SISTEME DE OPERARE DE REEA

Curs Bibliografie
1. Microsoft Windows 2000 Server - Peter Norton, Irfan Chaudhry, Tom Burke, Ed. Teora, 2002 2. Totul despre Microsoft SQL Server 7.0 Stephen Wyncoop, Ed.Teora, 2002 3. Netware n lecii de 10 minute Galen Grimes, Ed.Teora,1999 4. Firewalls.Protecia reelelor conectate la Internet Terry William Ogletree, Ed. Teora, 2003 5. Packet Magazine Collection anii 2000-2004 6. Managing Cisco Network Security Michael J. Wenstrom, J.T. Agnello, Scott Moris, Cary A. Riddock, Cisco Press, Indianapolis 2001 7. Windows 2000 Server Dennis Maione, Ed Teora, 2002 8. Networking Essential Unleashed Mark Sportack, Macmillan Computer Publishing, 1998

1. Scopul cursului. Istoric. Concepte fundamentale

1.1. Scopul i utilitatea cursului Obiectivele acestui curs sunt familiarizarea cu modul n care sunt organizate reelele de calculatoare din punct de vedere al software-ului folosit. Acest curs va prezenta structura ierarhica pe care o folosesc reelele de calculatoare, elementele componente ale unei reele de calculatoare i modul n care se pot administra resursele astfel nct s se asigure accesibilitatea corespunzatoare a utilizatorilor la aceste resurse, dar s se asigure i securitatea datelor. Deoarece aproape n toate domeniile ntlnim n ziua de azi reele, mai mici sau mai mari, de calculatoare, acest lucru implic i administrarea resurselor existente. Pe de alt parte, dezvoltarea aplicaiilor care ruleaz n mediile distribuite oferite de reea, implic cunotine referitoare la modul n care sunt ierarhizate i administrate elementele unei reele. Utilizarea mediilor distribuite mrete riscul unor atacuri asupra datelor i din acest motiv, aplicaiile realizate de programatori trebuie s includ i elemente de securitate. 1.2. Istoria sistemelor de operare de reea n urm cu aproximativ 45-50 de ani a aparut prima dat ideea de a conecta mai multe echipamente de calcul astfel nct informaiile s poat fi accesibile mai multor utilizatori conectai ntr-o reea. Pornind de la conectarea unor terminale slabe (dumb terminals), la sistemele mainframe, fenomenul a cunoscut o dezvoltare puternic ncepnd cu anii 80, odat cu proliferarea reelelor locale LAN. Dup ce IBM a introdus n 1981 calculatorul personal, primul pas a fost nlocuirea terminalelor slabe cu noile maini inteligente. O serie de firme au nceput s produc i s vnd sisteme de operare de reea tot mai performante. n 1983 Novell a scos pe pia primul sistem sistem de operare de reea configurabil, denumit NetWare. n acelai timp IBM introducea primele faciliti de reea n noile maini. Aceste faciliti erau grupate n NetBEUI care a inclus n el NetBIOS. NetBIOS (Network Basic Input-Output System), este un program care permite aplicaiilor de pe calculatoare diferite s comunice prin intermediul unei reele locale. NetBEUI (NetBIOS Extended User Interface) permite calculatoarelor personale s trimit Pag. 1

date de la unul la altul fr a fi nevoie de mai mult de mesaj de acceptare pentru a specifica recepionarea datelor. Pn n 1986 Novell acaparase aproape 95% din piaa sistemelor de operare de reea. Protocoalele inventate de Novell sunt IPX (Internetwork Packet Exchange) i SPX (Sequenced Packet Exchange) . Aceste dou protocoale au dominat piaa pn n momentul n care Microsoft a introdus protocoalele TCP/IP. Primul sistem de operare de reea pe care Microsoft l-a introdus pe pia a fost Windows for Workgroups (WFWG), dar nu a fost un produs capabil s depeasc avantajele oferite de Novell NetWare. n acelai timp a aprut pe pia un nou productor numit Banyan Systems. Produsul lor se numete VINES i a fost unul din cele mai bune sisteme de operare de reea, dar avnd dezavantajul unui cost foarte ridicat. Calitile lui deosebite sunt motivul pentru care US Marine Corps a folosit exclusiv acest sistem n sistemele sale. Spre sfritul anilor 80 Microsoft a neles importana sistemelor de operare de reea i a concentrat multe eforturi spre realizarea unui sistem eficient. Astfel a aprut pe pia Windows NT, care a devenit un competitor serios pentru Novell NetWare i a nceput s acumuleze tot mai mult din piaa. Dup anul 2000, Windows NT a fost nlocuit cu o versiune mai avansat Windows 2000 Server. Evoluia sistemelor de operare Windows a fcut ca o pia dominat de aa numitul grup big three of the NOS (Novell-Banyan-Microsoft) s devin o pia dominat de un singur productor. (Observaie. Dei se utilizeaz foarte mult i sistemele UNIX, respectiv Linux, ele nu apar n literatura de specialitate ca momente semnificative n evoluia sistemelor de operare de reea. Acest lucru se datoreaz faptului c aceste sisteme ncorporeaz doar soluii i protocoale provenind de la ceilali trei productori, oferind doar interfee diferite, fr un aport tehnologic nou). 1.3. Concepte Un sistem de operare de reea este un sistem de operare care are implementate funcii de administrare i control al resurselor reelei, asigurnd i un nivel acceptabil de securitate a datelor. Datorit marii asemnri cu definiia serverului, vom folosi n continuare i termenul de server pentru a ne referi la un sistem de operare de reea.Scopul cursului. Istoric. Concepte fundamentale 1.4. Scopul i utilitatea cursului Obiectivele acestui curs sunt familiarizarea cu modul n care sunt organizate reelele de calculatoare din punct de vedere al software-ului folosit. Acest curs va prezenta structura ierarhica pe care o folosesc reelele de calculatoare, elementele componente ale unei reele de calculatoare i modul n care se pot administra resursele astfel nct s se asigure accesibilitatea corespunzatoare a utilizatorilor la aceste resurse, dar s se asigure i securitatea datelor. Deoarece aproape n toate domeniile ntlnim n ziua de azi reele, mai mici sau mai mari, de calculatoare, acest lucru implic i administrarea resurselor existente. Pe de alt parte, dezvoltarea aplicaiilor care ruleaz n mediile distribuite oferite de reea, implic cunotine referitoare la modul n care sunt ierarhizate i administrate elementele unei reele. Utilizarea mediilor distribuite mrete riscul unor atacuri asupra datelor i din acest motiv, aplicaiile realizate de programatori trebuie s includ i elemente de securitate. Un domeniu este o structur logic, care definete o limit de securitate care are propriile politici de securitate i care poate avea relaii de ncredere cu alte domenii. Utilizarea domeniilor ofer urmtoarele avantaje: - politicile i configurrile de securitate nu trec de la un domeniu la altul, ci se opresc la limitele domeniului; - ajut la structurarea reelei astfel nct s reflecte mai bine structura organizaiei; - permite delegarea autoritii administrative; - fiecare domeniu nmagazineaz doar informaii care se refer la obiectele din domeniul respectiv. Pag. 2

Domeniile sunt uniti replicative. Orice controler de domeniu poate recepiona i replica (copia) modificri ale structurii unui domeniu ctre toate celelalte controlere de domeniu. Un domeniu poate fi extins peste mai multe locaii fizice, denumite site-uri. Utilizarea unui singur domeniu simplific mult efortul de administrare. Domeniile pot fi grupate n structuri ierarhice care formeaz un arbore de domenii (domain tree). Primul domeniu dintr-un arbore este denumit domeniu rdcin. Domeniile urmtoare sunt denumite domenii copil. Domeniul precedent unui domeniu copil este denumit domeniu printe. Toate domeniile care au un domeniu rdcin comun formeaz un spaiu de nume continuu.

Fig.1.1 Acest lucru nseamn c pentru a forma numele unui domeniu copil se folosete numele domeniului printe la care se adaug numele domeniului copil aa cum se vede n fig.1.1. Mai muli arbori formeaz o pdure de domenii (domain forest). Totalitatea domeniilor aflate ntr-o pdure nu constituie un spaiu de nume continuu. Fiecare arbore poate avea propriul su spaiu de nume, diferit de al celorlali arbori aa cum se vede n fig.1.2.

Fig.1.2 Legtura ntre diverse domenii se bazeaz pe relaiile de ncredere (trust relationship) definite ntre ele. Fiecare domeniu are propriul su controler de domeniu. O relaie de ncredere este o relaie stabilit ntre dou domenii, prin care se permite autentificarea resurselor din primul domeniu n al doilea domeniu. O relaie de ncredere include doar dou domenii i anume un domeniu de ncredere (trusting domain) i un domeniu creditat (trusted domain). Relaia de ncredere poate fi una unilateral (n acest caz un domeniu este domeniul de ncredere, iar cellalt este domeniul creditat) sau poate fi o relaie bilateral (n acest caz, fiecare domeniu este att domeniu de ncredere ct i domeniu creditat pentru cellalt domeniu). n cadrul unui domeniu se pot defini uniti organizaionale. Acestea reprezint cea mai mic unitate creia i se poate asigna o politic de securitate i i se pot delega drepturi administrative. Un administrator al unei uniti organizaionale nu e necesar s aib drepturi administrative i n domeniul din care face parte unitatea. De exemplu, putem avea un administrator al serverelor de listare, sau un administrator al unei aplicaii de tip server de baze de date care este folosit doar de compartimentul contabilitate al unei firme. Un server este o aplicaie care permite administrarea, organizarea i controlul resurselor de reea, prin definirea de politici de acces, drepturi, relaii. Un server este o aplicaie software, care poate rula independent (sub forma unui sistem de operare) pe un calculator sau sub forma unei aplicaii (servere care necesit existena n prealabil pe calculator a unui sistem de operare preinstalat, de obicei tot un server). n general serverele necesit o configuraie mai puternic a calculatorului pe care vor fi instalate i exist calculatoare construite special pentru a fi utilizate n acest scop. Aceste calculatoare au o parametri i o fiabilitate mai ridicate. n practic sunt numite servere calculatoarele pe care ruleaz un program de tip server, ceea ce nu este chiar corect. n funcie de rolul pe care l ndeplinete un server n reea acesta poate fi: Pag. 3

- controler de domeniu - server membru - server independent. Un controler de domeniu este un server care valideaz deschiderea de sesiuni ntr-un domeniu. Un domeniu poate conine unul sau mai multe controlere de domeniu. Primul controler de domeniu instalat ntr-un domeniu definete i numele domeniului. Un server membru este un server care funcioneaz ntr-un domeniu, este membru al acestui domeni, dar nu valideaz deschiderea de sesiuni de lucru n domeniu. Acest server poate ns valida deschiderea de sesiuni de lucru pe calculatorul local. n general pentru a avea acces la un server membru, un utilizator trebuie s fie deja autentificat n domeniu de ctre un controler de domeniu. n general serverele membru ndeplinesc funcii cum ar fi servicii de fiiere, de listare, servicii de email i mesagerie, servicii Web, servicii de baze de date, etc. Aceste servicii sunt ndeplinite prin intermediul unor servere specifice. Un server independent este un server care nu este membru al unui domeniu. Serverul independent face parte dintr-un grup de lucru (workgroup), i poate partaja resurse cu alte calculatoare din reea. O alt clasificare posibil a serverelor este n servere de reea i servere de aplicaie. Serverele de reea sunt serverele care au ca scop deschiderea sesiunilor de lucru i autentificarea utilizatorilor. Aceste servere au i rolul de a organiza i administra resursele reelelor, i sunt servere de tip sistem de operare. Serverele de aplicaie sunt serverele care asigur diverse servicii, asemntor cu serverele membru, i sunt servere care necesit pentru instalare existena unui sistem de operare preinstalat. Exist o serie ntreag de servere de reea utilizate la ora actual i cu o rspndire divers. Printre cele mai utilizate putem aminti Microsoft NT Server 4.0, Microsoft Windows 2000 Server, UNIX i varianta lui mai simplificat Linux, Novel Netware 3.12, Novel Netware 4.1. Exist i alte servere de reea, dar utilizarea lor este mult mai restrns (MPEiX).

2. Servere de reea
2.1. Partiii nainte de instalarea unui sistem de operare de tip server de reea trebuie parcurse etape premergtoare de pregtire a hard-disk-ului. Primul pas este realizarea partiiilor. Partiiile reprezint un segment din capacitatea total a hard-disk-ului definit ca fiind o zon logic echivalent unei uniti de stocare independente. Pe un hardisk se pot crea mai multe partiii. O partiie poate folosi ntreaga capacitate a hard-disk-ului, n acest caz unitatea logic de stocare este identic cu unitatea fizic de stocare (hard-disk-ul). Se utilizeaz termenul de partiie sistem (system partition) pentru a descrie partiia activ, de pe care sistemul BIOS al calculatorului ncepe ncrcarea sistemului de operare. Aceast partiie este de obicei dar nu ntotdeauna unitatea C:. Aceast pertiie conine nregistrarea Master Boot Record i fiierele de sistem care permit sistemului de operare s preia controlul procesului de ncrcare. O alt partiie utilizat este partiia de ncrcare (boot partition), care este partiia pe care se afl stocate fiierele sistemului de operare. Acestea sunt fiierele folosite pentru a completa procesul de ncrcare i rulare a sistemului de operare. Partiia de ncrcare i partiia sistem pot fi pe aceeai partiie sau pe partiii diferite. Pentru a putea utiliza o partiie, nainte de instalarea sistemului de operare, partiia trebuie formatat. Diverse sisteme de operare de reea pot utiliza diverse tipuri de formatri. Exist tipuri de formatri care sunt compatibile cu mai multe sisteme de operare, dar exist i variante compatibile cu un singur sistem de operare. Exemple de tipuri de formatri: NTFS, FAT32, FAT16, etc. 2.2. Servicii Pag. 4

Pe parcursul dezvoltrii sistemelor de operare de reea au existat trei servicii importante cerute de utilizatori: folosirea n comun a fiierelor i resurselor, configurabilitate i suport dup cumprare. Folosirea n comun a fiierelor (file sharing) este una din cerinele fundamentale adresate oricrui sistem de operare de reea. Pe lng acestea, accesul la imprimante scumpe, la uniti de band i alte dispozitive scumpe trebuie s fie disponibil tuturor utilizatorilor. Configurabilitatea este deasemenea o cerin important. Cu ct o reea devine mai complex, administrarea i configurarea ei devine mai dificil. Din acest motiv majoritatea administratorilor de reea consider c introducerea de ctre Novell i Microsoft a unei interfee grafice utilizat la configurarea reelei a fost un pas mare nainte i le-a uurat foarte mult munca. Suportul dup cumprare este important deoarece la un moment dat se poate ajunge ntr-o situaie la care utilizatorul nu gsete soluie. Un suport rapid i eficient poate rezolva problemele i deschide o porti de acces pe pia a unui sistem de operare. Orice server de reea include un anumit numr de servicii. Exist un grup de servicii care sunt implementate n toate sistemele de operare de reea i exist servicii specifice numai anumitor servere. Dintre aceste servicii se pot aminti: Accesorii i utilitare (Accessories and Utilities). Acestea cuprind programe cu diverse utiliti, cum ar fi Calculator, Clock, utilitare multimedia, jocuri, etc. Servicii de certificate (Certificate Services). Aceste servici sunt utilizate pentru furnizarea de certificate digitale pentru utilizatorii care vor fi autorizai s deschid sesiuni n reea. Acest serviciu poate fi folosit pentru a nlocui achiziionarea de certificate de la alte companii, cum ar fi Verisign. Certificatele de securitate sunt utilizate pentru o diversitate de transmisii de securitate avansate, cuprinznd IPSec, EFS, L2TP. Servicii de indexare (Indexing Servicies). Pentru a permite o cutare rapid se indexeaz coninutul hard-disk-ul serverului. Servicii Internet (Internet Information Services). Aceste servicii reprezint servicii de tip server pentru HTTP, FTP, Server de tiri, etc. Pot fi folosite ntr-un context intranet sau internet. Instrumente de administrare i monitorizare (Management and Monitoring Tools). Aceste instrumente cuprind o serie de aplicaii folosite n administrarea resurselor reelei, n monitorizarea evenimentlor i depanarea problemelor care pot aprea. Dintre cele mai folosite instrumente de acest tip sunt capcanele SNMP, Connection Manager, etc. Servicii de reea (Networking Services), este o component care grupeaz principalele aplicaii de susinere a reelei. Majoritatea subt aplicaii de tip server, cum ar fi DNS, DHCP, WINS. Servicii de partajere a fiierelor i de listare n reea (Network File and Print Services), sunt servicii care permit partejarea fiierelor i imprimantelor din reea, astfel nct anumite fiiere sau imprimante de pe un calculator s fie disponibile i altor utilizatori din reea, care deschid sesiuni de lucru pe alte calculatoare. Deasemenea aceste servicii permit i partajarea fiierelor i imprimantelor ntre sisteme de operare diferite (Windows, Machintosh, UNIX). Stocare la distan (Remote Storage). Aceste servicii permit utilizarea benzilor magnetice ca mediu de stocare dinamic pentru fiierele care sunt utilizate n mod frecvent. Depanator de scripturi (Script Debugger). Anumite operaii pot fi automatizate, astfel nct s ruleze automat pe baza unor secvene de comenzi, cuprinse n fiiere denumite scripturi. Pentru a verifica funcionarea corect a scripturilor, sau pentru a corecta erorile generate de acestea se folosete depanatorul de scripturi. Servicii de terminal (Terminal Services), sunt servicii de tip servercare permit clienilor care ruleaz un program terminal de tip client s acceseze serverul i reeaua. Aceste servicii permit ca toate procesele de pe staia unui client s fie Pag. 5

gzduite direct pe server, prelucrarea n partea dinspre client fiind redus sau chiar absent.

2.3. Prezentarea unor sisteme de operare de reea 2.3.1 Banyan Network Systems Banyan s-a situat pe o poziie de lider n domeniul soluiilor pentru companii foarte mari cu sistemul de operare pentru reea denumit VINES. Acest sistem de operare realizeaz o reea transparent pentru utilizator. Toate resursele existente ntr-o reea distribuit, apar utilizatorului ca fcnd parte dintr-o singur unitate. VINES ofer urmtoarele servicii i aplicaii: - Servicii de directoare i fiiere - Directory Services (serviciu denumit i StreetTalk) - Seviciii de administrare a reelei (Network Management Services) - Servicii de mesagerie inteligent (Intelligent Massaging Services) - Servicii de .securitate (Security Services) Toate aceste patru servicii colaboreaz ntr-o reea de arie larg (WAN), sau n reele distribuite. Serviciile de directoare i fiiere sunt nucleul oricrui sistem de operare de reea, iar pachetul de programe de la Banyan, care ndeplinete aceste funcii este foarte performant. Programul care permite distribuirea serviciilor de directoare i fiiere la toi utilizatorii a fost denumit de VINES StreetTalk. Banyan a dezvoltat StreetTalk cu obiectivul de a standardiza seerviciile de fiiere i directoare. Acest produs permite folosirea n comun a resurselor fiiere i directoare cu alte tipuri de servicii, cum ar fi NFS (Unix), Windows NT File System (NTFS), sasisteme de fiiere de tip mai vechi DOS care foloseau File Allocation Table (FAT). StreetTalk integreaz n mod automat n reeaua existent, locaiile noii, adugate n reea. Acest lucru uureaz foarte mult procesul de utilizare i instalare. O alt facilitate oferit de StreetTalk este existena acestuia pe toate serverele din reea. Cnd un server cade, serviciile de folosire n comun a fiierelor i directoarelor rmn active i disponibile. Fiecare server conine o parte din ntregul puzzle i informaiile de pe toate serverele sunt combinate de StreetTalk pentru a obine imaginea ntreag. StreetTalk este integrat complet n fiecare component a sistemului VINES. Serviciile de mail, tiprire i fiiere folosesc cu toate StreetTalk pentru a localiza resursele sau utilizatorii din reea. Dac se adaug n reea un dispozitiv, un utilizator sau o resurs nou, StreetTalk i asigneaz fiecruia un nume pe baza cruia va fi identificat n reea. Una din facilitile extraordinare ale lui StreetTalk este capacitatea acestuia de a ine utilizatorii activi, chiar dac ei se mut ntr-o alt locaie a reelei. Schimbrile n structura unei reele se ntmpl permanent. StreetTalk ofer administratorului posibilitatea de a lsa o staie de lucru n locaia n care a fost definit iniial, chiar dac staia de lucru a fost mutat ntr-o nou locaie. Streettalk determin noua locaie imediat ce utilizatorul se loggeaz perima dat, i actualizeaz configuraia reelei. Acest lucru salveaz mult din timpul necesar administrrii reelei. StreetTalk include i un serviciu denumit StreetTalk Directory Assistance (STDA). Acest serviciu permite utilizatorilor s caute elemente n structura reelei n acelai mod n care se caut un numr de telefon n cartea de telefon. STDA organizeaz i listeaz toate componentele reelei n ordine alfabetic. Serviciile de management ale reelei Denumirea utilizat de Banyan pentru aceste servicii este VINES Network Managment Services (NMS). Aceste servicii utilizeaz o interfa prietenoas de tip ferestre, care furnizeaz administratorului informaii utile i actualizate n timp real. Activitatea utilizatorilor, modificrile n reea, Pag. 6

tergeri, securitatea, aplicaiile i performanele reelei sunt elemente care pot fi monitorizate i administrate cu ajutorul NMS. mpreun cu aceste servicii se folosete i serviciul VINES Assistant. Acest serviciu furnizeaz o serie de utilitare folosite la maximizarea performanelor i controlul resurselor reelei de ctre administrator. Exist utilitare pentru controlul parolelor, optimizarea reelei i multe altele. Acest serviciu este organizat n forma unui sistem de meniuri, care conduc administratorul pas cu pas prin fiecare operaie. Servicii de mesagerie inteligente Serviciile de mesagerie sunt instalate automat i au capacitate de autoconfigurare, lucrnd bine i cu programe de e-mail furnizate de ali productori. Mesageria este integrat complet cu StreetTalk, astfel nct un utilizator trebuie s fie nregistrat n baza de date StreetTalk pe un singur server. Utilizatorii au acces la mesajele lor din orice loc din reea i pot obine informaii despre ali utilizatori indiferent de locul n care acetia se afl n reea. Acest lucru este posibil deoarece adresele utilizatorilor sunt administrate doar de StreetTalk. Utilizatorii pot folosi orice program de tip client pentru e-mail, deoarece serviciul de mesagerie VINES tie s comunice foarte bine cu orice client. Serviciile de mesageruie sunt legat i de NMS astfel nct administratorul poate monitoriza toate mesajele dac este necesar. Servicii de securitate Serviciile de securitate sunt transparente pentru utilizator, dar sunt foarte eficiente. Serviciile de securitate n VINES pot securiza fiiere, imprimante, pori de acces (gateways), aplicaii i toate celelalte resurse. Controlul resurselor se face la nivel de server, astfel nct chiar dac un utilizator ru intenionat este conectat fizic la server, nu poate avea acces la o anumit resurs dac nu se afl n lista cu drepturi de acces (Access Rights List (ARL)) pentru serverul respectiv. ARL ine evidena utilizatorilor autorizai i a resurselor la care acetia au acces. Standarde acceptate VINES accept o mare varietate de standarde i protocoale pentru comunicaie i clieni pentru majoritatea sistemelor de operare. Printre cele mai importante standarde de comunicaie acceptate sunt: LAN, dial-up, X.25, SNA, TCP/IP, IBM 3270 Gateway. Toate conexiunile ntre reele VINES separate geografic sunt suportate, ca i cum ar face parte dintr-un singur sistem. VINES accept aplicaii client pentru DOS, Windows, OS/2 i Macintosh. Ca urmare utilizatorii nu sunt obligai s nvee o interfa de reea nou pentru a accesa resursele reelei, ci pot utiliza sistemul de operare cu care sunt obinuii. Puncte tari i puncte slabe Principalul avantaj al lui VINES este utilizarea serviciului StreetTalk. Utilizarea unei ierarhizri a utilizatorilor i resurselor pe baza numelui a fost prima dat folosit n StreetTalk. Acest sistem ofer eficien i uurin n configurare. Un alt avantaj este faptul c suport conexiuni cu foarte multe platforme de operare, care pot fi astfel incluse n structura de directoare StreetTalk. Printre principalele dezavantaje se numr faptul c suport un numr extreme de redus de dispozitive hardware i nu permite detecia imediat a dispozitivelor hardware noi (nu prezint faciliti de tip plug-and-play). Un alt dezavantaj important este suportul tehnic destul de sczut. 2.3.2 Novell NetWare Iniial Novell a fost depit de Banyan care a introdus serviciul StreetTalk. Eforturile depuse de Novell pentru dezvoltarea serviciilor orientate spre LAN au dus ns la cucerirea primului loc n domeniul sistemelor de operare de reea de ctre Novell. Novell a creat primul sistem de operare de reea care suporta platforme multiple. Deasemenea a creat primul sistem de operare de reea care suport topologii multiple i variate i posibiliti de routare a datelor ntre topologii diferite. Novell a cucerit un segment de pia foarte Pag. 7

important prin includerea n sistemul su de operare a suportului pentru toate versiunile DOS de reea i servicii TCP/IP pentru sisteme Apple. Faciliti Serverele Novell au fost optimizate pentru activiti de reea. Principalele servicii oferite de Novell NetWare sunt: - serviciul de directoare Novell Directory Services (NDS) - servicii de securitate - servicii de baze de date - servicii de mesagerie - servicii de tiprire - servicii NetWare Loadable Modules (NLMs). Dintre cele ase servicii prezentate mai sus NDS este cel care face nc din Novell un competitor serios pentru Microsoft. Novell Directory Services (NDS) Serviciul NDS a fost dezvoltat pe baza specificaiilor standardului CCITT X.500, care specific utilizarea unei structuri ierarhizate pe baza numelui, cu scopul evitrii crerii de obiecte duplicate. Fiecare obiet trebuie s aib un nume distinctiv (Distinguished Name (DN)). De exemplu pentru un utilizator al crui nume de utilizator este TOM i care lucreaz n departamentul CERCETARE care este elementul 2345 din organizaie numele distinctiv va fi TOM.CERCETARE.2345. numele de utilizator TOM, fr CERCETARE.2345, este denumit nume distinctiv relativ (Relative Distinguish Name (RDN)). Fiecare obiect trebuie identificat n mod unic n cadrul arborelui de directoare din NDS. Acest lucru este realizat prin utilizarea locaiei n care se afl obiectul pentru identificarea acestuia. NDS utilizeaz containere pentru a grupa obiectele definite, iar un obiect poate fi inclus n mai multe containere. Obiectele coninute ntr-un container sunt denumite leaf objects. Pentru o ierarhizare mai detaliat se folosesc obiecte intermediare denumite container objects, care sunt Organization (O), Organizational Unit (OU), Country (C), i [Root]. n general obiectele de tip leaf sunt utilizatori, imprimante, servere, structuri de directoare. Novell folosete termenul de leaf object pentru obiectele care nu mai pot include alte obiecte i container object pentru obiecte care pot include i alte obiecte (de tip container sau leaf). Numrul de obiecte de tip container i leaf care se pot crea este nelimitat. NDS conine 37 de tipuri de obiecte container i leaf predefinite, care pot fi utilizate n administrarea resurselor reelei. Se pot defini tipuri noi de obiecte, care s fie adugate structurii NDS. Structura NDS este reprezentat ntr-o interfa grafic la consola utilizatorului ADMIN. Utilizatorul ADMIN se poate conecta n reea de la oricare staie de lucru. Utilizatorul ADMIN poate aduga sau terge utilizatori, servere, i alte resurse de reea. NDS este considerat cel mai bun serviciu de directoare existent n prezent. Cu toate eforturile lui Microsoft, serviciile sale de directoare nu sunt nc la fel de bine organizate i orientate spre obiect ca NDS. Servicii de securitate n domeniul securitii Novell este cel care a inventat i introdus n 1983 utilizarea numelui de utilizator (username), a parolei i a profilului de utilizator pentru autentificarea i autorizarea accesului n reea al utilizatorilor. Profilul utilizatorului este stocat pe discul de reea NetWare n form criptat. Un aspect semnificativ este faptul c un utilizator chiar dac aceseaz serverul la nivel fizic folosind DOS, Unix, OS/2 sau Windows nu poate avea acces la fiierele care conin profilul utilizatorului. Informaia legat de parol circul de la server la staia de lucru i de la staia de lucru la server n format criptat. Nici chiar administratorul reelei nu poate vedea parolele utilizatorilor, chiar dac poate aduga sau anula permisiunile pe care le are un utilizator. Administratorul poate defini intervalul de timp la care un utilizator trebuie s i schimbe parola i restricii privind lungimea minim a parolei, dar nu poate modifica parola unui unui utilizator. Pag. 8

Permisiunile unui utilizator sunt aceleai, indiferent dac utilizatorul este conectat de la o staie de lucru sau direct pe server. Toate ncercrile de a accesa informaia sau resursele reelei sunt filtrate prin serviciul de securitate al NetWare, care este n strns legtur cu NDS. Utilizatorii pot accesa doar acele informaii i resurse pentru care exist nregistrri n baza de date a NDS, care le permit accesul. Serviciile de securitate Netware conin foarte puine guri, ceea ce a avantajat Novell Netware fa de Windows NT a crui securitate prezint destul de multe probleme. Servicii de baze de date nc de la nceput Novell a integrat n sistemul su de operare pentru reele servicii de baze de date ntr-un mediu de tip client/server. Aceste servicii ajut foarte mult dezvoltatorii de aplicaii de tip baze de date. NetWare ofer dou servicii majore de baze de date i anume: NetWare Btrieve i NetWare SQL. NetWare Btrieve este un sistem de baze de date indexate pe baza unei chei i care permite dezvoltarea cu uurin a aplicaiilor de tip vertical. Btieve ofer utilizatorilor posibilitatea de a accesa nregistrrile din baza de date foarte rapid. NetWare SQL s-a dezvoltat pe baza standardelor de baz ale limbajului SQL. SQL este mai avansat n ce privete administrarea nregistrrilor dect Btrieve, oferind capacitatea de a accesa nregistrri provenite din platforme i aplicaii diferite. i alte aplicaii de tip baze de date pot fi rulate pe serverele NetWare, dar cele dou prezentate mai sus reprezint cea mai bun alegere. Servicii de mesagerie Versiunea NetWare 5.0 a introdus o variant nou i total revizuit a serviciilor de mesagerie. Novell a numit serviciile sale de mesagerie NetWare Message Handling Service (MHS). MHS poate fi instalat pe un calculator independent din reea (nu e obligatoriu s fie instalat pe server). n acest fel transmiterea mesjelor nu va fi afectat dac traficul de informaii cu serverul este foarte ncrcat. Mesajele se vor transmite n mod eficient de la un punct la altul i fr investiii prea mari. Utilizatorul care trimite un mesaj poate stabili care va fi momentul la care se va transmite mesajul respectiv. Dezvoltatorii de aplicaii de mesagerie pot obine de la Novell un kit de utilitare pe care s le includ n aplicaiile lor pentru a putea fi utilizate n mediul NetWare. Servicii de tiprire Serviciile de tiprire native NetWare permit partajarea unui numr de maxim de 16 imprimante pe server de tiprire. Serviciile de tiprire sunt foarte flexibile, permind existena n reea a mai multor servere de tiprire. O imprimant nu trebuie s fie conectat fizic la serverul de tiprire, ci poate fi conectat i la o staie de lucru. Este obligatoriu ca pe staia de lucru la care este conectat fizic o imprimant s fie instalat un program de tip TSR, care s asigure conexiunea logic cu serverul de tiprire. Servicii NetWare Loadable Modules (NLMs) Aceste servicii au fost introduse n versiunea 3.12 i au devenit una din cele mai importante componente ale NetWare. Aceste servicii reprezint o interfa de programare, care permite aplicaiilor de tip client/server s fie ncrcate i executate sub forma unor module ncrcabile. Avantajul acestor module este faptul c ele pot fi pornite sau oprite fr a fi necesar restartarea serverului. Administratorul reelei poate crea fiiere de tip batch care s ncarce sau s descarce modulele atunci cnd este necesar. Standarde suportate NetWare accept o mare varietate de standarde. Dintre standardele de comunicaie acceptate se pot aminti: LAN, dial-up, X.25, SNA, ISDN, T1, TCP/IP, IBM 3270 Gateway. Deasemenea Novell furnizeaz o gam larg de echipamente de tip router i de tip comutator (switch), care permit conectarea fizic a staiilor de lucru, serverelor i a reelelor separate geografic. NetWare suport aplicaii client pentru sistemele de operare DOS, Windows, Unix i Macintosh. Pag. 9

Puncte tari i puncte slabe Cel mai mare avantaj al NetWare este faptul c posed cel mai bun software de tiprire i administrare a fiierelor i directoarelor (NDS). Un alt avantaj este numrul mare de utilitare foarte puternice pe care le ofer la nivelul reelelor de nivel entreprise. Un dezavantaj important n comparaie cu sistemele de la Microsoft este suportul slab pentru serverele de aplicaii, i nivelul sczut al posibilitilor de monitorizare a performanelor reelei, din acest motiv optimizarea fiind destul de dificil. 2.3.3 Microsoft Windows NT Windows for Workgroups a fost doar un pas intermediar ntre Windows 3.0 i Windows95. Introducerea capacitilor IPX/SPX i TCP/IP n Windows95 a fost prima ncercare impresionant a lui Microsoft de a crea un produs pentru reele. ntre timp utilizatorii au decis c utilizarea unei interfee grafice i capacitatea de a administra i utiliza aceste aplicaii n reea este mult mai important dect stabilitatea reelei. Microsoft a continuat dezvoltarea sistemului su de operare, bazat pe interfaa grafic a lui Windows95 i a lansat pe pia Windows NT. Iniial a existat o problem important; multe aplicaii care funcionau n DOS sau Windows95 nu puteau fi rulate n NT 3.51. Aceste probleme au fost rezolvate n mod satisfctor n versiunea NT 4.0, dup a crui lansare Novell a nceput s piard vertiginos din segmentul de pia pe care l deinea n domeniul sistemelor de operare de reea. n scurt vreme NT a devenit cea mai bun alegere pentru un sistem de operare de reea. Faciliti Numrul de faciliti introduse de Microsoft n NT este impresionant, de aceea vom enumera doar o parte din ele. Interfaa grafic a uurat foarte mult administrarea i utilizarea. Pentru a face fa concurenei toi productorii de sisteme de operare de reea au trebuit s introduc aceast facilitate n sistemele lor. Utilizarea vrjitorilor (wizards) de administrare a simplificat procesul administrrii, conducnd administratorul n mod automat prin paii necesari fiecrei proceduri. Monitorizarea reelei a permis analiza diferitelor elemente i optimizarea performanelor sau depanarea rapid a problemelor i situaiilor critice. Editorul de politici i profile a oferit posibilitatea de a crea medii de lucru personalizate pentru fiecare utilizator indiferent de locul din care utilizatorul iniiaz o sesiune de lucru. Managerul de procese (Task Manager) permite monitorizarea i administrarea proceselor care ruleaz pe sistem. Serverul Internet (Internet Information Server) ofer posibilitatea de a folosi serverul NT ca un server de servicii pentru Internet sau Intranet, furniznd servicii de tip WWW, FTP, tiri, etc. Protocolul Point-to-Point Tunneling (PPTP) a oferit posibilitatea de a folosi reeaua Internet la crearea de reele virtuale private (VPN), legturi ntre un PC client i server, care pot suporta o multitudine de protocoale prin conexiuni TCP/IP. Din multitudinea de faciliti se mai pot aminti Index Server, Cluster Server, Server MultiProcessor, Message Queue Server. Standarde suportate NT suport aproape toate standardele existente. Dintre standardele de comunicaii suportate se pot aminti LAN, dial-up, X.25, SNA, SDLC, ISDN, T1, TCP/IP, IBM mainframe. NT ofer clieni pentru sisteme de operare DOS, Windows, OS/2, Unix i Macintosh. Securitatea sistemului Prima versiune de Windows NT a avut o securitate limitat doar la utilizarea parolei de acces n reea. Fiierele i directoarele nu aveau ns nici o protecie i puteau fi vzute, modificate sau Pag. 10

terse de oricine avea acces n reea. Introducerea sistemul de fiiere NTFS a schimbat radical ns acest lucru. Administratorul de reea poate configura nivelul de securitate pentru orice utilizator att la nivel de domeniu, ct i la nivel de staie. Administratorul poate atribui utilizatorilor drepturi de securitate n mod virtual pentru orice element al reelei. Se pot crea politici de securitate foarte avansate i pentru parolele utilizate, administratorul putnd s impun restricii privind durata de valabilitate a unei parole, dimensiuni minime, obligativitatea schimbrii parolei la anumite intervale de timp, etc. Puncte tari i puncte slabe Unul din marile avantaje este faptul c NT suport mai multe platforme dect orice alt sistem de operare de reea. Un al doilea avantaj important este suportul tehnic foarte avansat, avantaj care a contribuit mult la surclasarea lui Novell. Al treilea avantaj const n fondurile foarte mari alocate cercetrii i dezvoltrii produsului n sine , al aplicaiilor pentru NT i a diverselor utilitare, care uureaz foarte mult munca de administrare.

3. Configurarea i administrarea accesului la resurse

3.1. Grupuri i utilizatori Toate elementele componente ale unei reele reprezint resursele acelei reele. Aceste resurse trebuie puse la dispoziie, iar accesul la acestea trebuie controlat. Accesul este controlat prin intermiediul unei liste de control al accesului discreionar (Discretionary Access Control List (DACL)). Utilizatorii sunt persoane crora li se acord accesul la resursele reelei i sunt identificai pe baza numelui i a unui identificator unic (security ID (SID)), atribuit la crearea utilizatorului. Identificatorul SID este unic; dac utilizatorul este ters i creat din nou cu acelai nume de utilizator, noul SID va fi diferit de cel anterior. Echivalent cu termenul de utilizator se utilizeaz i temenul de cont de utilizator. Utilizatorii locali deschid sesiuni de lucru pe calculator, iar serverul le valideaz local, n propria sa baz de date de securitate. Accesul la resurse ar putea fi acordat pe baza numelor de utilizatori. Aceast metod nu este prea eficient. S presupunem c avem un departament de cercetare n care avem 30 de angajai. Pe server exist 20 de directoare care sunt folosite doar membrii departamentului cercetare. Pentru a da dreptul de accesare celor 20 de directoare, tuturor celor 30 de utilizatori, ar trebuie fcute 600 de intrri n DACL. Dac un utilizator pleac sau dac apare un utilizator nou este necesar un volum considerabil de munc pentru actualizarea DACL. O soluie pentru a reduce acest volum mare de munc este crearea unui grup de utilizatori cu un nume sugestiv, de exemplu Cercetare, i realizarea nregistrrilor de acces doar pentru acest grup. Se reduce astfel numrul de nregitrri de la 600 la 20. Plecarea sau venirea unui nou utilizator implic doar adugarea sau scoaterea utilizatorului din grup. Grupurile locale sunt utilizate pentru a controla accesul la resursele reelei de pe anumite calculatoare. Pe un server sau pe o staie de lucru, grupurile locale fac parte din modelul de securitate local al calculatorului. n afara grupurilor locale mai exist trei tipuri de grupuri i anume, grupurile universale, grupurileglobale i grupurile locale ale domeniului. Aceste trei tipuri de grupuri se gsesc doar pe controlerele de domeniu. Grupurile universale pot fi formate din membrii (utilizatori, grupuri sau calculatoare) din orice domeniu din cadrul unei pduri. Aceste grupuri pot fi utilizate pentru a acorda accesul la orice resurse din cadrul pdurii. Grupurile globale pot conine grupuri globale sau utilizatori din domeniul n care sunt create i pot fi adugate n orice grupuri universale sau grupuri locale ale domeniului din cadrul pdurii. Grupurile locale ale domeniului pot conine grupuri globale din domeniul n care sunt create, grupuri universale din cadrul pdurii sau membrii ai pdurii. Aceste grupuri sunt utilizate pentru a acorda acces numai la resursele domeniului, n omeniul n care ele exist. Pag. 11

Utilizarea grupurilor este recomandat, fa de utilizarea conturilor individuale de calculator sau de utilizator. Administratorul de domeniu este un utilizator cu drepturi depline, care are capacitatea de a administra fiecare server din cadrul domeniului. Administratorul de domeniu poate acorda sau revoca altor utilizatori drepturi de administrare si acces la anumite resurse ale reelei. Un administrator local este un utilizator care are drepturi depline doar la nivelul calculatorului pe care deschide o sesiune de lucru. Pentru acordarea accesului la resursele unui server se respect urmtoarele reguli: a) Utilizatorii domeniului sunt adugai n grupurile universale, globale sau locale ale domeniului. Aceste grupuri sunt asemntoare grupurilor create pe un server, dar spre deosebire de grupurile locale, acestea pot deveni membre ale altor grupuri. b) Grupurile locale sunt create pe fiecare server, cu scopul de a grupa utilizatorii care au nevoie de aceleai drepturi pentru a ndeplini funcii sau de aceleai permisiuni pentru a accesa resursele de pe server. c) Utilizatorii locali, grupurile globale i grupurile universale pot fi utilizate pentru popularea grupurilor locale de pe un server d) Utilizatorii locali sunt creai numai dac acel utilizator nu trebuie s aib acces la nici o resurs din ntregul domeniu, ci numai la resursele locale ale calculatorului. e) Dup crearea utilizatorilor i grupurilor se acord permisiunile de accesare a resurselor. 3.2. Acordarea i controlul accesului la date Unul din rolurile importante ndeplinite de un server este acela de server de fiiere. Funcia principal a unui server de fiiere este de a oferi acces centralizat la date pe cuprinsul unei reele. El este astfel disponibil oricui are acces fizic la reea. Utilizarea serverului de fiiere permite schimbul electronic, uor i eficient de date ntre diveri utilizatori, prin intermediul reelei, fr a fi necesar utilizarea unor medii externe de transfer al datelor. Datele sunt stocate ntr-o locaie centralizat organizate ierarhic ntr-o structur de directoare. Pentru a oferi accesul la datele dintr-un anumit director, acesta trebuie partajat (sharing). Pentru a putea partaja directoare sau fiiere un utilizator trebuie s aib drepturi echivalente cu cele ale unui administrator, sau s fie membru al unui grup care are drepturi de partajare. Accesul la resursele unui server este controlat n ntregime de modelul de securitate local, inidferent dac ne aflm n interiorul sau n afara contextului unui domeniu. Cnd un server devine membru al unui domeniu, la grupul administratorilor locali se adaug grupul administratorilor de domeniu, din domeniul la care a aderat. Accesul din reea la un director partajat este controlat prin intermediul unei liste de control al accesului discreionar (DACL). DACL conine nregistrri ale utilizatorilor sau grupurilor i permisiunile pe care acetia le au de a accesa datele. Permisiunile la nivel de partajare controleaz doar accesul la date prin intermediul reelei. Dac un utilizator deschide o sesiune de lucru direct pe serverul local (dac are dreptul de a deschide astfel de sesiuni), utilizatorul poate accesa toate datele existente pe serverul local. Acest mod de acces se numete Full Control. n cazul accesrii datelor din reea, unui utilizatori sau grup i se pot atribui trei niveluri de acces i anume: nivelul Full Control, nivelul Change sau nivelul Read. Nivelul Full Control permite utilizatorului acces i control deplin asupra fiierelor. Utilizatorul poate citi, modifica sau terge fiiere i poate s i modifice permisiunile pentru accesul la fiiere din reea. Nivelul Change permite utilizatorului citirea, modificarea, tergerea fiierelor, dar nu permite modificarea permisiunilor. Nivelul Read permite doar vizualizarea i deschiderea fiierelor n regim read-only. Fiierele cu permisiune Read pot fi copiate n alt locaie, de unde pot fi modificate. Administratorul unei reele poate acorda permisiuni diferite pentru fiecare utilizator i grup, n funcie de securitatea necesar i de necesitile utilizatorului. Permisiunile acordate utilizatorilor i grupurilor sunt cumulative. Dac un utilizator se afl pe o list explicit i implicit, ca membru al unuia sau mai multor grupuri, permisiunile pe care le are utilizatorul respectiv sunt reprezentate de cumularea permisiunilor individuale i ale grupurilor din care Pag. 12

face parte. Administratorul poate acorda sau refuza un anumit nivel de acces. Principiul folosit n acordarea permisiunilor este principiul maximei prudene. Acest principiu nseamn c refuzul unui acces are ntietate fa de acordarea unui acces. Din acest punct de vedere este mai eficient s i se refuze unui utilizator un nivel acces, dect s nu i fie acordat. Refuzul accesului este util mai ales n cazul n care vrem s restricionm accesul la anumite date doar pentru un singur utilizator care este membru al unui grup care are acces la datele respective. Pentru acest utilizator accesul este refuzat n mod explicit. 3.3. Depanarea partajrii Una din problemele care pot aprea n urma partajrii, este imposibilitatea unui utilizator de a acesa anumite date. Cauzele care pot genera aceste probleme pot fi mprite n trei categorii principale: probleme legate de utilizator, probleme legate de permisiuni, probleme legate de reea. Problemele legate de utilizator pot proveni din faptul c utilizatorul a cutat datele pe un server greit, sau a scris greit denumirea partajrii din reea pe care o caut. Problema se rezolv prin verificarea scrierii corecte a partajrii de ctre utilizator. Problemele legate de permisiuni necesit un efort mai mare de depanare. Primul pas const n verificarea dreptului utilizatorului de a avea acces la datele respective. n al doilea rnd trebuie verificate permisiunile cumulate. E posibil ca utilizatorul s fie membru al unui grup care are un anumit nivel de permisiuni, dar pentru utilizator permisiunile respective s fie refuzate n mod explicit. Problemele de reea sunt cel mai dificil de rezolvat. Aceste probleme pot proveni din legturile existente (cablul de reea), din probleme ale driverelor sau configurri greite, sau e posibil ca directorul sau fiierul cutat s nu fie partajat. O alt surs a acestei probleme poate fi faptul c serviciile de reea au fost oprite. Cele mai mari dificulti nu sunt generate ns de lipsa accesului la date ci de un acces prea mare al unor utilizatori, care pot accesa date la care nu ar trebui s aib acces i pe care le pot modifica sau terge. Una din caracteristicile partajrii este capacitatea de partaja directoarele dintr-un arbore director la diferite niveluri. n momentul cnd este vizualizat structura de directoare local, toate directoarele i fiierele sunt vizibile. Acest lucru nu mai este valabil cnd se face vizualizarea din reea. Un director poate fi partajat la un anumit nivel, iar directoarele din interiorul acestui director pot fi partajate la alt nivel. Acest lucru poate crea o porti de acces care s reduc eficiena securitii datelor. Exemplu. Se consider structura de directoare prezentat n Fig.3.1. (vizualizarea local).

Fig3.1 n aceast structur, directorul Pictures este partajat la nivelul Read, iar directorul Secret Pictures este partajat la nivel Full Control. Pag. 13

n Fig.3.2. apare modul n care este vizualizat aceast structur din reea.

Fig.3.2. Dac un utilizator acceseaz directorul Secret Pictures prin intermediul directorului Pictures permisiunile lui vor fi doar de tip Read. Daca acceseaz directorul Secret Pictures n mod direct, permisiunile vor fi de tip Full Control. 3.4. Configurarea i controlul accesului local. Sistemul de fiiere NFS i NTFS Aa cum am vzut, partajarea las nc o serie de date neprotejate. Pentru a proteja fiierele i n cazul accesului local la server se folosete sistemul de fiiere NFS (Network File System). Acest sistem de fiiere are capacitatea de a proteja local fiierele i directoarele. Una din variantele acestui sistem este sistemul de fiiere NTFS, folosit de sistemele de operare Windows NT i Windows 2000. Din motive de securitate este recomandat formatarea unitilor de hard-disk de pe servere cu un sistem de fiiere care poate asigura att protecia local ct i n reea. n cazul instalrii unor servere multisistem (de exemplu Windows 2000 i Linux), pot interveni incompatibiliti ntre sistemele de fiiere i n acest caz trebuie aleas o variant a sistemului de fiiere compatibil. Configurarea i ntreinerea securitii fiierelor i directoarelor locale se realizeaz ntr-un mod asemntor celui pentru securitatea partajat. O diferen imporatnt este faptul c n cazul securitii locale configurarea se poate face i la nivel de fiier, n timp ce partajarea este limitat la directoare. Pe de alt parte, securitatea local este i motenit de orice element aflat n interiorul containerului configurat. Motenirea permisiunilor nseamn c o permisiune acordat unui director va fi activ pentru toate subdirectoarele i fiierele din acel director, chiar dac pentru subdirector sau fiier permisiunea respectiv a fost refuzat n mod explicit, deci permisiunea este transmis n cascad la toate fiierele i directoarele din ierarhie, ncepnd de la directorul n care se aplic. n plus, atunci cnd se creaz un fiier sau director nou, acesta va moteni permisiunile directorului printe. Una din cele mai importante diferene, este c securitatea local permite un numr mai mare de nivele de securitate dect partajarea. Nivelele de securitate care pot fi configurate ntr-un sistem NTFS sunt: Traverse Folder/Execute File. Acest nivel acord sau refuz utilizatorilor dreptul de a traversa (de a deschide) printr-un director la care nu are acces, pentru a ajunge la un director sau fiier la care are acces. La nivel de fiier permite sau refuz dreptul de a lansa n execuie sau de a deschide fiierul. List Folder/Read Data. Acord sau refuz utilizatorului dreptul de a lista coninutul directorului sau dreptul de a deschide pentru citire un fiier. Read Attributes. Permite sau refuz dreptul de a vizualiza atributele unui director sau dosar. Aceste atribute sunt definite de sistemul de fiiere. Pag. 14

Read Extended Attributes. Permite sau refuz dreptul de a vizualiza atributele speciale ale unui director sau dosar. Aceste atribute sunt definite de diverse aplicaii i difer de la o aplicaie la alta. Create Files/Write Data. Permite sau refuz dreptul de a crea noi fiiere sau de a edita (modifica) fiierele existente. Create Folders/Append Data. Permite sau refuz dreptul de a crea directoare noi sau de a aduga date unui fiier exitent (fr a modifica datele care exist deja). Write Attributes. Permite sau refuz dreptul de a modifica atributele unui director sau fiier. Write Extended Attributes. Permite sau refuz dreptul de a modifica atributele speciale ale unui director sau fiier. Delete Subfolders and Files. Permite sau refuz dreptul de a terge directoare i fiiere dintr-un director. Delete. Permite sau refuz dreptul de a terge directorul sau fiierul cruia i este aplicat. Read Permissions. Permite sau refuz dreptul de a vizualiza permisiunile care au fost configurate pentru un director sau fiier. Change Permissions. Permite sau refuz dreptul de a modifica permisiunile care au fost configurate pentru un director sau fiier. Take Ownership. Permite sau refuz dreptul de a deveni proprietarul unui director sau fiier. Proprietarul poate modifica oricnd toate permisiunile acordate unui director sau fiier. Pentru a simplifica munca de configurare aceste nivele de securitate au fost grupate n 6 grupe de permisiuni speciale. Aceste grupe sunt: 1. Full Control. Include toate nivelele de securitate 2. Modify. Include toate nivelele cu excepia Delete Subfolders and Files, Change permissions i Take Ownership. 3. Read & Execute. Include toate permisiunile de tip Read i cele de tip Execute. 4. List Folder Contents. Este identic cu Read & Execute, dar se aplic numai la directoare. 5. Read. Include numai permisiuni de citire de tip Read. 6. Write. Include toate permisiunile de scriere i creare. Nu permite schimbarea permisiunilor (Change permissions). 3.5. Sistemul de fiiere distribuit (Dfs) n cazul unei reela n care exist mai multe servere de fiiere i multe partajri pe fiecare server, poate aprea dificultatea de a gsi un anumit fiier. Sistemul Dfs permite colectarea unui numr de puncte de partajare ntr-un arbore virtual. n acest fel, un utilizator vede toate directoarele i fiierele organizate ntr-un singur arbore, ca i cum toate elementele s-ar afla pe un singur calculator.

Pag. 15

Fig.3.3 Dup cum se vede n Fig.3.3, directoarele distribuite pe serverele 2 i 3, apar n urma folosirii Dfs ca fiind localizate pe un singur server (serverul 1) sub un singur director. Pentru a utiliza Dfs este necesar ca serviciul Dfs s fie instalat i activat. Paii necesari configurrii unui sistem Dfs sunt: partajarea directoarelor de pe unul sau mai multe servere crearea unei rdcini Dfs adugarea de noduri copil Dfs (legturi) la rdcina Dfs. Exist dou tipuri de sisteme Dfs; sisteme Dfs autonome i sisteme Dfs bazate pe domeniu. n cazul unui sistem Dfs autonom, administrarea sistemului Dfs este controlat de un server care nu are ncorporat nici un sistem de redundan. Din acest motiv, oprirea serverului care controleaz sistemul Dfs, face ca acesta s devin inaccesibil. Chiar dac o legtur Dfs este dezactivat, ea este totui vizibil pentru utilizator, dar cnd acesta ncearc s o acceseze, va aprea un mesaj de eroare. Sistemul Dfs autonom nu este tolerant la defecte. n cazul sistemeleor Dfs bazate pe domeniu se elimin dezavantajele sistemelor Dfs autonome. n acest caz este obligatoriu ca serverul care gzduiete rdcina Dfs s fac parte dintr-un domeniu. Acest sistem este tolerant la defecte. Redundana este asigurat prin realizarea de copii ale rdcinii Dfs pe alte servere. 3.6. Controlul accesului la siturile Web Pentru a permite accesul la date prin intermediul siturilor Web este necesar ca pe server s fie instalate i s ruleze servicii de publicare a datelor n intranet sau n Internet. Accesul la date prin intermediul sitului Web poate fi controlat prin una din modalitile urmtoare: schimbarea portului TCP, modificarea permisiunilor de acces, schimbarea permisiunilor de execuie pentru scripturi i programe, schimbarea metodelor de autentificare, adugarea de restricii n adresa IP i denumirea domeniului, adugarea de certificate ale serverului pentru transmisiunile din stratul Secure Sockets Layer (SSL), autentificarea utilizatorilor prin certificate. Protocolul TCP permita utilizarea a peste 65000 de porturi pentru a efectua o transmisiune. n mod implicit sunt asociate anumite porturi pentru diferite transmisiuni. Pentru a mri securitatea unui sistem, portul asociat implicit poate fi schimbat. Pentru transmisii Web se folosete n mod implicit portul Pag. 16

80. Dac schimbm numrul portului implicit, un utilizator din afara reelei, care dorete s acceseze datele din reea, trebuie s cunoasc portul stabilit i s l specifice n adres. Exemplu: dac am schimbat portul 80 cu 864 i adresa URL a sitului nostru este www.siteulmeu.ro, atunci pentru a avea acces un utilizator va folosi adresa www.siteulmeu.ro:864. Modificarea permisiunilor de acces permite controlul i restricionarea accesului la situl Web. Din acest punct de vedere, utilizatorilor li se pot limita drepturile de exemplu, doar la citirea datelor. Una din permisiunile care poate fi limitat este dreptul de a executa anumite scripturi sau programe. n acest fel utilizatorul nu poate invoca rularea unor scripturi sau programe pe situl Web, rulare care ar putea produce rezultate dezastruoase. Metodele de autentificare sunt o soluie de securizare a accesului mai avansat. Utilizatorii pot fi forai s furnizeze un nume i o parol nainte de a primi acces la date. Autentificarea din punct de vedere Web poate ave dou niveluri: anonim i autentificat. Acesul anonim nu este foarte restrictiv i nu necesit o parol i confirmarea identitii utilizatorului. Pentru acces autentificat, confirmarea prin nume i parol a identitii utilizatorului este obligatorie. Restricionarea accesului la un site Web se poate face i prin specificarea adreselor IP sau a numelor de domeniu pentru care se permite sau se refuz accesul. Deyavantajul acestei restricionri const n faptul c un utilizator poate accesa situl Web doar de pe staia cu adresa IP permis, i nu mai are acces dac se mut la alt staie. Ideea utilizrii unui certificat const n dovedirea identitii unei entiti pe baza unui certificat sau semntur digital, obinut de la un furnizor de certificate autorizat. Un furnizor foarte folosit este Verisign, dar certificatele pentru o reea pot fi furnizate i de administratorul local al reelei, dac nu este necesar o securitate de nivel foarte ridicat. Utilizarea certificatelor de client permite autentificarea unui utilizator fr a fi necesar furnizarea unei parole. Utilizarea certificatelor permite criptarea transmisiilor prin intermediul stratului SSL. 3.7. Profilurile de utilizator n reelele care sunt instalate n cadrul unor firme mari nu se mai aplic ideea conform creia fiecare utilizator are calculatorul su nu mai este adevrat. Din acest punct de vedere putem avea mai multe situaii diferite: un utilizator poate deschide sesiuni de lucru de pe mai multe calculatoare diferite de pe acelai calculator pot fi deschise sesiuni de lucru de ctre utilizatori diferii Pentru a nu ngreuna operarea de ctre utilizatori cu o pregtire mai sumar n domeniul informatic, este foarte util ca aspectul (desktop, icoane, meniuri, mapri, etc) s fie identic pentru utilizatorul respectiv, indiferent de calculatorul pe care acesta deschide o sesiune de lucru. Conceptul utilizat pentru a realiza acest lucru este profilul de utilizator. Profilul de utilizator stocheaz configuraii ale suprafeei de lucru pentru fiecare utilizator. Aceste configuraii sunt ncrcate atunci cnd un utilizator deschide o sesiune de lucru pe un calculator. Profilurile de utilizator pot fi clasificate n profile locale, profile hoinare i profile obligatorii. Profilurile locale sunt stocate pe un anumit calculator i sunt disponibile numai de pe acesta. Ele sunt create automat pentru fiecare utilizator care deschide o sesiune de lucru i rein configuraia suprafeei de lucru de la o sesiune la alta. La prima deschidere a unei sesiuni de lucru de ctre un utilizator nou se copiaz un profil prestabilit cruia i se aplic configuraiile din profilul All Users ntr-un profil care primete numele de utilizator al utilizatorului. Profilurile hoinare sunt stocate ntr-o locaie central (pe un server) i sunt accesate atunci cnd un utilizator deschide o sesiune de lucru pe un calculator activat pe un domeniu. Indiferent de calculatorul de pe care utilizatorul va deschide sesiunea de lucru profilul va fi ncrcat de pe server i va fi identic. Acest profil d impresia c se plimb dup utilizator. Modificrile suprafeei de lucru sunt reinute la nchiderea sesiunii de lucru i sunt aplicate la urmtoarea deschidere a unei sesiuni de lucru. Contul utilizatorului trebuie configurat de administrator astfel nct acesta s cunoasc cale spre profilul utilizatorului aflat n reea. Profilurile obligatorii sunt profiluri hoinare care au fost desemnate numai pentru citire. Atunci cnd sunt aplicate profiluri obligatorii, modificrile efectuate pe parcursul unei sesiuni de lucru la Pag. 17

suprafaa de lucru nu sunt reinute, astfel c ele nu mai apar la deschiderea urmtoarei sesiuni de lucru. Aest tip de profil este recomandat pentru cazul n care se dorete ca el s fie accesat de mai muli utilizatori i cnd nu este bine ca fiecare utilizator s poat s l modifice. Poate fi asociat grupurilor de utilizatori. Atunci cnd nu exist un profil de utilizator specificat n reea (hoinar) se deschide un profil local (dac exist).

4. Salvarea strii sistemului i a datelor

Efectuarea salvrilor de siguran periodice are o importan foarte mare. Att datele ct i starea sistemului sunt expuse riscului de a fi pierdute fie n urma unor atacuri ruvoitoare din interior sau exterior, fie n urma unor greeli de operare, fie n urma unor defeciuni ale unitilor de stocare (harddisk-uri). Copiile de siguran permit restaurarea strii sistemului i a datelor, cu un efort minim. n funcie de volumul de date i de tranzacii efectuate n unitatea de timp se poate stabili intervalul optim la care s se efectueze o copie de siguran. Acest interval poate varia de la cteva minute (n cazul sistemelor bancare, unde se efectueaz multe tranzacii n unitatea de timp i datele sunt foarte sensibile) pn la o sptmn. Salvrile de siguran se pot face i la intervale de timp mai mari de o sptmn, dar acest lucru nu este recomandat. Salvrile de siguran se pot face pe hard-disk sau pe uniti specializate de salvare, care folosesc ca i mediu de stocare banda magnetic. n cazul n care copia de siguran este stocat pe harddisk este recomandat ca hard-disk-ul care conine aceast copie s fie un alt hard-disk fizic dect cel care conine datele salvate (nu este recomandata utilizarea unei pariii de pe acelai hard-disk fizic care conine i datele). Din punct de vedere al software-ului folosit, acesta poate fi un utilitar de salvare furnizat de sistemul de operare (n prezent toate sistemele de operare de reea au incluse i utilitare de salvare) sau pentru a obine performane mai ridicate se poate folosi un server de salvare. n momentul realizrii unei salvri de siguran se poate opta pentru a salva toate datele sau doar anumite date, doar starea starea sistemului sau combinaii ale situaiilor percedente. Orice program destinat salvrilor de siguran este constituit din dou module importante i anume: modulul de programare i realizare a salvrilor de siguran i modulul de cutare i restaurare a datelor salvate. Configurarea i ntreinerea programelor de salvare nu poate fi fcut de orice utilizator, ci numai de administratorul de sistem sau de utilizatorii cu drepturi echivalente. Administratorul poate crea un grup al operatorilor care au dreptul de a configura i ntreine programele de creere a copiilor de siguran i s adauge utilizatori n acest grup. O prim clasificare a tipurilor de salvari de siguran este n salvri online, salvri nearline i salvri offline. Salvrile online se refer la utilizarea unui mediu de salvare care permite accesul constant i instant la date. Un astfel de mediu este hard-disk-ul. Acest tip de salvare este uor de implementat i se refer la pstrarea unor copii de tip oglind a coninutuklui unui hard-disk sau doar a datelor importante. Dei este rapid i uoar, costurile implicate sunt mari, deoarece jumtate din resursele de stocare instalate ntr-un sistem sunt folosite pentru a ine copii ale datelor. Salvrile nearline se refer la medii de stocare care nu sunt n permanen online, dar care pot deveni disponibile foarte rapid i uor. Mediile utilizate pentru acest tip de salvri pornesc de la dischete, CD-uri, pn la matrici de discuri optice (jukebox). Salvarea de tip nearline ofer un mecanism puternic, furniznd soluii rapide, uor accesibile, sigure i cu capaciti de stocare ridicate. Costurile pot fi destul de ridicate i n acest caz i suplimentar trebuie asigurat un spaiu fizic de stocare. Salvrile offline sunt varianta cel mai des utilizat. Aceste salvri copiaz datele pe medii convenabile i care pot fi nlocuite, folosind cel mai adesea i tehnici de compresie. Mediul cel mai utilizat sunt benzile magnetice. Dezavantajul principal const n viteza sczut de salvare i restaurare a datelor i n atenia deosebit care trebuie acordat manipulrii benzilor. Costurile sunt rezonabile i spaiul necesar stocrii fizice a benzilor nu este prea mare. 4.1. Dispozitive utilizate pentru salvri offline Pag. 18

Exist mai multe tipuri de dispozitive disponibile pentru salvri offline, fiecare avnd propriile avantaje i dezavantaje. Proprietary Tape Cartridges (PTC) sunt dispozitive de salvare bazate pe sistemul 3M TRAVAN, i sunt cele mai folosite n staiile de lucru individuale. Sunt foarte lente i cu capacitate de stocare destul de limitat. Sunt foarte ieftine. Nu sunt recomandate pentru utilizarea pe calculatoare conectate n reea. Digital Audio Tape (DAT) reprezint mediul de salvare cel mai des utilizat n reele mici i mijlocii. Dispozitivele DAT sunt versiunea pentru date a casetelor digitale audio i video i folosesc aceeai metod helicoidal de sriere i citire a datelor ca i aparatele video. n acest fel volumul de date care poate fi stocat este destul de mare. n Fig.4.1. se prezint modul de scriere elicoidal.

Fig.4.1. La ora actual se folosesc casete DAT cu limea de 4 mm i cu limea de 8 mm. Capacitatea i viteza de salvare depind de standardul folosit. Capacitatea de salvare poate ajunge la 12 GB sau 24 GB cu compresie, iar viteza de salvare n cazul folosirii unui controler SCSI se apropie de 50-60 MB/min. Dispozitivele DAT pot fi amplasate i n cutii de tip jukebox, care asigur schimbarea automat a benzilor, cnd este necesar salvarea unui volum mai mare de date. Dispozitive DAT sunt relativ ieftine i sunt suportate de multe sisteme de operare. Dezavantajul principal este faptul c sunt destul de lente i necesit o curire foarte frecvent, deoarece benzile murdresc destul de tare capul de scriere-citire. Digital Linear Tape (DLT) este un standard mai nou, care folosete benzi mai mari dect DAT. Viteza de stocare a acestor dispozitive ajunge la 100 MB/min, iar capacitatea de stocare este de 40 GB sau 80 GB cu compresie. Aceste dispozitive sunt utilizate n reele medii i mari, pentru salvri n timp real i rapid i sunt mult mai fiabile i mai robuste dect DAT. Costul lor este destul de ridicat. Advanced Intelligent Tape (AIT) este cea mai nou soluie de salvare i din acest motiv nu este suportat nc de prea multe sisteme de operare. Pe o caset cu limea de 8 mm se pot salva pn la 50 GB de date cu o vitez de 300 MB/min. Fiecare caset are inclus un controler electronic care administreaz compresia, salvarea i catalogarea informaiilor, crescnd astfel viteza i fiabilitatea. Sunt foarte scumpe i folosirea lor la ora actual este destul de restrns. 4.2. Metode de salvare Teoria salvrilor de siguran, motivele i modalitile de realizare nu s-au schimbat din momemtul cnd a aprut pentru prima dat ideea acestor salvri. Indiferent de soluia i software-ul folosit pentru realizarea copiilor de siguran, principalele caracteristici rmn aceleai. Metodele de salvare sunt utilizate pentru a stabili ce trebuie salvat din totalitatea informaiilor coninute pe hard-disk. Exist cinci metode de salvare: normal (complet), incremental, diferenial, prin copiere i la anumite intervale de timp. Fiecrui fiier aflat ntr-o partiie FAT, FAT32, NFS, NTFS i corespunde un bit de arhiv, care arat dac fiierul respectiv a fost inclus ntr-o copie de siguran sau nu. Valoarea FALSE a bitului de arhiv specific faptul c fiierul a fost inclus ntr-o salvare de siguran. Dac un fiier a fost inclus Pag. 19

ntr-o salvare de siguran i ulterior salvrii a fost modificat, bitul de arhiv este trecut la valoarea TRUE. O metod uoar de a reine acest aspect este dac ne gndim la rspunsul pe care l dm la ntrebarea Trebuie inclus fiierul x n salvarea de siguran ?. Valoarea TRUE nseamn c rspunsul la ntrebare este da i fiierul trebuie inclus n copia de siguran. Salvrile de siguran normale (complete) salveaz toate fiierele specificate, fr a ine cont de valoarea bitului de arhiv (fiierele sunt incluse n copia de siguran chiar dac bitul de arhiv are valoarea FALSE). n timpul salvrii valoarea bitului de arhiv pentru fiecare fiier inclus n copia de siguran este setat la valoarea FALSE. Salvrile de siguran incrementale verific satrea bitului de arhivare nainte de a include un fiier n copia de siguran. Dac bitul de arhiva are valoarea TRUE, atunci fiierul este inclus n copia de siguran, iar valoarea bitului de arhiv este schimbat n FALSE. Salvarea de siguran diferenial este identic cu salvarea incremental din punct de vedere al modului de a decide dac un fiier va fi inclus sau nu n copia de siguran. Singura diferen este aceea c dup salvarea unui fiier al crui bit de arhiv a fost TRUE, bitul de arhiv rmne nemodificat (pstreaz valoarea TRUE). Salvarea de siguran prin copiere include n copia de siguran toate fiierele fr a ine cont de valoarea bitului de arhiv. Spre deosebire de salvarea complet nu modific valoarea bitului de arhiv de la TRUE la FALSE dup salvare. Salvrile de siguran la intervale de timp nu in cont de starea bitului de arhiv, dar iau n considerare data la care a fost modificat un fiier. Dimensiunea final i durata de realizare a unei copii de siguran depinde de metoda de salvare aleas. Salvrile care includ toate fiierele dureaz cel mai mult (chiar i cteva ore), iar spaiul necesar pentru realizarea copiilor de siguran este mare. Salvrile incrementale, difereniale i la intervale de timp pot dura mai puin i ocup mai puin spaiu. La refacerea complet a unui sistem, dac s-a folosit o strategie cu salvri increementale, difereniale sau la intervale de timp este necesar mai mult timp, deoarece trebuie nceput cu refacerea ultimei salvri complete, dup care trebuie refcute fiierele din toate salvrile incrementale, difereniale sau la intervale de timp, realizate pn la momentul cnd s-a produs evenimentul distrugtor. 4.3. Strategii de realizare a copiilor de siguran Realizarea copiilor de siguran nu implic posibilitatea refacerii complete a tuturor datelor existente n sistem la momentul producerii unui eveniment care afecteaz aceste date. Toate datele noi i modificrile efectuate din momentul realizrii ultimei copii de siguran i pn n momentul producerii evenimentului distrugtor vor fi pierdute. n funcie de volumul de date cu care se opereaz, trebuie aleas acea strategie de realizare a salvrilor de siguran care s ne asigure o pierdere minim de date i un timp optim de refacere a datelor. Exist trei strategii de salvare de siguran: normale, normale/incrementale i normale/difereniale. Toate strategiile implic utilizarea mai multor medii de stocare a informaiilor i o rotire a utilizrii acestor medii. Nu este recomandat utilizarea unui singur mediu de salvare (band), deoarece evenimentul distrugtor se poate produce chiar n timpul efecturii salvrii de siguran i n acest caz se pierd att datele originale ct i copia de siguran care e compromis datorit suprascrierii. n cazul n care se face doar o singur salvare pe zi este recomandat ca aceasta s fie programat s se deruleze pe timpul nopii. n cazul n care exist timp suficient i nu avem un volum excesiv de mare de date de salvat cel mi eficient este s se utilizeze o strategie de salvri normale (complete). Aceast strategie implic i folosirea unui numr redus de medii de stocarea a copiilor de siguran (n principiu 2 benzi sunt suficiente; una e folosit pentru salvri n zilele pare, de exemplu, iar cealalt n zilele impare). Deoarece benzile magnetice au un numr de folosiri specificat n catalog, aceat strategie necesit nlocuirea mai frecvent a benzilor. Restaurarea datelor n cazul folosirii acestei strategii necesit doar un singur set de salvri de siguran (ultima salvare). n cel mai defavorabil caz, volumul de date pierdut este cel din ultimele 2 zile (dac evenimentul distrugtor s-a produs chiar nainte de a efectua salvarea pentru ziua curent i banda pe care s-a efectuat ultima salvare este neutilizabil). Bineneles c pentru a mri sigurana se pot folosi i mai multe benzi. Pag. 20

Dac este necesar ca salvarea s se fac rapid, fr s conteze prea mult ct dureaz restaurarea datelor, cea mai bun strategie este cea normal/incremental. Dac dorim ca restaurarea s se ncadreze totui ntr-un timp mai scurt se poate utiliza o strategie normal/diferenial, care are o durat de salvare ceva mai mare, dar o durat de restaurare mai scurt dect varianta normal/incremental. Aceste metode impun folosirea unui numr mai mare de medii de stocare care trebuie rotite pe baza unei scheme. Cea mai simpl schem de rotire este cea care folosete 8 benzi numit i schema sptmnal. (Exist i scheme cu mai multe benzi, cum ar fi schema bilunar, schema lunar, etc sau scheme chiar mai complexe la nivel de ore). n Fig.4.2. se prezint schema de rotire sptmnal. Sptmna 1 Vineri Normal Banda #1 Sptmna 2 Vineri Normal Banda #8 Sptmna 1 Vineri Normal Banda #1 Smbt Duminic Luni Mari Miercuri Joi Incremental Banda #7 Joi Incremental Banda #7 Joi Incremental Banda #7

Incremental Incremental Incremental Incremental Incremental Banda #2 Banda #3 Banda #4 Banda #5 Banda #6 Smbt Duminic Luni Mari Miercuri

Incremental Incremental Incremental Incremental Incremental Banda #2 Banda #3 Banda #4 Banda #5 Banda #6 Smbt Duminic Luni Mari Miercuri

Incremental Incremental Incremental Incremental Incremental Banda #2 Banda #3 Banda #4 Banda #5 Banda #6 Fig.4.2.

Indiferent de schema utilizat se consider ca zi de ncepere ziua de vineri, deoarece este sfritul sptmnii i este de dorit s se realizeze copia de siguran ct mai repede dup terminarea programului de lucru. Salvrile fcute vinerea sunt salvri complete. Este recomandat efectuarea salvrilor i n zilele de weekend, chiar dac nu se lucreaz. Apariia unui eveniment distrugtor n sptmna 1, mari, pentru reconstituirea datelor este necasar s se refac datele de pe banda #1, urmat de refacerea dateleor de pe banda #2, banda #3 i banda #4. Evenimentul distrugator poate s apar n timpul efecturii copiei de siguran din ziua de vineri din sptmna 2. Dac am fi folosit banda #1 pentru aceast salvare, posibilitatea de reconstituire a datelor ar fi fost compromis. Din acest motiv se folosete o alt band cu numrul 8. n cazul n care se dorete pstrarea unei arhive cu tranzaciile sptmnale, banda folosit vinerea poate fi nlocuite cu o band nou n fiecare sptmn. Schema de mai sus este identic i n cazul strategiei normal/diferenial, dar se nlocuiesc salvrile incrementale cu salvri difereniale. Diferena principal este c datele din zilele de luni sunt salvate n zilele de mari, miercuri i joi. Din acest motiv se reduce timpul necesar refacerii datelor, nemaifiind necesar utilizarea tuturor benzilor, ci numai a benzii cu ultima salvare complet i a benzii cu ultima salvare diferenial. Este mai util dac se dorete s se renune la salvrile pe durata weekend-ului, dac nu se lucreaz. Sistemele foarte sensibile i care necesit o siguran sporit a datelor pot implementa soluii de salvare foarte complexe n care salvarea s se fac pe mai multe dispozitive simultan sau cu un decalaj de timp programat. Exist implementate i siteme de clustere de salvare, n care informaia este descompus n mai multe felii, i fiecare felie este salvat la locaii diferite. n general n acest caz fiecare felie este salvat la minim 2 locaii diferite, astfel nct cderea unei locaii s nu afecteze posibilitatea de restaurare a informaiei. 4.4. Modul de pstrare a copiilor de siguran i de asigurare a calitii acestora Pag. 21

Atunci cnd vorbim de salvrile de siguran trebuie s avem n vedere i modul n care asigurm securitatea mediilor de stocare. O persoan ru intenionat poate distruge att datele de pe server ct i benzile cu salvri de siguran, dac are acces la ele. Deasemenea evenimente catastrofale cum sunt incendiile, inundaiile, cutremurele pot distruge att serverul i datele de pe el ct i benzile cu salvrile de siguran. Benzile cu copiile de siguran trebuie stocate ntr-un loc securizat, ntr-un seif care s asigure protecie att la furt ct i la incendii, inundaii, cmpuri electrice puternice. Este recomandat, dac este posibil, stocarea benzilor la o alt locaie dect cea n care se afl serverul. Pentru a pstra o eviden clar este obligatorie etichetarea fiecrei benzi cu numrul ei i data cnd a fost folosit prima dat i ntreinerea a dou list. O list trebuie s cuprind numrul benzii, data n care s-a fcut salvarea i metoda de salvare folosit. A doua list trebuie s cuprind planificarea salvrilor, preciznd ce band va fi folosit pentru fiecare zi. Este obligatorie activarea jurnalelor activitii de salvare i consultarea acestora dup fiecare salvare. Trebuie avut n vedere i numrul maxim de utilizri ale unei benzi, garantat de productor n fia tehnic. Chiar dac o band nu pare a fi afectat de numrul de reutilizri, riscul de a avea o salvare neutilizabil este foarte crescut, odat cu expirarea numrului de salvri garantat de productor. Un alt element important este ntreinerea n codiii foarte bune a capului de scriere/citire al unitii de salvare. Se recomand ca cel puin o dat pe lun capul dispozitivului de salvare s fie curat utiliznd o band special destinat acestui scop. Pentru a ne asigura c obinem o copie de siguran care conine toate fiierele care trebuie salvate, este obligatoriu s se verifice fiecare server sau calculator care conine aceste fiiere, pentru a nu avea programat i activat un sistem de oprire automat la o anumit or. Exist riscul ca un anumit calculator s fie oprit la ora la care este programat s se efectueze salvarea, lucru care poate s nu fie semnalat n jurnalul procesului de salvare. Din acest punct de vedere este util restricionarea accesului la butonul de oprire-pornire al calculatorului respectiv i plasarea pe calculator a unei etichete care s avertizeze utilizatori s nu opreasc calculatorul (NU OPRII. DATELE SE SALVEAZ PE TIMPUL NOPII). Nu n ultimul rnd trebuie acordat atenie schimbrii benzilor din dispozitivul de salvare, astfel nct s avem banda corespunztoare i s nu se suprascrie banda din ziua precedent. 4.5.

5. Configurarea discurilor i volumelor

5.1. Partiiile System i Boot. Cile ARC Orice sistem bazat pe procesorul Intel caut n momentul pornirii nregistrarea Master Boot Record (MBR). Aceast nregistrare i arat calculatorului ce trebuie s fac pentru a ncrca un sistem de operare. nregistarea MBR se afl ntotdeauna n primul sector de pe hard-disk, mpreun cu tabelul partiiilor. nregistrarea MBR indic spre partiia activ de pe unitatea de hard-disk. Partiia activ mai este denumit i partiia system. Partiia szstem conine un cod de ncrcare i direcionri spre fiiere speciale, folosite de sistemul de operare pentru a porni. Fiierele speciale difer de la un sistem de operare la altul. Exemple de astfel de fiiere sunt BOOT.INI i NTLDR pentru Windows 2000, liloconfig pentru Linux ,etc. Fiierele speciale, specific i locaia fiierelor sistemului de operare. Partiia pe care sunt localizate fiierele sistemului de operare se numete partiie BOOT. Dup pornirea sistemului, fiierele de pe partiia szstem nu mai sunt necesare, dar fiierele de pa partiia boot sunt utilizate atta vreme ct serverul este pornit. Cele dou partiii nu sunt definite n mod obligatoriu separat, ci pot fi incluse ntr-o singur partiie. Locaia exact a fiierlor sistemului de operare este specificat folosind standardul Advanced RISC Computing (ARC). Standardul ARC este o convenie care permite ca un element de hardware s fie definit prin caracteristicile sale fizice, n loc de etichetele furnizate n interfaa cu Pag. 22

utilizatorul a unui sistem de operare. Cile ARC permit localizarea poriunilor unitilor de hard-disk pe baza locaiei fizice a acestora i nu pe beza unei convenii arbitrare de atribuire a unor litere. Cnd un sistem este configurat s permit ncrcarea a mai multe sisteme de operare, la pornire se afieaz un meniu care permite selectarea sistemului de operare care se dorete ncrcat. Acest meniu are cteva elemente definitorii definite prin cuvinte cheie i anume: timeout = 30 definete lungimea n secunde a intervalului de timp n care sistemul va atepta efectuarea unei selecii. Dup expirarea acestui interval se va ncrca sistemul stabilit ca fiind implicit (default) default = multi(0)disk(0)rdisk(0)partition(1)\WINNT definete locaia sistemul de operare definit ca fiind implicit i reprezint o cale ARC spre sistemul care se va ncrca dac n intervalul definit de timeout nu se efectueaz nici o selecie. n sectiunea [operating systems] pot aprea cile ARC spre locaiile de unde se pot ncrca alte sisteme de operare. Calea ARC este organizat sub forma unui arbore i folosete patru parametri pentru a defini locaia fizic pe hard-disk a unei partiii. Cei patru parametri sunt n ordine: controlerul de disc, unitatea fizic de hard-disk, partiia de pe unitatea fizic de hard-disk i dosarul de pe partiie. Primul parametru din calea ARC poate fi multi sau scsi n funcie de tipul de controler existent. multi se refer la controlere de tip non-scsi (IDE, EIDE, etc), iar scsi se refer la controlere de tip scsi. Numrul folosit pentru a indica primul controler este 0. Al doilea parametru este format din perechea de valori disk(x)rdisk(x) i rperezint numrul unitii fizice de hard-disk. n funcie de tipul de controler folosit, doar una din valorile din pereche este semnificativ. Pentru controler de tip multi valoarea semnificativ este rdisk, iar pentru controler scsi valoarea semnificativ este disk. Indifirent de tipul de controler folosit, n calea ARC trebuie s apar obligatoriu ambele elemente ale perechii. Numrul folosit pentru prima unitate fizic de pe un controler este 0. Al treilea parametru este partition(x) i definete numrul partiiei fizice. Numrul folosit pentru prima partiie este 1, nu 0 ca n cazul primilor doi parametri. Ultimul parametru reprezint denumirea dosarului n forma n care va fi vizibil ntr+un program de navigare prin structura de directoare a hard-disk-ului. 5.2. Sistemul de stocare redundant a datelor pe disc. Discul dinamic n cazul sistemelor sensibile implementarea unei strategii eficiente de efectuare a copiilor de siguran nu este o soluie suficient pentru asigurarea integritii datelor. Pentru a realiza acest lucru au fost implementate sisteme dinamice i redundante de organizare a partiiilor unui hard-disk. Cel mai cunoscut sistem este sistemul RAID (Redundant Array of Inexpensive Disk). Acest sistem folosete mai multe discuri pentru a obine redundana hardware a discurilor i pentru a reduce riscul de a pierde datele n urma unei defeciuni fizice. Acest sistem permite asigurare redundaei prin folosirea mai multor discuri. Exist cinci nivele ale sistemului RAID, fiecare furniznd diferite faciliti. Nivelul RAID 0 distribuie datele pe mai multe discuri. Viteza de accesare a datelor crete prin faptul c diferite poriuni ale unui fiier pot fi citite simultan din mai multe locaii de pe discuri diferite. Spaiul disponibil pentru stocarea datelor este suma capacitii tuturor discurilor folosite. RAID 0 nu este tolerant la defecte. O analiz atent scoate n eviden faptul c acest nivel este chiar mai vulnerabil, deoarece avem mai multe discuri, care se pot defecta. Defectarea unui hard-disk duce la pierderea datelor de pe tot volumul. Toate discurile care constituie un volum RAID 0 sunt tratate ca o singur unitate i au asignate o singur liter. Acest nivel este prezentat n Fig5.1.

Pag. 23

Fig.5.1. Nivelul RAID1 mai este denumit i volum n oglind. Acest nivel utilizeaz dou poriuni de spaiu de pe dou uniti fizice hard-disk diferite. Cele dou uniti sunt tratate ca o singur unitate i au asignat o singur liter. Cele dou hard-disk-uri pot avea capaciti diferite, dar poriunile utilizate pentru oglindire trebuie s aib aceeai capacitate, iar capacitatea volumului (disponibil pentru stocarea datelor) este egal cu capacitatea unei poriuni. Acest nivel asigur un grad sporit de redundan i toleran la defecte, deoarece datele sunt salvate identic n cele dou poriuni utilizate. Cderea unei uniti nu afecteaz sistemul, datele fiind disponibile pe cealalt unitate. RAID 1 posed un mecanism de refacere automat a imaginii n oglind, dup nlocuirea unei uniti defecte, pe baza datelor de pe unitatea bun. Performanele sunt de asemenea sporite, deoarece datele pot fi citite din poriunea care e mai puin solicitat la un moment dat. Exist dou variante ale acestui nivel i anume oglindirea discurilir (mirroring) i duplexarea discurilor (duplexing). Duplexingul ofer un nivel mai avansat de redundan, deoarece cele dou discuri sunt montate n controlere diferite, astfel nct se previne inaccesibilitatea datelor la defectarea unui controler. Dezavantajul acestui nivel este un pre mai mare pe unitatea de stocare. n Fig5.2 se prezint nivelul RAID 1.

Fig.5.2 Nivelul RAID 2 este un nivel care este foarte rar ntnit se se bazeaz pe distribuia datelor pe mai multe discuri la nivel de bit. Nivelul RAID 3 distribuie datele pe mai multe discuri la nivel de octet. Acest nivel folosete un disc suplimentar pentru a stoca informaii privind paritatea i suma de control. Dac un disc se defecteaz, informaiile de pe discul suplimentar sunt utilizate pentru a reface datele dup nlocuirea discului defect cu unul bun. Capacitatea de stocare total este: C = Ci C p
i =1 n

unde, Pag. 24

C este capacitatea total n este numrul de hard-disk-uri utilizat Cp este capacitatea discului folosit pentru paritate Cderea discului de paritate anuleaz posibilitatea de a reface datele n urma unei defeciuni. Pentru a mri redundana se poate folosi o oglindire a discului de paritate, eliminnd astfel toate riscurile posibile de pierdere a datelor.

Fig.5.3 Nivelul RAID 4 este asemanator cu RAID 3, diferena principal fiind faptul c se face distribuia datelor la nivel de blocuri i nu la nivel de octei. Din acest motiv este un nivel mai eficient, datele fiind scrise sau citite printr-o singur trecere. Nivelul RAID 5 folosete tot distribuia la nivel de blocuri, dar spre deosebire de RAID 3 i RAID 4 se efectueaz i o distribuie a informaiilor de paritate pe toate discurile folosite. Acest lucru mbuntete performanele de citire a datelor, dar ncetinete scrierea a datelor (informaiile de parittate trebuie recalculate pe msur ce datele se modific) i procesul de reconstituire a datelor n urma unei cderi. Acest nivel a provenit iniial din industria hardware. Dezavantajul este pierderea unei pri din spaiul disponibil pentru stocarea datelor, parte ocupat de informaiile de paritate. Unitile hard-disk utilizate trebuie s aib toate aceeai capacitate. Capacitatea total de stocare a datelor este:
C t = ( n 1) * C d

unde, Ct este capacitatea total obinut n este numrul de discuri folosit Cd este capacitatea unui disc Exemplu: pentru un sistem cu 3 hard-disk-uri de 20 GB, capacitatea disponibil pentru date va fi (3-1)*20=40 GB. Sistemul RAID poate fi implementat fie n mod software, folosind aplicaiile specifice oferite de sistemele de operare, fie n mod hardware, folosind controlere cu un sistem de operare propriu i transparent. Soluiile hardware sunt mult mai performante, dar implic i costuri ridicate. Una din facilitile importante oferite de soluiile hardware sunt sistemele de discuri hot-swap. Aceste sisteme permit schimbarea unui disk defect fr a fi nevoie s se opreasc serverul. Sitemele hot-swap avansate permit instalarea unui disc n standby, care devine automat activ cnd un disc se defecteaz. 5.3. Formatarea partiiilor nainte de a putea plasa informaii pe o unitate este necesar formatarea acesteia. Formatarea const n organizarea structurii fizice a unitii n structuri logice (numite i clustere sau sectoare) de stocare a datelor i crearea unui tabel care s gestioneze i s asocieze aceste structuri logice, Pag. 25

numit File Allocation Table (FAT). Fiecrui fiier i se vor aloca anumite structuri logice, evidena alocrii fiind inut de tabelul de alocare. Exist mai multe formate utilizabile. i formatele au cunoscut o evoluie istoric, unele dintre ele fiind nlocuite de versiuni mai noi i mai evoluate. Dintre formatele existente putem aminti FAT, FAT32, NFS, NTFS, CDFS. CDFS este un sistem utilizat pentru CD-ROM, care nu poate fi utilizat n formatarea altor tipuri de uniti. FAT a fost formatul de fiiere iniial al sistemului de operare DOS. Sistemul FAT utilizeaz un format de list nlnuit pentru a lega fiierele. Un tabel suplimentar conine pointeri spre nceputul fiecrei liste, iar fiierele sunt localizate prin cutarea n tabel i navigarea prin legturile care rezult. Dimensiunea maxim pe care o poate administra FAT este de 2 GB pentru o partiie. FAT32 este o versiune mbuntit a formatului FAT. Spaiul de pe disc este utilizat mai eficient prin crearea unor spaii de alocare mai mici, ceea ce permite stocarea mai multor informaii pe hard-disk. Dimensiunea partiiilor a fost mrit, FAT32 permind crearea unor partiii mai mari de 2 GB. Sistemele FAT i FAT32 nu au implementate elemente care s asigure securitatea local. Aceste sisteme de formatare sunt n general recomandate pentru calculatoare care nu sunt conectate n reea. Se folosesc i n cazul n care pe o staie se instaleaz un sistem de operare care nu suport alte formate (DOS, Windows98) sau cnd pe un calculator se dorete instalarea mai multor sisteme de operare. Pentru sistemele de operare de reea au fost realizate sisteme de formatare care s aib i capacitatea de securizare local a fiierelor i directoarelor. Dintre aceste sisteme, cele mai folosite sunt NFS i NTFS. Sistemul NTFS a fost dezvoltat iniial pentru Windows NT, i a trecut prin diverse versiuni, n Windows 2000 fiind folosita versiunea 5. O alt caracteristic important a NTFS este capacitatea de comprimare ncorporat, care poate fi implementat la nivelurile de directoare i fiiere. Comprimarea i decomprimarea se fac din mers, fr a afecta semnificativ performanele sistemului. NTFS utilizeaz sortarea binar a arborilor pentru stocarea i regsirea rapid a datelor. Limita superioar a dimensiunii unei partiii este de 2 TB. (teoretic exist i posibilitatea de a fi configurat pentru o limit superioar a partiiei de 16 exaocteti, unde un exaoctet reprezint 264 octei). Dischetele nu pot fi formatate cu sistemul NTFS i nu se recomand folosirea lui n cazul partiiilor mai mici de 500 MB. Pentru unitile hard-disk de tip SCSI, NTFS poate utiliza tehnologia numit remediere fierbinte sau economia de sectoare. Dac un sector dintr-o partiie se defecteaz, NTFS ncearc s scrie datele ntr-un sector bun, dac datele mai sunt n memorie i marcheaz sectorul defect pentru a nu mai fi folosit. NTFS ine un jurnal de tranzacii. Dac se ntrerupe alimentarea, la repornirea calculatorului se execut comanda CHKDSK i dac sistemul de fiiere a rmas ntr-o stare deteriorat, fie se reia tranzacia, fie este anulat tranzacia neterminat. Spaiul pe care l poate folosi un utilizator de pe hard-diskul unui server poate fi controlat de NTFS prin implementarea cotelor de disc. Sistemul NTFS este compatibil i cu sistemul de fiiere de pe un server NetWare sau de pe calculatoarele Machintosh.

5.4.

6. Sistemul de operare de reea Windows 2000

6.1. Arhitectura de reea Windows 2000 Pentru a putea utiliza un sistem de operare de reea i pentru a putea utiliza eficient toate resursele i utilitarele acestuia este necesar cunoaterea detaliata a tuturor caracteristicilor sistemului de operare. Pag. 26

Dei componentele hardware i driverele sistemului de operare de reea Windows 2000 se instaleaz i configureaz foarte asemntor cu alte dispozitive hardware, mediul n care sunt instalate este unic. Windows 2000 este structurat i realizat pe baza modelului cu apte niveluri OSI.

Arhi Modul User

Fig 6.1. Dup cum se observ n figura 6.1. arhitectura de reea a modulului nucleu (kernel) poate fi mprit n patru seciuni. n partea de jos se afl placa adaptorului de reea. Aceasta este responsabil de expedierea datelor prin cablul de reea, corespunztor nivelului fizic din modelul de referin OSI. Urmtorul nivel l constituie driverul pentru placa de reea, care mpreun cu nfurtorul NDIS corespund nivelului legtur de date din modelul OSI. nfurtorul NDIS reprezint un nivel limit, care definete modul n care driverele trebuie s comunice cu plcile de reea i modul n care driverele trebuie s comunice cu protocoalele de transport. Nivelurile limit nu sunt componente de reea, ci reprezint standarde care arat dezvoltatorilor de drivere cum trebuie s arate punctele de conexiune dintre software i restul arhitecturii. Prin realizarea de drivere care se conformeaz standardului NDIS, productorii pot fi siguri c acestea vor fi compatibile cu restul arhitecturii de reea. Nivelul protocoalelor de transport definete limbajele de comunicare utilizate n cadrul arhitecturii de reea i corespunde aproximativ nivelurilor reea i transport din modelul OSI. Cel mai frecvent sunt utilizate protocoalele TCP/IP, NWLink, NetBEUI. ntre nivelul protocoalelor de transport i cel al driverelor pentru sistemul de fiiere se afl un alt strat limit: interfaa driverului de transport, care este un standard ce definete setul de specificaii pentru comunicarea la nivelurile superioare a arhitecturii de reea. Nivelul cel mai de sus este nivelul driverelor pentru sistemul de fiiere. Acest nivel definete driverele responsabile de acceptarea cererilor din reea, efectuarea cererilor ctre reea i redirectarea cererilor de informaii spre sistemele de fiiere adecvate. Acest nivel corespunde nivelurilor sesiune i prezentare din modelul OSI.

Modul Kerne
Pag. 27

Driver

Deasupra modulului nucleu este modulul utilizator (user). n modulul utilizator sunt create interfeele utilizatorilor. n principal, funcionarea acestuia presupune transmiterea informaiilor n jos prin arhitectura de reea. Acest modul corespunde nivelului aplicaie din modelul OSI. 6.2. Conexiuni de reea Conexiunile sunt utilizate de sistemul de operare de reea pentru a realiza comunicaiile n reea. Pentru fiecare dispozitiv de reea se realizeaz o conexiune care s permit comunicaia cu dispozitivul respectiv. Din conexiune sunt instalate protocoalele de reea, ca i interfeele cu alte reele. Exist mai multe tipuri de conexiuni: conexiuni LAN, realizate prin plci de reea i dispozitive de reea. Conexiuni prin apel telefonic, care permit stabilirea unei legturi cu o reea ndeprtat, folosind o conexiune prin modem X.25 sau ISDN. Aceast conexiune presupune utilizarea opiunii dial-up. Fiecare conexiune are ca i caracteristic numrul de telefon utilizat pentru realizarea unei sesiuni de lucru. Conexiuni VPN (Virtual Private Network). Permit stabilirea de legturi sigure la o reea public. Conexiunile VPN utilizeaz o conexiune deja existent (LAN, dial-up) pentru a realiza transmisii securizate. Conexiuni directe, utilizate pentru legturi directe de la un calculator la altul, fr a utiliza o plac de reea. Legtura se realizeaz prin intermediul porturilor seriale sau paralele, porturi n infrarou. Conexiuni de intrare. Acest tip de conexiune este folosit pentru a permite calculatoarelor dintr-o reea s se conecteze la un server autonom, care nu este membru al unui domeniu. 6.3. Protocoalele NWLink i NetBEUI Un protocol de reea reprezint o colecie de reguli i proceduri care guverneaz comunicaia ntre calculatoarele din reea. Pentru a putea comunica , dou calculatoare trebuie s foloseasc aceleai protocoale. Protocolul NWLink IPX/SPX/NetBIOS Compatible Transport Protocol pe scurt NWLink, reprezint o variant realizat de Microsoft a protocolului IPX/SPX, pentru a permite interconectarea ntre reelele Microsoft i NetWare. Protocolul NWLink este rutabil, ceea ce nseamn c se pot face transferuri de la o reea la alta prin intermediul unui ruter. Protocolul NWLink i configureaz propriile tabele de rutare, ceea ce l face potrivit pentru reele mici, dar nu este practic pentru reele WAN mari, cum ar fi Internetul, i nu poate fi utilizat pentru conectarea direct la Internet. ntr-o reea protocolul NWLink este utilizat cu trei scopuri: realizarea comunicaiei cu serverele NetWare conectarea reelelor mici interconectate. Deoarece este mai uor de instalat i configurat dect protocolul TCP/IP, reprezint o opiune eficient atunci cnd nu este necesar accesul la Internet. din consideraii de securitate. n cazul cnd nu este necesar accesul la Internet utilizarea protocolului NWLink n locul protocolului TCP/IP elimin posibilitatea atacurilor unor persoane ruvoitoare, atacuri care n general se iniiaz prin porturile utilizate de protocolul TCP/IP. n general configurarea protocolului NWLink nu pune nici un fel de probleme, deoarece acesta se configureaz singur. Probleme pot s apar dac protocolul este asociat unei plci de reea necorespunztoare sau dac exist o neconcordan ntre numrul de reea extern i tipul cadrului atribuit unui adaptor de reea. Problemele care pot aprea n urma unei asocieri greite sunt de trei feluri: 1. pe o anumit plac de reea nu exist trafic NWLink 2. de pe calculatorul n cauz se pot accesa partajrile din reea, dar alte calculatoare din reea nu pot accesa partajrile locale 3. calculatoarele din reea pot accesa partajrile locale, dar calculatorul n cauz nu poate accesa partajrile din reea. Pag. 28

Numrul de reea extern este de regul un numr configurat automat, care identific toate calculatoarele din reea. Tipul de cadru este un fel de dialect al protocolului NWLink, utilizat de ctre diverse tipuri de reele (Ethernet vs. TokenRing) sau de ctre diverse versiuni ale sistemului de operare NetWare i sunt de asemenea configurate automat. Pentru identificarea i rezolvarea problemelor de acest gen se utilizeaz utilitarul tip linie de comand IPXROUTE CONFIG. Dac apar diferene ntre numerele de reea i tipul de cadru trebuie efectuat o reconfigurare sau trebuie adugat un al doilea numr de reea i tip de cadru pentru un calculator sau mai multe din reea. Protocolul NetBEUI, cunoscut i sub denumirea de NetBIOS Extended User Interface, este un set de transport de reea nerutabil, util pentru reele mici, formate dintr-o singur reea cu maxim 50 de calculatoare. Este eficient n reele mici i care nu necesit acces la Internet. Este uor de utilizat deoarece se configureaz singur. Comunicaiile de reea sunt efectuate prin difuzare (nu prin direcionare spre anumite adrese) i din acest motiv cu ct reeaua conine mai multe calculatoare, traficul devine mai mare. n cazul unor probleme n funcionarea protocolului NetBEUI trebuie verificat funcionalitatea plcilor de reea i integritatea conexiunilor, asocierile protocolului cu plcile de reea i denumirea calculatoarelor pentru a nu exista dubluri. 6.4. Protocolul TCP/IP, ARP i determinarea adreselor Setul de protocoale Transmission Control Protocol/Internet Protocol este un set de protocoale globale, rutabile, care este necesar atunci cnd reeaua trebuie s aib acces la Internet. Unele componente ale acestui set de protocoale sunt proiectate numai pentru comunicaii, altele pentru asigurarea livrrii corecte a informaiilor, iar altele pentru depanare. Comunicaia ntre calculatoarele unei reele TCP/IP are loc pe baza adresei IP. Exist ns un identificator mai important dect adresa IP pentru comunicaiile de reea i anume adresa Media Access Control (MAC). Adresa MAC este unic i este atribuit fiecrei plci de reea de ctre fabricant. Cnd se iniiaz o comunicaie ntre dou calculatoare care au adrese IP este important ca n fundal s se fac o determinare a adreselor MAC ale plcilor de reea din cele dou calculatoare, asociate cu adresele IP. pentru determinarea acestei asocieri se utilizeaz protocolul Adress Resolution Protocol (ARP). Acest protocol este important att pentru depanare ct i de serverele DHCP pentru a garanta c o anumit adres IP nu este folosit de ctre mai multe calculatoare din aceeai reea local. Cnd un calculator determin adresa IP a altui calculator, aceasta este stocat mpreun cu adresa MAC, timp de 2 pn la 10 minute (n funcie de cte ori este utilizat ulterior) ntr-o memorie cache ARP local, rezervat protocolului ARP. Datorit acestei memorii cache, dac acelai calculator este contactat din nou n decursul unei perioade scurte de timp, nu mai este necesar determinarea adresei MAC prin intermediul difuzrii n reea. Adresa MAC a unui calculator poate fi determinat folosind protocolul ARP i memoria cache rezervat acestuia. Pentru aceasta se parcurg doi pai. ntr-o fereastr DOS se folosete nti comanda PING adresa_IP_calculator_testat pentru a contacta calculatorul a crui adres MAC dorim s o aflm, iar apoi se folosete comanda ARP a pentru a afia coninutul memoriei cache ARP. Protocolul TCP/IP poate fi utilizat i spre un nivel superior pentru determinarea asocierii dintre adresa IP a calculatorului i numele acestuia. Pentru aceasta se folosesc serviciile de tip server DNS i/sau server WINS. 6.5. Determinarea numelor Identificarea calculatoarelor prin utilizarea unor adresa sub forma de numere s-a dovedit dificil de utilizat n practic de ctre utilizatori. Din acest motiv, pentru a uura munca utilizatorilor s-a efectuat o asociere a adreselor IP reprezentate numeric cu un nume simbolic, care poate fi mai semnificativ pentru utilizator dect adresa IP. Calculatoarelor li se atribuie, de regul, dou tipuri de nume: numele NetBIOS (sau numele calculatorului i numele gazdei (numele asociat configuraiei TCP/IP). Deoarece protocolul TCP/IP lucreaz ns cu adrese este necesar o modalitate de stabilire a corespondenei dintre un anumit nume i adresa IP asociat lui. Exist cinci modaliti uzuale de determinare a corespondenei dintre nume i adresa IP: Pag. 29

1. 2. 3. 4. 5.

Domain Name System (DNS) Windows Internet Name Service (WINS) fiierele HOSTS fiierele LMHOSTS difuzarea pe reea

6.5.1. Determinarea numelor cu ajutorul serviciului DNS Serviciul DNS este cel mai utilizat serviciu pentru a realiza corespondena dintre numele unui calculator i adresa sa IP. Acest serviciu este i serviciul utilizat pe Internet pentru determinarea numelor. Avantajul cel mai important al serviciului DNS const n faptul c la procesul de determinare a corespondenei unui nume cu adresa IP particip mai multe servere DNS. Fiecare domeniu Internet are cel puin un server DNS, care e responsabil de determinarea numelor calculatoarelor din domeniul respectiv. Dac ntr-un domeniu sunt utilizate mai multe servere DNS, atunci unul dintre acestea este desemnat server Start Of Authority (SOA). Acest calculator este expertul definitiv n domeniul respectiv. Dac SOA nu poate gsi un nume cutat nseamn c acel nume nu poate fi rezolvat prin serviciul DNS. Pentru putea identifica un alt calculator dup nume, un calculator care are instalat protocolul TCP/IP trebuie s aib configurat adresa unui server DNS, care va fi interogat pentru a determina adresa calculatorului cutat. Structura DNS a numelor utilizate n Internet este organizat sub forma unui arbore. Dac un server DNS nu cunoate un nume, el va interoga un alt server DNS din Internet pentru a gsi numele cutat. Arborele pornete de la o rdcin i fiecare nivel are tot mai multe noduri, dup cum se vede n figura 6.2.

Fig.6.2. Un calculator din domeniul Z01 nu va gsi n serverul DNS din domeniul Z01 adresa WWW.Microsoft.COM. Serverul DNS din domeniul Z01 va ncepe ns o interogare recursiv, urcnd pn la rdcina arborelui DNS i apoi prin serverele DNS pentru domeniul COM n jos pn la serverul ww.microsoft.com pentru care va returna adresa IP a calculatorului cutat. Avantajul utilizrii acestei structuri de arbore este determinarea rapid a numelor i meninerea la minim a numrului de informaii pe care trebuie s le conin fiecare server DNS n parte. Serviciul DNS are trei dezavantaje principale: Pag. 30

- configurarea este complex - corespondenele sunt configurate manual - baza de date cu corespondene este pstrat sub forma unui fiier text, fr a asigura msuri prea avansate de securitate a acestui fiier. n sistemul de operare Windows 2000 s-a ncercat eliminarea acestor dezavantaje prin integrarea serverului DNS n Active Directory pentru a mri securitatea datelor i introducerea cooperrii cu serviciul DHCP, pentru a se configura n mod automat o parte din corespondene. Exist trei tipuri de instalare a serverelor DNS: server de nume primar, server de nume secundar sau server numai pentru cache. Serverul de nume primar este responsabil pentru o zon i i obine informaia de la un fiier DNS local. Un server de nume secundar i obine informaiile de configurare de la alt server de nume printr-un proces de transfer de zon. Serverul de nume secundar este utilizat pentru a reduce i echilibra ncrcarea unui server primar i creterea redundanei i a vitezei de cutare. Serverul pentru cache nu are un fiier DNS local i este responsabil numai cu determinarea numelor i pstrarea local a acestor informaii. Pe un server DNS se poate defini o zon de cutare nainte (forward lookup) i o zon de cutare napoi (reverse lookup). Cutarea nainte realizeaz corespondena ntre un nume de gazd i adresa sa IP (se furnizeaz numele gazdei i serverul DNS va returna adresa IP a gazdei repective). Cutarea napoi realizeaz corespondena ntre adresa IP i numele gazdei (se furnizeaz adresa IP i serverul DNS va returna numele gazdei corespunztoare). 6.5.2. Determinarea numelor cu ajutorul serviciului WINS NetBIOS este o interfa TCP/IP care operaz la nivelul aplicaiilor din modelul OSI. Aceast interfa a fost elaborat pentru a pune la dispoziie o strategie de atribuire a numelor unice pentru reele mici. Numele atribuite dispozitivelor pot avea maxim 16 caractere. Reelele care folosesc o versiune de sistem de operare de reea anterioar lui Windows 2000 trebuie s aib atribuite n mod obligatoriu nume NetBIOS pentru a putea funciona. De asemenea pentru reelele care au dispozitive care folosesc alte versiuni de sistem de operare dect Windows 2000, trebuie implementat interfaa NetBIOS chiar dac serverul folosete Windows 2000. Pentru a realiza corespondena ntre numele NetBIOS i adresa IP se folosete serviciul WINS, care n mare este asemntor serviciului DNS. Baza de date a serviciului WINS este populat automat pe msur ce un dispozitiv nou i anun prezena n reea. Pentru a face posibil anunarea prezenei, fiecare staie client trebuie s aib configurat n cadrul protocolului TCP/IP adresa IP a serverului pe care ruleaz serviciul WINS. Atunci cnd o staie client este oprit, numele ei este ters din baza de date a serverului WINS. Pentru a se realiza aceast tergere, staia client trimite un mesaj serverului WINS atunci cnd a fost iniiat procedura de oprire a ei. Dac staia client nu a fost nchis conform procedurii normale (oprire n cazul unei pene de curent sau alt defeciune) mesajul de tergere nu este trimis spre serverul WINS. Pentru a menine baza de date n condiii optime i n cazul opririlor anormale, fiecrei nregistrri i se impune un timp de via (TTL). Atunci cnd o staie se nregistreaz, serverul WINS i trimite un mesaj care conine durata timpului de via. n condiii normale, cnd timpul de via ajunge la jumtate, staia client trimite serverului un semnal de rennoire a timpului de via. Dac timpul de via expir fr ca serverul WINS s primeasc o cerere de rennoire, nregistrarea este tears din baza de date. Fiecrui client i este acordat un tip de nod pentru a indica tipul de determinare a numelui NetBIOS care va avea loc. Tipurile de noduri folosite sunt: - Nod B (difuzare) nodul utilizeaz numai difuzarea pentru a determina numele NetBIOS. Clienii configurai cu nodul de tip B nu vor folosi niciodat serviciul WINS - Nod P (peer-to-peer) acest tip de nod utilizeaz numai serviciul WINS. Dac serverul WINS nu poate determina numele nu se va folosi difuzarea. - Nod M (mixt) este o combinaie ntre difuzare (nod B) i serviciul WINS (nod P). Clienii configurai cu nodul de tip M, vor folosi nti difuzarea pentru a determina numele, iar dac nu se gsete un nume se interogheaz serverul WINS. Pag. 31

Nod H (hibrid) - este tot o combinaie ntre nodul B i nodul P. Diferena fa de nodul M este ordinea. Se folosete nti interogarea serverului WINS i dac nu s-a gsit numele cutat se utilizeaz difuzarea. n mod implicit se utilizeaz nodul B, dar dac n configurarea protocolului TCP/IP s-a specificat adresa IP a serverului WINS se va utiliza nodul H. 6.5.3. Determinarea numelor cu ajutorul fiierelor HOSTS i LMHOSTS n cazul n care nu este posibil configurarea unor servere DNS sau WINS, se pot configura anumite fiiere, care s fie utilizate n determinarea corespondenei numelor. Unul din aceste fiiere este fiierul HOSTS.SAM, care poate nlocui pe un calculator local serverul DNS. Mai jos e redat un exemplu de fiier HOSTS. # Copyright (c) 1998 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98 # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # 102.54.94.97 rhino.acme.com 38.25.63.10 x.acme.com 127.0.0.1 localhost # source server # x client host

Dac se dorete determinarea numelor NetBIOS i nu exist nici un server WINS disponibil, se poate configura un fiier LMHOSTS.SAM. Mai jos e prezentat un exemplu de fiier LMHOSTS. # Copyright (c) 1998 Microsoft Corp. # # This is a sample LMHOSTS file used by the Microsoft Wins Client (NetBios # over TCP/IP) stack for Windows98 # # This file contains the mappings of IP addresses to NT computernames # (NetBIOS) names. Each entry should be kept on an individual line. # The IP address should be placed in the first column followed by the # corresponding computername. The address and the comptername # should be separated by at least one space or tab. The "#" character # is generally used to denote the start of a comment (see the exceptions # below). # # This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts # files and offers the following extensions: # # #PRE # #DOM:<domain> # #INCLUDE <filename> # #BEGIN_ALTERNATE Pag. 32

# #END_ALTERNATE # \0xnn (non-printing character support) # # Following any entry in the file with the characters "#PRE" will cause # the entry to be preloaded into the name cache. By default, entries are # not preloaded, but are parsed only after dynamic name resolution fails. # # Following an entry with the "#DOM:<domain>" tag will associate the # entry with the domain specified by <domain>. This affects how the # browser and logon services behave in TCP/IP environments. To preload # the host name associated with #DOM entry, it is necessary to also add a # #PRE to the line. The <domain> is always preloaded although it will not # be shown when the name cache is viewed. # # Specifying "#INCLUDE <filename>" will force the RFC NetBIOS (NBT) # software to seek the specified <filename> and parse it as if it were # local. <filename> is generally a UNC-based name, allowing a # centralized lmhosts file to be maintained on a server. # It is ALWAYS necessary to provide a mapping for the IP address of the # server prior to the #INCLUDE. This mapping must use the #PRE directive. # In addtion the share "public" in the example below must be in the # LanManServer list of "NullSessionShares" in order for client machines to # be able to read the lmhosts file successfully. This key is under # \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares # in the registry. Simply add "public" to the list found there. # # The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE # statements to be grouped together. Any single successful include # will cause the group to succeed. # # Finally, non-printing characters can be embedded in mappings by # first surrounding the NetBIOS name in quotations, then using the # \0xnn notation to specify a hex value for a non-printing character. # # 102.54.94.97 rhino #PRE #DOM:networking #net group's DC 102.54.94.102 "appname \0x14" #special app server 102.54.94.123 popular #PRE #source server 102.54.94.117 localsrv #PRE #needed for the include # # #BEGIN_ALTERNATE # #INCLUDE \\localsrv\public\lmhosts # #INCLUDE \\rhino\public\lmhosts # #END_ALTERNATE Aceste fiiere sunt localizate n directorul \WINNT\SYSTEM32\DRIVERS\ETC n cazul sistemelor de operare NT sau Windows 2000 sau n directorul \Windows n cazul celorlalte sisteme de operare Windows. Fiierele cu extensia .SAM reprezint abloane care pot fi utilizate pentru realizarea fiierelor necesare. Pentru a deveni utilizabile, trebuie tears extensia .SAM. Staia local are asociat n mod implicit adresa IP pentru 127.0.0.1 i numele de gazd localhost.

Pag. 33

Atunci cnd se determin un nume NetBIOS el este plasat ntr-o memorie cache local pentru numele NetBIOS, unde este pstrat timp de 10 minute. Dac se dorete prencrcarea memoriei cache cu anumite valori pentru a putea determina rapid numele, trebuie utilizat sufixul #PRE. 6.5.4. Integrarea metodelor de determinare a numelor n cazul reelelor care utilizeaz mai multe sisteme de operare pentru staiile client este recomandat utilizarea integrat a mai multor metode de determinare a numelor. Este bine s se tie n acest caz cum interacioneaz aceste metode una cu alta. Atunci cnd se determin un nume de gazd sunt efectuate urmtoarele operaii: 1. se verific dac numele respectiv este numele de gazd al calculatorului local 2. se verific dac numele respectiv se afl n fiierul local HOSTS 3. cu ajutorul serverului DNS configurat, se ncearc determinarea numelui 4. se caut n memoria cache local numele NetBIOS 5. se caut numele pe serverele WINS configurate 6. se difuzeaz numele n reeaua LAN 7. se caut corespondena n fiierul local LMHOSTS 8. se returneaz un mesaj de eroare dac nici una din metodele precedente nu duce la determinarea numelui. Dac una din etapele precedente duce la determinarea corespondenei numelui, etapele urmtoare sunt ignorate. 6.6. Setul de protocoale TCP/IP. Setul de protocoale TCP/IP se instaleaz automat la instalarea sistemului de operare Windows 2000 i este asociat conexiunilor instalate. Informaiile necesare pentru configurarea setului de protocoale TCP/IP sunt adresa IP i masca de reea. Configurarea poate fi fcut manual sau automat prin intermediul serviciului DHCP sau prin intermediul configurrii sistemului. Configurarea manual este o metod destul de expus erorilor, fiind posibil apariia de adrese duplicate n reea (ceea ce afecteaz sigurana datelor, deoarece date destinate unui calculator pot ajunge la alt calculator) sau adrese greite (ceea ce duce la nefuncionalitatea conexiunii). Exist cazuri n care se folosete metoda de configurare manual i anume pentru adresele plcilor de reea instalate n servere, pentru diverse dispozitive de reea cum sunt imprimantele, switchurile, ruterele, sau n cazul reelelor cu numr mic de gazde. 6.6.1. Configurarea automat a setului de protocoale TCP/IP folosind serviciul DHCP Configurarea automat are multe avantaje i este indicat s fie folosit n cazul reelelor cu un numr mare de calculatoare. Aceast configurare este util i n cazul n care calculatoarele dintr-o reea nu sunt utilizate toate simultan, fiind astfel posibil ca o adres IP s fie folosit la momente de timp diferite de ctre calculatoare diferite. La baza configurrii automate se afl serviciul DHCP (Dinamic Host Configuration Protocol) furnizat de ctre un server DHCP. Acest serviciu va furniza adrese IP n mod dinamic dintr-un rezervor de adrese definit prin configurarea serverului DHCP. Adresele IP obinute de la un server DHCP se numesc adrese IP dinamice n timp ce adresele IP configurate manual se numesc adrese IP statice. La conectarea unui calculator n reea acesta cere serverului DHCP s ii furnizeze o adres IP. La utilizarea unui server DHCP sunt posibile dou situaii de cereri de adrese. Se poate obine o adres IP atunci cnd calculatorul nu a mai fost conectat nainte i nu exist o adres IP pentru el, sau se poate primi napoi o adres IP care a fost deja obinut la o conectare anterioar a calculatorului. Etapele parcurse la conectarea unui calculator care nu are deja o adres IP sunt urmtoarele:

Pag. 34

Calculatorul client difuzeaz un mesaj cu ajutorul protocolului DHCP n ntreaga reea LAN la care este conectat, cernd o adres de la orice server DHCP din reeaua respectiv. 2. Toate serverele DHCP din reeaua LAN n care se afl calculatorul primesc cererea i dac au o adres disponibil n rezervorul de adrese i folosind adresa MAC a calculatorului care a iniiat cererea trimit un mesaj prin care informeaz clientul de acest lucru. Adresa oferit este rezervat pentru a nu putea fi preluat de un alt calculator. 3. Calculatorul client recepioneaz mesajele de la toate serverele DHCP care i-au oferit o adres. Spre serverul DHCP de la care a primit prima ofert de adres trimite un mesaj de acceptare a adresei, iar spre celelalte servere trimite un mesaj prin care le anun c nu mai are nevoie de adresa oferit. 4. Serverul DHCP care a primit mesajul de acceptare a adresei o nregistreaz n baza sa de date asociind adresa IP cu adresa MAC a plcii de reea din calculatorul client. Celelalte servere DHCP elibereaz adresa IP oferit i o repun n rezervorul de adrese disponibile. 5. Calculatorul client primete o confirmare de la serverul DHCP a crui adres a acceptat s o utilizeze. Asocierile dintre adresa IP i adresa MAC coninute n baza de date a serverului DHCP au asociat o durat de nchiriere. Aceast durat de nchiriere definete intervalul de timp n care clientului i este permis s pstreze adresa, nainte ca ea s redevin disponibil n rezervorul de adrese. Dac la deschiderea unui calculator se gsete n baza de date a serverului DHCP o asociere ntre adresa MAC a plcii de reea a calculatorului i o adres IP, calculatorul va primi adresa IP din baza de date i timpul de nchiriere va fi actualizat din nou la valoarea maxim. Rennoirea timpului de nchiriere se poate face i dac calculatorul nu a fost oprit din momentul n care a obinut adresa i timpul de nchiriere a ajuns la jumtate. n acest moment se face automat actualizarea timpului de nchiriere la valoarea maxim. La expirarea timpului de nchiriere rezervarea de adres este tears automat din baza de date a serverului DHCP i adresa devine disponibil n rezervorul de adrese. Dac apare o cerere nou de adres IP i rezervorul de adrese este gol (i nu mai exist nici un alt server DHCP disponibil) se analizeaz baza de date, se verific valoarea parametrului durat de nchiriere i starea conexiunii pentru adresele care au cea mai mic valoare a duratei de nchiriere. Dac clientul care are rezervat adresa cu cea mai mic durat de nchiriere nu este conectat, asocierea este tears din baza de date i adresa IP este oferit noului client. n configurarea unui server DHCP se pot defini i rezervri permanente asigurnd astfel pentru anumite calculatoare o adres IP asemntoare adresei statice. 6.6.2. Depanarea setului de protocoale TCP/IP Pentru depanarea setului de protocoale TCP/IP exist trei utilitare de tip linie de comand. Cele trei utilitare sunt IPCONFIG, PING i TRACERT. IPCONFIG poate fi utilizat pentru a determina configuraia calculatorului local i pentru eliberarea i rennoirea manual a adreselor DHCP. Folosind comanda IPCONFIG /all se obine urmtoarea informaie:
Windows 2000 IP Configuration Host Name . . . . . . . . . . . . : win2000s Primary DNS Suffix. . . . . . . . : ikthuse.com Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : ikthuse.com Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . . : ikthuse.com Description . . . . . . . . . . . : 3Com EtherLink XL10/100 PCI NIC (3C905-TX) Physical Address. . . . . . . . . : 00-60-97-D5-22-CA

1.

Pag. 35

DHCP Enabled. . . . . . . . . . . Autoconfiguration Enabled . . . . IP Address. . . . . . . . . . . . Subnet Mask . . . . . . . . . . . Default Gateway . . . . . . . . . DHCP Server . . . . . . . . . . . DNS Servers . . . . . . . . . . . Primary WINS Server . . . . . . . Lease Obtained. . . . . . . . . . Lease Expires . . . . . . . . . .

: Yes : Yes : 179.254.0.21 : 255.255.0.0 : 179.254.0.1 : 179.254.0.1 : 179.254.0.1 : 179.254.0.1 : Monday, December 27, 1999 11:55:57 AM : Tuesday, January 04, 2000 11:55:57 AM

Aceste informaii permit verificarea existenei i corectitudinii adresei IP pentru calculatorul local. Dac adresa IP este 169.254.x.x nseamn c exist o problem legat de obinerea unei adrese IP de la serverul DHCP. Opiunile /release i /renew pot fi utilizate pentru a elibera sau rennoi adresa asociat n baza de date a serverului DHCP. Utilitarul PING este utilizat pentru a verifica posibilitatea de comunicare cu alte calculatoare i const n expedierea unei cereri de ecou spre un dispozitiv care are configurat o adres IP. un rspuns unknown host sau host unreacheable indic o problem de comunicare. Problema poate proveni din configurrile calculatorului local sau din lanul de dispozitive i elemente parcurse pe traseul de la calculatorul local la dispozitivul destinaie. Utilitarul TRACERT este folosit pentru a determina calea parcurs de date pentru a ajunge de la calculatorul surs la dispozitivul destinaie. Se utilizeaz de obicei dup ce se obine un rezultat care sugereaz o problem de comunicare cu utilitarul PING. Rezultatul obinut prin utilizarea TRACERT poate indica n ce loc are loc ntreruperea unei comunicaii. Mai jos se arat un exemplu al rezultatului obinut n urma folosirii utilitarului TRACERT.
C:\Tracert typhoon.co.jp Tracing route to typhoon.co.jp [202.33.21.38] over a maximum of 30 hops: 1 10 ms 10 ms 10 ms IKTHUSE-YODA [169.254.0.1] 2 20 ms 20 ms 20 ms 24.66.36.1 3 20 ms 20 ms 30 ms 24.66.63.3 4 70 ms 40 ms 41 ms cgdist1-f5-0-0.cg,sfl.net [204.209.214.97] 5 60 ms 40 ms 40 ms cgcore2-f0-0-0.cg,sfl.net [204.209.214.9] 6 70 ms 40 ms 50 ms 205.150.143.17 7 81 ms 70 ms 60 ms h10.bb1.cal1.h810.bb1.van1.uunet.ca [205.150.241.73] 8 130 ms 101 ms 90 ms 152.63.137.37 9 120 ms 90 ms 100 ms 294.ATM2-9.TR2.VAN1.ALTER.NET [152.63.136.154] 10 120 ms 90 ms 90 ms 136.ATM7-9.TR2.SEA1.ALTER.NET [152.63.10.105] 11 150 ms 110 ms 110 ms 110.at-2-1-0.TR4.SCL1.ALTER.NET [152.63.3.226] 12 140 ms 120 ms 110 ms 399.ATM6-0.XR2.SFO4.ALTER.NET [152.63.49.9] 13 140 ms 110 ms 120 ms 190.ATM8-0-0.GW5.SFO4.ALTER.NET [146.188.149.37] 14 241 ms 110 ms 100 ms att-gcs-gw.customer.ALTER.NET [157.130.197.78] 15 120 ms 100 ms 90 ms 199.37.127.67 16 220 ms 201 ms 200 ms 205.174.74.66 17 220 ms 201 ms 200 ms 165.76.0.43 18 231 ms 200 ms 220 ms att-r1.typhoon.co.jp [202.33.21.194] 19 231 ms 210 ms 210 ms storm.typhoon.co.jp [202.33.21.38]

Pag. 36

6.7. Structura Active Directory (registrul activ) Active Directory este serviciul folosit de Windows 2000 pentru a stoca informaiile despre resursele reelei i pentru a pune la dispoziia utilizatorilor aceste resurse. Serviciile de tip registru sunt utile pentru a furniza o cale consistent pentru a denumi, localiza, accesa, administra i securiza informaia despre resurse. Active Directory organizeaz i administreaz n mod centralizat resursele reelei. Topologia reelei i protocoalele utilizate sunt transparente pentru utilizator. Utilizatorul nu tie modul n care o resurs este conectat fizic la reea ci doar faptul c acea resurs exist. Obiectele din Active Directory sunt organizate n seciuni care pot evolua odat cu extinderea reelei. Principalul obiectiv al Active Directory este s furnizeze un mediu unificat, ceea ce va reduce efortul administratorului i al utilizatorilor. Pentru a realiza acest lucru Active Directory are implementat un suport extins pentru standardele i protocoalele existente i o interfa de programare a aplicaiilor care faciliteaz comunicarea. 6.7.1. Convenii folosite la stabilirea numelor Fiecare obiect din Active Directory are un nume distinctiv. Acest nume identific domeniul n care este localizat un obiect i calea complet pn la acel obiect. Mai jos se prezint un exemplu de nume distinctiv. DC=com,DC=contoso,CN=Users,CN=James Smith Utilizatorul James Smith are un container care face parte din containerul Users, care la rndul lui este coninut n domeniul contoso.com. DC este abrevierea pentru numele de domeniu (Domain Name), iar CN este abrevierea pentru nume obinuite de container (Common Name). Pentru fiecare obiect exist i un nume distinctiv relativ, care este un atribut al obiectului respectiv. n exemplul prezentat James Smith este este numele distinctiv relativ fa de containerul users. Se definete i un nume principal pentru fiecare obiect. Acest nume este compus din numele folosit de un obiect la logare i numele DNS al domeniului n care este definit obiectul. Pentru exemplul prezentat, dac numele folosit la logare este JamesS, numele principal va fi JamesS@contoso.com. Fiecrui obiect i se asociaz i un identificator global unic (Globally Unique Identifier (GUID)). GUID este unu numr de 128 de bii i se aloc obiectelor atunci cnd acestea sunt create. GUID nu se schimb dac un obiect este redenumit sau mutat. Obiectele coninute ntr-o pdure au nume unice. ntr-un container nu pot exista dou obiecte cu acelai nume relativ. Dei nu este recomandat exist posibilitatea de a avea duplicate ale numelor principale. 6.7.2. Structura logic a Active Directory Active Directory are o structur logic flexibil organizat ierarhic. Componentele logice din Active Directory sunt domenii, uniti organizaionale, arbori i pduri cum se arat n figura urmtoare. Componenta logic central este domeniul. Domeniul include toate calculatoarele care folosesc n comun acelai registru activ (Active Directory). Un domeniu poate conine mai multe controlere de domeniu, iar controlerele pot avea toate sistemul de operare Windows 2000, sau pot fi unele cu Windows 2000 i altele cu Windows NT. Domeniile reprezint uniti de replicare. Fiecare controler de domeniu conine o copie complet a informaiilor de registru pentru domeniul su i particip la replicarea acestora. Pentru replicare se folosete un model de tip multi-master. Toate controlerele dintr-un domeniu pot recepiona modificri ale informaiei de registru i pot replica aceste modificri spre toate celelalte controlere de domeniu, din domeniul respectiv. Active Directory poate funciona n dou regimuri, mixt i nativ. Pag. 37

Domeniu

Padure Arbore
Domeniu OU

OU

Domeniu

OU

Domeniu

Arbore
Domeniu Domeniu

Regimul mixt este cel care este instalat n mod implicit. Regimul mixt accept controlere de domeniu care ruleaz Windows 2000 i controlere de domeniu care utilizeaz Windows NT. Este un regim folosit n cazul domeniilor n care mai exist controlere cu sistemul de operare Windows NT. Upgradarea de la Windows NT la Windows 2000 se poate face oricnd. Un domeniu n care toate controlerele de domeniu ruleaz sistemul de operare Windows 2000 poate fi convertit la regimul nativ. Exist funcionaliti ale Active Directory care nu pot fi utilizate dect n regimul nativ. OBSERVAIE FOARTE IMPORTANT. Conversia de la regimul mixt la cel nativ este ireversibil. Pentru a putea reveni de la regimul nativ la regimul mixt, singura soluie este reformatarea hard-diskului i reinstalarea sistemului de operare. O unitate organizaional (OU) este un obiect de tip container folosit la organizarea obiectelor dintr-un domeniu. O unitate organizaional conine obiecte cum sunt conturile de utilizator, grupuri, calculatoare, imprimante i alte uniti organizaionale. Unitile organizaionale pot fi folosite pentru gruparea obiectelor ntr-o logic ierarhizat pentru a reprezenta structura unei organizaii. Modelele folosite n realizarea acestei organizri logice sunt de dou tipuri: structura logic bazat pe limitele departamentale sau geografice modelul administrativ al reelei bazat pe responsabilitile administrative. De exemplu, o organizaie poate avea un administrator pentru conturile utilizatorilor, un alt administrator pentru calculatoare i un al treilea administrator pentru imprimante. n acest caz se creeaz o unitate organizaional pentru conturile utilizatorilor, una pentru calculatoare i una pentru imprimante. Modelul de ierarhie utilizat ntr-un domeniu este independent de modelul utilizat n alt domeniu. Fiecare domeniu poate utiliza modelul propriu de ierarhie logic. Drepturile de administrare a obiectelor din unitile organizaionale pot fi delegate unui utilizator, mai multor utilizatori sau unor grupuri. Drepturi delegate pot fi complete (full control) sau limitate, caz n care utilizatorul care are delegate drepturi are acces doar la elementele care i+au fost delegate. Pentru eficien n administrare i securitate este recomandat gruparea mai multor obiecte ntr-un domeniu, dect crearea a mai multe domenii. Obiectele pot fi mutate cu uurin ntre diferite uniti organizaionale din acelai domeniu.

Pag. 38

Primul domeniu creat cu Windows 2000 ntr-o organizaie este domeniul rdcin, care conine configuraia i schema pdurii. Domeniile urmtoare sunt adugate rdcinii pentru a forma structura de arbore a pdurii, n strns dependen cu restriciile de nume ale domeniului. Dintre motivele pentru care se creeaz domenii noi se pot enumera cerine diferite pentru parolele utilizate ntre diferite componente ale unei organizaii, numrul foarte mare de obiecte, nume Internet diferite, control mai bun al replicrii, administrare descentralizat a reelei. Un arbore reprezint o organizare logic de domenii care folosete un spaiu de nume comun. Cnd se adaug un domeniu ntr-un arbore existent, noul domeniu este un domeniu copil i numele lui DNS se obine combinnd numele su cu numele domeniului printe. Pdurea este un grup de arbori care nu folosesc un spaiu de nume continuu. Arborii dintro pdure folosesc n comun configuraia, schema i catalogul global. Numele arborelui rdcin (primul arbore creat ntr-o pdure) este folosit pentru referirea unei pduri. 6.7.3. Structura fizic a Active Directory Structura fizic a Active Directory difer de structura logic. Structura logic este utilizat pentru organizarea resurselor reelei, n timp ce structura fizic este folosit pentru configurarea i administrarea traficului din reea. Structura fizic este compus din site-uri i controlere de domeniu. Structura fizic definete cnd i unde va apare un trafic de replicare sau logare. Un site este o combinaie de una sau mai multe subreele IP conectate cu o legtur de mare vitez. Scopurile principale pentru care se realizeaz un site sunt optimizarea traficului de replicare a Active Diretory i furnizarea unei conexiuni fiabile i de mare vitez pentru utilizatorii care se conecteaz la un controler de domeniu. Diferena dintre structura logic i cea fizic duce la urmtoarele trei concluzii referitor la corelaia site-domeniu: 1. nu este necesar o corelaie ntre structura fizic i structura de domenii a reelei; 2. ntr-un site pot mai multe domenii, iar un domeniu se poate extinde pe mai multe siteuri; 3. nu este necesar corelarea numelor de site cu numele de domeniu. Controlerul de domeniu este un calculator pe care ruleaz un sistem de operare de reea i care stocheaz o replic a catalogului. Controlerul de domeniu administreaz modificrile din catalog i execut replicarea acestor modificri spre celelalte controlere din domeniu. Controlerul de domeniu administreaz procesele de logare, autentificare i cutare. Un domeniu poate conine unul sau mai multe controlere de domeniu. Pentru a asigura tolerana la posibile cderi i erori se recomanda ca reeaua pentru o organizaie mic s conin cel puin dou controlere de domeniu, numrul acestora crescnd corespunztor n cazul organizaiilor mari. Active Directory folosete un model de replicare multi-master, n care nici un controler nu poate fi considerat ca principalul deintor al Active Directory. Toate controlerele conin o copie modificabil a catalogului. Aceast copie a catalogului poate fi diferit pentru intervale de timp scurte, pn cnd are loc sincronizarea. Modelul multi-master poate genera trafic mare de replicare i unele conflicte. Pentru a elimina aceste dezavantaje se pot asocia rolul speciale anumitor controlere de domeniu. Aceste roluri speciale sunt server al catalogului global i administrator de operaii (operation master). Catalogul global reprezint un depozit al atributelor pentru toate obiectele din Active Directory. Atributele stocate n mod implicit n catalogul global sunt cele folosite mai des n interogri (cum ar fi numele utilizatorului). Catalogul global conine informaia necesar pentru localizarea oricrui obiect. Serverul catalogului global este controlerul de domeniu care stocheaz copia catalogului global i proceseaz interogrile catalogului global. Catalogul global mbuntete performanele de cutare ntr-o structur de tip pdure, asigurnd o cutare global. n absena catalogului global cutarea ar trebui efectuat n fiecare domeniu n parte din structura pdurii. Primul controler de domeniu creat ntr-un domeniu are i rolul de server al catalogului global. Pag. 39

Administratorul de operaii este un controler de domeniu cruia i s-au atribuit unu sau mai multe roluri speciale ntr-un domeniu. Aceste controlere opereaz n regim single-master, adic operaiile pe care le administreaz nu pot s se produc simultan i n alt loc din reea. Un rol poate fi atribuit la un moment dat doar unui singur controler de domeniu. Exist cinci roluri operaionale care trebuie ndeplinite de controlere de domeniu pentru orice Active Directory. Cele cinci roluri sunt: 1. Administrator al schemei (schema master) 2. Administrator al numelor de domeniu (domain naming master) 3. Administrator al identificatorului relativ (relative identifier master (RID)) 4. Emulator al controlerului de domeniu primar (PDC) 5. Administrator de infrastructur (infrastructure master) Administratorul schemei permite modificarea schemei. Pentru a modifica schema un utilizator trebuie sa aib acces la administratorul schemei. ntr-o pdure poate exista doar un administrator al schemei. Administratorul numelor de domeniu controleaz adugarea sau tergerea de domenii din pdure. Administratorul identificatorului relativ adaug secvene RID fiecrui controler de domeniu dintr-un domeniu. Cnd un controler de domeniu creeaz un utilizator, un grup sau un calculator, acestuia i se asociaz un identificator unic de securitate (SID). Identificatorul de securitate pentru un obiect const din identificatorul SID al domeniului n care se creeaz obiectul i un RID unic pentru fiecare obiect. Emulatorul PDC proceseaz n cazul modului mixt schimbrile de parole care apar pe un controler de domeniu care nu utilizeaz Windows 2000 ca sistem de operare. n cazul modului nativ emulatorul PDC proceseaz modificrile de parol care provin de pe alte controlere de domeniu din domeniul respectiv. Dac la o ncercare de logare a unui utilizator apare o eroare datorat unei parole greite, cererea de logare i autentificare este prelucrat i de ctre emulatorul PDC i dac i n acest caz se constat o parol greit, se respinge cererea de logare. Administratorul de infrastructur este responsabil cu ntreinerea referinelor de tip utilizator-grup. De cte ori se face o modificare privind apartenena unui utilizator la un grup administratorul de infrastructur este responsabil cu actualizarea acestor informaii. Dac utilizatorul i grupul sunt n domenii diferite este posibil s apar o ntrziere n procesul de actualizare. 6.7.4. Elemente fundamentale ale schemei Schema conine diferite obiecte i componente care controleaz clasele i atributele din catalogul (registrul) activ. Modificarea acestor componente afecteaz modul de operare al registrului activ. Componentele din schem pot fi adugate sau modificate, dar nu pot fi terse dac nu mai sunt folosite. Componentele care nu mai sunt folosite pot doar s fie dezactivate. La crearea unui utilizator se creeaz un obiect din clasa USER (utilizator). Trebuie avut n vedere s nu se confunde acest lucru cu modificarea schemei, care implic crearea sau modificarea definiiilor unei clase. Modificarea schemei implic modificarea componentelor sale. Aceste componente sunt clasele, atributele i sintaxa atributelor. Clasele sunt definiii utilizate pentru grupuri de obiecte care au acelai set de caracteristici sau atribute. De exemplu, pentru fiecare utilizator, care este un obiect din clasa USERS, are n comun cu ceilali utilizatori aceleai caracteristici cum sunt numele, prenumele numele de logare, chiar dac valorile acestor caracteristici difer de la un utilizator la altul. Fiecrei clase din Active Directory i corespunde un obiect de tip class-schema. Acest obiect specific atributele clasei i impun urmtoarele restricii obiectelor create ntr-o clas: System-Must-Contain. Atribute obligatorii, care trebuie s fie coninute de toate obiectele create ca instane ale clasei. System-May-Contain. Atribute care nu sunt obligatorii i care pot aprea doar la anumite obiecte create ca instane ale clasei. Hierarchy Rules (reguli de ierarhizare). Atribute care determin posibilii prini ai unui obiect creat ca instan a clasei. Pag. 40

Atributele definesc obiectele dintr-o clasa. Fiecare atribut are asociat un obiect de tip attribute-schema. Acest obiect specific diferitele proprieti pe care trebuie s le aib un atribut, cum ar fi sintaxa care trebuie folosit i dac un atribut poate avea una sau mai multe valori. Regulile de sintax specific tipul de informaie pe care o poate conine un atribut (de exemplu, ntreg sau format de tip dat sau ir de caractere). Sintaxa nu are asociat un obiect n baza de date, ci este codificat intern i din acest motiv nu poate s fie modificat. Schema poate fi modificat direct prin intermediul consolei, automat cu ajutorul unor scripturi sau indirect prin instalarea de sofware care modific schema. Membri grupului Schema Admins pot crea, modifica i dezactiva clase i atribute. Clasele i atributele din cadrul schemei nu pot fi terse. Ele pot fi dezactivate i reactivate dup necesiti, eliminndu-se astfel posibilitatea unor greeli cu efect fatal asupra funcionrii reelei. Clasele i atributele pot fi dezactivate i reactivate prin intermediul ferestrei de dialog Properties din Active Directory Schema. nainte de a dezactiva o clas sau un atribut trebuie luate n considerare urmtoarele aspecte: nu se pot dezactiva obiectele implicite ale schemei; se pot dezactiva doar obiectele adugate dup ce schema a fost instalat. nu se pot dezactiva obiectele de tip Must-Contain sau May-Contain ale claselor active o clas sau un atribut dezactivate no mai sunt replicate n reea sau n catalogul global dezactivarea unei clase nu duce la dezactivarea obiectelor existente ca instane ale clasei respective, dar nu se mai pot crea obiecte noi n clasa respectiv nu se pot folosi atributele dezactivate n clasele existente sau n clase noi nu se pot crea clase sau atribute care s aib acelai nume ca i o clas sau atribut dezactivate. Modificrile schemei au impact asupra ntregii reele. Modificrile pot afecta obiectele existente, pot crea ntrzieri ale replicrii i pot mri traficul din reea.

Pag. 41