Sunteți pe pagina 1din 91

CAPITOLUL 1

Introducere în managementul reŃelelor digitale integrate de comunicaŃii şi calculatoare

Tema are ca scop cunoaşterea unor noŃiuni şi concepte de bază privind administrarea reŃelelor de comunicaŃii şi calculatoare. Sunt definite conceptele de administrare a reŃelelor, obiectivele administrării, factorii implicaŃi în administrare, domeniile funcŃionale acoperite de administare.

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte:

Ce reprezintă activitatea de administrare a reŃelelor

Ce funcŃii asigură activitatea de administrare de reŃea

Care este structura ierarhică a sistemului de management

Detalii referitoare la conŃinutul domeniilor de management

- Managementul configurării

- Managementul defectelor

- Managementul performanŃelor

- Managementul securităŃii

Materialul trebuie parcurs în ordinea sa firească prezentată în continuare, inclusiv în porŃiunea referitoare la aplicaŃii. Se recomandă conspectarea şi notarea ideilor principale şi consultarea Internetului pentru detalii şi informaŃii suplimentare. Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 6 ore.

1.1 Ce este managementul reŃelelor?

ActivităŃile de management al reŃelelor presupun desfăşurarea şi coordonarea resurselor acestora în vederea planificării, operării, administrării, analizării, evaluării, proiectării şi extinderii reŃelelor, astfel încât să fie asigurate permanent serviciile propuse, cu un cost rezonabil şi la o capacitate optimă.

Ce face managementul de reŃea?

asigurarea propuse

permanentă

pentru

1

utilizatorul

final

a

serviciilor

capabilitatea de a ocoli sau înlocui automat elementele de reŃea defecte.

capabilitatea

reŃelei

de

a

fi

operaŃională

chiar

dacă

o

parte

importantă a resurselor acesteia se defectează

capabilitatea de a monitoriza şi diagnostica permanent condiŃiile funcŃionale şi operaŃionale nesatisfăcătoare la nivelul întregii reŃele

analiza în timp real a performanŃelor reŃelei,

asigurarea unei interfeŃe cu utilizatorul în timp real,

creşterea productivităŃii operaŃionale,

furnizarea unei puternice baze de date pentru managementul reŃelei,

salvarea automată în baza de date atât a istoricului funcŃional al reŃelei cât şi a statisticilor efectuate automat în timpul funcŃionării.

asigurarea unui timp de răspuns mic la schimbările survenite în aplicaŃii, în configuraŃia abonaŃilor, a dispozitivelor, în politica de tarifare şi de servicii;

expansiunea şi reconfigurarea dinamică a capacităŃilor reŃelei pe baza utilizării intensive a tehnicilor de management al lărgimii de bandă;

îmbunătăŃirea securităŃii la nivelul întregii reŃele, precum şi a sistemului de management al acesteia: se aşteaptă ca managementul reŃelei să fie capabil să ofere monitorizarea, alarmarea automată, partiŃionarea şi reconfigurarea automată

integrarea managementului de reŃea

implementarea practică a unor soluŃii care să fie conforme cu standardele internaŃional acceptate;

posibilitatea generării unor rapoarte integrate, periodice,

Principalii enunŃate sunt:

factori

care

contribuie

2

la

îndeplinirea

obiectivelor

resursele umane implicate

instrumentele hardware şi software folosite

procesele şi procedurile care stabilesc modul de realizare a managementului

Structurarea ierarhică a sistemului de management

Nivelul 3

Nivelul 2

Nivelul 1

Manager de reŃea Integrator al sistemelor de management Sisteme de management ale elementelor de reŃea
Manager
de reŃea
Integrator al sistemelor de
management
Sisteme de management ale
elementelor de reŃea
Elemente de reŃea

Fig. 1.1 Organizarea ierarhică a managementului de reŃea

Elemente de reŃea să aibă implementate capabilităŃi utile managementului de reŃea, cum ar fi, de exemplu, furnizarea de informaŃii privitoare la propria lor stare sau propriile lor performanŃe.

Pentru aceasta, sunt necesare dispozitive de monitorizare incluse în acestea, capabile să genereze automat sau la cerere anumite informaŃii, ca de exemplu: rapoarte, avertizări sau alarme.

În cele mai multe cazuri, mai ales la noile generaŃii de elemente de reŃea, acestea sunt prevăzute cu asemenea facilităŃi.

OBS:

În

cazul

absenŃei

acestora,

pot

fi

ataşate

dispozitive

externe

de

monitorizare, capabile să realizeze funcŃii de mamagement.

3

Al doilea nivel, poziŃionat ierarhic imediat deasupra nivelului elementelor de reŃea, este nivelul sistemelor de
Al doilea nivel, poziŃionat ierarhic imediat deasupra nivelului
elementelor de reŃea, este nivelul sistemelor de management ale
elementelor de reŃea.
Aceste sisteme sunt un complex de hardware şi software care pot fi
localizate fie în elementul de reŃea însuşi, fie în procesoare dedicate sau în
nodurile reŃelei.
Este important să se asigure un mod de comunicaŃie bidirecŃional,
între elementele de reŃea administrate şi sistemul care realizează
administrarea (fig. 1.2).
Al treilea nivel, cel al sistemelor integrate de management al
elementelor de reŃea, integrează sistemele de management aflate la nivelul
doi, realizând un sistem unitar de management la nivelul întregii reŃele.
ReŃea de comunicaŃii şi calculatoare
ER
ER
ER
ER
ER
ER
SMER
SMER
SMER
Sistem integrator de management
BD cu componenŃa şi
configuraŃia reŃelei
CapacităŃi de proiectare şi
configurare a reŃelei
BD a performanŃelor
reŃelei
ER
Element de ReŃea
SMER
Sistem de Management al Elementelor de ReŃea
BD
Servicii de
tarifare
Rapoarte
BD
defectări
Rapoarte
serviciu
BD
Nivelul
serviciilor
Utilizarea
Nivelul
resurselor
dorit al
serviciilor
Încărcare
Procesare
ordine
a
estimată

BDC

Bază de Date a Configurărilor

4

Fig. 1.2 Instrumente de lucru ale managementului de reŃea

1.2 Ariile funcŃionale ale managementului reŃelelor de telecomunicaŃii

FuncŃiile pe care trebuie să le realizeze sistemele de management al reŃelelor de comunicaŃii şi calculatoare pot fi grupate în cinci domenii, numite tradiŃional arii funcŃionale ale managementului

Managementul reŃelei
Managementul reŃelei

Manag.

Manag.

Manag.

Manag.

Manag.

configurării

defectărilor

performanŃelor

securităŃii

contabilizării

Fig. 1.3 Principalele arii funcŃionale ale managementului de reŃea

1.2.1 Managementul configurării

Managementul configurării este responsabil de:

planificarea

configurarea

instalarea unei reŃele de comunicaŃii

aducerea în stare operaŃională a serviciilor de reŃea

furnizarea acestora către clienŃi.

Procesul configurării este un proces liniar, (prezentat în fig. 1.4).

5

Porneşte de la setul de cerinŃe stabilite împreună cu beneficiarul, care definesc tipul şi caracteristicile generale reŃelei, traversând pas cu pas toate fazele configurării (descrise în cele ce urmează) până la faza finală de administrare şi control ale elementelor de reŃea.

În recomandarea E.175 a ITU-T sunt detaliate principalele etape ce trebuie parcurse în procesul de planificare a unei reŃele.

A. Prima etapă, aceea a planificării şi proiectării reŃelei are drept principal obiectiv transformarea cerinŃelor de sistem într-un proiect de sistem. Urmează apoi un plan de implementare a acestui proiect.

Principalele caracteristici ale reŃelei ce sunt vizate în procesul proiectării sunt: infrastructura de acces, infrastructura de facilităŃi şi infrastructura reŃelei.

CerinŃe de reŃea

facilităŃi şi infrastructura reŃelei. CerinŃe de reŃea A Planificarea şi proiectarea reŃelei B C Planurile de
A
A
Planificarea şi proiectarea reŃelei
Planificarea şi
proiectarea reŃelei
CerinŃe de reŃea A Planificarea şi proiectarea reŃelei B C Planurile de implementare Instalarea reŃelei ReŃeaua
B C
B
C

Planurile de implementare

Instalarea reŃelei
Instalarea reŃelei
ReŃeaua este instalată Planificarea şi negocierea serviciilor
ReŃeaua este instalată
Planificarea şi
negocierea serviciilor
D Furnizarea de servcii şi configuraŃii ReŃeaua este operaŃională E FuncŃiile de stare şi control
D
Furnizarea de servcii
şi configuraŃii
ReŃeaua este operaŃională
E
FuncŃiile de stare şi
control ale
elementelor de reŃea

Fig. 1.4 Principalele etape ale managementului configurării

A. Paşii unui proces de planificare de reŃea sunt următorii:

6

pasul 1: colectarea informaŃiilor de intrare, impuse de setul de cerinŃe iniŃiale, pasul 2: determinarea infrastructurii de reŃea, pe baza cerinŃelor comerciale, tehnice şi operaŃionale ale clientului;

pasul 3: proiectarea schemelor de rutare a traficului pe structura de reŃea propusă anterior (evaluarea structurii de reŃea propusă din perspectiva cerinŃelor de traffic). Dacă acestea nu pot fi satisfăcute pe structura de lucru creată, se revine la pasul anterior şi se adaptează astfel structura încât să corespundă necesităŃilor impuse la acest punct;

pasul 4: estimarea şi clasificarea costurilor de reŃea. Pot fi diferenŃiate trei mari categorii de costuri:

costurile totale asociate construirii infrastructurii reŃelei;

costurile estimate de întreŃinere a reŃelei, clasificate pe tipurile de facilităŃi oferite;

costurile necesare extinderilor viitoare ale reŃelei;

pasul 5: Analizarea rezultatelor obŃinute împreună cu beneficiarul şi obŃinerea acordului acestuia de continuare a implementării, pe baza stabilirii unei înŃelegeri.

pasul 6: repetarea unor etape, din procesul de planificare, dacă este necesar.

B. Procesul de instalare a reŃelei

instalarea echipamentelor; instalarea software-ului.

Etapele unui asemenea proces de instalare pot fi observate în fig. 1.6.

Cerere de instalare verificările de preinstalare; planificarea instalării şi a livrării echipamentelor; programarea
Cerere de instalare
verificările de preinstalare;
planificarea instalării şi a livrării echipamentelor;
programarea şi desfăşurarea testelor prefuncŃionale;
coordonarea instalării software-lui de echipamente;
actualizarea bazei de date pentru această instalare.
7
Raport de stare

C.

Fig. 1.6 Etapele procesului de instalare a echipamentelor

Planificarea şi negocierea serviciilor de reŃea, etapă care

acoperă următoarele arii de interes:

identificarea cerinŃelor clientului;

definirea caracteristicilor pentru serviciile cerute;

planificarea implementării serviciilor cerute;

Sistem Unitate de Distribuitor de Software software software
Sistem
Unitate de
Distribuitor de
Software
software
software

Fig. 1.8 Clase de obiecte software

D. Furnizarea de servicii şi configuraŃii se referă la:

furnizarea de servicii,

furnizarea de configuraŃii la nivel de reŃele

furnizarea de configuraŃii la nivelul elementelor de reŃea.

Furnizarea de servicii către un client începe cu recepŃionarea unui “ordin de serviciu” de la sistemul de management al serviciilor şi se termină cu livrarea către elementul de reŃea a datelor specifice serviciului respectiv. Datele relative la acel serviciu fac referire la utilizatorul sau procesul căruia îi este destinat acest serviciu.

Furnizarea de configuraŃii la nivel de reŃea are drept obiectiv asigurarea unui nivel adecvat al configurării resurselor, la nivelul întregii reŃele, astfel încât să fie satisfăcute cerinŃele clientului de servicii. Sunt identificate aici următoarele arii de interes din cadrul procesului de asigurare cu resurse (fig. 1.10):

8

managementul topologiei de reŃea;

managementul conexiunilor de reŃea;

managementul alocării resurselor la nivelul întregii reŃele.

Pentru

a

implementa

un

nou

serviciu,

sunt

necesare,

mai

întâi,

planificarea şi activarea managementului conexiunilor la nivelul reŃelei.

Managementul conexiunilor este responsabil pentru stabilirea, menŃinerea şi monitorizarea conexiunilor între elementele de reŃea. Este apoi obligaŃia funcŃiei de management al topologiei de reŃea şi a celei de management al resurselor de reŃea să menŃină acea configuraŃie, care va satisface necesităŃile creării conexiunilor respective.

Managementul furnizării de configuraŃii şi servicii la nivelul elementelor de reŃea are drept obiectiv satisfacerea cerinŃei ca la elementele de reŃea să fie desfăşurate şi configurate resursele adecvate în vederea implementării serviciilor cerute de client.

În recomandarea M.3400 a ITU-T sunt identificate trei arii generale de interes în cadrul furnizării de configuraŃii şi servicii la nivelul elementelor de reŃea (fig. 1.10):

configurarea elementelor de reŃea; funcŃiile administrative; administrarea bazei de date.

Managementul performanŃelor şi defectărilor
Managementul
performanŃelor şi
defectărilor
de date. Managementul performanŃelor şi defectărilor Resursele elementului de reŃea Furnizarea de
Resursele elementului de reŃea Furnizarea de configuraŃii şi servicii la nivelul elementelor de reŃea managementul
Resursele
elementului de reŃea
Furnizarea de configuraŃii şi servicii la nivelul
elementelor de reŃea
managementul configurării resurselor la
elementul de reŃea;
managementul sistemului;
managementul bazei de date a
elementelor de reŃea.
managementul bazei de date a elementelor de reŃea. Managementul furnizării de configuraŃii şi servicii la
Managementul furnizării de configuraŃii şi servicii la nivel de reŃea
Managementul furnizării de
configuraŃii şi servicii la nivel
de reŃea

Fig. 1.10 Aprovizionarea la nivelul elementelor de reŃea şi interacŃiunea sa cu alte aplicaŃii de management

9

E. Controlul şi starea resurselor elementului de reŃea

Una din sarcinile principale ale managementului configurării elementelor de reŃea este cea de a administra şi controla, în timp real, numeroasele resurse fizice şi logice integrate în reŃea, ca elemente de reŃea.

OperaŃiile de control al elementelor de reŃea pot fi clasificate în mai multe categorii:

Activarea şi dezactivarea resurselor, se referă la:

pornirea/oprirea componentelor software şi hardware;

managementul stării resurselor;

iniŃializarea parametrilor asociaŃi resurselor;

anunŃarea tuturor părŃilor implicate despre activarea/ dezactivarea unor resurse etc.

OperaŃiile de comutare ce permite transferul serviciilor de la o resursă activă la una de rezervă în cazul unor defectări, al unor operaŃii de întreŃinere sau de diagnosticare a unei legături active la un moment dat.

Starea resurselor, din punctul de vedere al managementului, este un atribut al obiectului administrat şi reprezintă capabilitatea de a furniza informaŃii sistemului de management despre condiŃiile în care se află obiectul administrat. În recomandările ITU-T [X.731] au fost standardizate trei dintre cele mai uzuale stări în care se pot afla elementele de reŃea:

Operabilitatea, starea care indică dacă resursa respectivă a

reŃelei este operaŃională, neoperaŃională sau “necunoscută”.

Utilizarea, reprezintă starea de utilizare a unei resurse a

reŃelei şi are trei posibile variante: “nefolosită”, ”activă” şi ”ocupată”.

Starea administrativă indică managementului de sistem

dacă resursa poate sau nu să fie folosită, independent de starea ei operaŃională sau de starea utilizării. Resursa se poate afla în una din cele trei stări administrative:

10

blocată, ceea ce semnifică că este blocată pentru furnizarea de servicii către utilizatorii săi; neblocată, adică este administrativ deschisă pentru a furniza servicii către utilizatorii săi; în curs de oprire, stare în care resursa poate furniza servicii doar către utilizatorii care aveau deja permisiunea utilizării ei, nefiind permisă folosirea ei de către noi utilizatori.

AnunŃarea schimbării de stare este o opŃiune care poate sau nu să fie implementată. Dacă este implementată ca mecanism, atunci ea are rolul de a informa aplicaŃia de management asupra modificărilor de stare ce pot surveni în cazul unui element de reŃea.

Managementul stării resurselor elementelor de reŃea

Prin starea resurselor de reŃea se înŃelege o gamă mai variată de atribute de stare, care pot semnifica prezenŃa sau absenŃa unei condiŃii particulare, specifice acelei resurse. În recomandările ITU-T, dedicate acestui subiect [X.731] au fost definite o serie întreagă de atribute. Astfel:

atributul stării de alarmă, indică starea unui anumit tip de alarmă asociată cu o resursă: gravitatea ei, efectul alarmei asupra resursei, o măsură a rezoluŃiei alarmei etc; atributul de stare al procedurii, indică tipul de procedură care a fost cerută în vederea efectuării ei de către resursa respectivă sau indică faza de execuŃie a procedurii în curs de efectuare; atributul stării de disponibilitate, indică condiŃiile de lucru care pot afecta disponibilitatea unei anumite resurse; atributul stării de control, indică acŃiunea de control care a fost efectuată asupra resursei şi impactul pe care l-a avut asupra stării acesteia; atributul stării de aşteptare, indică tipul de condiŃie de aşteptare în care se află resursa şi are înŃeles doar atunci când resursa respectivă face parte dintr-o configuraŃie de dublare a anumitor resurse.

1.2.2 Managementul defectărilor

Prin defect se înŃelege o condiŃie anormală care afectează în mod negativ serviciile într-o reŃea de telecomunicaŃii.

11

Managementul defectărilor consistă dintr-un set de funcŃii dedicate detectării, izolării şi corectării condiŃiilor anormale de lucru, care afectează funcŃionarea unei reŃele de telecomunicaŃii.

Ciclul de viaŃă a managementului defectărilor, presupune câteva faze într-o succesiune previzibilă. Întâi defectul este detectat şi raportat imediat sistemului de management. Acesta iniŃiază teste de diagnosticare în scopul identificării cauzei care a condus la apariŃia defectului propriu- zis.

În fig. 1.12 pot fi urmărite principalele etape ale ciclului de viaŃă al procesului de management al defectărilor.

Supravegherea alarmelor, este responsabilă pentru detectarea defectelor, defectul fiind definit ca o condiŃie persistentă în starea unui element al sistemului şi care îl împiedică pe acesta să funcŃioneze în parametri normali. Managementul testelor, este responsabil pentru planificarea şi coordonarea testelor efectuate în vederea identificării cauzei primare a defectului. Localizarea defectelor, este responsabilă pentru identificarea cauzei primare a defectului. Corectarea defectelor, este responsabilă pentru iniŃierea şi desfăşurarea acelor acŃiuni potrivite pentru eliminarea cauzei defectelor. Administrarea problemelor este responsabilă pentru menŃinerea actualizată a bazei de date, ce conŃine rapoartele cu problemele recepŃionate de la client sau de la sistemul de management.

Raport către client Raport de la client asupra problemei Administrarea problemelor
Raport către
client
Raport de la client
asupra problemei
Administrarea
problemelor

Raport de

defectare

Raport privind

probleme/alarme

Supravegherea alarmelor
Supravegherea
alarmelor
Managementul testelor
Managementul
testelor
Supravegherea alarmelor Managementul testelor Localizarea defectelor Rezultatele testelor Cauza şi
Supravegherea alarmelor Managementul testelor Localizarea defectelor Rezultatele testelor Cauza şi
Localizarea defectelor
Localizarea
defectelor

Rezultatele testelor

Cauza şi localizarea defectului Corectarea defectelor
Cauza şi localizarea
defectului
Corectarea
defectelor

12

Fig. 1.11. Model pentru ciclul de viaŃă a managementului

1. Procesul de supraveghere a alarmelor urmăreşte permanent detectarea a noi defecte, generând apoi un raport detaliat, către sistemul de management, referitor la noul defect apărut.

Acest proces poate fi divizat în trei etape successive:

colectarea

funcŃionale;

informaŃiilor

de

stare

şi

detectarea

anomaliilor

informaŃiile culese sunt filtrate şi prelucrate pentru a se obŃine tipul real de alarmă, care este apoi generată;

este

sistemului şi înregistrată, dacă acest lucru este prevăzut.

alarma

detectată

raportată

într-o

formă

predefinită

Rapoartele privitoare la alarme trebuie să conŃină informaŃii standardizate privind:

categoriile de alarme, care pot fi de tipul:

alarme de comunicaŃii;

alarme referitoare la calitatea serviciilor;

alarme de procesare;

alarme de echipament;

alarme de mediu;

gravitatea alarmelor, cuantificată pe următoarele şase nivele:

alarme critice;

alarme majore;

alarme minore;

alarme de atenŃionare;

alarme care indică faptul că a dispărut un anumit tip de alarmă anterioară;

alarme nedeterminate;

un set predefinit de cauze probabile, care este definit în [X.733].

13

2. Managementul testelor poate fi clasificat, în funcŃie de nivelul la care acŃionează, astfel: la nivelul servicii, la nivelul reŃea sau la nivelul element de reŃea.

Prima categorie de teste, referitoare la servicii, reprezintă o activitate complexă, care nu este standardizată complet încă şi care trebuie să Ńină cont de interacŃiunile şi gradul de dependenŃă dintre diferitele servicii implicate. O testare completă a unui serviciu porneşte de la definirea strategiei de testare, apoi proiectarea unei combinaŃii de teste referitoare la anumite caracteristici ale serviciului şi ale legăturilor pe care acestea le au cu alte servicii, urmată de desfăşurarea efectivă a testelor, şi, în final, de generarea unor rapoarte de testare într-un format standard prestabilit.

A doua categorie de teste, cele desfăşurate la nivelul întregii reŃele, presupune următoarea succesiune logică de paşi:

este definit un plan de testare, la nivelul unor secŃiuni din reŃea, pentru a determina care segment este generator de probleme; sunt selectate acele teste care pot satisface cerinŃele planului de testare propus; rezultatele obŃinute, pentru fiecare segment de reŃea, sunt adunate şi corelate pentru a fi identificată porŃiunea de reŃea care generează probleme. Pentru tipul de teste ce pot fi efectuate asupra elementelor de reŃea, gama acestora este foarte variată, Ńinând seama de eterogenitatea reŃelelor de telecomunicaŃii actuale şi de varietatea de soluŃii oferite de furnizorii de echipamente. Totuşi, în recomandările ITU-T [X.745] este specificat cadrul de lucru general pentru managementul testelor, acesta fiind concentrat pe testele efectuate asupra elementelor de reŃea. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]:

teste de conexiune - verifică conexiunea între două entităŃi distincte; teste de conectivitate - verifică conectivitatea între două entităŃi distincte; teste de integritate a datelor, verifică dacă datele transferate între două entităŃi distincte ale reŃelei sunt corupte; teste de buclă - determină timpul necesar transferării datelor între două entităŃi, pe o conexiune dată; teste de integritate a protocolului - determină dacă două entităŃi sunt capabile sau nu să schimbe date între ele prin intermediul unui protocol specificat;

14

teste de limitare a resurselor - verifică comportamentul unei resurse a reŃelei, atunci când aceasta a ajuns la limita capacităŃilor sale.

3. Localizarea defectelor are drept sarcină principală identificarea

cauzelor primare ale defectelor, pe baza rezultatelor testelor de diagnosticare, a alarmelor deja filtrate de procesul de supraveghere a alarmelor cât şi pe baza altor condiŃii predefinite.

3. Corectarea defectelor presupune:

- înlăturarea cauzei defectelor nou apărute (dacă este posibil),

- refacerea stării anterioare a serviciilor,

a) înlocuirea resurselor defecte, este aplicabilă unei categorii foarte mari de elemente de reŃea, care pot fi uşor încadrate în specificaŃii tehnice şi funcŃionale precise;

b) izolarea defectului, presupune izolarea acelei componente de reŃea care prezintă anomalii în funcŃionare, încercând astfel să fie prevenită extinderea acŃiunii defectului respectiv asupra altor componente;

c) comutarea pe o resursă de rezervă, este posibilă atunci când sistemul are prevăzută o asemenea, ce asigură rezervarea la cald;

d) reîncărcarea sistemului, este aplicată, în general, în cazul apariŃiei problemelor generate de funcŃionarea necontrolată a unui modul software;

e) instalarea unei alte resurse care să acŃioneze în direcŃia remedierii defectului, precum şi

f) reorganizarea serviciilor: astfel încât să folosească alte resurse ale reŃelei, ocolind astfel zona care este sub influenŃa defectului apărut, constituie tot atâtea soluŃii privind metodologia îndepărtării defectelor.

5. Administrarea problemelor urmăreşte minimizarea impactului pe care apariŃia unei probleme poate să îl aibă asupra reŃelei. În general, apariŃia defectelor (sau problemelor) se manifestă imediat printr-o

15

degradare a calităŃii unui anumit serviciu oferit clientului. După cum s-a putut observa şi în fig. 1.12, informaŃiile care indică apariŃia unei noi probleme pot apărea atât de la propriul mecanism de supraveghere a alarmelor cât şi de la client. În acest ultim caz, clientul sesizează că un anumit serviciu al reŃelei nu funcŃionează în parametrii impuşi şi transmite această informaŃie sistemului de management. Abordarea mai nouă a managementului problemelor, care poate fi găsită în [X.790], se bazează pe modelul agenŃilor de management. Există două entităŃi distincte implicate în acest proces: agentul de management, care va efectua asupra elementului de reŃea afectat acele operaŃii care să îl readucă în parametrii normali de funcŃionare şi managerul, care este responsabil de recepŃionarea informaŃiilor privind problemele apărute şi coordonarea agenŃilor în vederea rezolvării acestora. Vom descrie în detaliu un asemenea model de acŃiune în capitolul 3, în legătură directă cu algoritmul propus.

1.2.3 Managementul performanŃelor

Principalele obiective ale managementului performanŃelor constau, în primul rând, în a monitoriza şi evalua comportamentul şi eficienŃa unei reŃele şi a calităŃii serviciilor oferite de aceasta utilizatorilor săi,

În recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale managementul performanŃelor:

a) monitorizarea performanŃelor;

b) analiza performanŃelor (prelucrarea datelor);

c) controlul managementului performanŃelor.

FuncŃia de monitorizare a performanŃelor, aşa cum este ea definită în recomandarea M.3400, se ocupă de colectarea şi observarea unui set specific de atribute, asociat resurselor reŃelei în vederea măsurării performanŃelor acesteia. În recomandarea Q.822 a ITU-T este prezentat un model de realizare a monitorizării performanŃelor (fig. 1.14).

16

În acest scop există un set de obiecte monotorizate (obiecte referitoare la performantele reŃelei) prin intermediul cărora se pot evalua performanŃele reŃelei. Nivelul performanŃelor este corelat (comparat) cu un set de valori de

prag.

Sistemul de managemnent al performnŃelor trebuie să conŃină şi un istoric al parametrilor de performanŃă care să permită cacarterizarea acestora în timp.

FuncŃia de analiză a performanŃelor este o a doua arie funcŃională

a managementului performanŃelor, după funcŃia de monitorizare a

performanŃelor. Scopul acestei funcŃii este acela de a analiza datele de performanŃă, colectate într-o primă fază, în vederea furnizării unor anumite tipuri standard de informaŃii către sistemul de management, ca de exemplu:

dacă a apărut sau este posibil să apară o stare de congestie într-un punct oarecare al reŃelei; dacă nivelul de calitate al serviciilor oferite de către reŃea, într-un anumit moment de timp, se încadrează în limitele impuse; dacă poate fi respectat nivelul de performanŃă pentru noile servicii planificate a fi implementate. Pe baza acestor informaŃii, sistemul de management poate lua deciziile potrivite pentru controlul performanŃelor. În cadrul acestei arii funcŃionale, sunt definite atât caracteristicile de performanŃă specifice reŃelelor cu comutare de circuite cât şi cele specifice reŃelelor cu comutare de pachete. Vom aprofunda, în capitolele următoare,

o parte din aceste criterii de performanŃă, de aceea, aici, ne limităm doar la enumerarea câtorva dintre cele mai importante. Pentru analiza performanŃelor unei reŃele cu comutare de circuite sunt importante criterii precum: capacitatea medie de trafic a reŃelei, capacitatea instantanee de trafic a reŃelei, rata de apeluri pierdute, probabilitatea de congestie etc. Pentru analiza performanŃei unei reŃele cu comutare de pachete sunt

de luat în considerare noŃiuni precum: probabilitatea întârzierii, numărul

mediu de mesaje aflate în coadă, numărul mediu de apeluri de date etc.

Controlul managementului performanŃelor este cea de-a treia şi ultima arie funcŃională a managementului performanŃelor, obiectivul acesteia fiind de a controla acele acŃiuni efectuate în cadrul unei reŃele, fie cu scopul menŃinerii unui anumit nivel minim al performanŃelor

17

sistemului, fie pentru a preveni apariŃia şi extinderea unor situaŃii nedorite (de exemplu congestia sau blocarea unor resurse).

Pentru a-şi atinge Ńelul propus, funcŃia de control al managementului performanŃelor utilizează date obŃinute atât de la etapa monitorizării performanŃelor cât şi date deja prelucrate în etapa de analiză a performanŃelor. În recomandarea ITU-T [M.3400], precum şi în cerinŃele generale schiŃate în [Bellcore GR-2869] sunt evidenŃiate două aspecte principale ale funcŃiei de control al performanŃelor: controlul traficului şi administrarea performanŃelor. Controlul traficului este o parte importantă a menŃinerii performanŃelor unei reŃele în cadrul unor limite bine definite. Datorită dinamicii mari a modificărilor apărute în configuraŃia unei reŃele este necesară adaptarea permanentă a schemelor de rutare în vederea prevenirii apariŃiei unor situaŃii de criză de tipul congestiei sau pentru a se asigura distribuirea în mod uniform a traficului în cadrul reŃelei, obŃinându-se în acest fel drept rezultat o încărcare echilibrată a reŃelei [RSOH97, SMMC99, SCKN98 şi APOST99]

Administrarea performanŃelor este responsabilă de crearea unei politici de management al performanŃelor, obŃinută printr-o coordonare judicioasă a activităŃilor descrise mai sus, de tipul monitorizare a performanŃelor sau analiză a performanŃelor. În cadrul acestor acŃiuni de coordonare, trebuie efectuate anumite categorii de operaŃii, de tipul celor enumerate în continuare:

coordonarea activităŃilor de planificare referitoare la managementul performanŃelor; executarea unor acŃiuni directe de control asupra resurselor reŃelei; interacŃiunea cu alte aplicaŃii de management precum managementul defectărilor sau cel al configuraŃiei, în vederea îmbunătăŃirii performanŃelor.

1.2.4 Managementul securităŃii

Este responsabil cu prevenirea şi minimizarea utilizării frauduloase a resurselor reŃelei. Acest deziderat poate fi urmărit prin intermediul unui set specific de acŃiuni, de tipul:

prevenirea fraudelor, ce se focalizează pe un mecanism de securitate complex, al cărui scop este menŃinerea utilizatorilor rău intenŃionaŃi în afara zonelor sensibile ale reŃelei;

18

atunci când prevenirea fraudelor nu mai este posibilă, este necesară detectarea imediată a violărilor de securitate şi minimizarea efectelor acestora la nivelul reŃelei; în cazul apariŃiei unor fraude, sunt importante atât limitarea efectelor apărute cât şi refacerea stării iniŃiale a sistemului. Limitarea efectelor datorate unui acces fraudulos se face prin izolarea elementelor de reŃea afectate, urmată de neutralizarea impactului pe care acesta l-a avut asupra acestora din urmă; este de asemenea responsabilitatea managementului securităŃii de a furniza instrumentele şi mecanismele adecvate scopului urmărit. Acestea pot fi de tipul: chei de criptare, mecanisme de autentificare, protocol de securitate şi mecanism de control acces.

1.2.5 Managementul contabilităŃii

Managementul contabilităŃii, din cadrul reŃelelor de comunicaŃii şi calculatoare, este un proces complex al cărui obiectiv final este de a genera venituri pentru operatorul reŃelei, pe baza serviciilor oferite de acesta către client. Procesul începe cu colectarea informaŃiilor referitoare la resursele reŃelei utilizate de un element de reŃea şi se termină cu trimiterea facturii către client pentru plata serviciilor de telecomunicaŃii folosite. Sunt incluse, de asemenea, şi procese intermediare precum trimiterea datelor de la elementul de reŃea către sistemul de management, validarea cantităŃii de date utilizate şi aplicarea apoi a politicilor tarifare. Toate aceste tipuri de activităŃi sunt dependente, în general, de tipul de echipamente, de interfaŃa dintre acestea şi sistemul de tarifare şi nu în ultimul rând chiar de politica de tarifare proprie furnizorului. ApariŃia unor noi game de servicii, aplicate unor noi tipuri de reŃele multi-furnizor şi multi-operator, a condus la creşterea majoră a necesităŃilor de standardizare a funcŃiei de management al contabilităŃii. Implementarea unor metodologii comune, standardizate, de tarifare va permite negocierea calităŃii serviciilor între diferiŃi operatori ai reŃelei şi, mai ales, stabilirea unor repere comune în politica de tarifare. Modul de realizare a standardizărilor specifice managementului contabilităŃii poate fi găsit în recomandarea X.742 a ITU-T.

1.3 Concluzii

În acest capitol au fost descrise noŃiunile de bază din domeniul managementului sistemelor. Pornindu-se de la descrierea cerinŃelor funcŃionale impuse unui sistem de management, am prezentat modalităŃi şi instrumente de bază necesare implementării acestora. Ultima parte a

19

capitolului am dedicat-o descrierii celor cinci arii funcŃionale ale managementului de reŃea: managementul configurării, managementul performanŃelor, managementul defectărilor, managementul securităŃii şi managementul contabilizării.

Întrebări şi teste de verificare

1.

Care sunt principalele activităŃi ale unui administrator de reŃea?

2.

Care sunt ariile funcŃionale ale managementului de reŃea?

3.

DescrieŃi principalele activităŃi referitoare la managementul configurării.

4.

DescrieŃi principalele activităŃi referitoare la managementul defectelor.

5.

DescrieŃi etapele ciclului de viaŃă al managementului defectelor

6.

DescrieŃi principalele activităŃi referitoare la managementul performanŃelor unei reŃele.

7.

20

CAPITOLUL 2 Arhitecturi şi protocoale utilizate pentru managementul reŃelelor de comunicaŃii

Tema are ca scop cunoaşterea unor protocoale de administrare a reŃelelor cu arhitectură OSI. Sunt definite elementele componente ale procesului de management, sunt descrise protocoalele CMISE, CMIP şi SNMP şi serviciile care implementază aceste protocoale, utilizate în administrarea reŃelelor.

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte:

Care sunt elementele componente ale procesului de management

Arhitectura pe nivele a managementului OSI

Ce este o reŃea de management pentru telecomunicaŃii (TMN) şi arhitecturile sale fizică, funcŃională şi informaŃională Protoclalele CMISE, CMIP şi SNMP

Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 6 ore.

Concepte de bază în managementul reŃelelor

proces de management (“management process”), activitate de bază a managementului de reŃea, responsabil de transmiterea ordinelor de management către agenŃii de administrare şi primirea rapoartelor de la aceştia; agent de administrare 1) (“managing agent”), entitate a activităŃii de management ce dialoghează cu procesul de management, raportându-i informaŃii despre starea elementelor reŃelei şi primind instrucŃiuni de la acesta referitoare la acŃiunile ce trebuie întreprinse asupra elementelor reŃelei; bază cu informaŃii de administrare (MIB – “Management Information Base”), BD ce conŃine informaŃii despre elementele reŃelei administrate şi poate fi accesată atât de procesul de management cât şi de agenŃii de administrare. arborele informaŃiei de administrare – structura arborescentă ierarhică a obiectelor administrate. Această structură permite accesul rapid la orice informaŃie de administrare. Suplimentar faŃă de aceste componente ale sistemului de management, a fost introdusă în capitolul 1 şi noŃiunea de element de reŃea administrat. obiecte administrate componente de reŃea supuse acŃiunii de management.

1

NoŃiunile cu care se operează, referitor la un obiect, din perspectiva recomandărilor ISO, sunt:

atribute, reprezintă caracteristicile acestuia, prezente la interfaŃa sa cu alte obiecte; rapoarte, pe care un obiect le poate trimite la un agent de administrare şi care conŃin informaŃii de stare; tipuri de operaŃii ce pot fi efectuate de agentul de administrare asupra sa; acŃiuni de răspuns la operaŃiile efectuate asupra sa.

1)Agentul este un modul soft care acŃionează pentru un user sau pentru un alt program în scopul realizării unora dintre funcŃiile (sarcinile) sale. AcŃiunea “in numele unui utilizator” presupune o anumită autoritate dacă şi când o acŃiune este cerută, adecvată, corectă.

Bază cu PROCES DE informaŃii de MANAGEMENT management AGENT DE ADMINISTRARE informaŃii de OBIECT DE
Bază cu
PROCES DE
informaŃii de
MANAGEMENT
management
AGENT DE
ADMINISTRARE
informaŃii de
OBIECT DE
OBIECT DE
ADMINISTRAT
ADMINISTRAT
AGENT DE ADMINISTRARE stare OBIECT DE ADMINISTRAT OBIECT DE ADMINISTRAT
AGENT DE
ADMINISTRARE
stare
OBIECT DE
ADMINISTRAT
OBIECT DE
ADMINISTRAT

comenzi

Fig. 2.1. Elemente componente ale activităŃii de management

O altă arie de interes este cea a modului în care sunt identificate şi administrate resursele reŃelei. În modelul OSI-RM aceste operaŃii se efectuează prin intermediul arborelui informaŃiei de administrare (MIT – “Management Information Tree”), iar în cadrul Internet prin sistemul numelor pentru domenii (DNS – “Domain Name System”).

2

1.1 2.1 3.1 4.1 Fig. 2.2. Exemplu de arbore DNS/MIT
1.1
2.1
3.1
4.1
Fig. 2.2. Exemplu de arbore DNS/MIT
rădăcină
rădăcină
Nivel 1 Nivel 2
Nivel 1
Nivel 2
Nivel 3 Nivel 4
Nivel 3
Nivel 4

2.2 Managementul reŃelelor cu arhitecturi OSI

Managementul reŃelelor cu arhitectură ISO-OSI-RM, este asigurat pe baza protocoalelor de nivel înalt: aplicaŃie, prezentare şi sesiune. La aceste niveluri sunt implementate funcŃiile (serviciile) de management prin intermediul protocoalelor dedicate.

2.2.2 Arhitectura pe nivele a managementului OSI

Managementul sistemelor se realizează, în general, la nivelul aplicaŃie şi foloseşte entităŃi SMAE. Ce sunt de fapt SMAE? De exemplu, solicitarea de la un element de reŃea de informaŃii referitoare la starea sa.

Această entitate SMAE este, la rândul ei, constituită dintr-un set de elemente de serviciu aplicaŃie ASE (“Application Service Element” – Element de serviciu aplicaŃie) care cooperează între ele (fig. 2.3). De exemplu, solicitarea informaŃiilor de stare a unui element de reŃea poate conŃine mai multe operaŃii elementare: localizarea elemenului de reŃea, stabilirea unei conexiuni cu el, cerere de transmitere a unei informaŃii, răspunsul ER, o altă cerere urmată de răspuns, etc.

3

Nivel AplicaŃie

Procesare informaŃie
Procesare informaŃie

SMASE

CMISE

ASE

ACSE

ASE

SMAE

ROSE

Nivel Prezentare
Nivel Prezentare

Fig. 2.3. Structură de management pentru sistemele OSI

Alte tipuri de elemente ale serviciilor de management sunt:

ROSE (“Remote Operations Service Element”),

ACSE (“Association Control Service Element”)

SMASE (”Systems Management Application Service Element” - Element de

serviciu al aplicaŃiei de management a sistemelor).

2.2.3 Protocoale CMISE/CMIP folosite pentru managementul sistemelor OSI

Protocolul cel mai des utilizat în managementul sistemelor construite conform OSI-RM este constituit dintr-o suită de servicii şi protocoale definite în CMISE/CMIP.

CMISE este cel ce stabileşte ce tip de servicii trebuie furnizat de fiecare element al sistemului de management în scopul administrării reŃelei.

CMIP specifică modul în care sunt implementate serviciile definite de CMISE.

4

Clasele de servicii definite de CMISE

Orice aplicaŃie de management care rulează în sistem foloseşte serviciile

CMISE, devenind un utilizator de servicii pentru acesta. În funcŃie de scopul lor,

aceste servicii au fost grupate în trei clase distincte:

1. servicii de asociere de management;

2. servicii de raportare de management;

3. servicii ale operaŃiilor de management.

Serviciile de asociere de management sunt destinate, în principal, asigurării

controlului asocierilor ce se stabilesc între două sisteme de management

corespondente, situate pe acelaşi nivel ierarhic.

Ele controlează iniŃializarea, eliberarea normală sau forŃată a unei conexiuni destinată unei asocieri de management între două puncte corespondente, utilizând pentru aceasta trei tipuri distincte de servicii:

M-INITIALIZE;

M-TERMINATE;

M-ABORT.

Serviciul M-INITIALIZE este folosit pentru a stabili o asociere între doi utilizatori de servicii ai CMISE.

Proces aplicaŃie de management

SMAE

SMASE

CMISE

CMIP

ACSE

ROSE

ISO - Prezentare

ISO - Sesiune ISO - Transport

ISO – ReŃea

ISO – Legătură de date

ISO - Fizic

Nivel 7

Nivel 6

Nivel 5 Nivel 4

Nivel 3 Nivel 2 Nivel 1

Fig. 2.4. Protocoale CMISE/CMIP în ierarhia OSI-RM

5

Serviciul M-TERMINATE încheie în mod normal o asociere între două entităŃi de management

Serviciul M-ABORT încheie în mod forŃat acest tip de asociere.

Aceste servicii de asociere utilizează pentru operare serviciile furnizate de ACSE, iar în cazuri mai rare pe cele ale ROSE.

Serviciul raportare de management furnizează informaŃii despre evenimentele apărute în reŃea. În acest scop, se utilizează serviciul M-EVENT-REPORT care informează un utilizator de servicii al CMISE despre un eveniment apărut la utilizatorul corespondent.

Servicii ale operaŃiilor de management sunt în număr de cinci, după cum

urmează:

M-GET;

M-SET;

M-ACTION;

M-CREATE;

M-DELETE.

Serviciul M-GET este apelat, de un utilizator de servicii CMISE pentru a solicita informaŃii de management de la un utilizator corespondent. Este de tipul cu confirmare, deoarece necesită un răspuns la cerere.

Serviciul M-SET permite unui utilizator CMISE să modifice informaŃiile de management ale altui utilizator. După cum aşteaptă sau nu răspuns, poate fi de tipul cu confirmare sau nu.

Serviciul M-ACTION este folosit de un utilizator CMISE pentru a indica unui corespondent efectuarea unei anumite operaŃii prezente. Poate lucra atât cu confirmare, cât şi fără confirmare.

Serviciul M-CREATE este utilizat de un utilizator de servicii CMISE pentru a cere unui utilizator corespondent crearea unei alte instanŃieri a obiectului administrat.

6

Serviciul M-DELETE este folosit de un utilizator CMISE pentru a cere utilizatorului corespondent ştergerea unui instanŃier al obiectului administrat şi este pemis doar lucrul în modul confirmat.

Asocieri de management

O asociere de management este, de fapt, o conexiune logică realizată între două sisteme corespondente, aflate pe acelaşi nivel al OSI-RM, în vederea realizării managementului de sistem. Realizarea conexiunii presupune implicarea serviciului CMISE la interfaŃa cu protocoale situate pe alte nivele ierarhice.

CMISE asigură suportul necesar realizării a patru tipuri distincte de asocieri între două sisteme corespondente, după cum urmează:

asociere tip eveniment;

asociere tip eveniment/monitor;

asociere tip monitor/control;

asociere tip manager/agent.

asocierea tip eveniment permite celor două sisteme corespondente, aflate în conexiune, să schimbe între ele mesaje tip M-EVENT-REPORT;

asocierea tip eveniment/monitor este prevăzută cu facilitatea suplimentară de a primi sau trimite şi mesaje de tip M-GET;

asocierea tip monitor/control permite utilizatorilor corespondenŃi să trimită mesaje de cerere de tip M-GET, M-SET, M-CREATE, M-DELETE şi M-ACTION, fără să aibă facilităŃile primului tip de asociere;

asocierea tip manager/agent permite utilizatorilor corespondenŃi oricărui tip de servicii.

7

utilizarea

2.3 ReŃele de management pentru telecomunicaŃii – TMN

ReŃele distincte, dedicate managementului sistemelor de telecomunicaŃii TMN (Telecommunications Management Network, Recomandările ITU-T, M.3010)

Are la bază principiul că reŃeaua administrată este tratată separat de reŃeaua care o administrează.

Pornind de la necesitatea îndeplinirii acestei cerinŃe, pot fi evidenŃiate trei arhitecturi de sistem complementare, care furnizează o imagine completă asupra structurii TMN:

1. arhitectura fizică a TMN;

2. arhitectura funcŃională a TMN;

3. arhitectura informaŃională a TMN.

Arhitectura fizică şi elementele funcŃionale ce o definesc:

OS (”Operations System” – Sistem de operare), soft de management ce se poate afla în nodurile de control şi are rolul de a procesa informaŃiile de management;

orice

echipament de telecomunicaŃii, ce se află în nodurile controlate ale reŃelei, comunicând cu TMN în vederea administrării lui;

NE

(“Network

Element”

Element

de

reŃea),

se

referă

la

Q-A (“Q-Adaptor” – Adaptor Q), este un dispozitiv care asigură conectarea între NE-uri sau OS-uri cu elementele compatibile care nu aparŃin unei reŃele TMN (în general NE-uri exterioare);

MD

(“Mediation Device

Dispozitiv

de

mediere),

are

drept

scop

realizarea funcŃiei de mediere între OS şi NE sau între OS şi Q-A;

DCN (“Data Communication Network” – ReŃea de comunicaŃii de date), reprezintă o reŃea de date internă reŃelei TMN, ce asigură funcŃiile şi serviciile specifice primelor trei nivele din ierarhia ISO;

WS (“Workstation” – StaŃie de lucru), furnizează utilizatorului final accesul bidirecŃional la sistemul de management şi anume: într-un sens colectează toate datele relevante de la sistem şi le afişează utilizatorului într-un format potrivit,

8

iar în celălalt sens decodifică şi trimite spre sistemul de management comenzile primite de la managerul de sistem.

TMN X OS F Q X 3 F F WS DCN WS Q 3 MD
TMN
X
OS
F
Q
X
3
F
F
WS
DCN
WS
Q
3
MD
Q
Q 3
Q 3
X
DCN
Q
Q
X
X
Q-A
NE
Q-A
NE
m
NE
TMN

Fig. 2.6. Exemplu de arhitectură fizică TMN

Între aceste dispozitive componente pot fi realizate interconexiuni, folosind anumite tipuri de interfeŃe standard:

interfeŃe Q, care pot fi de două feluri:

interfaŃa Q 3 între OS şi una dintre următoarele componente: NE, Q-A sau

MD;

interfaŃa Q x între MD şi Q-A sau între MD şi NE; interfaŃa F între OS şi WS, deci între un sistem şi un terminal; interfaŃa X, care poate fi folosită între două TMN-uri diferite. O posibilă arhitectură fizică de reŃea, care conŃine şi interfeŃele definite mai sus, este prezentată în fig. 2.6 (conform recomandării M.3010 a ITU-T).

9

Arhitectura funcŃională

Este construită pe baza arhitecturii fizice, evidenŃiind funcŃiile pe caree trebuie să le îndeplinească sistemul de management şi legăturile (interfeŃele) dintre ele.

OSF (”Operations System Function” – FuncŃie sistem de operaŃii), ce procesează informaŃiile de management în scopul monitorizării, coordonării şi controlului funcŃiilor de telecomunicaŃii; NEF (”Network Element Function” – FuncŃie element de reŃea), ce comunică cu TMN pentru a permite acestuia monitorizarea şi controlul NE-ului asociat; WSF (”Workstation Function” – FuncŃie staŃie de lucru), ce interpretează informaŃiile primite de la TMN pentru a le transmite în formatul potrivit spre utilizator; MF (”Mediation Function” – FuncŃie de mediere), menită să asigure transferul corect al informaŃiilor între OSF şi NEF sau QAF; QAF (”Q Adapter Function” – FuncŃie adaptor Q), ce este utilizată pentru a asigura conectarea părŃilor componente funcŃionale ale TMN la elemente ce nu aparŃin TMN (ca de exemplu NEF sau OSF) .

În concluzie, TMN defineşte o reŃea de management pentru reŃelele de telecomunicaŃii şi are la bază patru tipuri distincte de arhitecturi: funcŃională, fizică, stratificată logic şi informaŃională.

TMN x OSF q f f g WS MF WSF g q q q q
TMN
x
OSF
q f
f
g
WS
MF
WSF
g
q
q
q
q
QAF
NEF
QAF
NEF
TMN

Fig. 2.7. Exemplu de arhitectură funcŃională TMN

10

Avantajele utilizării TMN în managementul reŃelelor de telecomunicaŃii pot fi rezumate astfel:

cu ajutorul modelului TMN pot fi integrate sisteme de management diverse într-un singur punct de control centralizat al operaŃiilor, reducând astfel costurile necesare întreŃinerii cu personal şi resurse a mai multor centre de management în paralel; folosirea interfeŃei Q 3 va conduce la standardizarea schimbului de informaŃii de management între sistemele de management şi diverse elemente de reŃea; folosirea modelelor informaŃionale ale TMN, pentru modelarea tuturor elementelor de reŃea ce trebuie administrate, va conduce la o uniformizare a reprezentării acestora, simplificând astfel operaŃiile de management şi dezvoltare ulterioară a reŃelei.

Protocolul CMOT (CMIP over TCP/IP)

Este descris în documentul RFC 1095 (1989) şi este, de fapt, o adaptare a protocoalelor de administrare a reŃelelor OSI la reŃelele ce folosesc protocolul de transport TCP/IP, cum este şi Internet-ul.

Manager

+-----------------------+

Agent

+-----------------------+

|

|

|

|

|

+----+ +----+ +-----+ | <-------> | +----+ +----+ +-----+ |

|

|ACSE| |ROSE| |CMISE| |

CMIP

| |ACSE| |ROSE| |CMISE| |

|

+----+ +----+ +-----+ |

| +----+ +----+ +-----+ |

|

|

|

|

+-----------------------+

 

+-----------------------+

| LPP

|

+-----------------------+

|

TCP

|

UDP

|

+-----------------------+

| IP

|

+-----------------------+

| Link

|

+-----------------------+

|

|

LPP

|

+-----------------------+

|

TCP

|

UDP

|

+-----------------------+

|

IP

|

+-----------------------+

|

Link

|

+-----------------------+

|

=========================================================

Network

=========================================================

Figure 1. The CMOT Protocol Architecture

La fel ca CMISE, CMOT se bazează pentru realizarea unei comunicaŃii pe protocoalele ACSE, ROSE şi CMIP. Noutatea constă în utilizarea protocolului LPP (”Light weight Presentation Protocol” – Protocol de prezentare de categorie

11

uşoară), definit în RFC 1085 şi care înlocuieşte protocolul de prezentare al lui ISO, nedezvoltat încă. De fapt, el trebuie să asigure interfaŃa cu două din cele mai cunoscute protocoale de nivel transport utilizate în Internet, TCP şi UDP (fig. 2.12). Acest protocol trebuie să aibă capabilitatea stabilirii uneia din cele patru tipuri de asocieri utilizate de CMISE: asociere eveniment, asociere eveniment/monitor, asociere monitor/control şi asociere manager/agent. Protocolul LPP trebuie să interfaŃeze protocoalele de nivel 7 OSI, ROSE şi ACSE, cu nivelul 5 OSI, dacă acesta este implementat, iar dacă nu direct cu protocoalele de nivel transport din Internet, TCP/IP sau UDP.

comenzi

MANAGEMENT Baza cu REłEA informaŃii de mana ement AGENT PROXY
MANAGEMENT
Baza cu
REłEA
informaŃii de
mana ement
AGENT PROXY

InformaŃii

de stare

ENTITATE DE ADMINISTRAT
ENTITATE DE
ADMINISTRAT
AGENT DE ADMINISTRARE ENTITATE DE ADMINISTRAT
AGENT DE
ADMINISTRARE
ENTITATE DE
ADMINISTRAT
Element de reŃea
Element de reŃea

Fig. 2.11. Elemente componente ale managementului Internet

Proces aplicaŃie de management

CMISE

ACSE

ROSE

LPP

ISO - Sesiune

UDP

TCP

IP

ISO – Legătură de date

ISO - Fizic

Nivel 7

Nivel 6

Nivel 5

Nivel 4

Nivel 3

Nivel 2

Nivel 1

Fig. 2.12. Arhitectura protocoalelor CMOT în ierarhia OSI-RM

12

Fiind de nivel 6, adică prezentare, pentru LPP au fost deja implementate cinci servicii specifice acestui nivel şi anume:

serviciul P-CONNECT;

serviciul P-RELEASE;

serviciul P-U-ABORT;

serviciul P-P-ABORT;

serviciul P-DATA.

Pentru conectarea directă la nivelul de transport, au fost alocate şi numere

distincte de porturi, un tip pentru cel de manager şi altul pentru cel de agent:

număr port manager pentru conectare la TCP: 163/TCP; număr port manager pentru conectare la UDP: 163/UDP; număr port agent pentru conectare la TCP: 164/TCP; număr port agent pentru conectare la UDP: 164/UDP. Simplitatea protocolului LPP este dictată şi de lipsa oricărei posibilităŃi de negociere pentru parametrii serviciilor asigurate.

SNMP

Acest protocol a fost primul dezvoltat pentru managementul reŃelelor ce folosesc protocoalele TCP/IP şi a trecut până în prezent prin mai multe etape de standardizare. Cea mai actuală descriere a arhitecturii şi procedurilor SNMP se găseşte în RFC 1157, dar pot fi consultate, pentru completarea unei priviri de ansamblu, şi mai vechiul RFC 1098 sau RFC 1156 pentru MIB-I şi RFC 1231, pentru noul standard MIB-II. În realizarea arhitecturii actuale a SNMP, descrisă în RFC 1157, s-au avut în vedere anumite cerinŃe exprese, şi anume:

arhitectura trebuie să fie independentă de tipurile de staŃii de lucru, gateway-uri şi routere utilizate;

asigurarea unui număr cât mai mare şi mai variat de funcŃii de management de la distanŃă pentru a se putea profita cât mai bine de resursele imense ale Internet-

ului.

construirea unui agent de administrare cât mai simplu şi mai ieftin;

Conceptual SNMP operează cu următoarele noŃiuni:

element de reŃea - o reprezentare pe obiecte a componentelor ce vor fi

administrate;

agent de administrare – ce asigură interfaŃa funcŃională între elementul de

administrat şi administrator;

staŃie SNMP ce reprezintă platforma pe care rulează procesele de

administrare;

13

MIB - este baza de date ce conŃine informaŃii despre toate resursele reŃelei.

SNMP foloseşte un set standard de mesaje pentru a asigura comunicaŃia între agent şi staŃie, fiecare din aceste mesaje fiind transmis într-un unic pachet. Acest mod de abordare face posibilă utilizarea protocoalelor de transport fără conexiune, de tipul UDP-ului. O prezentare bloc a modului de interacŃionare a SNMP cu celelalte protocoale de reŃea se găseşte în fig. 2.13. Au fost definite cinci tipuri de mesaje utilizate în cadrul SNMP:

Get-Request;

Get-Response;

Get-Next-Request;

Set-Request;

Trap.

Get-Request este utilizat de staŃia SNMP pentru a solicita informaŃii de la un element de reŃea, care este servit de un agent ce poate prelua mesajul.

SNMP

care este servit de un agent ce poate prelua mesajul. SNMP cerere ⇒ ⇒ ⇒ ⇒
care este servit de un agent ce poate prelua mesajul. SNMP cerere ⇒ ⇒ ⇒ ⇒

cerere

răspuns

UDP

IP

Legătură de date

Strat fizic

Fig. 2.13. Protocolul SNMP în arhitectura protocoalelor Internet

Get-Next-Request poate fi folosit împreună cu Get-Request atunci când se utilizează o organizare a obiectelor în tabele. Cu ajutorul lui Get-Next-Request se poate cere, într-un mod simplificat, următorul obiect din tablou, incrementând cu o unitate poziŃia din tabel setată de Get-Request.

Mesajul Get-Response dă răspunsul la una din tipurile de cereri descrise mai sus poate fi dată de elementul de reŃea prin intermediul agentului asociat.

Set-Request permite modificarea de la distanŃă a configuraŃiei parametrilor elementului de reŃea administrat.

14

SNMP Trap este singurul tip de mesaj nesolicitat de staŃie, care poate fi generat de agent atunci când acesta doreşte să informeze managementul de sistem despre apariŃia unui anumit eveniment.

2.7 Concluzii

În cadrul acestui capitol am trecut în revistă câteva dintre cele mai uzuale şi moderne moduri de abordare a managementului reŃelelor de telecomunicaŃii. Am pornit cu prezentarea managementului sistemelor ce pot fi reprezentate de modelul de referinŃă OSI al ISO, acestea fiind şi primele şi cele mai complexe încercări de standardizare în domeniu. A fost prezentat apoi un model de reŃea de management distinct de reŃeaua de telecomunicaŃii (TMN), aceasta fiind una din abordările utilizate în prezent.

Principalele caracteristici ale TMN care sunt de interes din această perspectivă:

arhitectura TMN - sunt specificate trei tipuri de arhitecturi: funcŃională, informaŃională şi fizică; interfeŃele standard - există trei tipuri de interfeŃe (Q, X şi F) prin intermediul cărora este realizată interoperabilitatea managementului dintre diferite elemente de reŃea; modelul informaŃional al TMN - este constituit dintr-o mulŃime de obiecte administrate, care reprezintă resursele administrate ale reŃelei; protocolul de management al TMN - determină modul în care sunt transportate informaŃiile de management de la un cap la altul al reŃelei; modelul agent-manager - specificaŃiile TMN adoptă modelul de comunicare larg răspândit, tip agent-manager, prin care sistemul de management emite instrucŃiunile de management spre agenŃi şi recepŃionează datele de management de la aceştia.

Teste de verificare

1. DefiniŃi şi explicaŃi conŃinutul următoarelor noŃiuni: proces de management,

agent de management, baza informaŃiilor de management, arborele informaŃiilor de

management, obiect administrat,

2. DescrieŃi elementele componente ale unei activităŃi de management de reŃea

şi stucturarea lor pe nivele ierarhice.

3. EnumeraŃi clasele de servicii definite de CMISE

4. DefiniŃi şi explicaŃi conceptul TMN

15

5.

DescrieŃi arhitectura fizică şi arhitectura funcŃională a TMN

6.

DescrieŃi protocolul SNMP şi utilizarea sa în administrarea reŃelelor

7.

DescrieŃi protocolul CMOT

8.

16

Tema 3. Windows Standard Server 2003

Tema are ca scop cunoaşterea sistemelor de operare care stau la baza funcŃionării şi administrătrii reŃelelor de tip Windows.

După parcurgerea şi însuşirea acestei teme, studentul va cunoaşte:

Care sunt principalele sisteme de operare de reŃea de tip Windows Server (2000, 2003, 2008)

Componentele sistemului de operare Windows Server 2003

Serviciile de reŃea asigurate de sistemul de operare Windows Server 2003

Serviciul de directoare Active Directory

Instalarea unui controller de domeniu

Administrarea unui controller de domeniu

Timpul minim pe care trebuie să-l acordaŃi acestui modul este de 10 ore.

Windows Server 2003 este un sistem de operare de reŃea fiabil, care oferă soluŃii simple şi rapide pentru firme (mediu enterprise).

Acest server flexibil este o alegere ideală pentru cerinŃele de fiecare zi ale firmelor de orice dimensiune.

Windows Standard Server 2003 constituie o soluŃie pentru:

partajarea fişierelor şi imprimantelor,

conectarea securizată la Internet,

securizarea aplicaŃiilor, clienŃilor, fişierelor,

desfăşurarea centralizată a aplicaŃiilor din spaŃiul de lucru şi

posibilitatea unei colaborări fructuoase între angajaŃi, parteneri şi

clienŃi.

Windows Standard Server 2003 permite multiprocesare simetrică pe 2 căi şi până la 4 GB de memorie.

Multiprocesarea simetrică (SMP) este o tehnologie care permite software- ului să utilizeze mai multe procesoare pe un singur server pentru a îmbunătăŃi performanŃa, un concept cunoscut şi sub denumirea de scalare hardware sau scaling up.

1

Construit pe fundaŃia de încredere a familiei Windows 2000 Server, Windows Server 2003 constituie un mediu puternic pentru aplicaŃii.

Cele mai importante cracteristici ale Windows Server 2003

1. Uşor de implementat, administrat şi utilizat

Cu interfaŃa sa familiară, Windows Server 2003 este uşor de utilizat. AsistenŃii de tip wizard simplifică setup-ul diferitelor roluri de server şi fluentizează sarcinile de administrare,

Administratorii au la îndemână mai multe caracteristici noi sau îmbunătăŃite, proiectate pentru facilitarea implementării Active Directory. Copii ale structurilor Active Directory de mari dimensiuni pot fi distribuite pe medii de backup. Upgrade-ul de la versiunile anterioare, cum ar fi Windows NT Server 4.0, este simplificat cu Active Directory Migration Tool (ADMT), care copiază parolele şi este deplin programabil prin scripturi. Administrarea Active Directory este mai uşoară, având posibilitatea de redenumire a domeniilor sau redefinire a schemelor. Administratorii dispun de flexibilitatea mai mare pentru a face faŃă schimbărilor organizaŃionale ce pot apărea. În plus, cross-forest trusts permite administratorilor să conecteze structuri forest Active Directory, asigurând autonomia fără a sacrifica integrarea. În final, instrumentele îmbunătăŃite pentru distribuire, cum ar fi RIS (Remote Installation Services), ajută administratorii să creeze imagini de sistem pentru a le instala pe servere.

2. Infrastructură sigură

Arhitectura hardware este modulară, structurată pe mai multe niveluri (fig 1).

3. Cost total de deŃinere mai scăzut prin consolidare şi utilizarea celor mai noi tehnologii

Windows Server 2003 asigură multe avantaje de ordin tehnic ce ajută organizaŃiile să scadă costurile totale de deŃinere. De exemplu, Windows Resource Manager, permite administratorilor să seteze nivele maxime de alocare a resurselor (procesoare sau memorie) pentru aplicaŃiile server. Administrarea acestor resurse se face prin setări Group Policy. Sistemele de stocare ataşate la reŃea permit consolidarea serviciilor de fişiere.

2

AplicaŃii Win32 AplicaŃii POSIX* AplicaŃii OS/2
AplicaŃii Win32
AplicaŃii POSIX*
AplicaŃii OS/2
Subsistemul Win32 Subsistemul POSIX Subsistemul OS/2
Subsistemul Win32
Subsistemul POSIX
Subsistemul OS/2

Modul utilizator

Modul kernel

Servicii executive
Servicii executive
Manager I/O
Manager
I/O
Manager securitate
Manager
securitate
Manager memorie
Manager
memorie
Manager procese
Manager
procese
Manager plug&play
Manager
plug&play
Manager frerstre
Manager
frerstre
Sistem de fişiere
Sistem de
fişiere
Manager obiecte Drivere ptr. Kernel Drivere dispozitive dispozitive grafice Hardware Absrtraction Layer (HAL)
Manager obiecte
Drivere ptr.
Kernel
Drivere dispozitive
dispozitive
grafice
Hardware Absrtraction Layer (HAL)
Hardware
Hardware
Fig. 1 Structura sistemului de operare Windows Server 2003
Fig. 1
Structura sistemului de operare Windows Server 2003

* POSIX or "Portable Operating System Interface [for Unix]" [1] is the name of a family of related standards specified by the IEEE to define the application programming interface (API),

4. Creare facilă de site-uri Web dinamice pe intranet sau Internet

IIS 6.0, serverul Web inclus în Windows Server 2003, asigură o securitate îmbunătăŃită şi o arhitectură solidă ce oferă aplicaŃiilor izolare şi performanŃă de excepŃie. Rezultatul este o mai bună fiabilitate, iar serviciile Microsoft Windows Media uşurează construirea de soluŃii performante pentru fluxuri media cu programare dinamică a conŃinutului.

5. Dezvoltare rapidă cu Integrated Application Server

Arhitectura Microsoft .NET Framework este adânc integrată în sistemul de operare Windows Server 2003. Microsoft ASP.NET face posibilă crearea de aplicaŃii Web de înaltă performanŃă. Cu tehnologia .NET, dezvoltatorii sunt eliberaŃi de sarcina scrierii codului pentru conectare, putându-se concentra asupra aspectelor importante, de funcŃionalitate. Mai mult, ei pot dezvolta aplicaŃii folosind limbajele şi instrumentele cu care sunt obişnuiŃi.

3

Windows Server 2003 asigură multe caracteristici ce sporesc productivitatea dezvoltatorilor şi valoarea aplicaŃiilor. AplicaŃiile existente pot fi reîmpachetate ca servicii Web XML. AplicaŃiile UNIX pot fi uşor integrate sau migrate. Dezvoltatorii pot construi rapid aplicaŃii şi servicii Web orientate spre dispozitivele mobile prin controalele ASP.NET Mobile Web Forms sau alte instrumente.

6. Instrumente robuste de management

Aşteptat pentru a fi disponibil ca şi componentă add-in, instrumentul GPMC (Group Policy Management Console) permite administratorilor să distribuie şi să gestioneze mai bine politicile ce automatizează configurările cheie în arii cum ar fi staŃiile utilizator, setările, securitatea şi profilurile roaming. Un nou set de instrumente în linia de comandă va oferi administratorilor posibilitatea de a scripta şi automatiza funcŃiile de management – majoritatea sarcinilor de administrare vor putea fi efectuate din linia de comandă dacă se doreşte. Suportul pentru Microsoft Software Update Services (SUS) va ajuta administratorii să automatizeze distribuirea şi instalarea ultimelor actualizări software disponibile. Serviciul Volume Shadow Copy îmbunătăŃeşte backup-ul, restaurarea şi sarcinile de administrare SAN (System Area Network).

7. FuncŃionalităŃi noi pentru utilizatori, simultan cu reducerea costurilor

Cu noua caracteristică Shadow Copy, utilizatorii pot regăsi instantaneu versiuni anterioare ale documentelor. ÎmbunătăŃirile aduse la nivelul DFS (Distributed File System) şi serviciului de replicare a fişierelor asigură utilizatorilor o modalitate consistentă de a-şi accesa fişierele oriunde s-ar afla. Pentru utilizatorii de la distanŃă care au nevoie de securitate la nivel înalt, Connection Manager poate fi configurat să acorde utilizatorilor acces VPN fără ca aceştia să fie nevoiŃi să cunoască informaŃiile tehnice necesare setării conexiunii.

Windows Server 2008 - scurtă prezentare

Lansat în România în martie 2008, Windows Server 2008 prezintă o serie de facilităŃi şi îmbunătăŃiri faŃă de Windows Server 2003.

Windows Server 2008 este cel mai avansat sistem de operare Windows Server, conceput pentru a susŃine generaŃia următoare de reŃele, aplicaŃii şi servicii Web.

4

Virtualizare integrată

Windows Server Hyper-V, tehnologia de virtualizare a serverului de generaŃie următoare bazată pe hypervisor, permite mai multe roluri de server ca maşini virtuale separate, care rulează pe o singură maşină fizică. Se pot, de asemenea, rula eficient mai multe sisteme de operare - Windows, Linux şi altele – în paralel, pe un singur server.

Dezvoltat pentru Web

Windows Server 2008 integrează Internet Information Services 7.0 (IIS 7.0), un server Web şi o platformă uşor de administrat, cu securitate îmbunătăŃită, pentru dezvoltarea şi găzduirea aplicaŃiilor şi serviciilor Web.

funcŃionalităŃi

puternice de diagnosticare şi depanare care economisesc timp şi capacitate

completă de extindere.

IIS

7.0

asigură,

de

asemenea,

administrare

simplificată,

Securitate ridicată

Windows Server 2008 este cel mai sigur server Windows lansat până în prezent. Sistemul de operare a fost consolidat pentru a asigura protecŃie împotriva eşecurilor şi câteva tehnologii noi ajută la blocarea conexiunilor neautorizate la reŃele, servere, date şi conturi de utilizatori.

Network Access Protection (NAP) se asigură că PC-urile care încearcă să se conecteze la reŃea respectă politicile de securitate ale companiei.

Integrarea tehnologiei şi alte îmbunătăŃiri fac din serviciile Active Directory o soluŃie puternică unificată şi integrată Identity and Access (IDA).

Read-Only Domain Controller (RODC) şi BitLocker Drive Encryption permit o implementare mai sigură a bazei de date AD la sucursale.

Putere de calcul de înaltă performanŃă

Beneficiile şi economiile aduse de Windows Server 2008 au fost extinse la Windows HPC Server 2008, pentru a garanta un mediu de calcul de înaltă performanŃă (HPC).

Windows HPC Server 2008 este dezvoltat pe tehnologia pe 64 de biŃi a sistemului Windows Server 2008 şi poate fi scalat eficient la mii de nuclee de procesare cu ajutorul funcŃionalităŃilor integrate. Acest lucru creşte productivitatea şi reduce complexitatea mediului HPC. Windows HPC Server 2008 permite o adoptare la nivel extins, oferind utilizatorilor finali o experienŃă vastă şi integrată, scalabilă de la aplicaŃii desktop la clustere şi include un set complet de instrumente de implementare, administrare şi monitorizare, care garantează integrarea cu infrastructura existentă.

5

NoutăŃi

Windows Server 2008 oferă funcŃionalităŃi noi şi îmbunătăŃiri puternice ale sistemului de operare Windows Server de bază, care ajută organizaŃiile de orice dimensiune să crească controlul, disponibilitatea şi flexibilitatea necesare pentru cerinŃele de business în continuă schimbare. Noile instrumente pentru Web, tehnologiile de virtualizare, îmbunătăŃirile securităŃii şi utilitarele de management ajută la economisirea timpului, reduc costurile şi oferă o fundaŃie solidă pentru infrastructura IT.

FundaŃie solidă

Initial Configuration Tasks mută elementele interactive din faza configurării în faza ulterioară instalării, eliminând interacŃiunea administratorului la instalarea sistemului de operare.

Server Manager, consola extinsă Microsoft Management Console (MMC), oferă o interfaŃă unică pentru configurarea şi monitorizarea serverului, cu programe de tip expert pentru optimizarea sarcinilor comune de administrare a serverului.

Windows PowerShell, un nou shell opŃional cu linie de comandă şi limbaj de script, ajută administratorii să automatizeze sarcinile de rutină de administrare a sistemului pe mai multe servere.

Windows Reliability and Performance Monitor oferă instrumente de diagnosticare puternice, care vă oferă vizibilitate permanentă asupra mediului serverului, fizic şi virtual, pentru a identifica şi rezolva rapid problemele care apar.

Administrare a serverului şi replicare a datelor optimizate pentru control îmbunătăŃit al serverelor de la locaŃii de la distanŃă, cum sunt sucursalele.

OpŃiunea de instalare Componentized Server Core permite instalări minimale, în care sunt instalate numai rolurile şi caracteristicile de care aveŃi nevoie, minimizând nevoile de întreŃinere şi reducând zonele de atac de pe server.

Windows Deployment Services (WDS) oferă un mijloc simplificat şi sigur de implementare rapidă a sistemului de operare Windows cu ajutorul instalării în reŃea.

Programele de tip expert pentru clustering în caz de failover permit chiar şi personalului IT având cunoştinŃe generale să implementeze soluŃii cu disponibilitate crescută. Internet Protocol versiunea 6 (IPv6) este acum integrat complet, iar nodurile de clustere de la locaŃii dispersate geografic nu mai trebuie să se găsească într-o subreŃea cu acelaşi IP sau să fie configurate cu reŃele locale virtuale (VLAN) complicate.

Network Load Balancing (NLB) acceptă acum IPv6 şi include suport pentru mai multe adrese IP dedicate, care permite găzduirea mai multor aplicaŃii în acelaşi cluster NLB.

Windows Server Backup integrează tehnologii de backup mai rapid şi simplifică restaurarea datelor sau a sistemului de operare.

6

Virtualizare

Windows Server 2008 Hyper-V, tehnologia de virtualizare a serverului de generaŃie următoare bazată pe hypervisor, permite consolidarea serverelor şi utilizarea echipamentele hardware mai eficient. ÎmbunătăŃirile aduse în Terminal Services (TS) îmbunătăŃesc virtualizarea prezentării.

Windows Server 2008 Hyper-V

sub formă de maşini virtuale (VM) separate care rulează pe aceeaşi maşină fizică, fără a fi necesară achiziŃionarea de software de la terŃi.

Pot fi implementate mai multe sisteme de operare – Windows, Linux şi altele – în paralel pe un singur server, utilizând Hyper-V.

Noile opŃiuni de implementare permit implementarea celor mai potrivite metode de virtualizare pentru mediul companiei.

asistată de

Suportul pentru cele

permite virtualizarea rolurilor de server

mai recente tehnologii de virtualizare

hardware permite virtualizarea celor mai complexe sarcini.

Noile caracteristici de stocare, cum este accesul pass-through pe disc şi suplimentările stocării dinamice, permit accesul maşinilor virtuale la date şi oferă programelor şi serviciilor externe acces suplimentar la datele stocate pe maşinile virtuale.

Clustering-ul gazdelor Windows Server virtualization (WSv) sau al maşinilor virtuale care rulează pe gazde WSv şi backup-ul maşinilor virtuale în timp ce acestea rulează asigură disponibilitatea ridicată a serverelor virtualizate.

Noile instrumente de management şi contoarele de performanŃă fac mediul virtualizat mai uşor de administrat şi de monitorizat.

Web

Windows Server 2008 include instrumente îmbunătăŃite de administrare, diagnosticare, dezvoltare şi pentru aplicaŃii în Internet Information Services 7.0 (IIS 7.0), un upgrade semnificativ de la IIS 6.0. Windows Server 2008 unifică platforma de publicare Microsoft Web , inclusiv IIS 7.0, ASP.NET, Windows Communication Foundation şi Windows SharePoint Services.

Designul modular şi opŃiunile de instalare permit numai instalarea caracteristicilor de care aveŃi nevoie, reducând zonele de atac şi simplificând administrarea patch-urilor.

IIS Manager, o nouă interfaŃă de administrare bazată pe sarcini şi un nou instrument cu linie de comandă appcmd.exe simplifică sarcinile de administrare.

Implementarea între locaŃii permite copierea cu uşurinŃă setările site-urilor Web pe mai multe servere Web, fără a fi necesară configurare suplimentară.

Administrarea delegată a aplicaŃiilor şi a site-urilor oferă control personalizat asupra diferitelor componente ale serverului Web.

Administrarea integrităŃii serverului Web, alături de instrumentele complexe de diagnosticare şi depanare permit vizibilitatea şi urmărirea cererilor care rulează pe serverul Web.

7

Izolarea îmbunătăŃită a pachetelor de aplicaŃii menŃine site-urile şi aplicaŃiile izolate, crescând securitatea şi stabilitatea.

Suport CGI mai rapid pentru rularea aplicaŃiilor PHP, a script-urilor Perl şi a aplicaŃiilor Ruby.

Integrarea mai strânsă cu funcŃiile ASP.NET şi o locaŃie de stocare a configuraŃiei pentru toate setările configuraŃiei platformei Web în IIS 7.0 şi ASP.NET.

Un model de extensibilitate flexibil permite personalizarea, cum ar fi adăugarea de module noi utilizând cod nativ sau administrat.

Securitate

Sistemul de operare Windows Server 2008 este consolidat, integrează mai multe tehnologii de acces şi identităŃi şi include multiple inovaŃii de securitate pentru implementarea mai simplă a reŃelelor bazate pe politici, care ajută la protejarea infrastructurii serverului, a datelor şi a companiei.

Security Configuration Wizard (SCW) ajută administratorii să configureze sistemul de operare pentru rolurile de server implementate pentru a reduce zonele de atac, acest lucru având ca rezultat un mediu pentru server mai robust şi mai sigur.

Integrated Expanded Group Policy permite crearea şi administrarea Group Policies, extinzând numărul de zone care pot fi administrate în siguranŃă cu ajutorul politicilor.

Network Access Protection vă ajută să vă asiguraŃi că reŃeaua şi sistemele nu sunt compromise de calculatoare virusate, izolând şi/sau depanând calculatoarele care nu se conformează politicilor de securitate pe care le-aŃi stabilit.

User Account Control oferă o nouă arhitectură de autentificare pentru protecŃie împotriva aplicaŃiilor software periculoase.

Cryptography Next Generation (CNG) , noua interfaŃă API criptografică de la Microsoft, oferă flexibilitate criptografică crescută, suportând algoritmi de criptare standard şi definiŃi de utilizator, permiŃând crearea, stocarea şi preluarea mai facilă a cheilor criptografice.

Read Only Domain Controller (RODC) permite o metodă mai sigură pentru autentificarea locală a utilizatorilor de la sucursale şi birouri de la distanŃă, cu ajutorul unei replici read-only a bazei de date AD principale.

Active Directory Federation Services (AD FS) permite stabilirea mai simplă de relaŃii acreditate între parteneri cu directoare de identităŃi şi de acces diferite care rulează în reŃele diferite, permiŃând conectarea unică (SSO) în reŃele.

Active Directory Certificate Services (AD CS) asigură unele îmbunătăŃiri ale Windows Server 2008 Public Key Infrastructure (PKI), inclusiv PKIView pentru monitorizarea stării Certification Authorities (CA) şi un control COM nou, mai sigur pentru înscrierea Web a certificatelor în loc de ActiveX.

Active Directory Rights Management Services (AD RMS) alături de aplicaŃiile activate pentru RMS vă ajută să protejaŃi mai uşor informaŃiile digitale ale companiei împotriva utilizatorilor neautorizaŃi.

8

BitLocker Drive Encryption oferă protecŃie îmbunătăŃită împotriva furtului de date şi a expunerii hardware-ului serverului dacă este pierdut sau furat, oferind ştergere mai sigură a datelor când renunŃaŃi la servere.

Active Directory este o implementare a serviciilor de directoare LDAP (Lightweight Directory Access Protocol), folosită de Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziŃia administratorilor un mediu flexibil cu efect global pentru: setarea permisiunilor, instalarea programelor, înnoirea securităŃii. Toate aceste operaŃiuni pot fi aplicate atât la reŃele mici, cât şi la reŃele complexe. Protocol internet din ce în ce mai răspândit, LDAP a apărut pentru a înlocui un standard mai vechi, si anume X500. LDAP este din ce in ce mai folosit in problematica gestionarii identităŃilor dintr- o companie, accesului la aplicaŃiile corporative, securitate si gestionarea informaŃiilor de tip organizaŃional. Fata de bazele de date relaŃionale, un LDAP directory prezintă câteva caracteristici importante: este mai "orientat-obiect", poate reflecta ierarhii si prezintă o optimizare pentru citirea informaŃiilor stocate. În schimb, este mai puŃin "dotat" pentru update-uri frecvente si nu permite tranzacŃii. Servere LDAP: Microsoft Active Directory, OpenLDAP, IBM Directory Server, Novell e-Directory, Sun Java Systems Directory Server, Netscape Directory Server, Critical Path Directory Server, Syntegra Global Directory, Siemens DirX Server.

Componentele Windows Server 2003

Windows Server 2003 este un sistem de operare de reŃea de tip enterprise destinat gestionării resurselor (resurse fizice, aplicaŃii, clienŃi) într-o reŃea de organizaŃie, cu o arhitectură de tip client - server. Componentele sale sunt destinate în primul rând gestionării şi folosirii în comun a acestor resurse şi nu transferului de date în reŃele mari sau între reŃele. Sistemul de operare conŃine şi unele facilităŃi de lucru în reŃele de arie largă, cum ar fi conectare la distanŃă, aplicaŃii VPN, tehnici de rutare etc.

Componentele principale ale Windows Server 2003 sunt aplicaŃii instalate pe sereve dedicate, destinate lucrului cu fişiere, printării, securizării clienŃilor şi aplicaŃiilor, conectării la distanŃă, dezvoltării de aplicaŃii web, serviciului de poştă electronică etc.

1. Server DNS

Serverul de nume de domenii este necesar pentru buna funcŃionare a serviciului Active Directory.

9

DNS-ul reprezintă mecanismul prin care sunt denumite şi recunoscute toate resursele unei reŃele Windows. Pe de altă parte, fiecare resursă din reŃea are şi o adresă IP de identificare unică. DNS-ul face rezoluŃia numelor cu adresele IP. Un serviciu DNS cuprinde următoarele componente:

spaŃiul numelor de domenii

înregistrări de resurse

servere DNS

clienŃi DNS

SpaŃiul numelor de domenii este o structură arborescentă care porneşte de la o rădăcină, de exemplu .ro, din care se formează recursiv subdomenii în care se fac înregistrările de resurse. De exemplu, o resursă poate fi un calculator al unui student denumit student_1.utm.ro. O altă resursă poate fi adresa e-mail a unui student nume_student@utm.ro

Serverul NS este calculatorul pe care se configurează softul specific acestui tip de serviciu şi conŃine două elemente: name sreverul şi resolverul. Serverul de nume are rolul de a răspunde cererilor lansate prin intermediul browserului de conversie a numelui în adrese IP. Dacă serverul nu poate da acest răspuns, atunci apelează resolverul care va trimite cererea la un alt server DNS situat pe un nivel superior. Dacă nici aceste nu poate rezolva cererea, o va trimite mai departe, spre alt server etc.

Cea mai uzuală înregistrare de resursă în baza de date a serverului DNS este adresa IP a resursei.

O altă înregistrare importantă este SOA (Start of Authority). Ea conŃine informaŃii foarte importante folosite de serverul DNS în rezolvarea cererilor de numelor de domenii

- denumirea serverului de nume al zonei,

- adresa de mail a administratorului dimeniului,

- numărul serial al zonei,

- timpul de aşteptare al transferului de date între zone, atunci când o zonă

nu mai este disponibilă

- timpul de viaŃă al unei înregistrări,

- aliasul (CNAME) al unui host.

În configurarea unui server DNS se foloseşte conceptul de zonă, care reprezintă o secŃiune continuă din spaŃiul numelui de domeniu. Înregistrările pentru o anumită zonă sunt sunt memorate şi gestionate la un loc, chiar dacă domeniul este împărŃit în subdomenii. De exemplu studenti.utm.ro şi profesori.utm.ro sunt zone separate ale domeniului utm.ro. Zonele pot fi de două feluri:

10

- primară în care se pot face actualizări

- secundară, copie a celei primare.

O zonă este de fapt o bază de date pentru un singur nume de domeniu. Dacă se mai adaugă şi alte domenii după cel folosit pentru a crea zone, acestea pot să facă parte din aceeaşi zonă sau din zone diferite. Presupunând că s-au creat subdomenii noi, acestea pot fi gestionate ca parte a înregistrărilor din zona de origine sau pot fi delegate unei alte zone, creată pentru a deservi acel subdomeniu. De exemplu când se crează prima dată domeniul utm.ro pe un server, va fi cofigurat ca o singură zonă pentru întreg spaŃiu al numelor DNS din utm.ro. Dacă administratorul va crea ulterior subdomenii în domeniul utm.ro, de exemplu inf.utm.ro sau psih.utm.ro, acestea pot fi incluse în zona creată odată cu utm.ro sau pot fi delegate altei zone. Orice zonă nou creată trebuie să aibă asociat un nume ce derivă din spaŃiul numelor DNS-ului pentru care serverul respectiv este autorizat să rezolve cererile. În cazul nostru, numele zonei va fi chiar utm.ro. Deoarece zona este din punct de vedere fizic o bază de date, trebuie stabilit un nume pentru fişierul carte va gestiona înregistrările serverului DNS. Acest nume va fi de forma utm.ro.dns, unde .dns are semnificaŃia de extensie a numelui fişierului.

Un server DNS trebuie instalat şi apoi administrat. Rolul de server DNS se instalează, de regulă, odată cu Active Directory, dar se poate face şi separat. După alegerea rolului, procesul de instalare este uşor, realizat printr-un wizard. La început acesta detectează toate setările ce Ńin de configurarea reŃelei. Apoi administratorul poate alege opŃiunea de configurare tipică sau la cerere. Ultima necesită luarea unor decizii/opŃiuni din partea celui care face instalarea. De asemenea, trebuie selectată varianta de DNS recomandată pentru reŃele (întreprinderi) mici/medii sau mari. Pentru cazul mici/medii se alege

o Create forward lookup zone (recommanded for small networks)

Această opŃiune ne obligă să spunem serverului nostru de DNS care este următorul server DNS care va rezolva cererile pe care serverul nostru nu le poate rezolva.

2. Active Directory şi Domain Controller

Active Directory reprezintă organizarea resurselelor din reŃea, iar Domain Controller este serverul care găzduieşte AD şi face serviciul de administrare a datelor. Rolul de DC se instalează odată cu AD.

Un domeniu reprezintă o grupare logică de servere şi alte resurse dintr-o reŃea sub un singur “nume de domeniu”.

Un domeniu este o structura logica care va avea propriile politici de grup si va putea avea relatii de încredere cu alte domenii.

11

Domeniul este cea mai simplă unitate de reproducere şi securitate într-o reŃea Windows.

Utilizarea domeniilor oferă următoarele avantaje:

Politicile de grup nu trec de la un domeniu la altul ci se vor opri la

limitele domeniului.

ajuta la structurarea retelei astfel încât sa reflecte mai bine structura

organizatiei sau grupului.

permite delegarea autoritatiilor administrative.

Fiecare domeniu va contine doar informatii care se refera la obiectele din

domeniul respectiv.

Fiecare domeniu cuprinde unul sau mai multe controllere de domeniu.

Un controller de domeniu este un calculator ce ruleaza o versiune de server a Windows (2000,2003,2008) sau Linux, ce se ocupă de managementul unui utilizator la reŃea, ceea ce include logarea, autentificarea şi accesul la resurse.

Fiecare domeniu are propriile forme de securitate şi relaŃii speciale cu alte domenii. Uneori un domeniu se poate întinde pe mai multe locaŃii fizice, alte ori se pot crea mai multe domenii pe aceeaşi locaŃie, pentru a separa funcŃional unităŃi ale organizaŃiei.

Un controller de domeniu conŃine următoarele informaŃii ce fac parte şi din

Active Directory :

- Date despre fiecare obiect şi container din domeniul respectiv

- Date despre alte domenii din arbore sau pădure, pentru a putea

asigura localizarea resurselor

- O listă cu toate domeniile din arbore şi pădure

- LocaŃia serverului de tip Catalog Global. Catalogul Global se ocupă

de rezovarea interogărilor obişnuite. Este creat şi reîmprospătat cu

informaŃii noi provenite din Active Directory.

Active Directory

Cea mai simplă definiŃie pentru Active Directory s-ar traduce într-un serviciu cu ajutorul căruia utilizatorii caută şi găsesc obiecte. Principala funcŃie a unui serviciu de director este de a permite găsirea informaŃiei într-o reŃea şi a face accesibile datele proprii ale utilizatorilor.

12

AD organizează resursele unei reŃele (resurse fizice, utilizatori, aplicaŃii etc.) într-um mod asemănător cum NTFS organizează resursele unei staŃii de lucru (fişiere, aplicaŃii etc).

Dar Active Directory face mult mai mult decât a permite utilizatorilor să găsească informaŃiile utile. De fapt, Active Directory reprezintă o soluŃie completă de management al sistemului informatic al unei reŃele de calculatoare.

Active Directory are mai multe roluri importante printre care se număra :

bază de date pentru fiecare obiect din reŃea şi atributele sale

un punct central pentru administrare

un mecanism pentru comunicarea între sisteme de operare diferite

un mijloc de consolidare a serviciilor de directoare

un sistem de reproducere a datelor.

un sistem de securitate privind acesul la obiecte şi relaŃiile de încredere

între domenii

Active Directory permite gruparea staŃiilor de lucru împreună pentru o administrarea mai uşoară. Folosind serviciul de director, staŃiile de lucru pot fi actualizate, configurate şi chiar depanate de la distanŃă. O singură interfaŃă de management care este accesibilă din orice punct al reŃelei înseamnă eficienŃă sporită şi timp câştigat în intervenŃia asupra

Active Directory oferă modalitatea de autentificare unică pentru utilizatorii din reŃea. Acest lucru înseamnă că utilizatorii nu vor mai trebui să reŃină parole multiple pentru diverse aplicaŃii. De fapt, se poate aplica o politică globală de securitate pentru configurarea setărilor conturilor de utilizator.

pentru configurarea setărilor conturilor de utilizator. Fig. 2 Active Directory reprezintă inima reŃelelor

Fig. 2

Active Directory reprezintă inima reŃelelor bazate pe sisteme de operare Windows. Principalele avantaje oferite de implementarea Active Directory în reŃea sunt :

Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator al reŃelei pe bază de utilizator şi parolă unică.

13

Administrarea centralizată a tuturor serverelor şi staŃiilor de lucru din reŃea.

Autorizarea accesului la resurse – pentru fiecare resursă din reŃea pot fi configurate liste de acces care specifică explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.

Aplicarea consistentă a unor politici de securitate în cadrul reŃelei. Acesta din urmă este în particular un avantaj foarte important în procesul de securizare al reŃelei.

Active Directory face un mare pas înainte în direcŃia furnizării acestei infrastructuri, în condiŃiile în care reduce şi costurile menŃinerii unei staŃii de lucru sau unui PC.

Cu Active Directory, angajaŃii pot afla uşor informaŃii despre toate resursele conectate la reŃeaua proprie. Administratorii pot gestiona reŃeaua dintr-un singur punct central, chiar şi atunci când organizaŃia se întinde în mai multe oraşe, Ńări sau continente.

ÎmbunătăŃirile Active Directory în Windows Server 2003

Introdus odată cu Windows 2000, serviciul Microsoft Active Directory simplifică administrarea directoarelor complexe din reŃele şi facilitează utilizatorilor localizarea resurselor chiar şi în cele mai largi reŃele.

În Windows Server 2003 acesta este deplin integrat la nivelul sistemului de operare. Numeroasele îmbunătăŃiri aduse cu Windows Server 2003 facilitează utilizarea şi implementarea: cross-forest trusts, posibilitatea redenumirii domeniilor, posibilitatea dezactivării atributelor şi claselor din scheme pentru ca definiŃiile să poată fi schimbate.

Group Policy Management Console

Administratorii pot utiliza Group Policy pentru a defini setări şi acŃiuni permise pentru utilizatori şi calculatoare. În contrast cu politicile locale, organizaŃiile pot folosi Group Policy pentru a seta politici aplicabile unui întreg site, domeniu sau unitate organizaŃională din Active Directory. Managementul bazat pe politici simplifică sarcinile cum ar fi operaŃiile de actualizare a sistemului, instalarea aplicaŃiilor, profiluri de utilizator sau “îngheŃarea” unui sistem desktop.

Resultant Set of Policy

Instrumentul RSoP (Resultant Set of Policy) permite administratorilor să vadă dinainte efectul pe care l-ar avea aplicarea unei politici asupra calculatoarelor

14

sau utilizatorilor Ńintă. Cu RSoP, organizaŃiile au la îndemână un instrument puternic şi flexibil pentru planificare, monitorizare şi detectare a problemelor Group Policy.

RSoP este o infrastructură furnizată ca set de componente snap-in în MMC (Microsoft Management Console). Cu ea, administratorii vor putea să determine şi să analizeze setul curent de politici în două moduri: logging mode şi planning mode. Cu logging mode, administratorii pot stabili ce s-a aplicat unei anumite Ńinte. Iar în planning mode se poate vedea cum va fi aplicată o politică asupra unei Ńinte şi ce rezultate ar avea aplicarea politicii – înainte de a efectua modificarea propriu zisă în Group Policy.

Volume Shadow Copy Restore

Ca parte a serviciului Volume Shadow Copy, această caracteristică permite administratorilor să configureze copii ale volumelor cu date critice la anumite momente în timp, fără a întrerupe serviciul. Aceste copii pot fi ulterior folosite pentru restaurarea serviciului sau pentru arhivare. Utilizatorii pot regăsi versiuni arhivate ale documentelor lor – transparent menŃinute de către server.

Internet Information Services 6.0

Internet Information Services (IIS) 6.0 este un server de Web cu toate caracteristicile necesare aplicaŃiilor şi serviciilor Web XML din ziua de azi. IIS 6.0 a fost complet reproiectat, noua arhitectură având un model de procesare tolerant la defecte, capabil să crească dramatic fiabilitatea site-urilor şi aplicaŃiilor Web.

IIS poate să izoleze unele de altele aplicaŃiile sau site-urile Web. Acestea sunt dispuse în procese independente (numite application pool) ce comunică direct cu kernel-ul sistemului de operare. Caracteristica este de natură să crească throughput- ul şi capacitatea aplicaŃiilor, simultan cu economisirea resurselor pe servere, reducând efectiv nevoile hardware. Aceste application pools independente previn propagarea problemelor unei aplicaŃii individuale la alte site-uri, aplicaŃii sau servicii Web XML ce rulează pe acelaşi IIS.

IIS oferă de asemenea capabilităŃi de monitorizare pentru descoperirea, recuperarea şi prevenirea căderilor aplicaŃiilor Web. Pe Windows Server 2003, Microsoft ASP.NET foloseşte nativ noul model de procesare al IIS. Aceste caracteristici avansate vor fi disponibile şi aplicaŃiilor Web deja existente, care deocamdată rulează încă pe IIS 4.0 sau 5.0 – marea majoritate a acestor aplicaŃii nu vor necesita vreo modificare în cazul migrării la IIS 6.0.

.NET Framework Integrat

Microsoft .NET Framework este modelul de programare al software-ului conectat prin .NET, pentru tehnologiile destinate construirii, implementării şi rulării aplicaŃiilor Web, programelor client inteligente şi serviciilor Web XML.

.NET

standarde,

Framework

asigură

un

mediu

pe

existente cu următoarea generaŃie de

de

înaltă

productivitate,

bazat

pentru integrarea investiŃiilor

15

aplicaŃii şi servicii. În plus, ajută organizaŃiile să rezolve provocarea implementării de aplicaŃii capabile să opereze la scară Internet.

Administrare în linie de comandă

Familia Windows Server 2003 aduce o infrastructură pentru administrare din linia de comandă semnificativ îmbunătăŃită, permiŃând administratorilor să efectueze cele mai multe sarcini fără a utiliza interfaŃa grafică.

De importanŃă specială este posibilitatea de a efectua sarcini accesând informaŃii din WMI (Windows Management Instrumentation). Caracteristica WMIC (WMI Command-line) furnizează o interfaŃă text simplă ce interoperează cu shell- urile şi utilitarele existente, putând fi extinsă prin scripturi sau alte aplicaŃii destinate administrării.

Per ansamblu, funcŃionalitatea mai bună a Windows Server 2003 în ce priveşte administrarea din linia de comandă, combinată cu scripturile gata folosibile furnizate, rivalizează cu puterea altor sisteme de operare. Administratorii obişnuiŃi cu interfaŃa text pentru managementul sistemelor UNIX sau Linux pot trece uşor la familia Windows Server 2003.

1. Păduri, domenii şi relaŃii de încredere

În termeni simpli am putea defini cele trei concepte în felul următor:

Un forest este o colecŃie de date partajate şi domenii;

Un domeniu este o ierarhie de obiecte care se replică între unul sau mai multe controllere de domeniu;

Un trust reprezintă o relaŃie de încredere între două domenii pentru a îngădui utilizatorilor, grupurilor sau computerelor accesarea resurselor în celălalt domeniu.

Un tree (copac) este o grupare de domenii care formează un spaŃiu de nume comun.

Un spaŃiu de nume comun este un set de nume de domenii în care fiecare subdomeniu adaugă unul sau mai mulŃi identificatori la începutul numelui DNS de domeniu. De exemplu, dacă domeniul părinte este utm.local şi subdomeniul său este inf.utm.local, acestea două vor forma un spaŃiu de nume comun.

Numele unui tree (arbore) este numele domeniului care este cel mai înalt în rang. În exemplul de faŃă, utm.local este numele arborelui, care se mai numeşte şi rădăcina arborelui de domeniu.

Domeniile în arborii Active Directory impart anumite elemente cum ar fi:

16

- schema (definiŃia pentru toate obiectele Active Directory),

- catalogul global (informaŃia configurărilor din Active Directory).

Aceste obiecte sunt replicate între controllerele de domeniu în cadrul tree-ului. În acest fel se asigură consistenŃa definiŃiei obiectelor, setărilor, şi configuraŃia Active Directory din toată organizaŃia.

Domeniile active directory sunt definite (numite) folosind serviciul de nume DNS. Domeniile care fac parte dintr-un DNS cunoscut sunt considerate a fi în acelaşi domain tree. De exemplu inf.utm.local, psi.utm.local, ase.utm.local şi utm.local fac parte din tree-ul utm.local. Un singur domain tree este suficient pentru mai multe implementări, dar în cazul corporaŃiilor (care includ mai multe companii) este necesar ca fiecare companie să îşi păstreze identitatea şi deci şi domain name-ul, o să avem de a face cu mai multe forest-uri, domenii şi implicit trust-uri între acestea.

Domeniile reprezintă partiŃii logice în Active Directory organizate cu scopul de a securiza directorul şi pentru replicarea acestuia. Domeniile sunt nume unice la fel ca numele de domeniu ce se regăsesc pe internet. De exemplu google.com reprezintă un nume de domeniu şi totodată şi dga.local.

Domeniile au rolul de container pentru obiectele din Active Directory (acestea includ utilizatori, servere, staŃii de lucru, dispozitive de reŃea, etc). Fiecare domeniu reŃine informaŃii doar despre obiectele ce le conŃine. Un domeniu Active Directory poate conŃine până 10 milioane de obiecte.

ToŃi utilizatorii Active Directory trebuie să se autentifice într-un domeniu, altfel nu se pot loga în reŃea. Controllerele de domeniu sunt responsabile pentru autenticitatea parolelor utilizatorilor, iar Active Directory oferă securitate pentru autentificarea unică pe întreg domeniul.

Domeniile delimitează de asemenea şi politicile de grup. Politicile de securitate care sunt definite într-un domeniu nu se propagă şi în alte domenii. Acest lucru înseamnă ca setările ca de exemplu drepturile administrative nu ajung dintr-un domeniu în altul.

Într-un domeniu, informaŃiile despre obiecte sunt replicate între toate controllerele de domeniu pentru a se asigura redundanŃa şi securitatea adiŃională. Fişierele importante dintr-un domeniu pot fi replicate pentru a asigura suportul în cazul defecŃiunilor harware sau mentenanŃei. Cu toate acestea, informaŃiile nu se replică între domenii. Acest lucru înseamnă că domeniile delimitează şi replicarea.

Domeniile sunt reprezentate în Active Directory prin obiecte domainDNS. Numele distinct al unui obiect domainDNS corespunde direct cu numele DNS al domeniului. De exemplu pentru domeniul inf.utm.local vom avea un DN format din:

dc=inf, dc=utm, dc=local. În tabela de mai jos avem câteva dintre cele mai interesant atribute ce se regăsesc intr-un obiect.

17

Fig.3 Obiecte ale domeniului UTM.LOCAL

Delimitează Delimitează politicile autentificarea de grup UTM.LOCAL
Delimitează
Delimitează
politicile
autentificarea
de grup
UTM.LOCAL

Delimitează replicarea

RelaŃii de încredere tranzitive

Într-un arbore Active Directory, relaŃiile de încredere leagă domeniile între ele pentru ca acestea să poată fi administrate în mod unitar. De fiecare dată când un domeniu este adăugat în arbore, se formează o relaŃie de încredere tranzitivă. Dacă domeniul A are trust cu domeniul B, atunci domeniul A va avea trust cu toate domeniile în care B are trust. În Fig 4, este o relaŃie de încredere între UTM.LOCAL şi INF.UTM.LOCAL. Dacă este adăugat încă un domeniu LAW.UTM.LOCAL care are un trust cu UTM.LOCAL, atunci se va realiza automat un trust între cele două domenii copil.

Fig. 4

automat un trust între cele două domenii copil. Fig. 4 UTM.LOCAL Rel. de încredere Rel. de

UTM.LOCAL

un trust între cele două domenii copil. Fig. 4 UTM.LOCAL Rel. de încredere Rel. de încredere
un trust între cele două domenii copil. Fig. 4 UTM.LOCAL Rel. de încredere Rel. de încredere

Rel. de încredere

Rel. de încredere

Fig. 4 UTM.LOCAL Rel. de încredere Rel. de încredere Rel. de încredere tranzitivă LAW.UTM.LOCAL INF.UTM.LOCAL
Fig. 4 UTM.LOCAL Rel. de încredere Rel. de încredere Rel. de încredere tranzitivă LAW.UTM.LOCAL INF.UTM.LOCAL

Rel. de încredere tranzitivă

încredere Rel. de încredere Rel. de încredere tranzitivă LAW.UTM.LOCAL INF.UTM.LOCAL Realizarea unei relaŃii

LAW.UTM.LOCAL

INF.UTM.LOCAL

Realizarea unei relaŃii tranzitive

18

UTM.LOCAL INF.UTM.LOCAL STUDENT.INF.UTM.LOCAL Fig. 5 Arbore de domenii Pădurile Active Directory O pădure (forest) este

UTM.LOCAL

UTM.LOCAL INF.UTM.LOCAL STUDENT.INF.UTM.LOCAL Fig. 5 Arbore de domenii Pădurile Active Directory O pădure (forest) este

INF.UTM.LOCAL

UTM.LOCAL INF.UTM.LOCAL STUDENT.INF.UTM.LOCAL Fig. 5 Arbore de domenii Pădurile Active Directory O pădure (forest) este

STUDENT.INF.UTM.LOCAL

Fig. 5

Arbore de domenii

Pădurile Active Directory

O pădure (forest) este compusă din unul sau mai mulŃi arbori. Spre deosebire de arbore, o pădure poate conŃine mai multe spaŃii de nume fără să împartă un sufix comun. În Fig. 6 pădurea conŃine doi arbori, fiecare cu spaŃiul său de nume. UTM.LOCAL şi UNIBUC.LOCAL. Pădurea ia numele primului arbore instalat în ea. În acelaşi fel în care relaŃiile tranzitive de încredere există între domenii într-un tree, există trust-uri bidirecŃionale între domeniile de vârf din forest. La fel ca arborii, pădurile împart o schemă comună, o configuraŃie şi un catalog global. Pădurile reprezintă o modalitate de legare a sucursalelor (subunităŃilor) unei companii sau a diferitelor organizaŃii care colaborează.

O pădure este o structură logică care reprezintă de fapt o colecŃie de domenii, plus configuraŃia şi schema contextelor de nume, a aplicaŃiilor şi a partiŃiilor. Ele sunt considerate primele linii de securitate în Active Directory. Prin asta se înŃelege că dacă vrem să restricŃionăm accesul la un domeniu astfel încât administratorii unui alt domeniu să nu aibă acces, este nevoie de implementarea unei păduri separate (şi un domeniu în acel forest.) în loc să folosim un domeniu în acelaşi forest. Aceasta se datorează faptului că există un nivel de încredere tranzitiv între toate domeniile unui forest şi a permisiunilor extinse pe care grupul Domain Admins îl are.

19

UNIBUC.LOCAL UTM.LOCAL INF.UTM.LOCAL FMI.UNIBUC.LOCAL Schema ConfiguraŃia Fig. 6 .Pădure de domenii Catalogul global 2.

UNIBUC.LOCAL

UTM.LOCAL

INF.UTM.LOCAL

FMI.UNIBUC.LOCAL

UNIBUC.LOCAL UTM.LOCAL INF.UTM.LOCAL FMI.UNIBUC.LOCAL Schema ConfiguraŃia Fig. 6 .Pădure de domenii Catalogul global 2.

Schema

ConfiguraŃia

Fig. 6 .Pădure de domenii

Catalogul global

2. Crearea unui domeniu şi a unei păduri

2.1. Crearea unui domeniu

Start -> Run: se foloseşte comanda dcpromo

Se selectează "Domain controller for a new domain" şi apoi se alege una dintre opŃiunile:

Domain in a new forest

Child domain in an existing domain tree

Domain tree in an existing forest

2.2. Ştergerea unui domeniu

Pentru

a

şterge

un

domeniu

este

nevoie

de

depromovarea

tuturor

controlerelor de domeniu din domeniu. Pentru ultimul controller din domeniu este nevoie de selectarea opŃiunii This server is the last domain controller in the domain" în wizardul dcpromo pentru a putea fi siguri că obiectele asociate cu

domeniul sunt şterse.

20

Notă: Dacă domeniul pe care vrem să îl ştergem are subdomenii, trebuie şterse mai întâi acestea.

După ce controllerul de domeniu a fost depromovat este nevoie de ştergerea înregistrărilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dacă nu au fost şterse automat prin deregistrarea WINS-ului sau DNS-ului în timpul depromovării. Următoarele comenzi ne pot ajuta să determinăm dacă toate înregistrările au fost şterse:

> netsh wins server \\<WINSServerName> show name <DomainDNSName> 1c

> nslookup <DomainControllerName>

> nslookup -type=SRV _ldap tcp.dc msdcs.<DomainDNSName>

> nslookup <DomainDNSName>

2.3. Redenumirea unui domeniu

Redenumirea unui domeniu este un proces destul de sofisticat şi ar trebui realizat doar dacă este neapărat necesar. Schimbarea numelui unui domeniu poate avea un impact în cam toate componentele începând cu DNS, replicare, politici de grup, DFS, şi serviciile de certificare. De asemenea, schimbarea numelui de domeniu necesită ca toate controllerele de domeniu şi computerele membre să fie repornite. În Windows 2000 nu exista un proces de redenumire suportat de sistemul de operare. În Windows 2003 însă, avem un utilitar pus la dispoziŃie de către Microsoft. Acesta funcŃionează dacă avem Windows Server 2003 sistem de operare care rulează pe toate controllerele de domeniu din forest. Se numeşte rendom.exe şi o descriere detaliată se poate găsi la: http://technet.microsoft.com/en-

us/windowsserver/bb405948.aspx

Redenumirea se poate face în câteva feluri:

Redenumirea unui domeniu fără repoziŃionarea acestuia în domeniu tree;

RepoziŃionarea domeniului în tree-ul de domeniu;

Crearea unui nou tree de domeniu cu domeniul redenumit.

2. Crearea unui forest

2.4. Crearea unui forest nou domeniu rădăcină (root domain).

Start -> Run: se foloseşte comanda dcpromo

Se selectează Domain controller for a new domain apoi se dă click pe Next

Se selectează Domain in a new forest şi apoi click Next

Se urmează restul paşilor pentru a ajunge la sfârşitul wizard-ului.

21

2.5. Ştergerea unui forest

Pentru a şterge un forest este nevoie de depromovarea (retrogradarea) tuturor controllerelor de domeniu din forest. După ce am realizat acest proces, în funcŃie de cum este configuraŃie, este nevoie de ştergerea înregistrărilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dacă nu au fost şterse automat prin deregistrarea WINS-ului sau DNS-ului în timpul depromovării. Următoarele comenzi ne pot ajuta să determinăm dacă toate înregistrările au fost şterse:

> netsh wins server \\<WINSServerName> show name <ForestDNSName> 1c

> nslookup <DomainControllerDNSName>

> nslookup -type=SRV _ldap tcp.gc msdcs.<ForestDNSName>

> nslookup <ForestDNSName>

Această metodă descrisă este soluŃia pentru a înlătura cu succes un forest. Se poate de asemenea şterge un forest prin metoda brute-force şi anume prin simpla reinstalare a sistemului de operare pe toate controllerele de domeniu din forest. Această metodă nu este recomandată pentru ca nu este o modalitate curată deoarece controllerele de domeniu nu ştiu că forestul a fost şters şi pot genera erori până când acesta va fi reconstruit. Va fi totodată nevoie ca toate înregistrările DNS pentru controllerele de domeniu să fie şterse de pe serverele DNS, deoarece controllerele de domeniu nu le şterg dinamic în timpul procesului de depromovare (retrogradare).

2.9. Crearea unui trust tranzitiv între două foresturi Active Directory

Notă: Este nevoie ca pe amândouă foresturile să avem nivelul de funcŃionare Windows Server 2003

Folosind interfaŃa grafică:

Se deschide Active Directory Domains and Trusts.

În fereastra din stânga, click dreapta pe forestul rădăcină de domeniu şi

se selectează Properties

Click pe tab-ul Trusts.

Click pe butonul New Trust.

După ce se deschide wizard-ul, se dă click Next.

Se tastează numele DNS al forestului AD si apoi click Next.

Se selectează Forest trust şi apoi click Next.

Se completează wizard-ul cu urmarea paşilor necesari.

Folosind linia de comandă:

22

> netdom trust <Forest1DNSName> /Domain:<Forest2DNSName> /Twoway /Transitive /ADD[RETURN] [/UserD:<Forest2AdminUser> /PasswordD:*][RETURN] [/UserO:<Forest1AdminUser> /PasswordO:*]

În Windows Server 2003 a fost introdus un nou tip de trust şi anume forest trust. În Windows 2000 dacă se dorea crearea unui mediu de trust între toate componentele a două foresturi, trebuiau setate trusturi two-way external între fiecare domeniu din cele două foresturi. Presupunând că avem două foresturi, fiecare cu 3 domenii şi se doreşte un model de trust între toate domeniile este nevoie de nouă trusturi individuale ca in figura 7.

este nevoie de nouă trusturi individuale ca in figura 7. Figura 7. Trusturi necesare pentru două
este nevoie de nouă trusturi individuale ca in figura 7. Figura 7. Trusturi necesare pentru două
este nevoie de nouă trusturi individuale ca in figura 7. Figura 7. Trusturi necesare pentru două
este nevoie de nouă trusturi individuale ca in figura 7. Figura 7. Trusturi necesare pentru două
este nevoie de nouă trusturi individuale ca in figura 7. Figura 7. Trusturi necesare pentru două
este nevoie de nouă trusturi individuale ca in figura 7. Figura 7. Trusturi necesare pentru două

Figura 7. Trusturi necesare pentru două foresturi Windows 2000 pentru a se realiza relaŃii de încredere reciproce.

Cu forest trust se poate defini o singură relaŃie de trust tranzitivă single One- way sau two-way trust pentru toate domeniile din amândouă foresturile. Dacă este nevoie de fuziunea unui nou domeniu şi este necesar ca toate resursele domeniului nou să fie accesate de către mediul actual Active Directori şi vice-versa. Figura 8 ne prezintă un scenariu forest trust. Pentru a crea un forest trust este nevoie de utilizarea conturilor de Enterprise Admins pentru fiecare forest.

23

Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc
Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc

Figura 8. Trust necesar pentru două Forest-uri Windows Server 2003 care să aibă trust reciproc

2.10. Crearea unui trust scurtătură între două domenii Active Directory

Folosind interfaŃa grafică:

Se deschide Active Directory Domains and Trusts.

În fereastra din stânga, click dreapta pe domeniul pentru care se

doreşte adăugarea trustului şi se selectează Properties

Click pe tab-ul Trusts.

Click pe butonul New Trust.

După ce se deschide wizard-ul New Trust, click Next.

Se tastează numele DNS al domeniului AD si apoi click Next.

Presupunând că domeniul AD este rezolvabil prin DNS, următorul pas

vom fi întrebaŃi de direcŃia trust-ului. Se selectează Two-way şi apoi

click Next.

Pentru proprietăŃile de ieşire ale trustului, se selectează toate

resursele care se vor autentifica si apoi click Next.

Se introduce şi apoi se retastează parola şi apoi click Next.

Click Next de două ori.

24

Folosind linia de comandă:

> netdom trust <Domain1DNSName> /Domain:<Domain2DNSName> /Twoway /ADD[RETURN] [/UserD:<Domain2AdminUser> /PasswordD:*][RETURN] [/UserO:<Domain1AdminUser> /PasswordO:*]

Considerăm forestul din figura 9. Are cinci domenii şi un singur domain tree. Pentru ca cererile de autentificare pentru Domeniul 3 să fie procesate de către Domeniul 5, cererea trebuie să traverseze calea de la Domeniul 3 la Domeniul 2 la Domeniul 1 la Domeniul 4 şi la Domeniul 5. Dacă însă creăm un trust scurtătură între Domeniul 3 şi Domeniul 5, calea de autentificare urmează un singur hop, şi anume de la Domeniul 3 la Domeniul 5. Pentru a crea un trust scurtătură, trebuie să utilizăm un utilizator din grupul Domain Admins pentru amândouă domeniile, sau un utilizator membru al grupului Enterprise Admins (pentru forest).

membru al grupului Enterprise Admins (pentru forest). Figura 9. Trust scurtătură 2.11. Verificarea unui trust Se

Figura 9. Trust scurtătură

2.11. Verificarea unui trust

Se doreşte verificarea funcŃionabilităŃii unui trust. Aceasta este prima măsură ce trebuie luată în cazul în care observăm că autentificarea către un domeniu distant eşuează.

Folosind interfaŃa grafică:

În fereastra din stânga click dreapta pe domeniul către care se face

relaŃia de trust şi se selectează Properties.

25

Click pe tab-ul Trusts.

Click pe domeniul care este asociat cu trustul pe care dorim să îl

verificăm.

Click pe butonul Properties.

Click pe butonul Validate.

Folosind linia de comandă:

> netdom trust <TrustingDomain> /Domain:<TrustedDomain> /Verify /verbose[RETURN] [/UserO:<TrustingDomainUser> /PasswordO:*][RETURN] [/UserD:<TrustedDomainUser> /PasswordD:*]

2.12. Ştergerea unui trust

Acest aspect este de obicei întâlnit în cazul în care domeniului la care se făcea trust i-a fost ştearsă delegarea sau accesul la acesta nu mai este necesar.

Folosind interfaŃa grafică:

Se deschide Active Directory Domains and Trusts.

În fereastra din stânga click dreapta pe domeniul către care se face

relaŃia de trust şi se selectează Properties.

Click pe tab-ul Trusts.

Click pe domeniul care este asociat cu trustul pe care dorim să îl

ştergem.

Click pe butonul Remove

Click OK.

Folosind linia de comandă:

> netdom trust <TrustingDomain> /Domain:<TrustedDomain> /Remove /verbose[RETURN] [/UserO:<TrustingDomainUser> /PasswordO:*][RETURN] [/UserD:<TrustedDomainUser> /PasswordD:*]

Trusturile sunt stocate in Active Directory sub forma a două obiecte; un obiect trustedDomain în locaŃia System şi un obiect user în locaŃia Users. Amândouă aceste obiecte trebuie şterse când se şterge un trust. SoluŃiile în interfaŃa grafică şi în cea de linie de comandă realizează acest lucru în primul pas.

26

Instalarea unui Controller de Domeniu

AD reprezintă serviciul director din Windows Server 2003. El stochează informaŃii despre obiectele (resursele) unei reŃele oferind posibilitatea de a fi localizate şi folosite de utilizatori. Serviciul AD presupune existenŃa controlerului de domeniu. Fiecare domeniu trebuie să aibă un DC. DC are rolul de a controla accesul utilizatorilor la aceste resurse de reŃea. El se instalează pe un server (poate fi acelaşi cu DNS sau altul) prin promovarea acestuia ca DC (stabilirea rolului de DC). Rolul de AD al unui server se stabileşte prin promovarea lui ca

DC.

Pentru aceasta se poate folosi utilitarul Manage your server sau comanda dcpromo din

Start Rundcpromo.

Paşii sunt următorii:

1. Imediat după lansarea în execuŃie se deschide fereastra Active Directory Installation Wizard care conduce instalarea rolului DC.

2. Dacă serverul pe care se instalează DC este primul din domeniu, la Domain Controller Type se alege opŃiunea DC for a new domainNext.

3. Se deschide fereastra Create New Domain cu trei opŃiuni: Domain în a new forest, sau Child Domain in an existing domain tree, sau

4. Dacă se alege prima opŃiune se va crea un nou domenui al cărui nume va trebui specificat, de exemplu utm.ro. Este de menŃionat că numele domeniului trebuie să coincidă cu cel din DNS. Next.

5. Se specifică numele NetBIOS (Domain NetBIOS name) al noului domeniu (se va folosi acelaşi nume). Acest nume va fi folosit de staŃiile cu sisteme de operare mai vechi pentru identificarea serverului din reŃea. Next.

6. În fereastra Database and Log Folders se solicită acordul administratorului pentru locaŃia bazei de date a AD precum şi a fişierelor jurnal. Se recomandă alegerea locaŃiei implicite, care este în directorul NTDS din directorul de instalare a sistemului de operare. Next.

7. În Shared System Volume se specifică locaŃia directorului SYSVOL în care se păstrează şi se pun la dispoziŃie informaŃii partajate din reŃea: poltici de securitate, scripturi, profile etc.

8. Dacă nu a fost instalat serviciul DNS, wizardul atenŃionează şi cere instalarea acestuia. Dacă ere instalat, se recomandă a se face verificări privind integrarea AD cu DNS. Se face cu comanda: Start Rundnsmgmt.mscOK Se deschide fereastra DNS Registration Diagnostics Next.

9. Se deschide fereastra utm.ro Properties Rclick pe numele zonei, Dynanic updates Nonsecure and secure.

10. Se restartează calculatorul

Crearea unei structuri organizaŃionale

Un aspect important în politica de securitate a unui domeniu Windows este cerarea conturilor de utilizator, organizarea acestora pe grupuri organizaŃionale şi crearea unei politici de securitate pe utilizatori separată de staŃiile de lucru sau de serverele din reŃea. În multe cazuri este util a se grupa utilizatorii pe criterii funcŃionale, pe colective care să

27

faciliteze schimbul de informaŃii în interiorul grupului şi restricŃionarea accesului userilor din alte grupuri.

Administrarea serverului AD din consolă se poate face din: StartRundsa.mscOK sau StartAdministrative ToolsActive Directory Users and Computers.

În fereastra de administare a AD se vede organizarea arborescentă a acestuia, conŃinând patru directoare şi un grup organizaŃional:

Name

Type

Description

Builtin

builtin Domain

Default contain

Computers

Container

Default contain

Domain Controllers

Org Unit

Default contain

Foreign Security Principals Container

Default contain

Users

Container

Default contain

Builtin înregistrează 16 grupuri de securitate asupra cărora nu se pot efectua operaŃii de şterere, mutare sau redenumire. Ele fac parte din categoria celor de top level, neputând face parte din alte grupuri de securitate. OperaŃii permise sunt: schimbarea scrierii, asignarea de adrese de mail, introducere de noi membrii etc.

Computers este directorul în care se înregistrează toate staŃiile de lucru sau serverele membru care sunt adăugate în domeniu. Aceste obiect pot fi ulerior transferate în alte grupuri organizaŃionale.

Domain Controllers este grupul organizaŃional în care se regăsesc toate controlerele de domeniu.

ForeignSecurityPrincipals înregistrează identificatorii de securitate (SID) ai unor obiecte din exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu care s-au stabilit relaŃii de încredere.

Users reprezintă directorul în care se înregistrează în mod implicit utilizatorii domeniului. Implicit sunt 17 obiecte în acest director, dintre care 3 utilizatori, iar restul grupuri de securitate.

Elementele care pot fi înregistrate şi gestionate într-o UO sunt:

Computer – staŃii de lucru sau servere de reŃea

Contact – obiect folosit de AD pentru a găsi diverse informaŃii

Group – grup de securitate prin care se propagă politica de securitate asupra membrilor grupului. Unui grup i se pot asigna membrii, iar grupul în sine poate fi asignat altor grupuri.

InetOrgPerson – categorie specială de utilizatori, derivată din clasa User, folosită de reŃele non Windows, care folosesc ca serviciu director LDAP sau X400.

Organizational Unit – emulează o structură organizaŃională a companiei

Printer – imprimante de reŃea gestionate de AD, pentru a fi găsite şi folosite de userii reŃelei şi pentru configurarea drepturilor de acces asupra lor.

User – cel mai uzual obiect din AD. În general corespunde unei persoane din cadrul organizatiei, dar pot fi şi obiecte user aparŃinând unui grup de persoane, ori aplicaŃii, ori grupuri de aplicaŃii.

28

Share Folder – directoare partajate în reŃea şi înregistrate în AD pentru o mai bună gestionare şi securizare a acestora.

Un obiect special din grupul User este cel de administrator, denumit astfel în mod implicit. El are cele mai multe drepturi şi, ca urmare, este cel mai vânat de atacatori. De aceea, numele acestuia este schimbat intenŃionat pentru a nu fi recunoscut uşor. Schimbarea denumirii se poate face prin mai multe procedee (vezi ReŃele Windows, pag. 124-126). Profilul userului administrator, chiar denumit altfel, se află în directorul Administrator, de pe discul C:\ al serverului PDC (Primary Domain Controller).

Managementul AD

Managementul AD se face de regulă de către administratorul de reŃea. Această funcŃie realizează:

1. Gestionarea grupurilor de securitate

Grupurile de securitate sunt de 2 tipuri:

Grupuri de securitate – folosite pentru definirea permisiunilor de acces la resurse şi obiecte

Grupuri de distribuŃie – folosite pentru a distribui mesaje

Ficare din cele două tipuri poate avea scopuri diferite:

- grup cu scop universal- poate avea drept membrii grupuri sau conturi de utilizator din oricare domeniu Windows, din cadrul oricărui arbore de domeniu.

- grup cu scop global poate avea membrii numai din domeniul curent, dar pot fi create politici de securitate Ńi acces la obiectele din oricare domeniu al pădurii

- grup cu scop local poate avea membrii doar din domniul curent, şi poate avea permisiuni numai în domeniul curent.

Crearea unui grup de securitate Din consola de administrare a AD se dă Rclick

grup

organizationalnewGroup apoi se specifică numele grupului, scopul, tipul şi eventual ataşarea unei adrese de e-mail dacă serverul de mail este deja instalat, Finish.

pe

un

Adăugara unui membru la grup Rclick pe grup, Proprties, Members, Add. Se deschide fereastra Select users, Contacts, Computers, or Group şi se scrie numele utilizatorului pe care dorim să-l cereem, Ok, OK.

Alte operaŃii asupra grupurilor:

- schimbarea scopului

- schimbarea tipului

- ştergerea grupului.

2. Gestionarea conturilor de utilizator

Crearea contului Rclick pe numele grupului, NewUser

29

Se completează prenumele, numele, Full name, User logon name (numele de acces în reŃea), se specifică domeniul în care va fi creat (@utm.ro), datele decpre parolă şi modul de expirare a ei (la prima conectare (recomandat), nu se poate schimba, nu expiră) Finish. Alte operaŃii care se pot face asupra conturilor de utilizator:

- copierea

- dezactivarea

- activarea

- ştergerea

- modificarea prprietăŃilor

- mutarea

- redenumirea

- schimbarea parolei

- mutarea dintr-un grup în altul

Crearea profilurilor de utilizator

Profilul de utilizator conŃine setările personale ale acestuia la interfaŃa cu utilizatorul (display). Aceste informaŃii sunt grupate pe directoarele: Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Tamplates. Profilul utilizatorului se află stocat pe directorul Documents and Settings de pe discul pe care se află instalat sistemul de operare.

Profilul unui user poate fi de tipul:

- Roaming, (se salvează pe server la fiecare schimbare făcută de pe orice staŃie şi se reflctă la conectare pe orice staŃie) sau - mandatory (obligatoriu), (se crează pe server şi se pune la dispoziŃie în reŃea prin sharing, nu se modifică la delogare). Crearea unui profil se realizează automat la conectarea pe o staŃie de lucru. El se poate copia într-un template astfel:

- (v pag 134)

Gestiunea resurselor fizice

Pe lângă grupurile organizaŃionale, grupurile de securitate, conturile de utilizator, în AD pot fi adăugae şi resursele fizice ale reŃelei: staŃii de lucru, servere, imprimante.

Adăugarea unui membru în AD De pe staŃia sau serverul care se doreşte a fi adăugat se face Rclick pe Start, My Computer, Properties, Computer NameChange În fereastra Computer Name and Changes, secŃiunea Member of se alege Domain şi se specifică numele domeniului, OK. Se va deschide fereastra de autentificare la domeniu în care se specifică numele administratorului domeniului respectiv (sau delegat). Se primeşte mesajul de Bun venit în reŃea, după care se restartează sistemul.

Obs. La configuraŃia TCP-IP a membrului unui domeniu trebuie să se specifice la Preferred DNS Server, adresa IP a serverului DNS al domeniului. La Alternative DNS server se poate (trebuie) specifica(tă) adresa IP a serverului DNS secundar sau a serv DNS a ISP-ului.

30

Pentru a găsi o impimantă în AD ea trebuie să fie publică şi să aibă specificată opŃiunea List in the directory din fereastra imprimantei (v fig 5.22, pag. 138).

Întrebări şi teste de control

1. Ce este un sistem de operare de reŃea de tip enterprise şi ce servicii de reŃea sunt necesare într-o organizaŃie?

2. Cum au evoluat sistemele de operare de reŃea de tip Windows?

3. Ce este Windows Server 2003 şi care sunt componentele sale?

4. DefiniŃi conceptul de domeniu Windows şi daŃi exemple. Care este utilitatea unui domeniu în administrarea reŃelelor?

5. Ce este serviciul de directoare Active Directory?

6. Ce este un Controller de Domeniu şi care este legătura sa cu serviciul de directoare?

7. Ce este serviciul numelor de domenii şi care este legătura sa cu serviciul de directoare Active Directory?

8. Ce este un arbore de domenii? Dar o pădure de domenii? DaŃi exemple.

9. Ce este un “trust” între domenii şi ce utilitate are în administrarea reŃelelor?

10. DescrieŃi paşii privind instalarea unui controller de domeniu.

11. DescrieŃi structura unui AD

12.

Ce sunt grupurile organizaŃionale şi cum se pot crea? Ce elemente se pot crea şi administra într-o UO?