip agent-manager, prin care sistemul de management emite instruciunile de
management spre ageni i recepioneaz datele de management de la acetia.
Teste de verificare
1. Definii i explicai coninutul urmtoarelor noiuni: proces de management, agent
de management, baza informaiilor de management, arborele informaiilor de
management, obiect administrat, sistem de operare de reea.
2. Descriei elementele componente ale unei activiti de management de reea i
stucturarea lor pe nivele ierarhice.
3. Enumerai clasele de servicii definite de CMISE
4. Definii i explicai conceptul TMN
5. Descriei arhitectura fizic i arhitectura funcional a TMN
6. Descriei protocolul SNMP i utilizarea sa n administrarea reelelor
7. Descriei protocolul CMOT
8. Precizai cele 5 elemente componente care definesc un obiect administrat
9. Precizai cel puin 5 grupuri de obiecte din MIB-II
10. Dai trei exemple de obiecte din grupul interfee
11. Precizai la ce se refer obiectul ifMtu
Rspunsuri:
3.
a) servicii de asociere de management;

b) servicii de raportare de management;
c) servicii ale operaiilor de management.
4. TMN definete o reea de management pentru reelele de telecomunicaii i are la baz

patru tipuri distincte de arhitecturi: funcional, fizic, stratificat logic i
informaional. TMN reprezint suportul prin care se transmite informaia de
management necesar administrrii reelei de telecomunicaii.
5. Sistemul de operare, elemente de reea, adaptoare de management (adaptor Q),
dispozitive de mediere, reeaua de transmisii de date, staiile de lucru ale
administratorului de reea
36
6. Modelul de administrare pe care se bazeaz SNMP este format din staii de

administrare i elemente de reea.
Staiile de administrare de reea asigur execuia protocoului de administrare a

reelei i a aplicaiilor de administrare care urmresc i controleaz elementele
reelei.
Elementele din reea, numite i elemente administrate, sunt echipamente de tipul
sistemelor gazd, puni, rutere, comutatoare, echipamente care au ageni care
ndeplinesc funciile de administrare solicitate de ctre staiile de administrare, sau
eventual semnaleaz diferite evenimente.
SNMP asigura modalitatea de comunicare ntre statiile de administrare i elementele de

reea. Este conceput ca un protocol simplu care d posibilitate administratorului reelei s
inspecteze sau s modifice variabile la un element de reea, de la o staie aflat la distan.
Implementarea SNMP se remarc prin relativa simplitate i prin faptul c necesit resurse
reduse din partea reelei.
Strategia urmarit la implementarea SNMP este ca toat administrarea s poat fi facut la
staia de administrare, cu exceptia unor situaii rare. Staia de administrare interogheaz
(poll) elementele de reea pentru a obine informaii sau pentru a modifica variabile la
elementul de reea. Elementul de reea va iniia comunicaia cu staia de administrare (prin
Trap) doar n situaii deosebite. Mesajele Trap nesolicitate pot fi trimise de la un element
de reea pentru informare sau pentru corectarea temporizrii la interogari de la staia de
administrare. Numrul mesajelor Trap este nsa limitat pentru a se evita traficul intens i
solicitarile reelei pentru activitatea de administrare.
Operatii SNMP
Sistemele de gestionare a retelelor (NMS) si agentii SNMP, schimba informatii SNMP
prin intermediul unor operatii. Fiecare din operatiile SNMP are o datagrama (PDU)
standard. Aceste operatii sunt:
get
getnext
getbulk (SNMPv2 si SNMPv3)
set
getresponse
trap
notification (SNMPv2 si SNMPv3)
inform (SNMPv2 si SNMPv3)
report (SNMPv2 si SNMPv3)
Aceste operatii sunt implementate de majoritatea NMS-urilor sau pot fi gasite sub forma
de pachet de tool-uri n linie de comand. Un astfel de pachet este NetSNMP Tools care
este un proiect open source, i care ofera un set de programe n linie de comand ce
permit executarea operaiilor mai sus menionate.
37
8.
a) nume obiect - denumirea unic a obiectului cu rol de identificator;

b) sintax denumire conform regulilor ASN.1;
c) definiie descrie semnificaia obiectului;
d) acces precizeaz drepturile de acces asupra obiectului;
e) stare precizeaz statul obiectului (obligatoriu, opional sau nvechit)
9.
a) grupul sistem
b) grupul adrese IP
c) grupul protocoale TCP
d) grupul protocoale UDP
e) grupul interfee
f) grupul protocoale SNMP
10.
a) ifNumber
b) ifType
c) ifTable
11. ifMtu se refer la lungimea maxim exprimat n octei a pachetelor ce pot fi
transmise/recepionate pe interfaa specificat
Test de autoverificare
Folosind cuvinte cheie sau espresii i termeni din text, completai spaiile goale din testul
de mai jos:
1. Procesul de management este responsabil de
............................................................ i
....................................................................................................
2. Agentul de administrare dialogheaz cu peocesul de management transmind

.................................................................... i primind ............................................
.........................
3. Obiectele administrate sunt ...................................................................................
4. MIB este o ............... cce conine ............................................................................

5. Un obiect din MIB este caracterizat de
............................................................................
38
6. Managementul sistemelor ISO-OSI este constituit dintr-o suit de servicii i

protocoale definite n ...........................................
7. Clasele
de
servicii
definite
.........................................................
b) ............................................................,
de
sunt:
CMISE
a)
c) .......................................................
8. O asociere de management este .............................................................................

........................................................................................................
9. Principiul
de
baz
al
........................................................................
susine
TMN
..................................................................................................................................
10. Sistemul de operare de management este ............................................... care se

afl
instalat
................................................................
..............................................
11. Reea de comunicaii

.................................
de
date
pentru
management
are
(DCN)
rolul
este
i asigur ...................................................................................................
12. Adaptorul
Q
este
un
....................................................................
dispozitiv
care
asigur
drept
scop
..................................................................................................
13. Dispozitivul
de
mediere
are
................................................................................
14. Arhitectura fizic
a
........................................,
TMN
39
conine
........................................,
..................................................., ..................................................
15. Arhitectiura
funcional
a
....................................................................
evideniaz
TMN
.......................................................................................................................
16. Conceptual, SNMP opereaz cu urmtoarele noiuni: .............................,
......................................................, ....................................................................
17. SNMP folosete un set
...........................................
standard
de
mesaje
pentru
asigura
........................................................., fiecare din aceste mesaje fiind transmis ntrun unic

pachet .......................
18. CMOT este un protocol de nivel .............................., folosit pentru administarea
reelelor cu arhitectur ..........................
40
Tema 3. Windows Server 2003

Tema are ca scop cunoaterea sistemelor de operare care stau la baza
funcionrii i administrtrii reelelor de tip Windows.
Care sunt principalele sisteme de operare de reea de tip Windows Server
(2000, 2003, 2008)
Componentele sistemului de operare Windows Server 2003
Timpul
minimde
pereea
care asigurate
trebuie s-l
modul
este de 10
ore. 2003
Serviciile
deacordai
sistemulacestui
de operare
Windows
Server
Rolul principalelor servere de reea
Serviciul de directoare Active Directory
Structurarea domeniilor i subdomeniilor n arbori i pduri
Ce este o relaie de ncredere ntre domenii administrate separat
Cuvinte cheie: server, client, domeniu, controler de domeniu, arbore de domenii, pdure
de domenii, Active Directory, server DNS, server DHCP, server ISA, politic de
securitate, catalog global
Cuprins
3.1 Introducere
3.2 Cele mai importante caracteristici ale Windows Server 2003
3.3 Componentele Windows Server 2003
3.4 Active Directory
3.5 Crearea unui domeniu i a unei pduri
Bibliografie
[1] Munteanu A., Greavu-erban V., Cristescu G. Reele Windows. Servere i clieni.
Exemple practice, Editura Polirom, Bucureti, 2004
[2] Munteanu A., Greavu-erban V. Reele locale de calculatoare. Proiectare i
administare, Editura Polirom, Bucureti, 2003
41
3.1 Introducere
Windows Server este un brand ce cuprinde o serie de produse software pe care se poate
construi o infrastructur de reea, aplicaii i servicii web destinate nevoilor informaice
specifice organizaiilor, ncepnd de la cele simple, de tipul grup de lucru, pn la cele
complexe, bazate pe data center.
Seria de servere Windows cuprinde sisteme de operare de reea cum ar fi Windows Server
2000, 2003, 2008, dar i multe aplicaii de sine stttoare cum ar fi Exchange Server, SQL
Server, ISA Server, IIS Server, Forefront Server, Communication Server etc.
Windows Server 2003 este un sistem de operare de reea fiabil, care ofer soluii simple i
rapide pentru firme (mediu enterprise).
Acest pachet software este o alegere ideal pentru a crea un mediu colaborativ, sub forma
unei reele de organizaie, adecvat satisfacerii cerinelor de fiecare zi ale firmelor de orice
dimensiune.
Windows Standard Server 2003 constituie o soluie pentru:
partajarea fiierelor i imprimantelor,
conectarea securizat la Internet,
securizarea aplicaiilor, clienilor, fiierelor,
desfurarea centralizat a aplicaiilor din spaiul de lucru,
posibilitatea unei colaborri fructuoase ntre angajai, parteneri i clieni.
Windows Standard Server 2003 permite multiprocesarea. Multiprocesarea simetric
(SMP) este o tehnologie care permite software-ului s utilizeze mai multe procesoare pe un
singur server pentru a mbunti performana, un concept cunoscut i sub denumirea de
scalare hardware sau scaling up.
3.2 Cele mai importante caracteristici ale Windows Server 2003

1. Uor de implementat, administrat i utilizat
Cu interfaa sa familiar, Windows Server 2003 este uor de utilizat. Asistenii de tip
wizard simplific setup-ul diferitelor roluri de server i fluentizeaz sarcinile de administrare.
Administratorii au la ndemn mai multe caracteristici noi sau mbuntite,
proiectate pentru facilitarea implementrii Active Directory. Copii ale structurilor Active
Directory de mari dimensiuni pot fi distribuite pe medii de backup. Upgrade-ul de la
versiunile anterioare, cum ar fi Windows NT Server 4.0, este simplificat cu Active Directory
Migration Tool (ADMT), care copiaz parolele i este deplin programabil prin scripturi.
42
Administrarea Active Directory este mai uoar, avnd posibilitatea de redenumire

a domeniilor sau redefinire a schemelor.
Administratorii dispun de flexibilitatea mai mare pentru a face fa schimbrilor
organizaionale ce pot aprea.
n plus, cross-forest trusts permite administratorilor s conecteze structuri forest
Active Directory, asigurnd autonomia fr a sacrifica integrarea.
n final, instrumentele mbuntite pentru distribuire, cum ar fi RIS (Remote
Installation Services), ajut administratorii s creeze imagini de sistem pentru a le instala pe
servere.
2. Infrastructur sigur
Arhitectura hardware este modular, structurat pe mai multe niveluri (fig 1).
Aplicaii Win32
Aplicaii POSIX*
Aplicaii OS/2
Subsistemul Win32
Subsistemul POSIX
Subsistemul OS/2
Modul utilizator
Modul kernel
Servicii executive
Manager
I/O
Manager
securitate
Manager
memorie
Manager
procese
Manager
plug&play
Manager
frerstre
Manager obiecte
Sistem de
fiiere
Kernel
Drivere dispozitive
Hardware Absrtraction Layer (HAL)
Drivere ptr.
dispozitive
grafice
Hardware
Fig. 1 Structura sistemului de operare Windows Server 2003

* POSIX or "Portable Operating System Interface [for Unix]"[1] is the name of a family of related standards
specified by the IEEE to define the application programming interface (API)
3. Cost total de deinere mai sczut prin utilizarea celor mai noi tehnologii
Windows Server 2003 asigur multe avantaje de ordin tehnic ce ajut organizaiile s
scad costurile totale de deinere.
43
De exemplu, Windows Resource Manager, permite administratorilor s seteze nivele

maxime de alocare a resurselor (procesoare sau memorie) pentru aplicaiile server.
Administrarea acestor resurse se face prin setri Group Policy.
Sistemele de stocare ataate la reea permit consolidarea serviciilor de fiiere.
4. Creare facil de site-uri Web dinamice pe intranet sau Internet

IIS 6.0, serverul Web inclus n Windows Server 2003, asigur o securitate
mbuntit i o arhitectur solid ce ofer aplicaiilor izolare i performan de excepie.
Rezultatul este o mai bun fiabilitate, iar serviciile Microsoft Windows Media uureaz
construirea de soluii performante pentru fluxuri media cu programare dinamic a
coninutului.
5. Dezvoltare rapid cu Integrated Application Server
Arhitectura Microsoft .NET Framework este adnc integrat n sistemul de operare
Windows Server 2003. Microsoft ASP.NET face posibil crearea de aplicaii Web de nalt
performan.
Cu tehnologia .NET, dezvoltatorii sunt eliberai de sarcina scrierii codului pentru
conectare, putndu-se concentra asupra aspectelor importante, de funcionalitate. Mai mult, ei
pot dezvolta aplicaii folosind limbajele i instrumentele cu care sunt obinuii.
Windows Server 2003 asigur multe caracteristici ce sporesc productivitatea
dezvoltatorilor i valoarea aplicaiilor. Aplicaiile existente pot fi rempachetate ca servicii
Web XML.
Aplicaiile UNIX pot fi uor integrate sau migrate. Dezvoltatorii pot construi rapid
aplicaii i servicii Web orientate spre dispozitivele mobile prin ASP.NET Mobile Web
Forms sau alte instrumente.
6. Instrumente robuste de management
Ateptat pentru a fi disponibil ca i component add-in, instrumentul GPMC (Group
Policy Management Console) permite administratorilor s distribuie i s gestioneze mai
bine politicile ce automatizeaz configurrile cheie n arii cum ar fi staiile utilizator, setrile,
securitatea i profilurile roaming.
Un nou set de instrumente n linia de comand va oferi administratorilor posibilitatea
de a scripta i automatiza funciile de management majoritatea sarcinilor de administrare vor
putea fi efectuate din linia de comand dac se dorete.
Suportul pentru Microsoft Software Update Services (SUS) va ajuta administratorii
s automatizeze distribuirea i instalarea ultimelor actualizri software disponibile.
Serviciul Volume Shadow Copy mbuntete backup-ul, restaurarea i sarcinile de
administrare SAN (System Area Network).
44
7. Funcionaliti noi pentru utilizatori, simultan cu reducerea costurilor

Cu noua caracteristic Shadow Copy, utilizatorii pot regsi instantaneu versiuni
anterioare ale documentelor.
mbuntirile aduse la nivelul DFS (Distributed File System) i serviciului de
replicare a fiierelor asigur utilizatorilor o modalitate consistent de a-i accesa fiierele
oriunde s-ar afla.
Pentru utilizatorii de la distan care au nevoie de securitate la nivel nalt, Connection
Manager poate fi configurat s acorde utilizatorilor acces VPN fr ca acetia s fie nevoii
s cunoasc informaiile tehnice necesare setrii conexiunii.
3.3 Componentele Windows Server 2003

Windows Server 2003 este un sistem de operare de reea de tip enterprise destinat
gestionrii resurselor (resurse fizice, aplicaii, clieni) ntr-o reea de organizaie, cu o
arhitectur de tip client - server. Componentele sale sunt destinate n primul rnd gestionrii i
folosirii n comun a acestor resurse i nu transferului de date n reele mari sau ntre reele.
Sistemul de operare conine i unele faciliti de lucru n reele de arie larg, cum ar fi
conectare la distan, aplicaii VPN, tehnici de rutare etc.
Componentele principale ale Windows Server 2003 sunt aplicaii instalate pe sereve
dedicate, destinate lucrului cu fiiere, printrii, securizrii clienilor i aplicaiilor, conectrii
la distan, dezvoltrii de aplicaii web, serviciului de pot electronic etc.
1. Server DNS
Serverul de nume de domenii este necesar pentru buna funcionare a serviciului Active
Directory.
DNS-ul reprezint mecanismul prin care sunt denumite i recunoscute toate resursele
unei reele Windows. Pe de alt parte, fiecare resurs din reea are i o adres IP de
identificare unic. DNS-ul face rezoluia numelor cu adresele IP. Un serviciu DNS cuprinde
urmtoarele componente:

spaiul numelor de domenii

nregistrri de resurse
servere DNS
clieni DNS
Spaiul numelor de domenii este o structur arborescent care pornete de la o rdcin, de

exemplu .ro, din care se formeaz recursiv subdomenii n care se fac nregistrrile de resurse.
De exemplu, o resurs poate fi un calculator al unui student denumit student_1.utm.ro. O alt
resurs poate fi adresa e-mail a unui student nume_student@utm.ro
45
Serverul NS este calculatorul pe care se configureaz softul specific acestui tip de serviciu i
conine dou elemente: name sreverul i resolverul. Serverul de nume are rolul de a
rspunde cererilor lansate prin intermediul browserului de conversie a numelui n adrese IP.
Dac serverul nu poate da acest rspuns, atunci apeleaz resolverul care va trimite cererea la
un alt server DNS situat pe un nivel superior. Dac nici aceste nu poate rezolva cererea, o va
trimite mai departe, spre alt server etc.
Cea mai uzual nregistrare de resurs n baza de date a serverului DNS este adresa IP a
resursei.
O alt nregistrare important este SOA (Start of Authority). Ea conine informaii foarte
importante folosite de serverul DNS n rezolvarea cererilor de numelor de domenii:
-
denumirea serverului de nume al zonei,
adresa de mail a administratorului dimeniului,
numrul serial al zonei,
timpul de ateptare al transferului de date ntre zone, atunci cnd o zon nu mai
este disponibil
timpul de via al unei nregistrri,
aliasul (CNAME) al unui host.
n configurarea unui server DNS se folosete conceptul de zon, care reprezint o seciune
continu din spaiul numelui de domeniu. nregistrrile pentru o anumit zon sunt sunt
memorate i gestionate la un loc, chiar dac domeniul este mprit n subdomenii. De
exemplu studenti.utm.ro i profesori.utm.ro sunt zone separate ale domeniului utm.ro. Zonele
pot fi de dou feluri:
-
primar n care se pot face actualizri

secundar, copie a celei primare.
O zon este de fapt o baz de date pentru un singur nume de domeniu. Dac se mai adaug i
alte domenii dup cel folosit pentru a crea zone, acestea pot s fac parte din aceeai zon sau
din zone diferite. Presupunnd c s-au creat subdomenii noi, acestea pot fi gestionate ca parte
a nregistrrilor din zona de origine sau pot fi delegate unei alte zone, creat pentru a deservi
acel subdomeniu. De exemplu cnd se creaz prima dat domeniul utm.ro pe un server, va fi
cofigurat ca o singur zon pentru ntreg spaiu al numelor DNS din utm.ro. Dac
administratorul va crea ulterior subdomenii n domeniul utm.ro, de exemplu inf.utm.ro sau
psih.utm.ro, acestea pot fi incluse n zona creat odat cu utm.ro sau pot fi delegate altei zone.
Orice zon nou creat trebuie s aib asociat un nume ce deriv din spaiul numelor DNS-ului
pentru care serverul respectiv este autorizat s rezolve cererile. n cazul nostru, numele zonei
va fi chiar utm.ro. Deoarece zona este din punct de vedere fizic o baz de date, trebuie stabilit
46
un nume pentru fiierul carte va gestiona nregistrrile serverului DNS. Acest nume va fi de
forma utm.ro.dns, unde .dns are semnificaia de extensie a numelui fiierului.
Un server DNS trebuie instalat i apoi administrat. Rolul de server DNS se instaleaz, de
regul, odat cu Active Directory, dar se poate face i separat. Dup alegerea rolului,
procesul de instalare este uor, realizat printr-un wizard. La nceput acesta detecteaz toate
setrile ce in de configurarea reelei. Apoi administratorul poate alege opiunea de
configurare tipic sau la cerere. Ultima necesit luarea unor decizii/opiuni din partea celui
care face instalarea. De asemenea, trebuie selectat varianta de DNS recomandat pentru
reele (ntreprinderi) mici/medii sau mari. Pentru cazul mici/medii se alege
o Create forward lookup zone (recommanded for small networks)
Aceast opiune ne oblig s spunem serverului nostru de DNS care este urmtorul server
DNS care va rezolva cererile pe care serverul nostru nu le poate rezolva.
2. Active Directory i Domain Controller
Active Directory reprezint organizarea resurselelor din reea, iar Domain

Controller este serverul care gzduiete AD i face serviciul de administrare a datelor.
Rolul de DC se instaleaz odat cu AD.
Un domeniu reprezint o grupare logic de servere i alte resurse dintr-o reea sub
un singur nume de domeniu.
Un domeniu este o structura logica care va avea propriile politici de grup si va
putea avea relatii de ncredere cu alte domenii.
Domeniul este cea mai simpl unitate de reproducere i securitate ntr-o reea
Windows.
Utilizarea domeniilor ofer urmtoarele avantaje:
Politicile de grup nu trec de la un domeniu la altul ci se vor opri la limitele
domeniului.
ajuta la structurarea retelei astfel nct sa reflecte mai bine structura organizatiei
sau grupului.
permite delegarea autoritatiilor administrative.
Fiecare domeniu va contine doar informatii care se refera la obiectele din

domeniul respectiv.
Fiecare domeniu cuprinde unul sau mai multe controllere de domeniu.
47
Un controller de domeniu este o aplicaie soft de tip server, care ruleaz pe un calculator
unde este instalat o versiune de server Windows (2000, 2003, 2008) sau Linux, ce se
ocup de managementul resurselor de reea, ceea ce include logarea, autentificarea i
accesul la resurse, politici de securitate.
Fiecare domeniu are propriile forme de securitate i relaii speciale cu alte domenii. Uneori un
domeniu se poate ntinde pe mai multe locaii fizice, alte ori se pot crea mai multe domenii pe
aceeai locaie, pentru a separa funcional uniti ale organizaiei.
Un controller de domeniu conine urmtoarele informaii ce fac parte i din Active
Directory :
- Date despre fiecare obiect i container din domeniul respectiv
- Date despre alte domenii din arbore sau pdure, pentru a putea asigura
localizarea resurselor
- O list cu toate domeniile din arbore i pdure
- Locaia serverului de tip Catalog Global. Catalogul Global se ocup de
rezovarea interogrilor obinuite. Este creat i remprosptat cu informaii
noi provenite din Active Directory.
3.
Terminal server
TS este aplicaia care implementeaz serviciul terminal. Terminal services ofer

acces la distan la un server (staie de lucru) pe care ruleaz diferite aplicaii. Prin
intermediul Terminal Services, programul client nu recepioneaz dect interfaa utilizator,
toate comenzile transmise pri intermediul tastaturii sau mousului fiind procesate de ctre
server. Pentru utilizator sesiunea de lucru pare a se desfura chiar pe staia local. Fiecare
utilizator logat cu cont i parol personale, vede propria sa sesiune de lucru, are propriu su
desktop, ruleaz propriile aplicaii independent de ali utilizatori cu care partajeaz resursele
serverului. Mai mult, maina local la care lucreaz un utilizator poate fi una de tip thin
client, cu resurse hard foarte reduse, deoarece ea are rol doar de simulare a unui
terminal.Pentru conectare la terminal server, utilizatorul are la dispoziie aplicaii client:
Remote desktop i
Remote Assistance,
ambele implementate n toate sistemele de operare Wondows ncepnd cu Windows NT.
4.
DHCP server
Dynamic Host Configuration Protocol este un standard IP (face din suita de protocoale
TCP/IP) conceput n scopul simplificrii procesului de administarea a adreselor IP ntr-o
reea. Un server DHCP va fi configurat cu setarile corespunzatoare pentru o retea data. Aceste
setari includ un set fundamental de parametri cum ar fi gateway, DNS, masti de retea, si o
48
clasa de adrese IP. Utilizarea DHCP intr-o retea inseamna ca administratorii nu trebuie sa
configureze aceste setari individual pentru fiecare client din retea. DCHP va distribui automat
acesti parametri fiecarui client individual.
Serverul DHCP atribuie unui client o adresa IP luata dintr-un grup de adrese (numit n
limbajul de specialitate scope) predefinit pentru un anumit timp.
Administrarea serverului DHCP include urmtorii pai :
mprirea adreselor disponibile n grupuri de adrese numite scope
Stabilirea pentru fiecare scope n parte : defaul gateway, server DNS, server WINS
Stabilirea pentru fiecare scope n parte a duratei de nchiriere
Stabilirea rezervrilor de adrese pentru clienii care au nevoie mereu de aceiai
adres.
Daca o adresa IP este necesara pentru mai mult timp decat a fost setat timpul alocat, clientul
trebuie sa ceara o extindere inainte ca perioada sa expire. Daca clientul nu a solicitat o
reinnoire a perioadei de alocare (lease time), adresa IP va fi considerata libera si va fi alocata
unui alt client. Daca utilizatorul doreste sa-si schimbe adresa IP poate utiliza comanda
ipconfig /release urmata de ipconfig /renew in linia de comanda. Aceasta va sterge
adresa IP curenta si va aloca una noua. Pot fi definite rezervari intr-un server DHCP pentru
a permite anumitor clienti de a avea propria adresa IP. Adresele pot fi rezervate pe baza
adresei MAC sau a hostname-ului astfel incat acesti clienti vor avea o adresa IP fixa ce este
configurata automat. Majoritatea furnizorilor de servicii Internet utilizeaza DHCP pentru a
atribui noi adrese IP calculatoarelor client cand acestea se conecteaza la Internet, ceea ce
simplifica lucrurile la nivelul utilizatorului.
5.
Server web (IIS Internet Information Server)
Internet Information Server este serverul web care suport aplicaiile web dezvoltate pe
platforme Windows. Este cel mai utilizat server web la ora actual dup Apache HTTP
Server. Ultima versiune IIS 7.5 suport HTTP, HTTPS, FTP, FTPS, SMTP i NNTP. Este
parte component a familiei Windows Server, dar i a sistemelor de operare Windows Vista,
Windows 7 i chiar unele versiuni de Windows XP. Totui el nu se instaleaz n mod implicit
cnd se instaleaz sistemul de operare.
Un server web este o aplicaie soft rezident pe o main fizic care gzduiete pagini sau
situri web i care accept cererile unui client de web (program de navigare), proceseaz
cerere i ntoarce rspunsul solicitat. Serverele web moderne efectueaz mai multe operaii
dect acceptarea cererilor de cutare, localizarea fiierelor prin adresa URL i returnarea
coninutului acestora solicitantului. Procesarea fiecrei cereri poate cuprinde o serie de pai
cum ar fi:
- Rezolvarea numelui paginii web cerute implicnd un serviciu DNS
- Autentificarea clientului
49
- Verificarea drepturilor de acces ale clientului

- Verificarea drepturilor de acces asupra paginii
- Verificarea memoriei cash
- Obinerea paginii cerute de pe suportul fizic
- Determinare tipului MIME ce va fi inclus
- Transmiterea rspunsului
- nregistrare n jurnalul serverului
Internet Information Services (IIS) 6.0 este un server de Web cu toate caracteristicile
necesare aplicaiilor i serviciilor Web XML din ziua de azi. IIS 6.0 a fost complet
reproiectat, noua arhitectur avnd un model de procesare tolerant la defecte, capabil s
creasc dramatic fiabilitatea site-urilor i aplicaiilor Web.
IIS poate s izoleze unele de altele aplicaiile sau site-urile Web. Acestea sunt dispuse n
procese independente (numite application pool) ce comunic direct cu kernel-ul sistemului de
operare. Caracteristica este de natur s creasc throughput-ul i capacitatea aplicaiilor,
simultan cu economisirea resurselor pe servere, reducnd efectiv nevoile hardware. Aceste
application pools independente previn propagarea problemelor unei aplicaii individuale la
alte site-uri, aplicaii sau servicii Web XML ce ruleaz pe acelai IIS.
IIS ofer de asemenea capabiliti de monitorizare pentru descoperirea, recuperarea i
prevenirea cderilor aplicaiilor Web. Pe Windows Server 2003, Microsoft ASP.NET
folosete nativ noul model de procesare al IIS. Aceste caracteristici avansate vor fi disponibile
i aplicaiilor Web deja existente, care deocamdat ruleaz nc pe IIS 4.0 sau 5.0 marea
majoritate a acestor aplicaii nu vor necesita vreo modificare n cazul migrrii la IIS 6.0.
6.
ISA Server
Internet Security si Acceleration (ISA) Server este o componenta de mare ajutor n

protejarea mediilor IT i a infrastructurilor de date oferind utilizatorilor acces de la distan
att pentru resursele interne ct i pentru procesele tehnice operate n cadrul administrrii
reelei locale. Este succesorul lui Microsoft's Proxy Server 2.0 i parte a Microsoft .NET.
ISA Server 2004 este o soluie de securitate a reelei Windows care nglobeaz:
- firewall- protecie la virui i acces neutorizat
- web caching accesul rapid la resurse din Internet
Faciliti ISA Server:
- multinetworking permite divizarea reelei interne n subreele pe principii
funcionale (compartimentale) i stabilirea regulilor de tranasfer a datelor ntre
subreele (reguli bazate pe rutare sau pe translaie de adrese).
Permite crearea reelelor de perimetru (reele ecranate, DMZ) pentru protejarea
serverelor publice la accesul din Internet
50
- politica de firewall care permite controlul porturilor surs i destinaie pentru

toate protocoalele, autentificare de tip Windows sau RADIUS, sau RSA,
definirea propriilor obiecte de reea (calculatoare, reele, seturi de reele etc. ),
intervale de adrese IP, redirectarea conexiunilor spre servere publice etc.
- suport pentru clieni VPN. ISA permite crearea conexiunilor VPN (conexiuni
securizate peste o reea public) ntre locaii distante ale organizaiei, accesul la
distan securizat pentru membrii organizaiei sau pentru clieni ai acesteia.
- monitorizare complex a traficului prin configurarea dorit a politicilor de
firewall
7.
Exchange Server
Serverul pentru pot electronic, mesagerie i lucru colaborativ n organizaie pus la

dispoziie de Microsoft este Exchange Server. Principalele caracteristici sunt: pot
electronic, calendar, list contacte, suport pentru acces la informaii web, inclusiv pentru
telefonie mobil, data storage etc.
Serviciul Windows Exchange are numeroase versiuni, de la Exchange 1.0 pentru Windows
95, pn la Exchange Server 2010 lansat n 2009 n mai multe variante.
Un server de pot electronic are, n principal, urmtoarele funcii:
gzduiete i administreaz conturile utilizatorilor de mail
verific accesul utilizatorilor la serviciu de mail
accept cereri de conexiune de la clieni de mail
ruleaz protocolul SMTP prin care se face transferul mesajelor de pot
gzduiete mesajele de pot prin intermediul cutiilor potale ale abonailor
Deoarece Exchange server este deplin integrat cu Active Directory, crearea conturilor de mail
se poate face direct din AD.
Pentru o bun funcionare a serviciului de pot electronic, pe server trebuie instalate mai
multe servicii:
.NET Framework
ASP.NET
Internet Information Server
SMTP
NNTP
Una dintre cele mai utilizate metode de acces la un server de mail este direct din Internet, prin
intermmediul unui browser. n exchange, modalitatea de citire a mail-urilor prin HTTP este
Outlook Web Access (OWA). Accesarea serviciului de mail prin Internet poate crea
probleme de confidenialitate i de accea se recomand folosirea unui protocol de navigare
securizat, HTTPS.
8.
Microsoft Office Communications Server
Microsoft Office Communications Server este un server de comunicare n timp real ntre
membrii unei organizaii, asigurnd infrastructura pentru mesagerie instant, transfer de
fiiere, conferine audio, video i web, conectivitate la reeaua telefonic, convorbiri unu la
unu sau unu la mai muli etc.
Serverul de comunicaii folosete, n principal, urmtoarele protocoale:
51
SIP (Session Initiation Protocol)

SIMPLE (Instant Messaging and Presence Leveraging Extensions) and
RTP (Real-Time Transport Protocol).
Serverul de comunicaii accept urmtorii clieni n mediul de comunicaii colaborativ:

Windows Messenger 5.0
Windows Messenger 5.0 for MAC
Microsoft Office Communicator 2005
Microsoft Office Communicator Web Access
3.4 Active Directory

Cea mai simpl definiie pentru Active Directory s-ar traduce ntr-un serviciu cu
ajutorul cruia utilizatorii caut i gsesc obiecte. Principala funcie a unui
serviciu de director este de a permite gsirea informaiei ntr-o reea i a face
accesibile datele proprii ale utilizatorilor.
AD organizeaz resursele unei reele (resurse fizice, utilizatori, aplicaii etc.) ntr-um mod
asemntor cum NTFS organizeaz resursele unei staii de lucru (fiiere, aplicaii etc).
Dar Active Directory face mult mai mult dect a permite utilizatorilor s gseasc
informaiile utile. De fapt, Active Directory reprezint o soluie complet de management al
sistemului informatic al unei reele de calculatoare.
Active Directory are mai multe roluri importante printre care se numr :
baz de date pentru fiecare obiect din reea i atributele sale
un punct central pentru administrare
un mecanism pentru comunicarea ntre sisteme de operare diferite
un mijloc de consolidare a serviciilor de directoare
un sistem de reproducere a datelor.
un sistem de securitate privind acesul la obiecte i relaiile de ncredere ntre

domenii
Active Directory permite gruparea staiilor de lucru mpreun pentru o

administrarea mai uoar. Folosind serviciul de director, staiile de lucru pot fi actualizate,
configurate i chiar depanate de la distan. O singur interfa de management care este
accesibil din orice punct al reelei nseamn eficien sporit i timp ctigat n intervenia
asupra oricror resurse de reea.
52
Active Directory ofer modalitatea de autentificare unic pentru utilizatorii din

reea. Acest lucru nseamn c utilizatorii nu vor mai trebui s rein parole multiple pentru
diverse aplicaii. De fapt, se poate aplica o politic global de securitate pentru configurarea
setrilor conturilor de utilizator.
Fig. 2 Resurse administrate de AD

Active Directory reprezint inima reelelor bazate pe sisteme de operare
Windows. Principalele avantaje oferite de implementarea Active Directory n reea sunt :
Autentificarea utilizatorilor permite identificarea fr echivoc a fiecrui utilizator

al reelei pe baz de utilizator i parol unic.
Administrarea centralizat a tuturor serverelor i staiilor de lucru din reea.
Autorizarea accesului la resurse pentru fiecare resurs din reea pot fi configurate
liste de acces care specific explicit permisiunile pe care le au utilizatorii sau grupurile
asupra resursei respective.
Aplicarea consistent a unor politici de securitate n cadrul reelei. Acesta din urm
este n particular un avantaj foarte important n procesul de securizare al reelei.
Active Directory face un mare pas nainte n direcia furnizrii acestei infrastructuri, n
condiiile n care reduce i costurile meninerii unei staii de lucru sau unui PC.
Cu Active Directory, angajaii pot afla uor informaii despre toate resursele conectate
la reeaua proprie. Administratorii pot gestiona reeaua dintr-un singur punct central, chiar i
atunci cnd organizaia se ntinde n mai multe orae, ri sau continente.
mbuntirile Active Directory n Windows Server 2003

Introdus odat cu Windows 2000, serviciul Microsoft Active Directory simplific
administrarea directoarelor complexe din reele i faciliteaz utilizatorilor localizarea
resurselor chiar i n cele mai largi reele.
n Windows Server 2003 acesta este deplin integrat la nivelul sistemului de operare.
Numeroasele mbuntiri aduse cu Windows Server 2003 faciliteaz utilizarea i
53
implementarea: cross-forest trusts, posibilitatea redenumirii domeniilor, posibilitatea

dezactivrii atributelor i claselor din scheme pentru ca definiiile s poat fi schimbate.
Group Policy Management Console

Administratorii pot utiliza Group Policy pentru a defini setri i aciuni permise
pentru utilizatori i calculatoare. n contrast cu politicile locale, organizaiile pot folosi
Group Policy pentru a seta politici aplicabile unui ntreg site, domeniu sau unitate
organizaional din Active Directory. Managementul bazat pe politici simplific sarcinile cum
ar fi operaiile de actualizare a sistemului, instalarea aplicaiilor, profiluri de utilizator sau
nghearea unui sistem desktop.
Resultant Set of Policy

Instrumentul RSoP (Resultant Set of Policy) permite administratorilor s vad
dinainte efectul pe care l-ar avea aplicarea unei politici asupra calculatoarelor sau
utilizatorilor int. Cu RSoP, organizaiile au la ndemn un instrument puternic i flexibil
pentru planificare, monitorizare i detectare a problemelor Group Policy.
RSoP este o infrastructur furnizat ca set de componente snap-in n MMC (Microsoft
Management Console). Cu ea, administratorii vor putea s determine i s analizeze setul
curent de politici n dou moduri: logging mode i planning mode. Cu logging mode,
administratorii pot stabili ce s-a aplicat unei anumite inte. Iar n planning mode se poate
vedea cum va fi aplicat o politic asupra unei inte i ce rezultate ar avea aplicarea politicii
nainte de a efectua modificarea propriu zis n Group Policy.
Volume Shadow Copy Restore

Ca parte a serviciului Volume Shadow Copy, aceast caracteristic permite
administratorilor s configureze copii ale volumelor cu date critice la anumite momente n
timp, fr a ntrerupe serviciul. Aceste copii pot fi ulterior folosite pentru restaurarea
serviciului sau pentru arhivare. Utilizatorii pot regsi versiuni arhivate ale documentelor lor
transparent meninute de ctre server.
.NET Framework Integrat

Microsoft .NET Framework este modelul de programare al software-ului conectat
prin .NET, pentru tehnologiile destinate construirii, implementrii i rulrii aplicaiilor
Web, programelor client inteligente i serviciilor Web XML.
.NET Framework asigur un mediu de nalt productivitate, bazat pe standarde, pentru
integrarea investiiilor existente cu urmtoarea generaie de aplicaii i servicii. n plus, ajut
organizaiile s rezolve provocarea implementrii de aplicaii capabile s opereze la scar
Internet.
Administrare n linie de comand

Familia Windows Server 2003 aduce o infrastructur pentru administrare din linia de
comand semnificativ mbuntit, permind administratorilor s efectueze cele mai multe
sarcini fr a utiliza interfaa grafic.
54
De importan special este posibilitatea de a efectua sarcini accesnd informaii din

WMI (Windows Management Instrumentation). Caracteristica WMIC (WMI Commandline) furnizeaz o interfa text simpl ce interopereaz cu shell-urile i utilitarele existente,
putnd fi extins prin scripturi sau alte aplicaii destinate administrrii.
Per ansamblu, funcionalitatea mai bun a Windows Server 2003 n ce privete
administrarea din linia de comand, combinat cu scripturile gata folosibile furnizate,
rivalizeaz cu puterea altor sisteme de operare. Administratorii obinuii cu interfaa text
pentru managementul sistemelor UNIX sau Linux pot trece uor la familia Windows Server
2003.
1. Pduri, domenii i relaii de ncredere
n termeni simpli am putea defini cele trei concepte n felul urmtor:

Un forest este o colecie de date partajate i domenii;
Un domeniu este o ierarhie de obiecte care se replic ntre unul sau mai multe
controllere de domeniu;
Un trust reprezint o relaie de ncredere ntre dou domenii pentru a ngdui

utilizatorilor, grupurilor sau computerelor accesarea resurselor n cellalt domeniu.
Un tree (copac) este o grupare de domenii care formeaz un spaiu de nume comun.
Un spaiu de nume comun este un set de nume de domenii n care fiecare

subdomeniu adaug unul sau mai muli identificatori la nceputul numelui DNS de
domeniu. De exemplu, dac domeniul printe este utm.local i subdomeniul su este
inf.utm.local, acestea dou vor forma un spaiu de nume comun.
Numele unui tree (arbore) este numele domeniului care este cel mai nalt n rang.
n exemplul de fa, utm.local este numele arborelui, care se mai numete i rdcina
arborelui de domeniu.
Domeniile n arborii Active Directory impart anumite elemente cum ar fi:
- schema (definiia pentru toate obiectele Active Directory),
- catalogul global (informaia configurrilor din Active Directory).
Aceste obiecte sunt replicate ntre controllerele de domeniu n cadrul tree-ului. n acest fel
se asigur consistena definiiei obiectelor, setrilor, i configuraia Active Directory din toat
organizaia.
Domeniile active directory sunt definite (numite) folosind serviciul de nume DNS.
Domeniile care fac parte dintr-un DNS cunoscut sunt considerate a fi n acelai domain tree.
De exemplu inf.utm.local, psi.utm.local, ase.utm.local i utm.local fac parte din tree-ul
55
utm.local. Un singur domain tree este suficient pentru mai multe implementri, dar n cazul
corporaiilor (care includ mai multe companii) este necesar ca fiecare companie s i pstreze
identitatea i deci i domain name-ul, o s avem de a face cu mai multe forest-uri, domenii i
implicit trust-uri ntre acestea.
Domeniile reprezint partiii logice n Active Directory organizate cu scopul de a

securiza directorul i pentru replicarea acestuia. Domeniile sunt nume unice la fel ca numele
de domeniu ce se regsesc pe internet. De exemplu google.com reprezint un nume de
domeniu i totodat i dga.local.
Domeniile au rolul de container pentru obiectele din Active Directory (acestea
includ utilizatori, servere, staii de lucru, dispozitive de reea, etc). Fiecare domeniu reine
informaii doar despre obiectele ce le conine. Un domeniu Active Directory poate conine
pn 10 milioane de obiecte.
Toi utilizatorii Active Directory trebuie s se autentifice ntr-un domeniu, altfel nu se
pot loga n reea. Controllerele de domeniu sunt responsabile pentru autenticitatea parolelor
utilizatorilor, iar Active Directory ofer securitate pentru autentificarea unic pe ntreg
domeniul.
Domeniile delimiteaz de asemenea i politicile de grup. Politicile de securitate care
sunt definite ntr-un domeniu nu se propag i n alte domenii. Acest lucru nseamn ca
setrile ca de exemplu drepturile administrative nu ajung dintr-un domeniu n altul.
ntr-un domeniu, informaiile despre obiecte sunt replicate ntre toate controllerele de
domeniu pentru a se asigura redundana i securitatea adiional. Fiierele importante dintr-un
domeniu pot fi replicate pentru a asigura suportul n cazul defeciunilor harware sau
mentenanei. Cu toate acestea, informaiile nu se replic ntre domenii. Acest lucru nseamn
c domeniile delimiteaz i replicarea.
Domeniile sunt reprezentate n Active Directory prin obiecte domainDNS. Numele
distinct al unui obiect domainDNS corespunde direct cu numele DNS al domeniului. De
exemplu pentru domeniul inf.utm.local vom avea un DN format din: dc=inf, dc=utm,
dc=local. n tabela de mai jos avem cteva dintre cele mai interesant atribute ce se regsesc
intr-un obiect.
Delimiteaz
politicile
de grup
Delimiteaz
autentificarea
UTM.LOCAL
Delimiteaz replicarea
Fig.3 Obiecte ale domeniului UTM.LOCAL
56
Relaii de ncredere tranzitive

ntr-un arbore Active Directory, relaiile de ncredere leag domeniile ntre ele
pentru ca acestea s poat fi administrate n mod unitar. De fiecare dat cnd un domeniu
este adugat n arbore, se formeaz o relaie de ncredere tranzitiv. Dac domeniul A are trust
cu domeniul B, atunci domeniul A va avea trust cu toate domeniile n care B are trust. n Fig
4, este o relaie de ncredere ntre UTM.LOCAL i INF.UTM.LOCAL.
Dac este adugat nc un domeniu LAW.UTM.LOCAL care are un trust cu UTM.LOCAL,
atunci se va realiza automat un trust ntre cele dou domenii copil.
UTM.LOCAL
Rel. de ncredere
Rel. de ncredere
Rel. de ncredere
tranzitiv
INF.UTM.LOCAL
LAW.UTM.LOCAL
Fig. 4
Realizarea unei relaii tranzitive
UTM.LOCAL
INF.UTM.LOCAL
STUDENT.INF.UTM.LOCAL
Fig. 5 Arbore de domenii
Pdurile Active Directory

O pdure (forest) este compus din unul sau mai muli arbori. Spre deosebire de arbore, o
pdure poate conine mai multe spaii de nume fr s mpart un sufix comun.
n Fig. 6 pdurea conine doi arbori, fiecare cu spaiul su de nume. UTM.LOCAL i
UNIBUC.LOCAL. Pdurea ia numele primului arbore instalat n ea. n acelai fel n care
relaiile tranzitive de ncredere exist ntre domenii ntr-un tree, exist trust-uri bidirecionale
ntre domeniile de vrf din forest.
La fel ca arborii, pdurile mpart o schem comun, o configuraie i un catalog
global.
57
Pdurile reprezint o modalitate de legare a sucursalelor (subunitilor) unei

companii sau a diferitelor organizaii care colaboreaz.
O pdure este o structur logic care reprezint de fapt o colecie de domenii, plus
configuraia i schema contextelor de nume, a aplicaiilor i a partiiilor. Ele sunt
considerate primele linii de securitate n Active Directory. Prin asta se nelege c dac vrem
s restricionm accesul la un domeniu astfel nct administratorii unui alt domeniu s nu aib
acces, este nevoie de implementarea unei pduri separate (i un domeniu n acel forest.) n loc
s folosim un domeniu n acelai forest. Aceasta se datoreaz faptului c exist un nivel de
ncredere tranzitiv ntre toate domeniile unui forest i a permisiunilor extinse pe care grupul
Domain Admins l are.
UNIBUC.LOCAL
UTM.LOCAL
INF.UTM.LOCAL
Schema
FMI.UNIBUC.LOCAL
Configuraia
Catalogul global
Fig. 6 .Pdure de domenii
Rezumat
Reelele Windows sunt o categorie larg de reele de organizaie de tip client-server,
realizate pe baza unor aplicaii software specifice, denumite generic Windows Server.
Reelele Windows sunt n primul rnd reele locale, destinate necesitilor de comunicare i
conlucrare din interiorul unei firme, organizaii sau instituii, dar au i importante componente
specifice reelelor de arie larg.
Seria de produse Windows Server (2000, 2003, 2008) cuprinde principalele aplicaii de
reea: servere de administare, server de email, de baze de date, de fiiere, de printare, de
securitate etc.
Active Directory este componenta de baz a administrrii reelelor Windows. n esen, ea
este o aplicaie n care se pot defini i administra toate obiectele din reea. Domain
Controllerul, care gzduiete Active Directory administreaz toate obiectele de reea din
interiorul unui domeniu Windows.
58
Test de autoverificare
Folosind cuvinte cheie i expresii din text, completai spaiile urmtoare:
1. Windows Server 2003 este .........................................., care ofer soluii pentru
imprementarea urmtoarelor servicii necesare ntr-o oprganizaie:
..............................., ......................................., ...........................................
2. Seria de servere Windows cuprinde sisteme de operare de reea cum ar fi:
...................., ....................., ....................................., dar i servere de sine stttoare:
......................, ......................., ....................................., .........................................
3. Windows Standard Server 2003 permite multiprocesarea, care este o tehnologie ce
admite ............................................................ pentru a spori performana.
4. Arhitectura Microsoft .NET Framework este ...........................
5. Windows Server 2003 este un sistem de operare de reea de tip ....................., destinat
gestionrii resurselor (resurse fizice, aplicaii, clieni) ntr-o reea de organizaie, cu o
arhitectur de tip ........................
6. Sistemul de operare conine i unele faciliti de lucru n reele de arie larg, cum ar
fi: ..............................................., ..............................., ............. ........................
7. Un serviciu DNS reprezint mecanismul prin care sunt ......................................... i
.................................... toate ..............................................
8. Spaiul numelor de domenii este ....................................... care pornete de la o
rdcin, din care se formeaz recursiv ................. n care se fac nregistrrile de
resurse.
9. n configurarea unui server DNS se folosete conceptul de zon, care reprezint
........................................................... nregistrrile pentru o anumit zon sunt sunt
........................................................
10. Active Directory reprezint ....................................................,
Controllerul este ..............................................................
iar
11. Un domeniu reprezint o grupare logic de .......................

..................................., sub un singur ............................................
Domain
alte
12. Domeniul este cea mai simpl ............................................ ntr-o reea .....................
59
13. Un controller de domeniu conine urmtoarele informaii:

-
Date despre fiecare ................ i ......................... din domeniul respectiv

Date despre alte ..................... din arbore sau ......................
O list cu ..................................................
Locaia serverului de tip .........................................
14. Serviciul terminal ofer ............................................ la un server (staie de lucru) pe

care ruleaz ...............................................
15. Serviciul DHCP atribuie unui client luat dintrun . numit .
16. Internet
Information
Server
este
..............................
.................................... dezvoltate pe platforme Windows.
care
suport
17. Un server web este o ......................... rezident pe o main fizic care gzduiete
..............
sau
........................
i
care
accept
cererile
unui
..........................(.....................), proceseaz cererea i ........................... rspunsul
solicitat.
18. ISA server este o soluie .............................. a reelei Windows care nglobeaz
- ............................. - protecie la virui i acces neutorizat
- ............................. accesul rapid la resurse din Internet
19. Funcia
de
networking
a
Windows
server
2003
.................................................... pe principii ............................... i
..........................................................
permite
stabilirea
20. Politica de firewall a ISA server permite controlul ................................................

pentru toate .................................., autentificare de tip .................... sau
............................. sau ..............
21. Principalele caracteristici ale Exchange Server sunt: .......................................,
...................., .................. ........................., suport pentru accesa la .........................,
........................
22. Un server de pot electronic are, n principal, urmtoarele funcii:
-
........................... i ............................. conturile utilizatorilor de email

........................ accesul utilizatorilor
........................ cereri de conexiune
..................... protocolul SMTP prin care se face ..............................
.........................mesajele de email prin intermediul ..............................
60
23. Microsoft Office Communications Server este un ............................................. n

timp real ntre membrii unei organizaii, asigurnd infracstructura pentru
.............................,
......................................,
..............................................,
...................................
24. Serverul de comunicaii folosete, n principal, urmtoarele
.., , .
protocoale:
25. Active Directory organizeaz ..................................... ntr-un mod similar cum NTFS
organizeaz ........................... unei staii de lucru
26. Active Diretory are mai multe roluri:
-
Baz de date pentru ..............................................

Punct central de ....................................................
Sistem de reproducere/replicare a ...................................
Sistem de securitate a ........................................................
27. Un domeniu este o ierarhie de ......................... care se replic ntre unul sau mai multe
.................................................
28. Un
tree (copac) este o grupare de ........................... care formeaz un
..............................
29. Un spaiu de nume comun este un set de ................................., n care fiecare
.................... adaug unul sau mai muli identificatori la ..........................
30. Domeniile ....................... politicile de securitate. Politicile de securitate definite ntrun domeniu ......................... i la alt domeniu.
ntrebri de control
1. Ce este un sistem de operare de reea de tip enterprise i ce servicii de reea sunt
necesare ntr-o organizaie?
2. Cum au evoluat sistemele de operare de reea de tip Windows?
3. Ce este Windows Server 2003 i care sunt componentele sale?
4. Definii conceptul de domeniu Windows i dai exemple. Care este utilitatea unui
domeniu n administrarea reelelor?
5. Ce este serviciul de directoare Active Directory?
6. Ce este un Controller de Domeniu i care este legtura sa cu serviciul de directoare?
61
7. Ce este serviciul numelor de domenii i care este legtura sa cu serviciul de directoare

Active Directory?
8. Ce este un arbore de domenii? Dar o pdure de domenii? Dai exemple.
9. Ce este un trust ntre domenii i ce utilitate are n administrarea reelelor?
10. Descriei paii privind instalarea unui controller de domeniu.
11. Descriei structura unui AD
12. Ce sunt grupurile organizaionale i cum se pot crea? Ce elemente se pot crea i
administra ntr-o UO?
13. Descriei ce este un grup de securitate i cum poate fi creat.
14. Ce este o politic de securitate i cum se poate implementa?
Teme de cas i exerciii

1. ntr-un mediu de virtualizare (VMware ACE, VMware Player sau altele) s se
instaleze o Windows server 2003
2. S se instaleze un Controller de domeniu pe maina virtual Windows server 2003
3. S se creeze i s se administreze conturi de utilizator, grupuri organizaionale i
politici de securitare pe Windows server 2003
4. S se fac un studiu comparativ privind administrarea conturilor utilizatorilor n
mediul Windows Server 2003 i Windows XP
5. S se exemplifice administrarea conturilor de utilizator n mediile Windows
Vista/Windows 7/Windows XP
62
Tema 4 Instalarea unui Controller de Domeniu (DC)

Cum se instaleaz un controller de domeniu
Care sunt componentele (structura) Active Directory (AD)
Cum se pot crea structuri organizaionale
Administrarea obiectelor din AD
Ce sunt arborii i pdurile de domenii
Structurarea domeniilor i subdomeniilor n arbori i pduri
Ce este o relaie de ncredere ntre domenii administrate separat
Cuprins
4.1 Instalarea Active Directory
4.2 Crearea unei structuri organizaionale
4.3 Managementul AD
Cuvinte cheie: Active Directory, controler de domeniu (DC), unitate organizaional (OU),
container, politic de securitate, identificator de securitate, grup de securitate, politic de
grup, domeniu, arbore de domenii, pdure de domenii, relaie de ncredere (trust)
Bibliografie
[1] Munteanu A., Greavu-erban V., Cristescu G. Reele Windows. Servere i clieni.
[2] Munteanu A., Greavu-erban V. Reele locale de calculatoare. Proiectare i administare,
Editura Polirom, Bucureti, 2003
Timp de studiu: minimum 4 ore
63
AD reprezint serviciul director din Windows Server 2003. El stocheaz informaii

despre obiectele (resursele) unei reele oferind posibilitatea de a fi localizate i folosite de
utilizatori. Serviciul AD presupune existena controlerului de domeniu (DC). Fiecare domeniu
trebuie s aib un DC.
4.1 Instalarea Active Directory

DC are rolul de a controla accesul utilizatorilor la aceste resurse de reea. El se instaleaz
pe un server (poate fi acelai cu DNS sau altul) prin stabilirea rolului de DC. Rolul de AD al
unui server se stabilete prin promovarea lui ca DC.
Pentru aceasta se poate folosi utilitarul Manage your server sau comanda
dcpromo din Start Rundcpromo.
Paii sunt urmtorii:
1. Imediat dup lansarea n execuie se deschide fereastra Active Directory Installation
Wizard care conduce instalarea rolului DC.
2. Dac serverul pe care se instaleaz DC este primul din domeniu, la Domain Controller
Type se alege opiunea DC for a new domain Next.
3. Se deschide fereastra Create New Domain cu trei opiuni: Domain n a new forest, sau
Child Domain in an existing domain tree, sau...
4. Dac se alege prima opiune se va crea un nou domenui al crui nume va trebui
specificat, de exemplu utm.ro. Este de menionat c numele domeniului trebuie s
coincid cu cel din DNS. Next.
5. Se specific numele NetBIOS (Domain NetBIOS name) al noului domeniu (se va folosi
acelai nume). Acest nume va fi folosit de staiile cu sisteme de operare mai vechi pentru
identificarea serverului din reea. Next.
6. n fereastra Database and Log Folders se solicit acordul administratorului pentru locaia
bazei de date a AD precum i a fiierelor jurnal. Se recomand alegerea locaiei implicite,
care este n directorul NTDS din directorul de instalare a sistemului de operare. Next.
7. n Shared System Volume se specific locaia directorului SYSVOL n care se pstreaz
i se pun la dispoziie informaii partajate din reea: poltici de securitate, scripturi, profile
etc.
8. Dac nu a fost instalat serviciul DNS, wizardul atenioneaz i cere instalarea acestuia.
Dac ere instalat, se recomand a se face verificri privind integrarea AD cu DNS. Se
face cu comanda: Start Run dnsmgmt.msc OK Se deschide fereastra DNS
Registration Diagnostics Next.
9. Se deschide fereastra utm.ro Properties Rclick pe numele zonei, Dynanic updates
Nonsecure and secure.
10. Se restarteaz calculatorul
4.2 Crearea unei structuri organizaionale

Un aspect important n politica de securitate a unui domeniu Windows este cerarea
conturilor de utilizator, organizarea acestora pe grupuri organizaionale i crearea unei
politici de securitate pe utilizatori separat de staiile de lucru sau de serverele din reea. n
64
multe cazuri este util a se grupa utilizatorii pe criterii funcionale, pe colective care s faciliteze
schimbul de informaii n interiorul grupului i restricionarea accesului userilor din alte grupuri.
Administrarea serverului AD din consol se poate face din: Start Rundsa.msc OK sau
StartAdministrative Tools Active Directory Users and Computers.
n fereastra de administare a AD se vede organizarea arborescent a acestuia, coninnd patru
directoare i un grup organizaional:
Name
Type
Description
Builtin
Computers
Domain Controllers
Foreign Security Principals
Users
Builtin Domain
Container
Org Unit
Container
Container
Default contain
Default contain
Default contain
Default contain
Default contain
Builtin nregistreaz 16 grupuri de securitate asupra crora nu se pot efectua operaii de terere,
mutare sau redenumire. Ele fac parte din categoria celor de top level, neputnd face parte din alte
grupuri de securitate. Operaii permise sunt: schimbarea scrierii, asignarea de adrese de mail,
introducere de noi membrii etc.
Computers este directorul n care se nregistreaz toate staiile de lucru sau serverele membru
care sunt adugate n domeniu. Aceste obiect pot fi ulerior transferate n alte grupuri
organizaionale.
Domain Controllers este grupul organizaional n care se regsesc toate controlerele de domeniu.
ForeignSecurityPrincipals nregistreaz identificatorii de securitate (SID) ai unor obiecte din
exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu care s-au stabilit
relaii de ncredere.
Users reprezint directorul n care se nregistreaz n mod implicit utilizatorii domeniului.
Implicit sunt 17 obiecte n acest director, dintre care 3 utilizatori, iar restul grupuri de securitate.
Elementele care pot fi nregistrate i gestionate ntr-o UO sunt:
Computer staii de lucru sau servere de reea
Contact obiect folosit de AD pentru a gsi diverse informaii
Group grup de securitate prin care se propag politica de securitate asupra membrilor
grupului. Unui grup i se pot asigna membrii, iar grupul n sine poate fi asignat altor
grupuri.
InetOrgPerson categorie special de utilizatori, derivat din clasa User, folosit de
reele non Windows, care folosesc ca serviciu director LDAP sau X400.
Organizational Unit emuleaz o structur organizaional a companiei
Printer imprimante de reea gestionate de AD, pentru a fi gsite i folosite de userii
reelei i pentru configurarea drepturilor de acces asupra lor.
65
User cel mai uzual obiect din AD. n general corespunde unei persoane din cadrul
organizatiei, dar pot fi i obiecte user aparinnd unui grup de persoane, ori aplicaii, ori
grupuri de aplicaii.
Share Folder directoare partajate n reea i nregistrate n AD pentru o mai bun
gestionare i securizare a acestora.
Un obiect special din grupul User este cel de administrator, denumit astfel n mod implicit.
El are cele mai multe drepturi i, ca urmare, este cel mai vnat de atacatori. De aceea, numele
acestuia este schimbat intenionat pentru a nu fi recunoscut uor. Schimbarea denumirii se poate
face prin mai multe procedee (vezi Reele Windows, pag. 124-126). Profilul userului
administrator, chiar denumit altfel, se afl n directorul Administrator, de pe discul C:\ al
serverului PDC (Primary Domain Controller).
Crearea unei uniti organizaionale
Se deschide interfaa Active Directory Users and Computers (ADUC)
n fereastra din stnga se rsfoiete printele ce va conine noua unitate organizaional,
click dreapta pe el i se selecteaz New Organizational Unit.
Se introduce numele dorit si apoi click OK.
Pentru a introduce o descriere a unitii organizaionale, se face click dreapta pe unitatea
organizaional i se selecteaz Properties
Click OK dup ce s-au efectuat operaiunile dorite.
Unitile organizaionale sunt folosite n Active Directory pentru a structura datele. Exist
patru principale motive pentru care este necesar crearea de uniti organizaionale.
1. Segregarea(separarea) obiectelor
Ca o practic general, se grupeaz obiectele cu legtur ntre ele n uniti
organizaionale. De exemplu, obiectele user i computer sunt de obicei stocate n uniti
organizaionale separate (de fapt, aceasta este setarea implicit n Active Directory). Unul din
motivele pentru care acest lucru se ntmpl este acela de a facilita cutarea obiectelor.
2. Delegarea administrrii
Probabil cel mai utilizat motiv pentru a crea uniti organizaionale este delegarea
administrrii. Cu ajutorul unitilor organizaionale se pot acorda unei persoane sau unui grup
diverse funcii i drepturi asupra obiectelor din unitatea organizaional.
3. Aplicarea unei politici de grup
O unitate organizaional este mai mic unitate ce poate creia i poate fi aplicat o
politic de grup. Dac exist mai multe tipuri de utilizatori n organizaie, care necesit politici
de grup diferite, cea mai uoar cale pentru setarea acesteia este de a grupa utilizatorii n uniti
organizaionale diferite.
66
4. Controlarea vizibilitii obiectelor

Se pot utiliza uniti organizaionale ca o modalitate de a restriciona utilizatorii i ceea ce
pot s vad acetia n Active Directory.
Operaii asupra UO
a) Mutarea obiectelor dintr-o unitate organizaional n alt unitate organizaional

i mutarea unitilor organizaionale
Dac este nevoie de schimbarea de domeniu, se face click dreapta pe Active Directory Users
and Computers din fereastra din stnga, se selecteaz Connect to Domain, se introduce numele
domeniului, i apoi click OK.
n panoul din stnga, se rsfoiete unitatea organizaional din care se dorete mutarea
obiectelor i se face click pe acestea pentru a le selecta
Mai departe se face click dreapta i apoi move, urmnd s se rsfoiasc locaia dorit
pentru mutare i click OK.
n cazul n care se dorete mutarea ntregii uniti organizaionale se procedeaz la fel ca
n descrierea de mai sus, numai c se face click dreapta pe OU si se execut move.
b) Delegarea controlului asupra unei uniti organizaionale

Se dorete delegarea accesului administrativ al unei uniti organizaionale pentru a
permite unui grup de utilizatori s gestioneze obiectele din OU.
Dac este nevoie de schimbarea de domeniu, se face click dreapta pe Active Directory
Users and Computers din fereastra din stnga, se selecteaz Connect to Domain, se introduce
numele domeniului, i apoi click OK.
n panoul din stnga, se rsfoiete unitatea organizaional, se face click dreapta pe ea i
se selecteaz Delegate Control.
Se selecteaz utilizatorii sau grupurile dorite folosind butonul Add i apoi click Next.
Se selecteaz tipul de privilegiu i apoi click Next.
Click Finish.
67
c) Legarea unei politici de grup de o unitate organizaional

Se dorete aplicarea de setri politic de grup unor utilizatori i/sau computere dintr-o
anumit unitate organizaional, sau legarea unei politici de grup de o unitate organizaional.
Se deschide interfaa Group Policy Management (GPMC)
Se rsfoiete forestul din panoul din stnga
Se rsfoiete domeniul dorit i se alege unitatea organizaional de care se vrea legarea
politicii de grup.
Click dreapta pe aceasta, si se selecteaz ori Create and Link a GPO Here (dac
politica de grup nu exist) sau Link an Existing GPO (dac politica de grup exist)
4.3 Managementul AD
Managementul AD se face de regul de ctre administratorul de reea. Aceast funcie
realizeaz:
1. Gestionarea grupurilor de securitate
Grupurile de securitate sunt de 2 tipuri:
Grupuri de securitate folosite pentru definirea permisiunilor de acces la
resurse i obiecte
Grupuri de distribuie folosite pentru a distribui mesaje
Ficare din cele dou tipuri poate avea scopuri diferite:
- grup cu scop universal- poate avea drept membrii grupuri sau conturi de
utilizator din oricare domeniu Windows, din cadrul oricrui arbore de domeniu.
- grup cu scop global poate avea membrii numai din domeniul curent, dar pot fi
create politici de securitate i acces la obiectele din oricare domeniu al pdurii
- grup cu scop local poate avea membrii doar din domniul curent, i poate avea
permisiuni numai n domeniul curent.
Crearea unui grup de securitate
Din consola de administrare a AD se d Rclick pe un grup organizationalnewGroup
apoi se specific numele grupului, scopul, tipul i eventual ataarea unei adrese de e-mail dac
serverul de mail este deja instalat, Finish.
Adugarea unui membru la grup
Rclick pe grup, Proprties, Members, Add. Se deschide fereastra Select users, Contacts,
Computers, or Group i se scrie numele utilizatorului pe care dorim s-l cereem, Ok, OK.
Alte operaii asupra grupurilor:
- schimbarea scopului
68
schimbarea tipului
tergerea grupului.
2. Gestionarea conturilor de utilizator

Crearea contului
Rclick pe numele grupului, NewUser
Se completeaz prenumele, numele, Full name, User logon name (numele de acces n reea), se
specific domeniul n care va fi creat (@utm.ro), datele decpre parol i modul de expirare a ei
(la prima conectare (recomandat), nu se poate schimba, nu expir) Finish.
Alte operaii care se pot face asupra conturilor de utilizator:
- copierea
- dezactivarea
- activarea
- tergerea
- modificarea proprietilor
- mutarea
- redenumirea
- schimbarea parolei
- mutarea dintr-un grup n altul
Crearea profilurilor de utilizator

Profilul de utilizator conine setrile personale ale acestuia la interfaa cu utilizatorul
(display). Aceste informaii sunt grupate pe directoarele: Desktop, Favorites, My Documents,
Recent, Send To, Start Menu, Tamplates. Profilul utilizatorului se afl stocat pe directorul
Documents and Settings de pe discul pe care se afl instalat sistemul de operare.
Profilul unui user poate fi de tipul:
- Roaming, (se salveaz pe server la fiecare schimbare fcut de pe orice staie i se reflct la
conectare pe orice staie) sau
- mandatory (obligatoriu), (se creaz pe server i se pune la dispoziie n reea prin sharing, nu
se modific la delogare).
Crearea unui profil se realizeaz automat la conectarea pe o staie de lucru. El se poate copia ntrun template.
Gestiunea resurselor fizice

69
Pe lng grupurile organizaionale, grupurile de securitate, conturile de utilizator, n AD

pot fi adugae i resursele fizice ale reelei: staii de lucru, servere, imprimante.
Adugarea unui membru n AD
De pe staia sau serverul care se dorete a fi adugat se face Rclick pe Start, My
Computer, Properties, Computer NameChange
n fereastra Computer Name and Changes, seciunea Member of se alege Domain i se
specific numele domeniului, OK.
Se va deschide fereastra de autentificare la domeniu n care se specific numele administratorului
domeniului respectiv (sau delegat). Se primete mesajul de Bun venit n reea, dup care se
restarteaz sistemul.
Obs. La configuraia TCP-IP a membrului unui domeniu trebuie s se specifice la Preferred
DNS Server, adresa IP a serverului DNS al domeniului. La Alternative DNS server se poate
(trebuie) specifica(t) adresa IP a serverului DNS secundar sau a serv DNS a ISP-ului.
Pentru a gsi o impimant n AD ea trebuie s fie public i s aib specificat opiunea List in
the directory din fereastra imprimantei (v fig 5.22, pag. 138).
Suplimentar

4.4.1. Crearea unui domeniu
Start -> Run: se folosete comanda dcpromo
Se selecteaz "Domain controller for a new domain" i apoi se alege una dintre
opiunile:
Domain in a new forest
Child domain in an existing domain tree
Domain tree in an existing forest
4.4.2. tergerea unui domeniu

Pentru a terge un domeniu este nevoie de depromovarea tuturor controlerelor de
domeniu din domeniu. Pentru ultimul controller din domeniu este nevoie de selectarea opiunii
70
This server is the last domain controller in the domain" n wizardul dcpromo pentru a putea fi
siguri c obiectele asociate cu domeniul sunt terse.
Not: Dac domeniul pe care vrem s l tergem are subdomenii, trebuie terse mai
nti acestea.
Dup ce controllerul de domeniu a fost depromovat este nevoie de tergerea
nregistrrilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dac nu
au fost terse automat prin deregistrarea WINS-ului sau DNS-ului n timpul depromovrii.
Urmtoarele comenzi ne pot ajuta s determinm dac toate nregistrrile au fost terse:
> netsh wins server \\<WINSServerName> show name <DomainDNSName> 1c
> nslookup <DomainControllerName>
> nslookup -type=SRV _ldap._tcp.dc._msdcs.<DomainDNSName>
> nslookup <DomainDNSName>
4.4.3. Redenumirea unui domeniu

Redenumirea unui domeniu este un proces destul de sofisticat i ar trebui realizat doar
dac este neaprat necesar.
Schimbarea numelui unui domeniu poate avea un impact n aproape toate
componentele ncepnd cu DNS, replicare, politici de grup, DFS, i serviciile de certificare. De
asemenea, schimbarea numelui de domeniu necesit ca toate controllerele de domeniu i
computerele membre s fie repornite.
n Windows 2000 nu exista un proces de redenumire suportat de sistemul de operare.
n Windows 2003 ns, avem un utilitar pus la dispoziie de ctre Microsoft. Acesta
funcioneaz dac avem Windows Server 2003 sistem de operare care ruleaz pe toate
controllerele de domeniu din forest. Se numete rendom.exe i o descriere detaliat se poate
gsi la: http://technet.microsoft.com/en-us/windowsserver/bb405948.aspx
Redenumirea se poate face n cteva feluri:
Redenumirea unui domeniu fr repoziionarea acestuia n domeniu tree;
Repoziionarea domeniului n tree-ul de domeniu;
Crearea unui nou tree de domeniu cu domeniul redenumit.
4.4.4 Crearea unui forest

a) Crearea unui forest nou domeniu rdcin (root domain).
Start -> Run: se folosete comanda dcpromo
Se selecteaz Domain controller for a new domain apoi se d click pe Next

71
Se selecteaz Domain in a new forest i apoi click Next

Se urmeaz restul pailor pentru a ajunge la sfritul wizard-ului.
b) tergerea unui forest

Pentru a terge un forest este nevoie de depromovarea (retrogradarea) tuturor
controllerelor de domeniu din forest. Dup ce am realizat acest proces, n funcie de cum este
configuraie, este nevoie de tergerea nregistrrilor WINS sau DNS care au fost asociate cu
controllerele de domeniu numai dac nu au fost terse automat prin deregistrarea WINS-ului
sau DNS-ului n timpul depromovrii. Urmtoarele comenzi ne pot ajuta s determinm dac
toate nregistrrile au fost terse:
> netsh wins server \\<WINSServerName> show name <ForestDNSName> 1c
> nslookup <DomainControllerDNSName>
> nslookup -type=SRV _ldap._tcp.gc._msdcs.<ForestDNSName>
> nslookup <ForestDNSName>
Aceast metod descris este soluia pentru a nltura cu succes un forest. Se poate de
asemenea terge un forest prin metoda brute-force i anume prin simpla reinstalare a sistemului
de operare pe toate controllerele de domeniu din forest. Aceast metod nu este recomandat
pentru ca nu este o modalitate curat deoarece controllerele de domeniu nu tiu c forestul a
fost ters i pot genera erori pn cnd acesta va fi reconstruit. Va fi totodat nevoie ca toate
nregistrrile DNS pentru controllerele de domeniu s fie terse de pe serverele DNS, deoarece
controllerele de domeniu nu le terg dinamic n timpul procesului de depromovare
(retrogradare).
4.4.5 Operaii cu trusturi

Crearea unui trust tranzitiv ntre dou foresturi Active Directory
Not: Este nevoie ca pe amndou foresturile s avem nivelul de funcionare Windows
Server 2003
Folosind interfaa grafic:
Se deschide Active Directory Domains and Trusts.
n fereastra din stnga, click dreapta pe forestul rdcin de domeniu i se selecteaz

Properties
Click pe tab-ul Trusts.
Click pe butonul New Trust.
Dup ce se deschide wizard-ul, se d click Next.

72
Se tasteaz numele DNS al forestului AD si apoi click Next.
Se selecteaz Forest trust i apoi click Next.
Se completeaz wizard-ul cu urmarea pailor necesari.
Folosind linia de comand:

> netdom trust <Forest1DNSName> /Domain:<Forest2DNSName> /Twoway /Transitive
/ADD[RETURN]
[/UserD:<Forest2AdminUser> /PasswordD:*][RETURN]
[/UserO:<Forest1AdminUser> /PasswordO:*]
n Windows Server 2003 a fost introdus un nou tip de trust i anume forest trust. n
Windows 2000 dac se dorea crearea unui mediu de trust ntre toate componentele a dou
foresturi, trebuiau setate trusturi two-way external ntre fiecare domeniu din cele dou foresturi.
Presupunnd c avem dou foresturi, fiecare cu 3 domenii i se dorete un model de trust ntre
toate domeniile este nevoie de nou trusturi individuale ca in figura 7.
Figura 7. Trusturi necesare pentru dou foresturi Windows 2000 pentru a se realiza
relaii de ncredere reciproce.
Cu forest trust se poate defini o singur relaie de trust tranzitiv single One-way sau
two-way trust pentru toate domeniile din amndou foresturile. Dac este nevoie de fuziunea
unui nou domeniu i este necesar ca toate resursele domeniului nou s fie accesate de ctre
mediul actual Active Directori i vice-versa. Figura 8 ne prezint un scenariu forest trust. Pentru
a crea un forest trust este nevoie de utilizarea conturilor de Enterprise Admins pentru fiecare
forest.
73
Figura 8. Trust necesar pentru dou Forest-uri Windows Server 2003 care s aib trust
reciproc
Crearea unui trust scurttur ntre dou domenii Active Directory

n fereastra din stnga, click dreapta pe domeniul pentru care se dorete adugarea
trustului i se selecteaz Properties
Click pe butonul New Trust.
Dup ce se deschide wizard-ul New Trust, click Next.
Se tasteaz numele DNS al domeniului AD si apoi click Next.
Presupunnd c domeniul AD este rezolvabil prin DNS, urmtorul pas vom fi

ntrebai de direcia trust-ului. Se selecteaz Two-way i apoi click Next.
Pentru proprietile de ieire ale trustului, se selecteaz toate resursele care se vor
autentifica si apoi click Next.
Se introduce i apoi se retasteaz parola i apoi click Next.
Click Next de dou ori.

> netdom trust <Domain1DNSName> /Domain:<Domain2DNSName> /Twoway /ADD[RETURN]
74
[/UserD:<Domain2AdminUser> /PasswordD:*][RETURN]
[/UserO:<Domain1AdminUser> /PasswordO:*]
Considerm forestul din figura 9. Are cinci domenii i un singur domain tree. Pentru ca
cererile de autentificare pentru Domeniul 3 s fie procesate de ctre Domeniul 5, cererea
trebuie s traverseze calea de la Domeniul 3 la Domeniul 2 la Domeniul 1 la Domeniul 4 i la
Domeniul 5. Dac ns crem un trust scurttur ntre Domeniul 3 i Domeniul 5, calea de
autentificare urmeaz un singur hop, i anume de la Domeniul 3 la Domeniul 5. Pentru a crea
un trust scurttur, trebuie s utilizm un utilizator din grupul Domain Admins pentru
amndou domeniile, sau un utilizator membru al grupului Enterprise Admins (pentru forest).
Verificarea unui trust

Se dorete verificarea funcionabilitii unui trust. Aceasta este prima msur ce trebuie
luat n cazul n care observm c autentificarea ctre un domeniu distant eueaz.
n fereastra din stnga click dreapta pe domeniul ctre care se face relaia de trust
i se selecteaz Properties.
Click pe domeniul care este asociat cu trustul pe care dorim s l verificm.
Click pe butonul Properties.
Click pe butonul Validate.

> netdom trust <TrustingDomain> /Domain:<TrustedDomain> /Verify /verbose[RETURN]
[/UserO:<TrustingDomainUser> /PasswordO:*][RETURN]
[/UserD:<TrustedDomainUser> /PasswordD:*]. tergerea unui trust
Acest aspect este de obicei ntlnit n cazul n care domeniului la care se fcea trust i-a
fost tears delegarea sau accesul la acesta nu mai este necesar.
75
n fereastra din stnga click dreapta pe domeniul ctre care se face relaia de trust
i se selecteaz Properties.
Click pe domeniul care este asociat cu trustul pe care dorim s l tergem.
Click pe butonul Remove
Click OK.

> netdom trust <TrustingDomain> /Domain:<TrustedDomain> /Remove /verbose[RETURN]
[/UserO:<TrustingDomainUser> /PasswordO:*][RETURN]
[/UserD:<TrustedDomainUser> /PasswordD:*]
Trusturile sunt stocate in Active Directory sub forma a dou obiecte; un obiect
trustedDomain n locaia System i un obiect user n locaia Users. Amndou aceste obiecte trebuie
terse cnd se terge un trust. Soluiile n interfaa grafic i n cea de linie de comand
realizeaz acest lucru n primul pas.
Rezumat
Domain Controllerul are rolul de a controla accesul utilizatorilor la aceste resurse de reea
dintr-un domeniu Windovs. El se instaleaz pe un server prin stabilirea rolului de DC
(promovarea ca DC). Funcionarea DC este stns legat de existena i funcionarea serverului
de nume de domeniu.
Rolul de DC sub Windows Server 2003 sau 2008 poate fi uor configurat din utilitarul Manage
Your Server sau folosind comanda dcpromo.
Aciunea unui DC este limitat la un domeniu Windows, care, la rndul su poate fi un domeniu
singular, sau poate fi inclus ntr-un arbire sau ntr-o pdure de domenii.
Instalarea unui DC creaz automat un AD cu o structura implicit, care apoi poate fi completat
i dezvoltat de administratorul de domeniu.
Prin intermediul AD, administratorul de reea gestioneaz resursele (utilizatori, computere,
printere i servere, aplicaii, politici de securitate etc.) din ntregul domeniul Windows.
76
ntrebri i teste de verificare

1.
2.
3.
4.
Ce este un domeniu Windows?

Ce este un controler de domeniu?
Ce este o unitate organizaional (UO) dintr-un domeniu Windows i cum poate fi creat?
Enumerai elementele care pot fi nregistrate i gestionate ntr-o UO.
Competai spaiile goale cu cuvinte cheie sau informaii din text

1. Active Directory stocheaz informaii despre ........................... unei reele oferind
posibilitatea de a fi ...................... i ........................... de utilizatori.
2. Domain Controller-ul are rolul de a ...................... accesul utilizatorilor la .......................
de reea.
3. Un domeniu Windows trebuie s aib cel puin un .................................
4. Replicarea informaiilor ntre DC presupune ............................................................
5. DC se instaleaz pe un server (poate fi acelai cu DNS sau altul) prin .......................
rolului de DC. Rolul de AD al unui server se stabilete prin .............................. lui ca DC.
6. Cele patru directoare i grupul organizaional din fereastra de administare a AD sunt:
...................................................,
....................................................
....................................................
....................................................
....................................................
7. n directorul Computers se nregistreaz ................................... sau ................... care sunt
adugate n domeniu.
8. Containerul ForeignSecurityPrincipals nregistreaz ............................................ ai unor
obiecte din exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu
care s-au stabilit ....................................
9. Directorul Builtin nregistreaz 16 grupuri de securitate asupra crora nu se pot efectua
operaii de .................... , ................................ sau .............................
77
10. Elementele care pot fi nregistrate i gestionate ntr-o UO sunt:

...................................................,
....................................................
....................................................
....................................................
....................................................
....................................................
....................................................
....................................................
11. Motivele crearea de uniti organizaionale sunt urmtoarele:
....................................................
....................................................
....................................................
...................................................
....................................................
12. Grupurile de securitate create n AD sunt de 2 tipuri
a. Grupuri de securitate folosite pentru .................................................... la
resurse i obiecte
b. Grupuri de distribuie folosite pentru ...................... mesaje.
13. Principalele operaii care se pot face asupra conturilor de utilizator sunt:
...................................................,
....................................................
....................................................
....................................................
....................................................
....................................................
....................................................
....................................................
....................................................
14. Profilul de utilizator conine ................................. ale acestuia la interfaa cu utilizatorul.
78
15. Profilul unui user poate fi de tipul: ............................. sau .....................................
Teme de cas
1. Instalai rolul de controler de domeniu pe o main cu Windows Server 2003. Notai i
reinei principalii pai de instalare.
2. n fereastra de administare a AD, vizualizai structura arborescent a AD creat la
instalarea controlerului de domeniu. Explicai i detaliai semnificaia, coninutul i
importana directoarelor create implicit.
3. Adugai obiecte noi de tipul utilizatori i computere n directoarele corespunztoare.
4. Creai o structur organizaional nou, denumit Grupa Studeni, n care introducei
ctiva membrii.
5. Creai un obiect de tip Grup de securitate n care s precizai numele, scopul, tipul
acestuia i eventual ataai o adres de mail acestuia.
6.
Exersai principalele operaii care se pot efectua asupra unui cont de utilizator: creare,
tergere, parolare, redenumire, mutare, modificare proprieti, activare, dezactivare etc.
79
Tema 5 Internet Security and Acceleration Server 2004
Tema are ca scop prezentarea unor soluii de securitate a reelelor

Windows realizate cu ISA Server 2004

Ce este ISA server i ce faciliti de securitate asigur
abloanele tipice de configurare a ISA server ca soluie firewall
Cum se configureaz logic o reea n subreele care s permit
mplementarea unor soluii optime de securitate
Ce sunt politicile de firewall i cum se stabilesc
Facilitile ISA server pentru aplicaii VPN
Funcia de accelerare a ISA server
Cuprins
5.1 ISA Server: descriere, instalare, administrare
5.2. Multinetworking cu ISA server
5.3 Politici de Firewall
5.4 VPN cu ISA server 2004
5.5 Funcia de accelerare (Caching)
Cuvinte cheie: firewall, multinetworking, VPN, NAT, DMZ, caching, Firewall

policy, tunelare, IKE, Ipsec, L2TP, PPTP
Bibliografie
1. [1] Munteanu A., Greavu-erban V., Cristescu G. Reele Windows. Servere i clieni.
2. [2] Munteanu A., Greavu-erban V. Reele locale de calculatoare. Proiectare i
3. [3] Praoveanu I. Reele de calculatoare, Editura Univ. T. Maiorescu, Bucureti, 2009
4. Mayers M. - Manual Network. Administrarea i depanarea reelelor, Editura Rosetti
80
5.1 ISA Server: descriere, instalare, administrare

ISA Server 2004 este o soluie de securitate a reelei Windows care nglobeaz:
- firewall- protecie la virui i acces neutorizat
- web caching accesul rapid la resurse din Internet
Faciliti ISA Server:
multinetworking permite stabilirea de relaii, reguli de acces clare, ntre reele.
Presupune crearea reelelor de perimetru pentru protejarea serverelor publice, poate
defini reguli de rutare ntre reele, limiteaz comunicaia dintre clieni etc. De exemplu
o comunicaie mai securizat nre reele poate folosi tehnica NAT.
politica de firewall care permite controlul porturilor surs i destinaie pentru toate
protocoalele, autentificare de tip Windows sau RADIUS, sau RSA, definirea
propriilor obiecte de reea (calculatoare, reele, seturi de reele etc. ), intervale de
adrese IP, redirectarea conexiunilor spre servere publice etc.
suport pentru clieni VPN
monitorizare complex
5.1.1 Instalarea ISA Server 2004

Dup instalare sunt preconfigurate urmtoarele setri (setri implicite):
- Permisiuni - membrii grupului Administrator de pe maina local pot configura
politica de firewall
- Serri de reea sunt create umtoarele reele:
1. Local host maina pe care ruleaz ISA Server. Poate fi utilizat pentru a
restriciona accesul spre i dinspre aplicaile ce ruleaz pe ISA server.
2. External reprezint Internetul
3. Internal reprezint reeaua intern
4. VPN Clients calculatoarele conectate prin VPN
Sunt create urmtoarele reguli de conectare n reea:
- local host acces definete o relaie de tip rutare ntre reeaul Local Host i toate
celelalte reele
- Internet acces definete o relaie de tip NAT ntre reelele interne i cele
externe
- VPN clients to Internal Network definete o relaie de tip rutare ntre reeaua
VPN Clients i reeaua intern
81
Firewall policy creaz o regul implicit care blocheaz tot traficul
System Policy inplicit permite doar funcionarea serviciilor critice
Web caching default rule specific faptul c toate cererile Web Proxy ale
clienilor sunt direct din Internet
Caching - dimensiunea spaiului caching este 0
Alert activeaz implicit majoritatea alertelor , dar pot fi reconfigurate ulterior
Client config la crearea i configurarea clienilor web Proxy i Firewall, acetia

sut automat descoperii
Fig. 5.1 Model de organizare a unei reele de organizaie
5.1.2. Administrarea ISA Server

Administrarea serverului ISA se poate face din consola ISA Server
Management care are 3 seciuni:
Structur afiseaz arborele structurii consolei (nodurile din consol)
Detalii despre obiectul selectat din arbore
Sarcini activiti ce pot fi executate legate de obiectul selectat
82
Fiecare nod din arbore dispune de propriul meniu i bar de utilitare care ajut utilizatorul n
derularea sarcinilor de lucru.
Dup crearea sau configurarea obiectelor din arborele de structur, este permis aplicarea sau
renunarea la modificrile fcute.
n fereastra de sarcini (a 3-a seciune) exist tabul Toolbox disponibil n cazul selectrii nodului
Firewall Policy. Cu ajutorul lui se pot seta politicile i regulile de firewall.
Conine opiunile: Protocols, Users, Content Types, Schedules, Network Objects.
Protocoalele disponibile sunt grupate dup funcionalitate:
-
protocoale comune: HTTP, FTP, SMTP, POP3
de infrastructur: DNS, ICMP, SNMP, RIP ....
de mail: IMAP4, POP3S
de conectare la distan: Telnet, SSH, RDP
de streaming: RTSP, HTTP,
VPN i Ipsec: (IKE, Ipsec, L2TP, PPTP)
de web: (FTP, HTTP, HTTPS)
Utilizatorii pot fi grupai dup cele trei seturi predefinite (All users, All authenticated users,
System and Network services) sau pot fi definite propriile seturi de utilizatori.
Tipurile de coninut se aplic traficului de tip HTTP i FTP i sunt predefinite (video, audio,
arhive, text, aplicaii) sau se pot defini i popriilr coninuturi.
Programri permite activarea /dezactivarea regulilor de firewall dup anumite programri (n
weekenduri, n ore de lucru, pe zile etc.).
5.2. Multinetworking cu ISA server

5.2.1 Conceptul de multinetworking
Multinetworking este facilitatea ISA serverului de a grupa staiile de lucru din
reeaua intern n seturi de reele i permite definirea unor politici de securitate specifice
fiecreia. Dac ntr-o companie doar staiile din reelele IT i Management au acces la
Internet, atunci se poate defini un set de reea Acces Inernet care s cuprind cele dou
reele, set care va fi folosit n regula de firewall care permite accesul la Internet.
83
ISA server permite stabilirea regulilor de rutare dup care seturile de reele comunic
ntre ele (comunicarea se face prin intermediul ISA).
n cazul n care se dorete separarea serverelor publice de reeaua intern, ISA permite
crearea unui subnet ecranat i configurarea modului n care se face traficul din reeaua intern
n reeaua ecranat, precum i ntre reeaua ecranat i exterior.
Dac nu este configurat nicio legtur ntre dou reele prin intermediul ISA server, acesta
blocheaz tot traficul dintre ele.
Pentru a configura traficul dintre reele prin intermediul ISA server, exist mai multe abloane
(Templates), dintre care se poate alege cel care corespunde cel mai bine nevoilor concrete.
Fig. 5.2 Modul de configurare a legturilor dintre reele
5.2.2 abloane de reea cu firewall

ablonul Edge Firewall
n aceast configurare, firewall-ul se dispune la marginea (limita) reelei interne i a
celei externe, asigurnd accesul doar clienilor autorizai i filtrnd traficul dup regulile de
firewall.
84
Fig. 5.3 Configurare ISA server ca Edge Firewall
ablonul 3-Leg Perimeter

Este cea mai folosit configuraie n companiile medii i mari, fiind cunoscut i ca zon
demilitarizat (DMZ) sau reea ecranat. Este folosit atunci cnd se dorete publicarea n
mod securizat numai anumite servicii pe Internet, cum ar fi cele de web sau de e-mail.
Fig. 5.4 Configurare 3-Leg Firewall

Cum se vede i n fig. 5.4 , dei serverele din reeaua ecranat (Perimetral Network) au adrese
IP rutabile, ISA server nu permite accesul direct la resursele interne ale reelei i va ruta spre
reeaua ecranat numai pachetele destinate acesteia n funcie de regulile firewall-ului. Att
traficul intern ct i cel extern se fac prin ISA server (firewall). Dezavantajul este c la cderea
serverului se compromite traficul din ambele reele.
85
ablonul Front Firewall i Back Firewall

Arhitectura din fig. 5.5 conine dou servere ISA, unul configurat ca Front Firewall (i
se aplic template-ul Front Firewall) i altul configurat Back Firewall, localizate n ambele
pri ale reelei ecranate. Firewall-ul extern este conectat la Internet, iar cel intern la Intranet.
n aceast configuraie nu mai exist un singur punct de acces la Internet. Avantajul unei astfel
de configurri este acela c permite stabilirea unor reguli foarte granulare pentru accesul intern
i extern la reea.
Fig. 5.5 Configurare Front Firewall i Back Firewall
Single Network Adapter

Este folosit ca Web Proxy i caching n interiorul reelei. Nu poate face funcii de
firewall i nu filtreaz pachete IP, nu suport VPN sau publicarea de servere.
5.2.3. Configurare reele cu ISA server

abloanele prezentate mai sus se pot accesa din consola ISA Server Management/
Configuration / Networks. n seciunea a 3-a a consolei apar taburile Task, Templates i Help,
dintre care se alege Templates i apoi ablonul dorit. Se deschide wizardul de configurare.
Prima fereastr care se deschide este cea de configurare adrese IP pentru reeaua intern. Dac
reeaua intern este segmentat n mai multe reele (4 n cazul nostru: manager, IT, autentificare
i marketing) nu se va specifica niciun interval de adrese IP. Dac reeaua intrn nu este
segmentat, atunci wizardul permite introducerea intervalului de adrese IP n trei moduri:
- prin specificarea primei i ultimei adrese din interval
- prin specificarea adresei de reea a interfeei (tabul Add Adapter) care leag ISA de
reeaua intern (i va lua tot intervalul de adrese disponibile clasei IP-lui interfeei)
- prin selectarea unui interval de adrese IP private
86
Dup setrile de reea intern se d Next i se deschide fereastra Perimeter Network IP

Addresses, unde se specific intervalul de adrese IP al reelei protejate (perimetrale, DMZ).
Next
Se deschide fereastra Select a Firewall Policy din care se alege o politic de firewall
predefinit pentru o reea ecranat. Semnificaia acesora este urmtoarea:
No access se alege atunci cnd se dorete definirea ntregii politici de firewall. Ea

blocheaz tot traficul dintre toate reelele la care este conectat ISA server.
No access - network services on Perimeter Network blocheaz tot accesul, mai
puin cel ce ine de serviciile de reea, (de exemplu, serviciul DNS), pentru reeaua
ecranat.
No access ISP network services se folosete atunci cnd nu este configurat un
server DNS n interiorul reelei i folosete serverul DNS al ISP-ului. Blocheaz tot
traficul, mai puin accesul la serverul DNS al ISP.
Restricted Web access blocheaz tot accesul, mai puin cel spre serverul web i
permite accesul clienilor VPN.
Restricted Web access network services op Perimeter network- asmntor cu
Restricted Web access dar permite accesul serverului DNS.
Restricted Web access ISP network services permite accesul web, VPN i cererile
spre serverul DNS al porviderului de Internet.
Unrestricted Internet access permite accesul complet dinspre reeaua intern i
clienii VPN spre Internet i reeaua ecranat.
Pentru a defini propria politic de firewall se va selecta, evident, No access. Dup alegerea
sau definirea unei politici de firewall se d Next i ultima fereastr din Network Template
Wizard este Copmpleting The Network Template Wizard care ne permite rvizuirea setrilor
efectuate i salvarea lor.
Observaie!
Din punct de vedere al ISA server, o reea este un element al unei reguli, care conine unul sau
mai multe intervale de adrese IP. Se pot aplica reguli pentru una sau mai multe reele (retea n
sensul de menionat anterior) sau se pot aplica reguli pentru toate adresele, mai puin cele din
reelele specificate.
Dup aplicarea Template-ului 3-Leg Perimeter ISA server este configurat (implicit) cu
urmtoarele 6 reele:
Local Host. Aceasta reprezint ISA Server. Ea nu poate fi modificat sau
tears. Local host se utilizeaz ca element al unei reguli atunci cnd se dorete
definirea accesului ctre sau dinspre ISA server.
Default External. Aceast reea include toate staiile de lucru (adr IP) care nu
sunt asociat la nicio reea, adresa IP a reelei Local Host i adr IP ale interfeelor
87
de pe ISA server. Ea nu poate fi modificat sau tears. Ea este o reea nesigur

i, ca urmare, legturile cu aceasta sunt configurate NAT.
Internal Include toate staiile de lucru (adr. IP) care sunt specificate de ctre
administrator n timpul procesului de instalare. Ea nu poate fi tears.
Perimeter. Este reeaua ce conine adr. IP ale serverelor din reeaua ecranat
(DMZ). Din ea fac parte serverele Web, Exchange, SQL, SharePoint.
VPN Clients. Conine adresele clienilor VPN conectai la acest moment cnd se
configureaz VPN-ul. Reeaua VPN nu poate fi stears.
Quarantined VPN Clients. Conine adr. Clienilor VPN care nu au ieit din
carantin. Nu poate fi tears.
Pentru regulile de acces, trebuie specificate reeaua-destinaie i reeaua-surs
crora li se vor aplica regula.
Pentru crearea reelei de autentificare trebuie parcuri urmtorii pai:
1. In consola ISA Server Management, n arborele de structur, seciunea
Configuration, se face click pe Networks
2. n seciunea activiti (3) se face click pe Tasks, Networks Tasks, Create New
Network
3. se deschide wizardul ptr crearea reelei. i dm numele Autentificare
4. n fereastra Network Type trebuie specificat tipul ei (Internal, Perimetral, External,
...). n cazul nostru este o reea intern, deci bifm Internal, apoi Next.
5. n fereastra Network Addresses, butonul Add, IP Address Range Properties,
completm intervalul de adrese (10.1.1.1 10.1.1.2)
n mod sinilar se creaz i celelalte reele: IT, Management, Marketing.
Dup ce au fost definite reelele, se pot configura propritile lor. Pentru exemplificare
continum cu reteaua Autentificare.
n arborele de structur selectm Networks, Rclick pe numele reelei (Autentificare),
Properties, sau din panoul de activiti, tabul Tasks, Network tasks, Edit Selected Network. S-a
deschis fereastra Autentificare Properties cu urmtoarele opiuni:
Domains (se aplic doar clienilor de firewall) permite specificarea domeniilor care
vor fi incluse n reea. Pentru domeniile din reea, cererile clienilor nu vor fi naintate
prin ISA server. Se pot specifica:
- un singur calculator prin numele su complet din domeniu,
- un ntreg domeniu prin *.nume_domeniu
- toate domeniile prin *.
Web browser specific serverele (prin indicarea intervalelor de adrese IP) sau
numele de domenii pe care clienii le pot accesa direct, precum i modul de redirectare
a clienilor ctre Internet atunci cnd ISA nu mai este disponibil.
88
Auto discovery specific dac i modul n care clienii din aceast reea vor putea
gsi serverul ISA. Pentru activarea acestei opiuni trebuie activat serverul web Proxy.
Firewall client specific dac aceast retea va asculta pe portul 1745 pentru cererile
clienilor de firewall.
Web Proxy specific dac aceast reea va asculta pentru cererile TCP
Dup instalate, ISA server este preconfigurat cu dou seturi de reele, care nu pot fi modificate
sau terse:
All Networks reprezint toate reelele definite pe ISA server. Orice reea nou definit
pe ISA este inclus automat n acest set.
All Protected Networks conine toate reelele definite pe ISA, mai puin reeaua
External. Orice reea nou definit pe ISA este i ea inclus n acest set.
n afara acestor seturi predefinite, se pot crea alte seturi, la dorina administratorului.
De exemplu, reelele IT i Marketing au nevoie de acces la Internet. Atunci putem crea un
nou set de reea, Acces Internet, care s le cuprind pe acestea dou. Acest set va fi utilizat
n regula de firewall ce permite accesul la serviciul de Internet. n mod asemntor,
constatm c reelele IT, Marketing i Management au nevoie de serviciul de e-mail. Creem
atunci setul de reea Acces E-mail care s le conin.
Modul de caeare a acestor seturi de reea este urmtorul:
1. n consola ISA Server Management , n arborele de structur, Configuration, click pe
Networks
2. n panoul Activiti, click pe Tasks, Network Sets Tasks, click Create a New Network Set
3. Se deschide wizardul de configurare a noului set de retea, pe care l numim Acces
Internet
4. Din fereastra Network selection seectm reelele care vor face parte din acest nou set
(Management si IT), sau reversul, toate reelele, exceptnd cele selectate.
5. Se finalizeaz wizardul i se apas Apply pentru salvare.
Similar se face i pentru crearea setului Acces E-mail.
Urmtorul pas n configurarea serverului ISA este crearea regulilor de reea, definind astfel
topologia reelei. Aceste reguli indic dac exist sau nu o legtur ntre dou entiti de
reea, i de ce tip sunt ele rutare sau NAT. n cazul c nu se definete nicio legtur ntre
reele, atunci ISA blocheaz toate pachetele care circul ntre reele.
O regul de reea nu poate fi definit ntre o reea i ea insi, iar traficul dintre staiile din
aceeai reea este considerat ca rutat (nu poate fi definit ca NAT).
Regulile de reea sunt ordonate au asignate numere care le asigur prioritate. Atunci cnd
ISA verific dac ntre dou reele esist legtur, parcurge regulile n ordinea prioritilor.
n cazul configurrii ISA server dup ablonul 3-Leg Perimeter, sunt create urmtoarele reguli:
89
1. Local Host Access definete o relaie de rutare nte reeaua Local Host i toate
celelalte reele. Prin acasta este stabilit conectivitatea dintre ISA server i toate reelele
conectata la el.
2. VPN clients to Internal Network definete o relaie de tip rutare ntre reeaua
intern i clienii VPN
3. Perimeter configuration definete o relaie de tip NAT ntre reeaua intern, clienii
VPN i reeaua de perimetru.
4. Perimeter access definete o relaie de rutare ntre reeaua de perimetru i reeaua
extern (External).
5. Internal Access definte o relaie de tip NAT ntre reeaua intern, clienii VPN i
reeaua extern.
Pentru modificarea regulilor Perimeter Configuration i Internal Access se parcurg
urmtorii pai:
Selectm regula i apoi din panoul Activiti, tabul Tasks, seciunea Network Rule
Tasks, Edit Selected Netwok Rule
n fereastra proprieti a regulii, click pe Source Networks
Selectm pe rnd cele trei reele-surs i le tergem prin Remove
Dup ce le-am ters, adugm reelele pe care le-am creat (IT, Management,
Marketing), apsnd butonul Add, din fereastra Add Networks Entities, expandnd
nodul Networks.
Confirmm cu OK
Salvm modificrile cu butonul Apply.
Singura regul pe care trebuie s o creem n cazul reelei noastre este aceea prin care rutm
trafcul ntre reelele interne. Pentru aceasta:
Selectm regula i apoi, din panoul activiti, tab-ul Tasks, seciunea Network Rule
Tasks, facem click pe Create a New Network Rule
Apare wizardul de configurare a regulii, Next
n fereastra urmrtoare, Network Trafic Source, selectm sursele traficului (pot fi reele
sau seturi de reele, staii individuale intervale de adrese IP, subreele, seturi de staii). n
cazul nostru sunt toate cele 4 reele interne, Next
n fereastra urmrtoare, Network TraficDestination, trebuie selectat destinaia, care n
cazul nostru vor fi tot cele 4 reele interne, Next
Finalizm wizardul cu revizuirea setrilor regulii nou create
Salvm cu Apply
Dup aceste configurri, panoul de detalii, seciunea Network Rules va arta ca n fig 6.25
Munteanu
90
5.3 Politici de Firewall

O politic de firewall este un set de reguli de publicare sau de acces prin care
definim (limitm) accesul din exterior ctre reeaua organizaiei i invers, din reea
spre exterior.
ISA server are dou roluri mari:
1.
de a conecta sursa cu destinaia prin intermediul regulilor de reea
2.
de a proteja reeaua intern de accesul neautorizat prin intermediul regulilor de
firewall.
Modul n care este tratat o cerere a unui client din interiorul reelei este urmtorul:
- prima dat ISA server verific dac este definit o legtur ntre reeaua surs i
reeaua destinaie prin intermediul unei reguli de reea
- dac da, prelucrea regulile din politica de firewall verificnd ndeplinirea simultan a
elementelor:
protocol
sursa
dac este programat
destinaia (adr IP, URL)
utilizatori
coninut
La instalarea ISA server i aplicarea ablonului 3-Leg Perimeter, este preconfigurat o regul
firewall numit Default rule, cu prioritate Last, care va fi ntotdeauna ultima i blocheaz
traficul pe toate protocoalele dinspre toate reelele spre toate reelele i pentru toi
utilizatorii. Ea nu poate fi modificat sau tears. Dac nu mai sunt definite alte reguli de
firewall, chiar dac sunt definite relaii ntre reele, tot traficul dintre ele va fi blocat.
S vedem cum se poate configura accesul nerestricionat al staiilor din reeaua Management
spre Internet. Pentru aceasta trebuie configurate dou reguli:
- o regul de reea care permite accesul dinspre Management spre Internet
- o regul de firewall care permite traficul dinspre Management spre Intenet, pe toate
protocoalele, pentru toi utilizatorii
n ceea ce privete accesarea serverelor din reeaua de primetru n od securizat, de ctre clienii
din exteriorul reelei organizaiei, ISA permite crearea unei politici de publicare format din
reguli de publicare a serverelor web, a serverelor de e-mail, a serverelor securizate de web etc.
5.3.1 Reguli de acces.

Regulile de acces spcific serverului ISA cum s trateze cererile venite de la reelelesurs de a accesa reelele-destinaie. Presupunem c dorim un acces nelimitat al reelei de
91
Management la reeaua (resursele) Internet. Va trebui construit o regul de acces Full

Management.
Pentru crearea acestei reguli, se parcurg etapele:
- se deschide consola ISA Server Management, iar din arborele de structur, n
seciunea Configuration, se face click pe Firewall Policy
- n panoul activiti se face click pe Tasks, iar n Firewall Policy Tasks click pe
Create a New Access Rule
- se deschide wizardul de configurare, se specific numele noii reguli de acces
(Full Management)
- n urmtoarea fereastr, Rule Action, se specific dac accesul este permis sau
blocat atunci cnd condiiile sunt ndeplinite. Vom selecta Allow pentru a
permite accesul spre Internet.
- Urmtoarea feresatr ne solicit specificarea protocoalelor crora li se aplic
regula. Dorind acces nelimitat la Internet, secectm opiunea All outbond
protocols. Dac dorim doar anumite protocoale, alegem opiunea Selected
protocols, i apoi adugm protocoalele dorite. Dac se dorete excluderea unor
protocoale, se va alege opiunea All outbond protocols exept selected i le
adugm pe cele dorite a fi excluse. De asemenea pentru toate cele trei opiuni
avem posibilitatea specificrii unui interval de porturi surs crora s li se
aplice regula.
- Fereastra Access Rule Sources solicit specificarea reelelor-surs crora li se va
aplica regula. n cazul nostru reeaua Management
- Fereastra Access Rule Destinations solicit specificarea reelelor-destinaie
crora li se va aplica regula. n cazul nostru reeaua External, pe care o adugm
n list
- Fereastra User Sets solicit specificarea uilizatorilor sau a grupurilor de
utilizatori din domeniu sau locali; n cazul nostru vom aduga grupul
Management, care a fost setat n avans, n Active Directory. Implicit setarea este
All users.
- Finalizm wizardul i l salvm cu Apply.
Asupra regulii de acces Full Management creat mai sus, se pot efectua urmtoarele aciuni:
Editrae
Dezactivare
tergere
n plus, la editarea regulii de acces se mai pot face dou lucruri: Schedule i Content Groups.
Opiunea Schedule permite specificarea perioadei din zi /sptmn n care regula este sctiv
sau inactiv.
Opiunea Content Groups permite aplicarea regulii la tipuri de coninut specificate. De
exemplu, dac se dorete blocarea descrcrii de pa Internet a fiierelor video, creem o
regul de blocare a accesului la HTTP, dar numai pentru coninuturile din grupul video.
92
5.3.2 Reguli de publicare a serverelor web

Ce nseamn publicarea unui server web? Serverele din reeaua ecranat (DMZ,
Perimetral) pot fi accesate sau nu din Internet. Publicarea lor nseamn accesibilitatea lor din
Internet, posibilitatea de a fi vzute i utilizate si de useri din afara reelel proprii.
Regulile de publicare a serverelor pe web ne permit configurarea modului n care ISA server va
trata cererile pentru obiecte HTTP adresate serverului din interiorul organizaiei i modul n
care serverul ISA va rspunde n locul serverului web. Serverul web n cazul reelei pe care o
analizm este IIS server care are adresa IP 125.125.125.104. Pentru a-l publica se parcurg
urmtorii pai:
1. se deschide consola ISA server management i din arborele de structur, seciunea
Configuration, se d click pe Firewall policy.
2. n panoul de activiti se face click pe tabul Tasks, iar n seciunea Firewall Policy
Tasks se face click pe Publish a Web server
3. se deschide wizardul de configurare a regulilor de publiare i se ncepe cu numele lui, n
cazul nostru Web 125.125.125.104
4. n fereastra Select Rule Action se specific dac accesul este permis sau blocat, atunci
cnd condiiile sunt ndeplinite. Selectam Allow.
5. n fereastra Select Web Site to Publish, se introduce adresa IP a serverului web.
6. n fereastra Select Public Domain Name se introduce mumele de domeniu al serverului
web. Ca exemplu, ar putea fi www.myorg.ro
7. n fereastra Select Web Listener trebuie configurat un asculttor (receptor) de cereri
care specific adresa IP i portul pe care ISA server va recepta cererile web.
8. Se finalizeaz wizardul.
Se pot publica i servere web securizate (HTTPS), servere de mail sau alte servere dedicate.
5.4 VPN cu ISA server 2004

O reea virtual privat este o extindere a reelei private peste o reea public. VPN
emuleaz o legtur punct la punct, fie c ea conecteaz un singur utilizator ndeprtat, sau un
site aflat la distan, de reeaua organizaiei. Pentru a se realiza o conexiune VPN este necesar
ca abonaii ndeprtai care se conecteaz s fie autentificai i conexiunea s fie secirizat.
ISA server 2004 permite realizarea conexiunilor VPN n dou moduri, uor diferite ntre ele:
93
conexiune de tip Remote access prin care un client ndeprtat se conecrteaz pe

serverul VPN care n autentific i apoi i permite accesul n toat reeaua, conform
drepturilor sale
- conexiune de tip site-to-site cnd serverul VPN face o conexiune de tip VPN ntre dou
situri ale reelei.
Desi modul de funcionare a celor dou variante este usor diferit, configurarea cu ISA
server este similar. ISA server trateaz cererile de conexiune VPN de la un client sau de la un
site folosind aceleai protocoale de tunneling, metode de autentificare, accesul la reea,
asignarea i configurarea adreselor IP.
Pentru a configura ISA server ca server VPN, se parcurg urmtorii pai:
1.
din panoul arborelui de structur al consolei de management se selecteaz Virtual
Private Netwrk (VPN) i n panoul de detalii, click pe VPN Clients
2.
n panoul de activiti selectm Tasks, Enable VPN Client Access. La activarea

accesului la clieni VPN, regula implicit (automat activat) este de a permite
accesul. n continuare trebuie configurate numrul de conexiuni concurente,
utilizatorii care au drept de acces i protocoalele de acces.
3.
n panoul de activiti (Tasks) se face click pe Configure VPN Client Access
4.
n fereastra Properties, n tabul General, se completeaz nr max de conexiuni

simultane
5.
n tabul Users se adaug n list userii sau grupurile de useri care au dreptul de a
se conecta prin VPN.
6.
n tabul Protocols se marcheaz protocoalele de tunelare pe care dorim s le

utilizm, n funcie de gradul de securizare al legturii.
Dup activarea VPN-ului, trebuie configurate reelele din care se pot conecta clieni de
VPN, modul de asignare a adreselor IP, metode de autentificare, eventual autentificare clieni
wireless. Aceasta se face din tabul Tasks, General VPN Configuration. Aici sunt enumerate
urmtoarele activiti:
VPN Access Points
Address Assignment
Authentification Methods
RADIUS Configuration
Pentru a defini reelele acceptate, asignarea adreselor etc., trebuie selectat nodul Virtual Priveta
Network (VPN). Sunt afiate numele reelelor configurate n ISA server: External, Internat,
Perimetral, All Networks, All Protected Networks.
1. Din panoul de activiti (Tasks), din General VPN Configuration, click pe VPN
Access Point,
2. Marcm reelele crora le permite accesul VPN (implicit este marcat External)
94
3. Asignarea adreselor cu tabul Address Asignment, selectm asignarea static sau

DHCP (implicit DHCP)
4. Pentru definirea metodei de autentificare, selectm tabul Authentification, i din el o
metod mde autentificare din list. Implicit este Microsoft encrypted authentification
vers 2 (MS-CHAPv2)
5. Definirea clienilor wireless Se folosete tabul RADIUS care permite serverului
RADIUS s realizeze procesul de logare si/sau autentificare. Apoi trebuie fcut
specificarea serverului RADIUS
5.5 Funcia de accelerare (Caching)

Pentru mbuntirea performanelor reelei, n primul rnd a timpului de cutare pe net
i de rspuns la cererile clienilor, ISA server are posibilitatea de a depozita obictele mai des
solicitate de clieni. La instalarea ISA server, opiunea de depozitare este dezactivat, spaiul de
depozitare fiind nul. Activarea depozirii se face aunci cnd la instalarea ISA server se specific
spaiul de pe disk destinat depozitrii. Dup activare, se pot configura reguli de depozitare prin
care se specific ce reele au dreptul s solicite obiecte depozitate de ISA server, modul i
durata de memorare, dimensiunea maxim a obiectelor, modul de descrcare (automat, la
anumite momente). Descrcarea la anumite momente poate fi avantajoas dac se ateapt
descrcarea unor obiecte mari atunci cnd reeaua este mai puin solicitat.
Dac s-a configurat depozitarea, atunci obiectele pot fi accesate de orice browser Web,
mbuntind performanele i optimiznd gradul de ocupare a benzii conexiunii de Internet.
Depozitarea funcioneaz astfel:
- un client din reeaua intern solicit un obiect Web de la serverele n reeaua extern
- ISA server verific dac obiectul este n depozit. Dac este l returneaz serverului ISA.
Dac nu este l cere din Internet. Serverul returneaz obiectul ctre ISA Server i menie
i o copie a sa.
Configurarea depozitului cache pentru ISA se face din consola de administrare, din arborele
de structur, nodul Cache, seciunea Configurare, panoul detalii. Se selecteaz tabul Tasks,
Define Cache Drivers, fereastra Proprieti. Se pot selecta partiia pentru stocare,
dimensiunea ei.
De exemplu dac se dorete depozitarea paginilor din domeniul *.ro, trebuie creat o regul
nou, cu urmtorii pai:
-
n panoul detalii, click pe tabul Cache Rules

n panoul activiti click Tasks, Create Cache Rule
se lanseaz wizardul de configurare a regulii creia i se d un nume (exp ro), Next
se specific pentru ce destinaii din Internet se aplic regula. Pentru aceasta se creaz un
set de nume de domenii (Domain Name Set)
se fce click pe Add, New, i din list selectm Domain Name Set
95
n fereastra New Domain Name Set Policy Element, specificm numele de domenii
incluse n acest set (n cazul nostru, *.ro), Next
n fereastra Content Retrieval se specific modul de extragere a obiectelor din depozit.
n fereastra Cache Content se poate specifica dac obiectele vor fi stocat n depozit. n
mod normal pentru depozitare se alege opiunea If source and request headers
indicate to cache. Dac se alege opiunea Never. No content will ever be cached,
atunci se invreseaz regula de stocare, adic obiectele din *.ro nu vor fi stocate.
n fereastra Cache Advanced Cofiguration se seteaz dimensiunea maxim a obiectelor .
Dac se dorete depozitarea obiectelor de tip HTTP (Enable HTTP caching), se poate
selecta durata de depozitare (TTL-Time to Live)
Dac dorim depozitare obiecte FTP se marcheaz csua Enable FTP Caching, i se
specific TTL-ul dorit
Se finalizeaz configurarea cu Finish
Regulile de depozitare sunt ordonate. Ele se proceseaz dup prioriti, cea implicit
fiind ultima. Dac o cerere ndeplinete condiiile impuse de regul, ea se proceseaz. Dac
nu, se proceseaz urmtoarea regul.
Rezumat
Securitatea informaiei n reelele de calculatoare este o problem de mare impotran
pentru un administrator de reea. Protejarea informaiei implic o mulime de msuri de
natur organizaional, procedural i tehnic i poate fi realizat numai folosind soluii de
securitate testate i validate n practic. ISA server 2004 este o astfel de soluie folosit cu
succes n reelele de organizaie.
ISA server permite configurarea logic a unei reele de organizaie n subreele (prin
facilitatea de networking) i definirea regulilor de rutare astfel nct anumii utilizatori
interni s nu fie vzui i accesai direct n exteriorul reelei.
ISA server asigur serviciul de firewall i definirea unor politici de acces i de filtrare a
traficului care s corespund optim structurii unei organizaii.
De asemenea, ISA server permite crearea conexiunilor de tip VPN pentru membrii
ndeprtai ai organizaiei sau pentru clieni speciali. Conexiunile VPN realizate cu ISA
server ndeplinesc dou cerine fundamentale referitoare la securitatea reelelor de
calculatoare:
- autentificarea utilizatorilor
- secretizarea comunicaiei pe canalul fizic
n fine, facilitatea de cacheing oferit de ISA server mrete considerabil viteza de
comunicare pe Internet, ceea ce este deosebit de important ntr-o organizaie n care
membrii au nevoie s descarce n mod frecvent date similare de pe Internet.
96
ntrebri de control i teste

1. Care este rolul ISA server ntr-o reea de calculatoare?
2. Explicai noiunea de networking n accepiunea ISA server.
3. Explicai conceptul DMZ (zon demilitarizat). Ce servere se plaseaz n acest
zon?
4. Ce se nelege prin publicarea serverelor i cun se poate realize?
5. Ce este un firewall i care este rolul su n aministrarea unei reele?
6. Care sunt configuraiile tipice de firewall realizate cu ISA server?
7. Ce reprezint funcia de accelerare (cashing) i ce utilitate are n funcionarea unei
reele?
8. Ce faciliti VPN asigur ISA server 2004? Dai exemple.
Teme de cas
1. Descriei modul de realizare a unor conexiuni VPN folosond ISA Server
2. Poiectai o reea de organizaie folosind facilitile de networking ale ISA server,
evideniind reeaua intern, zona demilitarizat, reeaua extern
3. Descriei modul de realizare a unor politici de securitate folosind ISA server ca firewall.
97
Tema 6 Instalarea i configurarea unui Server DHCP

Tema are ca scop prezentarea serviciului DHCP i configurarea sa n reele
de calculatoare.

Ce este serviciul DHCP i care este utilitatea sa n cadrul unei reele
Cum se instaleaz un server DHCP
Cum se configureaz un srever DHCP
Cuprins
6.1
6.2
6.3
6.4
Rolul serviciului DHCP ntr-o reea de calculatoare

Instalarea unui server DHCP
Crearea spaiului de adrese ale unui server DHCP
Configurarea de baz a serverului
Cuvinte cheie: server DHCP, server DNS, adresa IP, masc de reea, poart
implicit, pool de adrese, adrese temporare,
Bibliografie
1. [1] Munteanu A., Greavu-erban V., Cristescu G. Reele Windows. Servere i
clieni. Exemple practice, Editura Polirom, Bucureti, 2004
2. [2] Munteanu A., Greavu-erban V. Reele locale de calculatoare. Proiectare i
3. [3] Praoveanu I. Reele de calculatoare, Editura Univ. T. Maiorescu, Bucureti, 2009
4. Mayers M. - Manual Network. Administrarea i depanarea reelelor, Editura Rosetti
6.1 Rolul serviciului DHCP ntr-o reea de calculatoare

DHCP (Dynamic Host Configuration Protocol) este un standard IP proiectat pentru a
reduce complexitatea administrrii configuraiilor de adrese IP. Un server DHCP va fi
configurat cu setrile corespunzatoare pentru o reea dat. Exist dou versiuni de servere
DHCP: una pentru IPv4 i alta pentru IPv6.
98
Aceste setri includ un set fundamental de parametri cum ar fi:

- gateway,
- DNS,
- masti de retea si
- o clasa de adrese IP.
Toate adresele IP i celelalte elemente de configurare legate de localizatea calculatoarelor n
reea sunt stocate ntr-o baz de date coninut de serverul DHCP.
Utilizarea DHCP ntr-o retea simplific munca administratorilor n sensul c ei nu trebuie sa
configureze aceste setari individual pentru fiecare calculator sau alt tip de echipament din
retea care necesit adrese IP. DCHP va distribui automat aceti parametri fiecarui client
individual. Chiar i n reele mici, DHCP este folositor, deoarece simplifica adugarea unor
noi echipamente n reea.
Serverul DHCP atribuie unui client o adresa IP luata dintr-un set (n original se
numete scope) predefinit pentru un anumit timp. Daca o adresa IP este necesara pentru mai
mult timp decat a fost setat timpul alocat, clientul trebuie sa ceara o extindere inainte ca
perioada sa expire. Daca clientul nu a solicitat o reinnoire a perioadei de alocare (lease time),
adresa IP va fi considerata libera si va fi alocata unui alt client. Daca utilizatorul doreste sa-si
schimbe adresa IP poate utiliza comanda ipconfig /release urmata de ipconfig /renew in
linia de comanda. Aceasta va sterge adresa IP curenta si va aloca una noua. Pot fi definite
rezervari intr-un server DHCP pentru a permite anumitor clienti de a avea propria adresa IP.
Adresele pot fi rezervate pe baza adresei MAC sau a hostname-ului astfel incat acesti clienti
vor avea o adresa IP fixa ce este configurata automat. Majoritatea furnizorilor de servicii
Internet utilizeaza DHCP pentru a atribui noi adrese IP calculatoarelor client cand acestea se
conecteaza la Internet, ceea ce simplifica lucrurile la nivelul utilizatorului.
n funcie de implementare, serverul DHCP poate avea trei metode de alocare a adreselor IP:
alocare dinamic: Un administrator de reea atribuie o serie de adrese IP la DHCP, i

fiecare computer din LAN este configurat s cear o adresa de IP de la serverul DHCP
n timpul iniializrii de reea. Procesul de cerere i aprobare folosete un concept ca
un contract de leasing pe o perioada determinat, permind serverului DHCP s
revendice (i s realoce) adrese IP disponibile (refolosirea dinamic de adrese de IP).
alocare automat: Serverul DHCP aloc n permanen o adres de IP disponibil, din
gama definit de administrator, ctre un client. Acest proces este asemntor alocrii
dinamice, dar serverul DHCP pstreaz un tabel cu alocrile de IP anterioare, astfel
nct s poat atribui preferenial pentru un client aceeai adres de IP pe care acesta a
avut-o anterior.
alocare static: Serverul DHCP aloc adresa de IP n baza unui tabel cu perechi
adresa MAC/adresa IP, acestea fiind completate manual (probabil de ctre
administratorul reelei). Numai clienii care au adresa MAC lisat n acest tabel vor
primi o adres de IP. Aceast caracteristic (care nu e suportat de orice router) este
denumit Static DHCP Assignment.
99
Serviciul DHCP este un serviciu de tip client-server. Cnd un client configurat (un computer
sau orice alt dispozitiv de reea) se conecteaz la reea, clientul DHCP trimite o interogare
broadcast n reeaua local printr-un pachet UDP numit DHCPDISCOVER cernd
informaia necesar la serverul DHCP. Serverul DHCP de pe segmentul local din care face
parte staia, care gestioneaz o rezerv de adrese IP i informaii despre configurarea
parametrilor clientului, rspunde cu cu un alt pachet UDP numit DHCPOFFER, prin care
ofer o adres IP i celelelte informaii necesare (masca de subreea, gateway-ul implicit,
numele domeniului, serverul DNS, perioada de validitate a alocrii respective etc.).
Interogarea este de obicei iniiat imediat dup bootare, i trebuie s fie completat, nainte ca
clientul s poat iniia comunicarea IP cu alte gazde.
Este posibil ca nainte de a oferi adres clientului, serverul s fac anumite verificri n reea:
s verifice dac adresa nu este deja alocat altei staii, dac o reea are mai multe segmente i
un singur server DHCP s verifice disponibilitatea adresei i n acele segmente etc. Dac
exist mai multe servere, un client poate primi pachete DHCPOFFER de la toate serverele. n
acest caz, clientul trebuie s aleag un singur server pe care trebuie s-l identifice explicit ca
serverul cu cea mai bun ofert i s-i retrimit cererea DHCPREQUEST.
Instalarea unui server DHCP
DHCP este un soft free, prtnd fi instalat liber pe orice sistem Windows, UNIX, Linux etc.
care suport suita de protocoale TCP/IP. nainte de a descrie paii instalrii i configurrii
unui server DHCP trebuie explicate unele noiuni referitoare la acesta.
Scope reprezint intervalul de adrese IP consecutive, alocabile, de obicei, ntr-o singur
reea, pe care o va gestiona serverul.
Superscope reprezint gruparea administrativ a mai multor scopuri pentru a putea fi
folosite n cazul mai multor subreele. Aceast grupare cuprinde o list de scopuri
membre i scopuri child. Configurarea unui scop implic configurarea individual a
membrilor acestuia.
Exclusion range reprezint o secven de adrese IP din cadrul unui scop care nu pot fi
oferite clienilor DHCP.
Address pool sunt adresele rezultate prin eliminarea din cadrul unui scop a intervalului
amintit mai sus.
Lease (nchirierea) se refer la timpul pe care un client l are la dispoziie s foloseasc
adresa IP. nainte de expirarea acestui timp, clientul trebuie s renoiasc cererea ctre
server.
Reservation se utilizeaz atunci cnd se dorete ca un anumit dispozitiv s foloseasc
de fiecare dat aceeai adres IP.
Option types sunt parametii de configurare ai serverului: IP-ul gateway-ului, serverul
DNS, etc.
Option class se refer la faptul c se pot crea clase de clieni crora li se pot asocia
tipuri de opiuni de configurare.
Instalarea unui server DHCP presupune crearea unui scop i definirea intervalului de adrese.
Paii de configurare DHCP sub Windows Server 2003 sunt urmtorii:
100
1. Se d click pe Start -> Control Panel i apoi se alege Add/Remove Programs.

2. Se d click pe butonul Add/Remove Windows Components.
3. Se selecteaz din list Networking services, i click pe butonul Details.
4. Se bifeaz componenta Dynamic Host Configuration Protocol (DHCP) si apoi click pe

OK.
5. Se d click pe butonul Next. Se introduce CD-ul cu kitul de Windows Server n unitatea

CD-ROM i se instaleaz serviciul DHCP. Se d click pe Finish pentru a termina instalarea.
6. Se nchide fereastra Add/Remove Programs.
101
Serverul DHCP conine o baz de date cu adrese IP n care sunt toate adresele IP
disponibile pentru distribuie. Dac clientul (avnd ca sistem de operare Windows 2000 sau
XP Professional) are setat Obtain an IP address automatically n setrile TCP/IP, atunci
este setat s primeasc o adresa IP de la un server DHCP.
Crearea spaiului de adrese ale unui server DHCP
Spaiul de adrese disponibile pentru alocare dinamic, denumit i scop este o colecie
de adrese IP pentru calculatoarele dintr-un subnet ce utilizeaz DHCP. Pentru crearea unui
spaiu de adrese se d clic pe Start ->Settings->Control Panel->Administrative Tools>DHCP. Apoi se d clic dreapta pe numele serverului DHCP i se alege optiunea New
Scope
102
Urmatoarea fereastra va cere definirea domeniul de adrese care vor fi distribuite n reea i
masca de reea pentru adresa IP. Se completeaz datele cerute i se d clic pe Next.
Se deschide apoi o fereastra n care trebuie adaugate, dac este cazul, excluziuni n
domeniul de adrese IP specificat n fereastra anterioar. De exemplu, dac adresa IP
192.168.90.50 este aceea a router-ului companiei, atunci nu este de dorit ca serverul DHCP s
distribuie acea adres. n acest exemplul de mai jos este exclus domeniul de adrese IP
192.168.90.100 192.168.90.115 i o singura adresa 192.168.90.50. n acest caz, 16 adrese IP
vor fi rezervate si nu vor fi distribuite clienilor din reea.
103
n continuare se seteaz durata rezervrii (lease) pentru ct timp un client poate utiliza o
adres IP atribuit din acest scop. Este recomandat s se stabileasc perioade de lease mai
mari pentru o reea fix i perioade de lease mai scurte pentru conexiuni de la distan sau
laoptop-uri. n acest exemplu este setat perioada de alocare la 12 ore, ntruct clienii sunt
sisteme desktop ntr-un birou local i timpul de lucru uzual este de opt ore.
n urmtoarea fereastra se cere precizarea daca se dorete sau nu configurarea optiunilor

DHCP pentru scop acum sau mai trziu. Dac se alege Yes, atunci vor apare o serie de casete
de dialog pentru setarea acestor optiuni. Dac se alege, No aceste optiuni vor putea fi
configurate ntr-o alta faz.
104
n urmatoarea fereastr trebuie sa setat adresa IP a router-ului sau a gateway-ului i

astfel calculatoarele client vor ti ce router sa utilizeze.
n urmatoarea fereastr se seteaz serverul DNS i numele domeniului. Adresa IP a

serverului DNS va fi distribuit de ctre serverul DHCP i va fi atribuit clienilor.
Dac n reea existun server de WINS, aici trebuie setate adresa IP i numele acelui
server n caseta potrivit i se apas Resolve pentru a permite gsirea respectivei adrese IP.
Daca nu exist un server de WINS n retea, se las aceasta pagina necompletat.
105
Ultimul pas este de a activa scopul prin apasarea pe butonul Next, n fereastra de mai jos.
Serverul de DHCP nu va funciona dac nu se activeaz scopul.
La sfrit se d clic pe Finish pentru a termina configurarea i activarea scopului.

Serverul DHCP este acum instalat cu toate setrile de baz. Urmtoarea etap este de a-l
configura dupa nevoile structurii reelei.
106
Configurarea de baza a unui server DHCP

Grupul de adrese afieaz o lista de domenii de IP-uri asignate pentru distribuie i
excluziuni de adrese IP. Se poate adauga o excluziune de adrese dnd un clic dreapta pe
Address Pool din partea stng a ferestrei MMC i selectnd opiunea New Exclusion
Range. Aceasta va afia o caseta de dialog ce va permite adaugarea domeniul de adrese ce
va fi exclus. SE introduc doar adresele IP de nceput i de sfrit. Dac se introduce numai
adresa IP de nceput, se va adauga o singura adresa IP.
Server-ele DHCP permit rezervarea unei adrese IP pentru un client. Aceasta nseamn c
acel client va avea aceeai adres IP att ct se dorete. Pentru a realiza acest lucru, trebuie s
fie cunoascut adresa fizica (MAC) a fiecrei placi de reea. Se d clic dreapta pe
Reservations i se alege opiunea New Reservation. Se tasteaz numele rezervrii,
adresa IP dorit, adresa MAC i descrierea. Noua rezervare va fi adaugat n lista. Ca
exemplu este rezervat adresa IP 192.168.90.144 pentru un calculator client numit
Workstation1.
107
Dac se d clic dreapta pe Scope Options n consola MMC i se alege Configure

Options va aprea o fereastr n care se pot configura mai multe servere i parametrii lor.
Aceste setri vor fi distribuite de ctre serverul DHCP mpreun cu adresa IP. Opiunile
server-ului se comport implicit pentru toate scopurile n serverul DHCP. Totui, opiunile de
scop au precedena fa de opiunile de server.
ntr-un domeniu Windows Server 2003, toate server-ele DHCP trebuie s fie autorizate
n Active Directory. Pentru a autoriza un server, trebuie s fi logat ca administrator, sau ca un
membru al grupului Enterprise Admins. Apoi se d clic dreapta pe icon serverului DHCP i se
alege opiunea Authorize.
Rezumat
n reelele mari, configurarea static a adreselor IP nu este rezonabil din mai multe
considerente: numr mare de utilizatori, utilizatori mobili care i schimb frecvent locul,
108
actualizarea sistemelor de operare de reea, reconfigurarea reelei etc. Serviciul DHCP vine n
ajutor din acest punct de vedere, prin automatizarea procesului de obinere a adreselor IP, att
cea de gazd, ct i cea a DNS-ului, a gateway-ului i a mtii de subreea. Intervalul de
adrese din care un server DNS poate aloca adrese IP se numete domeniu de adrese (scope)
i el este stabilit de administratorul de reea atunci cnd face proiectarea reelei. Timpul de
alocare (nchiriere) a unei adrese IP este flexibil, fiind stabilit tot de administrator n funcie
de specificul fiecrui utilizator. Mai mult chiar, n cazul utilizrii unui server DHCP, anumite
adrese pot fi dedicate, ataate unei adrese MAC, deci legate de o anumit main.
Instalarea serviciului DHCP este o aciune uoar i presupune configurare att pe maina
server, ct i pe maina client.
Dup configurarea corect a serviciului DHCP, acesta este rareori predispus la apariia
erorilor. Comenzile utile pentru restabilirea operaiunilor de configurare TCP/IP sunt
ipconfig/release care ;terge informaiile curente i ipconfig/renew care renoiete informaiile
obinute de la server.
Test de verificare
1. Care dintre urmtoarele servicii de reea sunt necesare astfel nct clienii de email s
gseasc serverele de email, clieni FTP s gseasc serverele FTP, browserele web s
gseasc serverele web?
a) Server DHCP
b) Server DNS
c) Server de email
d) Server WINS
2. Care este numele dat setului de adrese IP pe care le poate le poate aloca un server
DHCP?
a) Adrese temporare
b) Adrese rezervate
c) Domeniu de adrese
d) Adrese dinamice
3. Care este termenul folosit pentru adresele alocate de un server fiecrui client DHCP?
a) Adrese temporare
b) Adrese statice
c) Adrese dinamice
d) Interval de adrese
4. Serviciul (protocolul) DHCP este de nivel:
a) Reea
b) Aplicaie
c) Transport
d) Sesiune
5. Un client DHCP se poate instala pe o main care are un sistem de operare:
109
a) Linux
b) Windows XP
c) Windows Server 2003
d) UNIX
6. Pentru comunicarea ntr-o retea TCP/IP, o statie conectat trebuie configurat pentru
retea cu:
a) adresa proprie IP
b) masca adresei IP
c) adresa implicita a porii de iesire din subreea
d) adresa serverului DNS
7. Pentru listarea ntregii configuraii de reea a unui calculator configurat DHCP se
folosete comanda cmd:
a) ipconfig
b) ipconfig/all
c) show ip config
d) ipconfig/release
8. Pentru anularea unei configuraii incorecte pe interfaa de reea a calculatorului se
poate folosi comanda:
a) ipconfig /release
b) ipconfig /renew
c) del/ipconfig
d) erase ipconfig
9. Pentru obinerea unei noi configuraii dinamice se folosete comanda:
a) ipconfig/renew
b) ipconfig/release
c) renew ipconfig
d) renew dhcpconfig
10. Configurarea n reea a unui calculator Windows XP se face din:
a) Start - Control Panel - Network Connections - LAN Properties - Internet Protocol
(TCP/IP) - Internet Protocol (TCP/IP) Properties:
- Obtain an IP address automatically
- Obtain DNS server address automatically
b) Linia de comenzi cmd tastnd
- ipconfig
c) Linia de comenzi cmd tastnd
- dhcp
d) Start - Control Panel - Internet Options LAN Settings Automatically Detect
Settings
Exerciiul 1
Descriei aciunea urmtoarelor comenzi date n linia de comand cmd:
Comanda
Ipconfig
Aciune
110
ipconfig/all
ipconfig/release
ipconfig/renew
ipconfig/flushdns
net send
Nbtstat
nbtstat c
net view
Ping 127.0.0.1
Ping localhost
Exerciiul 2
Descriei semnificaia i aciunea urmtoarelor mesaje care circul ntre un client i un server
DHCP:
Mesaj
Aciune
DHCPDISCOVER
DHCPREQUEST
DHCPDECLINE
DHCPRELEASE
DHCPINFORM
Tem de cas
Descriei sinoptic funcionarea serviciului DHCP specificnd schimbul de mesaje dintre un
client DHCP i un server DHCP
Recomandare: folosii linkul http://support.microsoft.com/kb/169289
111

Administrarea Reţelelor de Calculatoare

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Administrarea Reţelelor de Calculatoare

Încărcat de

Drepturi de autor:

Formate disponibile

CAPITOLUL 1

Introducere n managementul reelelor digitale integrate de

Materialul trebuie parcurs n ordinea sa fireasc prezentat n continuare,

1.1 Ce este managementul reelelor?

scalabilitatea i reconfigurarea dinamic a capacitilor reelei pe baza

1.2 Structurarea ierarhic a sistemului de management

Fig. 1.1 Organizarea ierarhic a managementului de reea

Elemente de reea trebuie s aib implementate capabiliti utile

Pentru aceasta, sunt necesare dispozitive de monitorizare incluse n acestea,

OBS: n cazul absenei acestora, pot fi ataate dispozitive externe de monitorizare,

Sistem integrator de management (OS)

Reea de comunicaii i calculatoare

Al doilea nivel, poziionat ierarhic imediat deasupra nivelului elementelor de

1.3 Ariile funcionale ale managementului reelelor de

Fig. 1.3 Principalele arii funcionale ale managementului de reea

1.3.1 Managementul configurrii

instalarea unei reele de comunicaii

aducerea n stare operaional a serviciilor de reea

furnizarea acestora ctre clieni.

Procesul configurrii este un proces liniar, prezentat n fig. 1.4.

configurrii (descrise n cele ce urmeaz), pn la faza final de administrare i

Reeaua este instalat

Fig. 1.4 Principalele etape ale managementului configurrii

A. Paii unui proces de planificare de reea sunt urmtorii:

pasul 2: determinarea infrastructurii de reea, pe baza cerinelor comerciale, tehnice i

B. Procesul de instalare a reelei

Fig. 1.6 Etapele procesului de instalare a echipamentelor

C. Planificarea i negocierea serviciilor de reea, etap care acoper

Fig. 1.8 Clase de obiecte software

D. Furnizarea de servicii i configuraii se refer la:

managementul conexiunilor de reea;

Furnizarea de configuraii i servicii la nivelul

managementul configurrii resurselor la

Fig. 1.10 Aprovizionarea la nivelul elementelor de reea i interaciunea sa cu

E. Controlul i starea resurselor elementului de reea

Operabilitatea, starea care indic dac resursa respectiv a reelei este

Utilizarea, reprezint starea de utilizare a unei resurse a reelei i are

Starea administrativ indic managementului de sistem dac resursa

Anunarea schimbrii de stare este o opiune care poate sau nu s fie

1.3.2 Managementul defectrilor

Prin defect se nelege o condiie anormal care afecteaz n mod negativ

Ciclul de via a managementului defectrilor, presupune cteva faze ntr-o

Fig. 1.11. Model pentru ciclul de via a managementului

1. Procesul de supraveghere a alarmelor urmrete permanent detectarea a noi

2. Managementul testelor poate fi clasificat, n funcie de nivelul la care

testelor, i, n final, de generarea unor rapoarte de testare ntr-un format standard

a) nlocuirea resurselor defecte, este aplicabil unei categorii foarte mari de

1.3.3 Managementul performanelor

Principalele obiective ale managementului performanelor constau, n primul

Funcia de analiz a performanelor este o a doua arie funcional a

Pe baza acestor informaii, sistemul de management poate lua deciziile

Managementul contabilitii, din cadrul reelelor de comunicaii i

reele multi-furnizor i multi-operator, a condus la creterea major a necesitilor de

ntrebri i teste de verificare

Care sunt principalele activiti ale unui administrator de reea?

Completai spaiile goale cu cuvinte cheie i texte adecvate:

1 Activitile de management al reelelor presupun desfurarea i coordonarea

2. Principalii factori care contribuie la ndeplinirea obiectivelor enunate sunt

3. Structura ierarhic a sistemului de management cuprinde:

4. Managementul configurrii este responsabil de:

5. Managementul defectrilor const dintr-un set de funcii dedicate

7. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]:

8. n Recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale

9. Gravitatea alarmelor este cuantificat pe urmtoarele ase nivele: