CAPITOLUL 1 Introducere n managementul reelelor digitale integrate de comunicaii i calculatoare

Tema are ca scop cunoaterea unor noiuni i concepte de baz privind administrarea reelelor de comunicaii i calculatoare. Sunt definite conceptele de administrare a reelelor, obiectivele administrrii, factorii implicai n administrare, domeniile funcionale acoperite de administare. Dup parcurgerea i nsuirea acestei teme, studentul va cunoate: Ce reprezint activitatea de administrare a reelelor Ce funcii asigur activitatea de administrare de reea Care este structura ierarhic a sistemului de management Detalii referitoare la coninutul domeniilor de management - Managementul configurrii - Managementul defectelor - Managementul performanelor - Managementul securitii Materialul trebuie parcurs n ordinea sa fireasc prezentat n continuare, inclusiv n poriunea referitoare la aplicaii. Se recomand conspectarea i notarea ideilor principale i consultarea Internetului pentru detalii i informaii suplimentare. Timpul minim pe care trebuie s-l acordai acestui modul este de 6 ore.

1.1 Ce este managementul reelelor? Activitile de management al reelelor presupun desfurarea i coordonarea resurselor acestora n vederea planificrii, operrii, administrrii, analizrii, evalurii, proiectrii i extinderii reelelor, astfel nct s fie asigurate permanent serviciile propuse, cu un cost rezonabil i la o capacitate optim. Ce face managementul de reea? asigurarea permanent pentru utilizatorul final a serviciilor propuse

capabilitatea de a ocoli sau nlocui automat elementele de reea defecte. capabilitatea reelei de a fi operaional chiar dac o parte important a resurselor acesteia se defecteaz capabilitatea de a monitoriza i diagnostica permanent condiiile funcionale i operaionale nesatisfctoare la nivelul ntregii reele analiza n timp real a performanelor reelei, asigurarea unei interfee cu utilizatorul n timp real, creterea productivitii operaionale, furnizarea unei puternice baze de date pentru managementul reelei, salvarea automat n baza de date att a istoricului funcional al reelei ct i a statisticilor efectuate automat n timpul funcionrii. asigurarea unui timp de rspuns mic la schimbrile survenite n aplicaii, n configuraia abonailor, a dispozitivelor, n politica de tarifare i de servicii; expansiunea i reconfigurarea dinamic a capacitilor reelei pe baza utilizrii intensive a tehnicilor de management al lrgimii de band; mbuntirea securitii la nivelul ntregii reele, precum i a sistemului de management al acesteia: se ateapt ca managementul reelei s fie capabil s ofere monitorizarea, alarmarea automat, partiionarea i reconfigurarea automat integrarea managementului de reea implementarea practic a unor soluii care s fie conforme cu standardele internaional acceptate; posibilitatea generrii unor rapoarte integrate, periodice, Principalii factori care contribuie la ndeplinirea obiectivelor enunate sunt:
2

resursele umane implicate instrumentele hardware i software folosite procesele i procedurile care stabilesc modul de realizare a managementului

Structurarea ierarhic a sistemului de management

Manager de reea

Nivelul 3 Nivelul 2

Integrator al sistemelor de management Sisteme de management ale elementelor de reea Elemente de reea

Nivelul 1

Fig. 1.1 Organizarea ierarhic a managementului de reea

Elemente de reea s aib implementate capabiliti utile managementului de reea, cum ar fi, de exemplu, furnizarea de informaii privitoare la propria lor stare sau propriile lor performane. Pentru aceasta, sunt necesare dispozitive de monitorizare incluse n acestea, capabile s genereze automat sau la cerere anumite informaii, ca de exemplu: rapoarte, avertizri sau alarme. n cele mai multe cazuri, mai ales la noile generaii de elemente de reea, acestea sunt prevzute cu asemenea faciliti.
OBS: n cazul absenei acestora, pot fi ataate dispozitive externe de monitorizare, capabile s realizeze funcii de mamagement.

Al doilea nivel, poziionat ierarhic imediat deasupra nivelului elementelor de reea, este nivelul sistemelor de management ale elementelor de reea. Aceste sisteme sunt un complex de hardware i software care pot fi localizate fie n elementul de reea nsui, fie n procesoare dedicate sau n nodurile reelei. Este important s se asigure un mod de comunicaie bidirecional, ntre elementele de reea administrate i sistemul care realizeaz administrarea (fig. 1.2). Al treilea nivel, cel al sistemelor integrate de management al elementelor de reea, integreaz sistemele de management aflate la nivelul doi, realiznd un sistem unitar de management la nivelul ntregii reele.
Reea de comunicaii i calculatoare

ER

ER

ER

ER

ER

ER

ER

SMER

SMER

SMER

BD

BD

BD

Sistem integrator de management

BD cu componena i configuraia reelei

Capaciti de proiectare i configurare a reelei

BD a performanelor reelei
Servicii de tarifare Nivelul serviciilor Utilizarea resurselor Rapoarte defectri Procesare ordine Rapoarte serviciu

ER SMER BDC

Element de Reea Sistem de Management al Elementelor de Reea Baz de Date a Configurrilor 4

Nivelul dorit al serviciilor ncrcare a estimat a

Fig. 1.2 Instrumente de lucru ale managementului de reea

1.2 Ariile funcionale ale managementului reelelor de telecomunicaii Funciile pe care trebuie s le realizeze sistemele de management al reelelor de comunicaii i calculatoare pot fi grupate n cinci domenii, numite tradiional arii funcionale ale managementului

Managementul reelei

Manag. configurrii

Manag. Manag. Manag. defectrilor performanelor securitii

Manag. contabilizrii

Fig. 1.3 Principalele arii funcionale ale managementului de reea

1.2.1 Managementul configurrii Managementul configurrii este responsabil de: planificarea configurarea instalarea unei reele de comunicaii aducerea n stare operaional a serviciilor de reea furnizarea acestora ctre clieni. Procesul configurrii este un proces liniar, (prezentat n fig. 1.4).

Pornete de la setul de cerine stabilite mpreun cu beneficiarul, care definesc tipul i caracteristicile generale reelei, traversnd pas cu pas toate fazele configurrii (descrise n cele ce urmeaz) pn la faza final de administrare i control ale elementelor de reea. n recomandarea E.175 a ITU-T sunt detaliate principalele etape ce trebuie parcurse n procesul de planificare a unei reele.
A. Prima etap, aceea a planificrii i proiectrii reelei are drept

principal obiectiv transformarea cerinelor de sistem ntr-un proiect de sistem. Urmeaz apoi un plan de implementare a acestui proiect. Principalele caracteristici ale reelei ce sunt vizate n procesul proiectrii sunt: infrastructura de acces, infrastructura de faciliti i infrastructura reelei.
Cerine de reea

Planificarea i proiectarea reelei

Planurile de implementare

Instalarea reelei

Reeaua este instalat

Planificarea i negocierea serviciilor

Furnizarea de servcii i configuraii

Reeaua este operaional

Funciile de stare i control ale elementelor de reea

Fig. 1.4 Principalele etape ale managementului configurrii

A. Paii unui proces de planificare de reea sunt urmtorii:

pasul 1: colectarea informaiilor de intrare, impuse de setul de cerine iniiale, pasul 2: determinarea infrastructurii de reea, pe baza cerinelor comerciale, tehnice i operaionale ale clientului; pasul 3: proiectarea schemelor de rutare a traficului pe structura de reea propus anterior (evaluarea structurii de reea propus din perspectiva cerinelor de traffic). Dac acestea nu pot fi satisfcute pe structura de lucru creat, se revine la pasul anterior i se adapteaz astfel structura nct s corespund necesitilor impuse la acest punct; pasul 4: estimarea i clasificarea costurilor de reea. Pot fi difereniate trei mari categorii de costuri: costurile totale asociate construirii infrastructurii reelei; costurile estimate de ntreinere a reelei, clasificate pe tipurile de faciliti oferite; costurile necesare extinderilor viitoare ale reelei; pasul 5: Analizarea rezultatelor obinute mpreun cu beneficiarul i obinerea acordului acestuia de continuare a implementrii, pe baza stabilirii unei nelegeri. pasul 6: repetarea unor etape, din procesul de planificare, dac este necesar. B. Procesul de instalare a reelei instalarea echipamentelor; instalarea software-ului. Etapele unui asemenea proces de instalare pot fi observate n fig. 1.6.
Cerere de instalare

verificrile de preinstalare; planificarea instalrii i a livrrii echipamentelor; programarea i desfurarea testelor prefuncionale; coordonarea instalrii software-lui de echipamente; actualizarea bazei de date pentru aceast instalare.

7 Raport de stare

C. Fig. 1.6 Etapele procesului de serviciilora de reea, etap care Planificarea i negocierea instalare echipamentelor acoper urmtoarele arii de interes: identificarea cerinelor clientului; definirea caracteristicilor pentru serviciile cerute; planificarea implementrii serviciilor cerute;
Sistem

Unitate de software

Software

Distribuitor de software

Fig. 1.8 Clase de obiecte software

D. Furnizarea de servicii i configuraii se refer la: furnizarea de servicii, furnizarea de configuraii la nivel de reele furnizarea de configuraii la nivelul elementelor de reea. Furnizarea de servicii ctre un client ncepe cu recepionarea unui ordin de serviciu de la sistemul de management al serviciilor i se termin cu livrarea ctre elementul de reea a datelor specifice serviciului respectiv. Datele relative la acel serviciu fac referire la utilizatorul sau procesul cruia i este destinat acest serviciu. Furnizarea de configuraii la nivel de reea are drept obiectiv asigurarea unui nivel adecvat al configurrii resurselor, la nivelul ntregii reele, astfel nct s fie satisfcute cerinele clientului de servicii. Sunt identificate aici urmtoarele arii de interes din cadrul procesului de asigurare cu resurse (fig. 1.10):
8

managementul topologiei de reea; managementul conexiunilor de reea; managementul alocrii resurselor la nivelul ntregii reele.

Pentru a implementa un nou serviciu, sunt necesare, mai nti, planificarea i activarea managementului conexiunilor la nivelul reelei. Managementul conexiunilor este responsabil pentru stabilirea, meninerea i monitorizarea conexiunilor ntre elementele de reea. Este apoi obligaia funciei de management al topologiei de reea i a celei de management al resurselor de reea s menin acea configuraie, care va satisface necesitile crerii conexiunilor respective. Managementul furnizrii de configuraii i servicii la nivelul elementelor de reea are drept obiectiv satisfacerea cerinei ca la elementele de reea s fie desfurate i configurate resursele adecvate n vederea implementrii serviciilor cerute de client. n recomandarea M.3400 a ITU-T sunt identificate trei arii generale de interes n cadrul furnizrii de configuraii i servicii la nivelul elementelor de reea (fig. 1.10): configurarea elementelor de reea; funciile administrative; administrarea bazei de date.

Resursele elementului de reea Managementul furnizrii de configuraii i servicii la nivel de reea

Managementul performanelor i defectrilor

Furnizarea de configuraii i servicii la nivelul elementelor de reea managementul configurrii resurselor la elementul de reea; managementul sistemului; managementul bazei de date a elementelor de reea.

Fig. 1.10 Aprovizionarea la nivelul elementelor de reea i interaciunea sa cu alte aplicaii de management 9

E. Controlul i starea resurselor elementului de reea Una din sarcinile principale ale managementului configurrii elementelor de reea este cea de a administra i controla, n timp real, numeroasele resurse fizice i logice integrate n reea, ca elemente de reea. Operaiile de control al elementelor de reea pot fi clasificate n mai multe categorii: Activarea i dezactivarea resurselor, se refer la: pornirea/oprirea componentelor software i hardware; managementul strii resurselor; iniializarea parametrilor asociai resurselor; anunarea tuturor prilor implicate despre activarea/ dezactivarea unor resurse etc.

Operaiile de comutare ce permite transferul serviciilor de la o resurs activ la una de rezerv n cazul unor defectri, al unor operaii de ntreinere sau de diagnosticare a unei legturi active la un moment dat. Starea resurselor, din punctul de vedere al managementului, este un atribut al obiectului administrat i reprezint capabilitatea de a furniza informaii sistemului de management despre condiiile n care se afl obiectul administrat. n recomandrile ITU-T [X.731] au fost standardizate trei dintre cele mai uzuale stri n care se pot afla elementele de reea: Operabilitatea, starea care indic dac resursa respectiv a reelei este operaional, neoperaional sau necunoscut. Utilizarea, reprezint starea de utilizare a unei resurse a reelei i are trei posibile variante: nefolosit, activ i ocupat. Starea administrativ indic managementului de sistem dac resursa poate sau nu s fie folosit, independent de starea ei operaional sau de starea utilizrii. Resursa se poate afla n una din cele trei stri administrative:

10

blocat, ceea ce semnific c este blocat pentru furnizarea de servicii ctre utilizatorii si; neblocat, adic este administrativ deschis pentru a furniza servicii ctre utilizatorii si; n curs de oprire, stare n care resursa poate furniza servicii doar ctre utilizatorii care aveau deja permisiunea utilizrii ei, nefiind permis folosirea ei de ctre noi utilizatori. Anunarea schimbrii de stare este o opiune care poate sau nu s fie implementat. Dac este implementat ca mecanism, atunci ea are rolul de a informa aplicaia de management asupra modificrilor de stare ce pot surveni n cazul unui element de reea. Managementul strii resurselor elementelor de reea Prin starea resurselor de reea se nelege o gam mai variat de atribute de stare, care pot semnifica prezena sau absena unei condiii particulare, specifice acelei resurse. n recomandrile ITU-T, dedicate acestui subiect [X.731] au fost definite o serie ntreag de atribute. Astfel: atributul strii de alarm, indic starea unui anumit tip de alarm asociat cu o resurs: gravitatea ei, efectul alarmei asupra resursei, o msur a rezoluiei alarmei etc; atributul de stare al procedurii, indic tipul de procedur care a fost cerut n vederea efecturii ei de ctre resursa respectiv sau indic faza de execuie a procedurii n curs de efectuare; atributul strii de disponibilitate, indic condiiile de lucru care pot afecta disponibilitatea unei anumite resurse; atributul strii de control, indic aciunea de control care a fost efectuat asupra resursei i impactul pe care l-a avut asupra strii acesteia; atributul strii de ateptare, indic tipul de condiie de ateptare n care se afl resursa i are neles doar atunci cnd resursa respectiv face parte dintr-o configuraie de dublare a anumitor resurse.

1.2.2 Managementul defectrilor Prin defect se nelege o condiie anormal care afecteaz n mod negativ serviciile ntr-o reea de telecomunicaii.

11

Managementul defectrilor consist dintr-un set de funcii dedicate detectrii, izolrii i corectrii condiiilor anormale de lucru, care afecteaz funcionarea unei reele de telecomunicaii. Ciclul de via a managementului defectrilor, presupune cteva faze ntr-o succesiune previzibil. nti defectul este detectat i raportat imediat sistemului de management. Acesta iniiaz teste de diagnosticare n scopul identificrii cauzei care a condus la apariia defectului propriuzis. n fig. 1.12 pot fi urmrite principalele etape ale ciclului de via al procesului de management al defectrilor. Supravegherea alarmelor, este responsabil pentru detectarea defectelor, defectul fiind definit ca o condiie persistent n starea unui element al sistemului i care l mpiedic pe acesta s funcioneze n parametri normali. Managementul testelor, este responsabil pentru planificarea i coordonarea testelor efectuate n vederea identificrii cauzei primare a defectului. Localizarea defectelor, este responsabil pentru identificarea cauzei primare a defectului. Corectarea defectelor, este responsabil pentru iniierea i desfurarea acelor aciuni potrivite pentru eliminarea cauzei defectelor. Administrarea problemelor este responsabil pentru meninerea actualizat a bazei de date, ce conine rapoartele cu problemele recepionate de la client sau de la sistemul de management.
Raport ctre client Raport de la client asupra problemei

Raport privind probleme/alarme

Supravegherea alarmelor

Administrarea problemelor

Raport de defectare
Managementul testelor Localizarea defectelor

Rezultatele testelor

Cauza i localizarea defectului

Corectarea defectelor

12

Fig. 1.11. Model pentru ciclul de via a managementului

1. Procesul de supraveghere a alarmelor urmrete permanent detectarea a noi defecte, genernd apoi un raport detaliat, ctre sistemul de management, referitor la noul defect aprut. Acest proces poate fi divizat n trei etape successive: colectarea informaiilor de stare i detectarea anomaliilor funcionale; informaiile culese sunt filtrate i prelucrate pentru a se obine tipul real de alarm, care este apoi generat; alarma detectat este raportat ntr-o form predefinit sistemului i nregistrat, dac acest lucru este prevzut. Rapoartele privitoare la alarme trebuie s conin informaii standardizate privind: categoriile de alarme, care pot fi de tipul: alarme de comunicaii; alarme referitoare la calitatea serviciilor; alarme de procesare; alarme de echipament; alarme de mediu; gravitatea alarmelor, cuantificat pe urmtoarele ase nivele: alarme critice; alarme majore; alarme minore; alarme de atenionare; alarme care indic faptul c a disprut un anumit tip de alarm anterioar; alarme nedeterminate; un set predefinit de cauze probabile, care este definit n [X.733].

13

2. Managementul testelor poate fi clasificat, n funcie de nivelul la care acioneaz, astfel: la nivelul servicii, la nivelul reea sau la nivelul element de reea. Prima categorie de teste, referitoare la servicii, reprezint o activitate complex, care nu este standardizat complet nc i care trebuie s in cont de interaciunile i gradul de dependen dintre diferitele servicii implicate. O testare complet a unui serviciu pornete de la definirea strategiei de testare, apoi proiectarea unei combinaii de teste referitoare la anumite caracteristici ale serviciului i ale legturilor pe care acestea le au cu alte servicii, urmat de desfurarea efectiv a testelor, i, n final, de generarea unor rapoarte de testare ntr-un format standard prestabilit. A doua categorie de teste, cele desfurate la nivelul ntregii reele, presupune urmtoarea succesiune logic de pai: este definit un plan de testare, la nivelul unor seciuni din reea, pentru a determina care segment este generator de probleme; sunt selectate acele teste care pot satisface cerinele planului de testare propus; rezultatele obinute, pentru fiecare segment de reea, sunt adunate i corelate pentru a fi identificat poriunea de reea care genereaz probleme. Pentru tipul de teste ce pot fi efectuate asupra elementelor de reea, gama acestora este foarte variat, innd seama de eterogenitatea reelelor de telecomunicaii actuale i de varietatea de soluii oferite de furnizorii de echipamente. Totui, n recomandrile ITU-T [X.745] este specificat cadrul de lucru general pentru managementul testelor, acesta fiind concentrat pe testele efectuate asupra elementelor de reea. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]: teste de conexiune - verific conexiunea ntre dou entiti distincte; teste de conectivitate - verific conectivitatea ntre dou entiti distincte; teste de integritate a datelor, verific dac datele transferate ntre dou entiti distincte ale reelei sunt corupte; teste de bucl - determin timpul necesar transferrii datelor ntre dou entiti, pe o conexiune dat; teste de integritate a protocolului - determin dac dou entiti sunt capabile sau nu s schimbe date ntre ele prin intermediul unui protocol specificat;
14

teste de limitare a resurselor - verific comportamentul unei resurse a reelei, atunci cnd aceasta a ajuns la limita capacitilor sale.

3. Localizarea defectelor are drept sarcin principal identificarea cauzelor primare ale defectelor, pe baza rezultatelor testelor de diagnosticare, a alarmelor deja filtrate de procesul de supraveghere a alarmelor ct i pe baza altor condiii predefinite. 3. Corectarea defectelor presupune: - nlturarea cauzei defectelor nou aprute (dac este posibil), - refacerea strii anterioare a serviciilor, a) nlocuirea resurselor defecte, este aplicabil unei categorii foarte mari de elemente de reea, care pot fi uor ncadrate n specificaii tehnice i funcionale precise; b) izolarea defectului, presupune izolarea acelei componente de reea care prezint anomalii n funcionare, ncercnd astfel s fie prevenit extinderea aciunii defectului respectiv asupra altor componente; c) comutarea pe o resurs de rezerv, este posibil atunci cnd sistemul are prevzut o asemenea, ce asigur rezervarea la cald; d) rencrcarea sistemului, este aplicat, n general, n cazul apariiei problemelor generate de funcionarea necontrolat a unui modul software; e) instalarea unei alte resurse care s acioneze n direcia remedierii defectului, precum i f) reorganizarea serviciilor: astfel nct s foloseasc alte resurse ale reelei, ocolind astfel zona care este sub influena defectului aprut, constituie tot attea soluii privind metodologia ndeprtrii defectelor. 5. Administrarea problemelor urmrete minimizarea impactului pe care apariia unei probleme poate s l aib asupra reelei. n general, apariia defectelor (sau problemelor) se manifest imediat printr-o
15

degradare a calitii unui anumit serviciu oferit clientului. Dup cum s-a putut observa i n fig. 1.12, informaiile care indic apariia unei noi probleme pot aprea att de la propriul mecanism de supraveghere a alarmelor ct i de la client. n acest ultim caz, clientul sesizeaz c un anumit serviciu al reelei nu funcioneaz n parametrii impui i transmite aceast informaie sistemului de management. Abordarea mai nou a managementului problemelor, care poate fi gsit n [X.790], se bazeaz pe modelul agenilor de management. Exist dou entiti distincte implicate n acest proces: agentul de management, care va efectua asupra elementului de reea afectat acele operaii care s l readuc n parametrii normali de funcionare i managerul, care este responsabil de recepionarea informaiilor privind problemele aprute i coordonarea agenilor n vederea rezolvrii acestora. Vom descrie n detaliu un asemenea model de aciune n capitolul 3, n legtur direct cu algoritmul propus.

1.2.3 Managementul performanelor Principalele obiective ale managementului performanelor constau, n primul rnd, n a monitoriza i evalua comportamentul i eficiena unei reele i a calitii serviciilor oferite de aceasta utilizatorilor si, n recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale managementul performanelor: a) monitorizarea performanelor; b) analiza performanelor (prelucrarea datelor); c) controlul managementului performanelor.

Funcia de monitorizare a performanelor, aa cum este ea definit n recomandarea M.3400, se ocup de colectarea i observarea unui set specific de atribute, asociat resurselor reelei n vederea msurrii performanelor acesteia. n recomandarea Q.822 a ITU-T este prezentat un model de realizare a monitorizrii performanelor (fig. 1.14).

16

n acest scop exist un set de obiecte monotorizate (obiecte referitoare la performantele reelei) prin intermediul crora se pot evalua performanele reelei. Nivelul performanelor este corelat (comparat) cu un set de valori de prag. Sistemul de managemnent al performnelor trebuie s conin i un istoric al parametrilor de performan care s permit cacarterizarea acestora n timp. Funcia de analiz a performanelor este o a doua arie funcional a managementului performanelor, dup funcia de monitorizare a performanelor. Scopul acestei funcii este acela de a analiza datele de performan, colectate ntr-o prim faz, n vederea furnizrii unor anumite tipuri standard de informaii ctre sistemul de management, ca de exemplu: dac a aprut sau este posibil s apar o stare de congestie ntr-un punct oarecare al reelei; dac nivelul de calitate al serviciilor oferite de ctre reea, ntr-un anumit moment de timp, se ncadreaz n limitele impuse; dac poate fi respectat nivelul de performan pentru noile servicii planificate a fi implementate. Pe baza acestor informaii, sistemul de management poate lua deciziile potrivite pentru controlul performanelor. n cadrul acestei arii funcionale, sunt definite att caracteristicile de performan specifice reelelor cu comutare de circuite ct i cele specifice reelelor cu comutare de pachete. Vom aprofunda, n capitolele urmtoare, o parte din aceste criterii de performan, de aceea, aici, ne limitm doar la enumerarea ctorva dintre cele mai importante. Pentru analiza performanelor unei reele cu comutare de circuite sunt importante criterii precum: capacitatea medie de trafic a reelei, capacitatea instantanee de trafic a reelei, rata de apeluri pierdute, probabilitatea de congestie etc. Pentru analiza performanei unei reele cu comutare de pachete sunt de luat n considerare noiuni precum: probabilitatea ntrzierii, numrul mediu de mesaje aflate n coad, numrul mediu de apeluri de date etc. Controlul managementului performanelor este cea de-a treia i ultima arie funcional a managementului performanelor, obiectivul acesteia fiind de a controla acele aciuni efectuate n cadrul unei reele, fie cu scopul meninerii unui anumit nivel minim al performanelor

17

sistemului, fie pentru a preveni apariia i extinderea unor situaii nedorite (de exemplu congestia sau blocarea unor resurse). Pentru a-i atinge elul propus, funcia de control al managementului performanelor utilizeaz date obinute att de la etapa monitorizrii performanelor ct i date deja prelucrate n etapa de analiz a performanelor. n recomandarea ITU-T [M.3400], precum i n cerinele generale schiate n [Bellcore GR-2869] sunt evideniate dou aspecte principale ale funciei de control al performanelor: controlul traficului i administrarea performanelor. Controlul traficului este o parte important a meninerii performanelor unei reele n cadrul unor limite bine definite. Datorit dinamicii mari a modificrilor aprute n configuraia unei reele este necesar adaptarea permanent a schemelor de rutare n vederea prevenirii apariiei unor situaii de criz de tipul congestiei sau pentru a se asigura distribuirea n mod uniform a traficului n cadrul reelei, obinndu-se n acest fel drept rezultat o ncrcare echilibrat a reelei [RSOH97, SMMC99, SCKN98 i APOST99] Administrarea performanelor este responsabil de crearea unei politici de management al performanelor, obinut printr-o coordonare judicioas a activitilor descrise mai sus, de tipul monitorizare a performanelor sau analiz a performanelor. n cadrul acestor aciuni de coordonare, trebuie efectuate anumite categorii de operaii, de tipul celor enumerate n continuare: coordonarea activitilor de planificare referitoare la managementul performanelor; executarea unor aciuni directe de control asupra resurselor reelei; interaciunea cu alte aplicaii de management precum managementul defectrilor sau cel al configuraiei, n vederea mbuntirii performanelor. 1.2.4 Managementul securitii Este responsabil cu prevenirea i minimizarea utilizrii frauduloase a resurselor reelei. Acest deziderat poate fi urmrit prin intermediul unui set specific de aciuni, de tipul: prevenirea fraudelor, ce se focalizeaz pe un mecanism de securitate complex, al crui scop este meninerea utilizatorilor ru intenionai n afara zonelor sensibile ale reelei;
18

atunci cnd prevenirea fraudelor nu mai este posibil, este necesar detectarea imediat a violrilor de securitate i minimizarea efectelor acestora la nivelul reelei; n cazul apariiei unor fraude, sunt importante att limitarea efectelor aprute ct i refacerea strii iniiale a sistemului. Limitarea efectelor datorate unui acces fraudulos se face prin izolarea elementelor de reea afectate, urmat de neutralizarea impactului pe care acesta l-a avut asupra acestora din urm; este de asemenea responsabilitatea managementului securitii de a furniza instrumentele i mecanismele adecvate scopului urmrit. Acestea pot fi de tipul: chei de criptare, mecanisme de autentificare, protocol de securitate i mecanism de control acces. 1.2.5 Managementul contabilitii Managementul contabilitii, din cadrul reelelor de comunicaii i calculatoare, este un proces complex al crui obiectiv final este de a genera venituri pentru operatorul reelei, pe baza serviciilor oferite de acesta ctre client. Procesul ncepe cu colectarea informaiilor referitoare la resursele reelei utilizate de un element de reea i se termin cu trimiterea facturii ctre client pentru plata serviciilor de telecomunicaii folosite. Sunt incluse, de asemenea, i procese intermediare precum trimiterea datelor de la elementul de reea ctre sistemul de management, validarea cantitii de date utilizate i aplicarea apoi a politicilor tarifare. Toate aceste tipuri de activiti sunt dependente, n general, de tipul de echipamente, de interfaa dintre acestea i sistemul de tarifare i nu n ultimul rnd chiar de politica de tarifare proprie furnizorului. Apariia unor noi game de servicii, aplicate unor noi tipuri de reele multi-furnizor i multi-operator, a condus la creterea major a necesitilor de standardizare a funciei de management al contabilitii. Implementarea unor metodologii comune, standardizate, de tarifare va permite negocierea calitii serviciilor ntre diferii operatori ai reelei i, mai ales, stabilirea unor repere comune n politica de tarifare. Modul de realizare a standardizrilor specifice managementului contabilitii poate fi gsit n recomandarea X.742 a ITU-T. 1.3 Concluzii n acest capitol au fost descrise noiunile de baz din domeniul managementului sistemelor. Pornindu-se de la descrierea cerinelor funcionale impuse unui sistem de management, am prezentat modaliti i instrumente de baz necesare implementrii acestora. Ultima parte a
19

capitolului am dedicat-o descrierii celor cinci arii funcionale ale managementului de reea: managementul configurrii, managementul performanelor, managementul defectrilor, managementul securitii i managementul contabilizrii. ntrebri i teste de verificare 1. Care sunt principalele activiti ale unui administrator de reea? 2. Care sunt ariile funcionale ale managementului de reea? 3. Descriei principalele activiti referitoare la managementul configurrii. 4. Descriei principalele activiti referitoare la managementul defectelor. 5. Descriei etapele ciclului de via al managementului defectelor 6. Descriei principalele activiti referitoare la managementul performanelor unei reele. 7.

20

CAPITOLUL 2 Arhitecturi i protocoale utilizate pentru managementul reelelor de comunicaii

Tema are ca scop cunoaterea unor protocoale de administrare a reelelor cu arhitectur OSI. Sunt definite elementele componente ale procesului de management, sunt descrise protocoalele CMISE, CMIP i SNMP i serviciile care implementaz aceste protocoale, utilizate n administrarea reelelor. Dup parcurgerea i nsuirea acestei teme, studentul va cunoate: Care sunt elementele componente ale procesului de management Arhitectura pe nivele a managementului OSI Ce este o reea de management pentru telecomunicaii (TMN) i arhitecturile sale fizic, funcional i informaional Protoclalele CMISE, CMIP i SNMP Timpul minim pe care trebuie s-l acordai acestui modul este de 6 ore.

Concepte de baz n managementul reelelor

proces de management (management process), activitate de baz a managementului de reea, responsabil de transmiterea ordinelor de management ctre agenii de administrare i primirea rapoartelor de la acetia; agent de administrare1) (managing agent), entitate a activitii de management ce dialogheaz cu procesul de management, raportndu-i informaii despre starea elementelor reelei i primind instruciuni de la acesta referitoare la aciunile ce trebuie ntreprinse asupra elementelor reelei; baz cu informaii de administrare (MIB Management Information Base), BD ce conine informaii despre elementele reelei administrate i poate fi accesat att de procesul de management ct i de agenii de administrare. arborele informaiei de administrare structura arborescent ierarhic a obiectelor administrate. Aceast structur permite accesul rapid la orice informaie de administrare. Suplimentar fa de aceste componente ale sistemului de management, a fost introdus n capitolul 1 i noiunea de element de reea administrat. obiecte administrate componente de reea supuse aciunii de management.
1

Noiunile cu care se opereaz, referitor la un obiect, din perspectiva recomandrilor ISO, sunt: atribute, reprezint caracteristicile acestuia, prezente la interfaa sa cu alte obiecte; rapoarte, pe care un obiect le poate trimite la un agent de administrare i care conin informaii de stare; tipuri de operaii ce pot fi efectuate de agentul de administrare asupra sa; aciuni de rspuns la operaiile efectuate asupra sa.
1)Agentul este un modul soft care acioneaz pentru un user sau pentru un alt program n scopul realizrii unora dintre funciile (sarcinile) sale. Aciunea in numele unui utilizator presupune o anumit autoritate dac i cnd o aciune este cerut, adecvat, corect.

PROCES DE MANAGEMENT

Baz cu informaii de management

comenzi

AGENT DE ADMINISTRARE

informaii de stare

AGENT DE ADMINISTRARE

OBIECT DE ADMINISTRAT

OBIECT DE ADMINISTRAT

OBIECT DE ADMINISTRAT

OBIECT DE ADMINISTRAT

Fig. 2.1. Elemente componente ale activitii de management

O alt arie de interes este cea a modului n care sunt identificate i administrate resursele reelei. n modelul OSI-RM aceste operaii se efectueaz prin intermediul arborelui informaiei de administrare (MIT Management Information Tree), iar n cadrul Internet prin sistemul numelor pentru domenii (DNS Domain Name System).

rdcin

1.1

Nivel 1

2.1

Nivel 2

3.1

Nivel 3

4.1 Fig. 2.2. Exemplu de arbore DNS/MIT

Nivel 4

2.2 Managementul reelelor cu arhitecturi OSI Managementul reelelor cu arhitectur ISO-OSI-RM, este asigurat pe baza protocoalelor de nivel nalt: aplicaie, prezentare i sesiune. La aceste niveluri sunt implementate funciile (serviciile) de management prin intermediul protocoalelor dedicate.

2.2.2 Arhitectura pe nivele a managementului OSI Managementul sistemelor se realizeaz, n general, la nivelul aplicaie i folosete entiti SMAE. Ce sunt de fapt SMAE? De exemplu, solicitarea de la un element de reea de informaii referitoare la starea sa. Aceast entitate SMAE este, la rndul ei, constituit dintr-un set de elemente de serviciu aplicaie ASE (Application Service Element Element de serviciu aplicaie) care coopereaz ntre ele (fig. 2.3). De exemplu, solicitarea informaiilor de stare a unui element de reea poate conine mai multe operaii elementare: localizarea elemenului de reea, stabilirea unei conexiuni cu el, cerere de transmitere a unei informaii, rspunsul ER, o alt cerere urmat de rspuns, etc.

Procesare informaie

SMAE SMASE

ASE ACSE

CMISE

ROSE

Nivel Aplicaie

ASE

Nivel Prezentare

Fig. 2.3. Structur de management pentru sistemele OSI

Alte tipuri de elemente ale serviciilor de management sunt: ROSE (Remote Operations Service Element), ACSE (Association Control Service Element) SMASE (Systems Management Application Service Element - Element de serviciu al aplicaiei de management a sistemelor). 2.2.3 Protocoale CMISE/CMIP folosite pentru managementul sistemelor OSI Protocolul cel mai des utilizat n managementul sistemelor construite conform OSI-RM este constituit dintr-o suit de servicii i protocoale definite n CMISE/CMIP. CMISE este cel ce stabilete ce tip de servicii trebuie furnizat de fiecare element al sistemului de management n scopul administrrii reelei. CMIP specific modul n care sunt implementate serviciile definite de CMISE.

Clasele de servicii definite de CMISE Orice aplicaie de management care ruleaz n sistem folosete serviciile CMISE, devenind un utilizator de servicii pentru acesta. n funcie de scopul lor, aceste servicii au fost grupate n trei clase distincte:
1. 2. 3.

servicii de asociere de management; servicii de raportare de management; servicii ale operaiilor de management. Serviciile de asociere de management sunt destinate, n principal, asigurrii

controlului asocierilor ce se stabilesc ntre dou sisteme de management corespondente, situate pe acelai nivel ierarhic. Ele controleaz iniializarea, eliberarea normal sau forat a unei conexiuni destinat unei asocieri de management ntre dou puncte corespondente, utiliznd pentru aceasta trei tipuri distincte de servicii: M-INITIALIZE; M-TERMINATE; M-ABORT. Serviciul M-INITIALIZE este folosit pentru a stabili o asociere ntre doi utilizatori de servicii ai CMISE.
Proces aplicaie de management SMASE SMAE CMISE CMIP ACSE ROSE Nivel 6 Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1 Nivel 7

ISO - Prezentare ISO - Sesiune ISO - Transport ISO Reea ISO Legtur de date ISO - Fizic

Fig. 2.4. Protocoale CMISE/CMIP n ierarhia OSI-RM

5

Serviciul M-TERMINATE ncheie n mod normal o asociere ntre dou entiti de management Serviciul M-ABORT ncheie n mod forat acest tip de asociere. Aceste servicii de asociere utilizeaz pentru operare serviciile furnizate de ACSE, iar n cazuri mai rare pe cele ale ROSE. Serviciul raportare de management furnizeaz informaii despre evenimentele aprute n reea. n acest scop, se utilizeaz serviciul M-EVENT-REPORT care informeaz un utilizator de servicii al CMISE despre un eveniment aprut la utilizatorul corespondent. Servicii ale operaiilor de management sunt n numr de cinci, dup cum urmeaz: M-GET; M-SET; M-ACTION; M-CREATE; M-DELETE. Serviciul M-GET este apelat, de un utilizator de servicii CMISE pentru a solicita informaii de management de la un utilizator corespondent. Este de tipul cu confirmare, deoarece necesit un rspuns la cerere. Serviciul M-SET permite unui utilizator CMISE s modifice informaiile de management ale altui utilizator. Dup cum ateapt sau nu rspuns, poate fi de tipul cu confirmare sau nu. Serviciul M-ACTION este folosit de un utilizator CMISE pentru a indica unui corespondent efectuarea unei anumite operaii prezente. Poate lucra att cu confirmare, ct i fr confirmare. Serviciul M-CREATE este utilizat de un utilizator de servicii CMISE pentru a cere unui utilizator corespondent crearea unei alte instanieri a obiectului administrat.

Serviciul M-DELETE este folosit de un utilizator CMISE pentru a cere utilizatorului corespondent tergerea unui instanier al obiectului administrat i este pemis doar lucrul n modul confirmat.

Asocieri de management
O asociere de management este, de fapt, o conexiune logic realizat ntre dou sisteme corespondente, aflate pe acelai nivel al OSI-RM, n vederea realizrii managementului de sistem. Realizarea conexiunii presupune implicarea serviciului CMISE la interfaa cu protocoale situate pe alte nivele ierarhice. CMISE asigur suportul necesar realizrii a patru tipuri distincte de asocieri ntre dou sisteme corespondente, dup cum urmeaz: asociere tip eveniment; asociere tip eveniment/monitor; asociere tip monitor/control; asociere tip manager/agent. asocierea tip eveniment permite celor dou sisteme corespondente, aflate n conexiune, s schimbe ntre ele mesaje tip M-EVENT-REPORT; asocierea tip eveniment/monitor este prevzut cu facilitatea suplimentar de a primi sau trimite i mesaje de tip M-GET; asocierea tip monitor/control permite utilizatorilor corespondeni s trimit mesaje de cerere de tip M-GET, M-SET, M-CREATE, M-DELETE i M-ACTION, fr s aib facilitile primului tip de asociere; asocierea tip manager/agent permite utilizatorilor corespondeni utilizarea oricrui tip de servicii.

2.3 Reele de management pentru telecomunicaii TMN

Reele distincte, dedicate managementului sistemelor de telecomunicaii TMN (Telecommunications Management Network, Recomandrile ITU-T, M.3010) Are la baz principiul c reeaua administrat este tratat separat de reeaua care o administreaz. Pornind de la necesitatea ndeplinirii acestei cerine, pot fi evideniate trei arhitecturi de sistem complementare, care furnizeaz o imagine complet asupra structurii TMN:
1. 2. 3.

arhitectura fizic a TMN; arhitectura funcional a TMN; arhitectura informaional a TMN. Arhitectura fizic i elementele funcionale ce o definesc:

OS (Operations System Sistem de operare), soft de management ce se poate afla n nodurile de control i are rolul de a procesa informaiile de management; NE (Network Element Element de reea), se refer la orice echipament de telecomunicaii, ce se afl n nodurile controlate ale reelei, comunicnd cu TMN n vederea administrrii lui; Q-A (Q-Adaptor Adaptor Q), este un dispozitiv care asigur conectarea ntre NE-uri sau OS-uri cu elementele compatibile care nu aparin unei reele TMN (n general NE-uri exterioare); MD (Mediation Device Dispozitiv de mediere), are drept scop realizarea funciei de mediere ntre OS i NE sau ntre OS i Q-A; DCN (Data Communication Network Reea de comunicaii de date), reprezint o reea de date intern reelei TMN, ce asigur funciile i serviciile specifice primelor trei nivele din ierarhia ISO; WS (Workstation Staie de lucru), furnizeaz utilizatorului final accesul bidirecional la sistemul de management i anume: ntr-un sens colecteaz toate datele relevante de la sistem i le afieaz utilizatorului ntr-un format potrivit,

iar n cellalt sens decodific i trimite spre sistemul de management comenzile primite de la managerul de sistem. TMN
F X

OS Q3 X

WS

F DCN Q3 WS

MD Q3 Q3 QX

DCN QX QX

Q-A

NE

Q-A m NE

NE

Fig. 2.6. Exemplu de arhitectur fizic TMN

ntre aceste dispozitive componente pot fi realizate interconexiuni, folosind anumite tipuri de interfee standard: interfee Q, care pot fi de dou feluri: interfaa Q3 ntre OS i una dintre urmtoarele componente: NE, Q-A sau MD; interfaa Qx ntre MD i Q-A sau ntre MD i NE; interfaa F ntre OS i WS, deci ntre un sistem i un terminal; interfaa X, care poate fi folosit ntre dou TMN-uri diferite. O posibil arhitectur fizic de reea, care conine i interfeele definite mai sus, este prezentat n fig. 2.6 (conform recomandrii M.3010 a ITU-T).

TMN

Arhitectura funcional Este construit pe baza arhitecturii fizice, evideniind funciile pe caree trebuie s le ndeplineasc sistemul de management i legturile (interfeele) dintre ele. OSF (Operations System Function Funcie sistem de operaii), ce proceseaz informaiile de management n scopul monitorizrii, coordonrii i controlului funciilor de telecomunicaii; NEF (Network Element Function Funcie element de reea), ce comunic cu TMN pentru a permite acestuia monitorizarea i controlul NE-ului asociat; WSF (Workstation Function Funcie staie de lucru), ce interpreteaz informaiile primite de la TMN pentru a le transmite n formatul potrivit spre utilizator; MF (Mediation Function Funcie de mediere), menit s asigure transferul corect al informaiilor ntre OSF i NEF sau QAF; QAF (Q Adapter Function Funcie adaptor Q), ce este utilizat pentru a asigura conectarea prilor componente funcionale ale TMN la elemente ce nu aparin TMN (ca de exemplu NEF sau OSF) . n concluzie, TMN definete o reea de management pentru reelele de telecomunicaii i are la baz patru tipuri distincte de arhitecturi: funcional, fizic, stratificat logic i informaional. TMN
OSF

WS

MF

WSF

QAF

NEF

QAF

NEF

Fig. 2.7. Exemplu de arhitectur funcional TMN

10

TMN
g

Avantajele utilizrii TMN n managementul reelelor de telecomunicaii pot fi rezumate astfel: cu ajutorul modelului TMN pot fi integrate sisteme de management diverse ntr-un singur punct de control centralizat al operaiilor, reducnd astfel costurile necesare ntreinerii cu personal i resurse a mai multor centre de management n paralel; folosirea interfeei Q3 va conduce la standardizarea schimbului de informaii de management ntre sistemele de management i diverse elemente de reea; folosirea modelelor informaionale ale TMN, pentru modelarea tuturor elementelor de reea ce trebuie administrate, va conduce la o uniformizare a reprezentrii acestora, simplificnd astfel operaiile de management i dezvoltare ulterioar a reelei.

Protocolul CMOT (CMIP over TCP/IP) Este descris n documentul RFC 1095 (1989) i este, de fapt, o adaptare a protocoalelor de administrare a reelelor OSI la reelele ce folosesc protocolul de transport TCP/IP, cum este i Internet-ul.
Manager Agent
+-----------------------+ +-----------------------+ | | | | | +----+ +----+ +-----+ | <-------> | +----+ +----+ +-----+ | | |ACSE| |ROSE| |CMISE| | CMIP | |ACSE| |ROSE| |CMISE| | | +----+ +----+ +-----+ | | +----+ +----+ +-----+ | | | | | +-----------------------+ +-----------------------+ | LPP | | LPP | +-----------------------+ +-----------------------+ | TCP | UDP | | TCP | UDP | +-----------------------+ +-----------------------+ | IP | | IP | +-----------------------+ +-----------------------+ | Link | | Link | +-----------------------+ +-----------------------+ | | ========================================================= Network =========================================================

Figure 1.

The CMOT Protocol Architecture

La fel ca CMISE, CMOT se bazeaz pentru realizarea unei comunicaii pe protocoalele ACSE, ROSE i CMIP. Noutatea const n utilizarea protocolului LPP (Light weight Presentation Protocol Protocol de prezentare de categorie
11

uoar), definit n RFC 1085 i care nlocuiete protocolul de prezentare al lui ISO, nedezvoltat nc. De fapt, el trebuie s asigure interfaa cu dou din cele mai cunoscute protocoale de nivel transport utilizate n Internet, TCP i UDP (fig. 2.12). Acest protocol trebuie s aib capabilitatea stabilirii uneia din cele patru tipuri de asocieri utilizate de CMISE: asociere eveniment, asociere eveniment/monitor, asociere monitor/control i asociere manager/agent. Protocolul LPP trebuie s interfaeze protocoalele de nivel 7 OSI, ROSE i ACSE, cu nivelul 5 OSI, dac acesta este implementat, iar dac nu direct cu protocoalele de nivel transport din Internet, TCP/IP sau UDP.

MANAGEMENT REEA

Baza cu informaii de management

AGENT DE ADMINISTRARE comenzi

Informaii de stare

AGENT PROXY

ENTITATE DE ADMINISTRAT

ENTITATE DE ADMINISTRAT

Element de reea

Fig. 2.11. Elemente componente ale managementului Internet

Proces aplicaie de management CMISE ACSE LPP ISO - Sesiune UDP IP ISO Legtur de date ISO - Fizic TCP ROSE Nivel 7 Nivel 6 Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1

Fig. 2.12. Arhitectura protocoalelor CMOT n ierarhia OSI-RM

12

Fiind de nivel 6, adic prezentare, pentru LPP au fost deja implementate cinci servicii specifice acestui nivel i anume: serviciul P-CONNECT; serviciul P-RELEASE; serviciul P-U-ABORT; serviciul P-P-ABORT; serviciul P-DATA. Pentru conectarea direct la nivelul de transport, au fost alocate i numere distincte de porturi, un tip pentru cel de manager i altul pentru cel de agent: numr port manager pentru conectare la TCP: 163/TCP; numr port manager pentru conectare la UDP: 163/UDP; numr port agent pentru conectare la TCP: 164/TCP; numr port agent pentru conectare la UDP: 164/UDP. Simplitatea protocolului LPP este dictat i de lipsa oricrei posibiliti de negociere pentru parametrii serviciilor asigurate. SNMP Acest protocol a fost primul dezvoltat pentru managementul reelelor ce folosesc protocoalele TCP/IP i a trecut pn n prezent prin mai multe etape de standardizare. Cea mai actual descriere a arhitecturii i procedurilor SNMP se gsete n RFC 1157, dar pot fi consultate, pentru completarea unei priviri de ansamblu, i mai vechiul RFC 1098 sau RFC 1156 pentru MIB-I i RFC 1231, pentru noul standard MIB-II. n realizarea arhitecturii actuale a SNMP, descris n RFC 1157, s-au avut n vedere anumite cerine exprese, i anume: arhitectura trebuie s fie independent de tipurile de staii de lucru, gateway-uri i routere utilizate; construirea unui agent de administrare ct mai simplu i mai ieftin; asigurarea unui numr ct mai mare i mai variat de funcii de management de la distan pentru a se putea profita ct mai bine de resursele imense ale Internetului. Conceptual SNMP opereaz cu urmtoarele noiuni: element de reea - o reprezentare pe obiecte a componentelor ce vor fi administrate; agent de administrare ce asigur interfaa funcional ntre elementul de administrat i administrator; staie SNMP ce reprezint platforma pe care ruleaz procesele de administrare;
13

MIB - este baza de date ce conine informaii despre toate resursele reelei. SNMP folosete un set standard de mesaje pentru a asigura comunicaia ntre agent i staie, fiecare din aceste mesaje fiind transmis ntr-un unic pachet. Acest mod de abordare face posibil utilizarea protocoalelor de transport fr conexiune, de tipul UDP-ului. O prezentare bloc a modului de interacionare a SNMP cu celelalte protocoale de reea se gsete n fig. 2.13. Au fost definite cinci tipuri de mesaje utilizate n cadrul SNMP: Get-Request; Get-Response; Get-Next-Request; Set-Request; Trap. Get-Request este utilizat de staia SNMP pentru a solicita informaii de la un element de reea, care este servit de un agent ce poate prelua mesajul.
SNMP
cerere

rspuns

UDP IP Legtur de date Strat fizic Fig. 2.13. Protocolul SNMP n arhitectura protocoalelor Internet

Get-Next-Request poate fi folosit mpreun cu Get-Request atunci cnd se utilizeaz o organizare a obiectelor n tabele. Cu ajutorul lui Get-Next-Request se poate cere, ntr-un mod simplificat, urmtorul obiect din tablou, incrementnd cu o unitate poziia din tabel setat de Get-Request. Mesajul Get-Response d rspunsul la una din tipurile de cereri descrise mai sus poate fi dat de elementul de reea prin intermediul agentului asociat. Set-Request permite modificarea de la distan a configuraiei parametrilor elementului de reea administrat.
14

SNMP Trap este singurul tip de mesaj nesolicitat de staie, care poate fi generat de agent atunci cnd acesta dorete s informeze managementul de sistem despre apariia unui anumit eveniment.

2.7 Concluzii n cadrul acestui capitol am trecut n revist cteva dintre cele mai uzuale i moderne moduri de abordare a managementului reelelor de telecomunicaii. Am pornit cu prezentarea managementului sistemelor ce pot fi reprezentate de modelul de referin OSI al ISO, acestea fiind i primele i cele mai complexe ncercri de standardizare n domeniu. A fost prezentat apoi un model de reea de management distinct de reeaua de telecomunicaii (TMN), aceasta fiind una din abordrile utilizate n prezent. Principalele caracteristici ale TMN care sunt de interes din aceast perspectiv: arhitectura TMN - sunt specificate trei tipuri de arhitecturi: funcional, informaional i fizic; interfeele standard - exist trei tipuri de interfee (Q, X i F) prin intermediul crora este realizat interoperabilitatea managementului dintre diferite elemente de reea; modelul informaional al TMN - este constituit dintr-o mulime de obiecte administrate, care reprezint resursele administrate ale reelei; protocolul de management al TMN - determin modul n care sunt transportate informaiile de management de la un cap la altul al reelei; modelul agent-manager - specificaiile TMN adopt modelul de comunicare larg rspndit, tip agent-manager, prin care sistemul de management emite instruciunile de management spre ageni i recepioneaz datele de management de la acetia.

Teste de verificare 1. Definii i explicai coninutul urmtoarelor noiuni: proces de management, agent de management, baza informaiilor de management, arborele informaiilor de management, obiect administrat, 2. Descriei elementele componente ale unei activiti de management de reea i stucturarea lor pe nivele ierarhice. 3. Enumerai clasele de servicii definite de CMISE 4. Definii i explicai conceptul TMN
15

5. Descriei arhitectura fizic i arhitectura funcional a TMN 6. Descriei protocolul SNMP i utilizarea sa n administrarea reelelor 7. Descriei protocolul CMOT 8.

16

Tema 3. Windows Standard Server 2003

Tema are ca scop cunoaterea sistemelor de operare care stau la baza funcionrii i administrtrii reelelor de tip Windows. Dup parcurgerea i nsuirea acestei teme, studentul va cunoate: Care sunt principalele sisteme de operare de reea de tip Windows Server (2000, 2003, 2008) Componentele sistemului de operare Windows Server 2003 Serviciile de reea asigurate de sistemul de operare Windows Server 2003 Serviciul de directoare Active Directory Instalarea unui controller de domeniu Administrarea unui controller de domeniu Timpul minim pe care trebuie s-l acordai acestui modul este de 10 ore.

Windows Server 2003 este un sistem de operare de reea fiabil, care ofer soluii simple i rapide pentru firme (mediu enterprise). Acest server flexibil este o alegere ideal pentru cerinele de fiecare zi ale firmelor de orice dimensiune. Windows Standard Server 2003 constituie o soluie pentru: partajarea fiierelor i imprimantelor, conectarea securizat la Internet, securizarea aplicaiilor, clienilor, fiierelor, desfurarea centralizat a aplicaiilor din spaiul de lucru i posibilitatea unei colaborri fructuoase ntre angajai, parteneri i clieni. Windows Standard Server 2003 permite multiprocesare simetric pe 2 ci i pn la 4 GB de memorie. Multiprocesarea simetric (SMP) este o tehnologie care permite softwareului s utilizeze mai multe procesoare pe un singur server pentru a mbunti performana, un concept cunoscut i sub denumirea de scalare hardware sau scaling up.

Construit pe fundaia de ncredere a familiei Windows 2000 Server, Windows Server 2003 constituie un mediu puternic pentru aplicaii.

Cele mai importante cracteristici ale Windows Server 2003

1. Uor de implementat, administrat i utilizat
Cu interfaa sa familiar, Windows Server 2003 este uor de utilizat. Asistenii de tip wizard simplific setup-ul diferitelor roluri de server i fluentizeaz sarcinile de administrare, Administratorii au la ndemn mai multe caracteristici noi sau mbuntite, proiectate pentru facilitarea implementrii Active Directory. Copii ale structurilor Active Directory de mari dimensiuni pot fi distribuite pe medii de backup. Upgrade-ul de la versiunile anterioare, cum ar fi Windows NT Server 4.0, este simplificat cu Active Directory Migration Tool (ADMT), care copiaz parolele i este deplin programabil prin scripturi. Administrarea Active Directory este mai uoar, avnd posibilitatea de redenumire a domeniilor sau redefinire a schemelor. Administratorii dispun de flexibilitatea mai mare pentru a face fa schimbrilor organizaionale ce pot aprea. n plus, cross-forest trusts permite administratorilor s conecteze structuri forest Active Directory, asigurnd autonomia fr a sacrifica integrarea. n final, instrumentele mbuntite pentru distribuire, cum ar fi RIS (Remote Installation Services), ajut administratorii s creeze imagini de sistem pentru a le instala pe servere.

2. Infrastructur sigur
Arhitectura hardware este modular, structurat pe mai multe niveluri (fig 1).

3. Cost total de deinere mai sczut prin consolidare i utilizarea celor mai noi tehnologii
Windows Server 2003 asigur multe avantaje de ordin tehnic ce ajut organizaiile s scad costurile totale de deinere. De exemplu, Windows Resource Manager, permite administratorilor s seteze nivele maxime de alocare a resurselor (procesoare sau memorie) pentru aplicaiile server. Administrarea acestor resurse se face prin setri Group Policy. Sistemele de stocare ataate la reea permit consolidarea serviciilor de fiiere.

Aplicaii Win32 Subsistemul Win32

Aplicaii POSIX* Subsistemul POSIX

Aplicaii OS/2 Subsistemul OS/2 Modul utilizator Modul kernel

Servicii executive
Manager I/O Manager securitate Manager memorie Manager procese Manager plug&play Manager frerstre

Manager obiecte
Sistem de fiiere

Drivere dispozitive

Kernel

Hardware Absrtraction Layer (HAL) Hardware

Drivere ptr. dispozitive grafice

Fig. 1 Structura sistemului de operare Windows Server 2003

* POSIX or "Portable Operating System Interface [for Unix]"[1] is the name of a family of related standards specified by the IEEE to define the application programming interface (API),

4. Creare facil de site-uri Web dinamice pe intranet sau Internet

IIS 6.0, serverul Web inclus n Windows Server 2003, asigur o securitate mbuntit i o arhitectur solid ce ofer aplicaiilor izolare i performan de excepie. Rezultatul este o mai bun fiabilitate, iar serviciile Microsoft Windows Media uureaz construirea de soluii performante pentru fluxuri media cu programare dinamic a coninutului.

5. Dezvoltare rapid cu Integrated Application Server

Arhitectura Microsoft .NET Framework este adnc integrat n sistemul de operare Windows Server 2003. Microsoft ASP.NET face posibil crearea de aplicaii Web de nalt performan. Cu tehnologia .NET, dezvoltatorii sunt eliberai de sarcina scrierii codului pentru conectare, putndu-se concentra asupra aspectelor importante, de funcionalitate. Mai mult, ei pot dezvolta aplicaii folosind limbajele i instrumentele cu care sunt obinuii.

Windows Server 2003 asigur multe caracteristici ce sporesc productivitatea dezvoltatorilor i valoarea aplicaiilor. Aplicaiile existente pot fi rempachetate ca servicii Web XML. Aplicaiile UNIX pot fi uor integrate sau migrate. Dezvoltatorii pot construi rapid aplicaii i servicii Web orientate spre dispozitivele mobile prin controalele ASP.NET Mobile Web Forms sau alte instrumente.

6. Instrumente robuste de management

Ateptat pentru a fi disponibil ca i component add-in, instrumentul GPMC (Group Policy Management Console) permite administratorilor s distribuie i s gestioneze mai bine politicile ce automatizeaz configurrile cheie n arii cum ar fi staiile utilizator, setrile, securitatea i profilurile roaming. Un nou set de instrumente n linia de comand va oferi administratorilor posibilitatea de a scripta i automatiza funciile de management majoritatea sarcinilor de administrare vor putea fi efectuate din linia de comand dac se dorete. Suportul pentru Microsoft Software Update Services (SUS) va ajuta administratorii s automatizeze distribuirea i instalarea ultimelor actualizri software disponibile. Serviciul Volume Shadow Copy mbuntete backup-ul, restaurarea i sarcinile de administrare SAN (System Area Network).

7. Funcionaliti noi pentru utilizatori, simultan cu reducerea costurilor

Cu noua caracteristic Shadow Copy, utilizatorii pot regsi instantaneu versiuni anterioare ale documentelor. mbuntirile aduse la nivelul DFS (Distributed File System) i serviciului de replicare a fiierelor asigur utilizatorilor o modalitate consistent de a-i accesa fiierele oriunde s-ar afla. Pentru utilizatorii de la distan care au nevoie de securitate la nivel nalt, Connection Manager poate fi configurat s acorde utilizatorilor acces VPN fr ca acetia s fie nevoii s cunoasc informaiile tehnice necesare setrii conexiunii.

Windows Server 2008 - scurt prezentare

Lansat n Romnia n martie 2008, Windows Server 2008 prezint o serie de faciliti i mbuntiri fa de Windows Server 2003. Windows Server 2008 este cel mai avansat sistem de operare Windows Server, conceput pentru a susine generaia urmtoare de reele, aplicaii i servicii Web.

Virtualizare integrat
Windows Server Hyper-V, tehnologia de virtualizare a serverului de generaie urmtoare bazat pe hypervisor, permite mai multe roluri de server ca maini virtuale separate, care ruleaz pe o singur main fizic. Se pot, de asemenea, rula eficient mai multe sisteme de operare - Windows, Linux i altele n paralel, pe un singur server.

Dezvoltat pentru Web

Windows Server 2008 integreaz Internet Information Services 7.0 (IIS 7.0), un server Web i o platform uor de administrat, cu securitate mbuntit, pentru dezvoltarea i gzduirea aplicaiilor i serviciilor Web. IIS 7.0 asigur, de asemenea, administrare simplificat, funcionaliti puternice de diagnosticare i depanare care economisesc timp i capacitate complet de extindere.

Securitate ridicat
Windows Server 2008 este cel mai sigur server Windows lansat pn n prezent. Sistemul de operare a fost consolidat pentru a asigura protecie mpotriva eecurilor i cteva tehnologii noi ajut la blocarea conexiunilor neautorizate la reele, servere, date i conturi de utilizatori. Network Access Protection (NAP) se asigur c PC-urile care ncearc s se conecteze la reea respect politicile de securitate ale companiei. Integrarea tehnologiei i alte mbuntiri fac din serviciile Active Directory o soluie puternic unificat i integrat Identity and Access (IDA). Read-Only Domain Controller (RODC) i BitLocker Drive Encryption permit o implementare mai sigur a bazei de date AD la sucursale. Putere de calcul de nalt performan Beneficiile i economiile aduse de Windows Server 2008 au fost extinse la Windows HPC Server 2008, pentru a garanta un mediu de calcul de nalt performan (HPC). Windows HPC Server 2008 este dezvoltat pe tehnologia pe 64 de bii a sistemului Windows Server 2008 i poate fi scalat eficient la mii de nuclee de procesare cu ajutorul funcionalitilor integrate. Acest lucru crete productivitatea i reduce complexitatea mediului HPC. Windows HPC Server 2008 permite o adoptare la nivel extins, oferind utilizatorilor finali o experien vast i integrat, scalabil de la aplicaii desktop la clustere i include un set complet de instrumente de implementare, administrare i monitorizare, care garanteaz integrarea cu infrastructura existent.

Nouti
Windows Server 2008 ofer funcionaliti noi i mbuntiri puternice ale sistemului de operare Windows Server de baz, care ajut organizaiile de orice dimensiune s creasc controlul, disponibilitatea i flexibilitatea necesare pentru cerinele de business n continu schimbare. Noile instrumente pentru Web, tehnologiile de virtualizare, mbuntirile securitii i utilitarele de management ajut la economisirea timpului, reduc costurile i ofer o fundaie solid pentru infrastructura IT.

Fundaie solid

Initial Configuration Tasks mut elementele interactive din faza configurrii n faza ulterioar instalrii, eliminnd interaciunea administratorului la instalarea sistemului de operare. Server Manager, consola extins Microsoft Management Console (MMC), ofer o interfa unic pentru configurarea i monitorizarea serverului, cu programe de tip expert pentru optimizarea sarcinilor comune de administrare a serverului. Windows PowerShell, un nou shell opional cu linie de comand i limbaj de script, ajut administratorii s automatizeze sarcinile de rutin de administrare a sistemului pe mai multe servere. Windows Reliability and Performance Monitor ofer instrumente de diagnosticare puternice, care v ofer vizibilitate permanent asupra mediului serverului, fizic i virtual, pentru a identifica i rezolva rapid problemele care apar. Administrare a serverului i replicare a datelor optimizate pentru control mbuntit al serverelor de la locaii de la distan, cum sunt sucursalele. Opiunea de instalare Componentized Server Core permite instalri minimale, n care sunt instalate numai rolurile i caracteristicile de care avei nevoie, minimiznd nevoile de ntreinere i reducnd zonele de atac de pe server. Windows Deployment Services (WDS) ofer un mijloc simplificat i sigur de implementare rapid a sistemului de operare Windows cu ajutorul instalrii n reea. Programele de tip expert pentru clustering n caz de failover permit chiar i personalului IT avnd cunotine generale s implementeze soluii cu disponibilitate crescut. Internet Protocol versiunea 6 (IPv6) este acum integrat complet, iar nodurile de clustere de la locaii dispersate geografic nu mai trebuie s se gseasc ntr-o subreea cu acelai IP sau s fie configurate cu reele locale virtuale (VLAN) complicate. Network Load Balancing (NLB) accept acum IPv6 i include suport pentru mai multe adrese IP dedicate, care permite gzduirea mai multor aplicaii n acelai cluster NLB. Windows Server Backup integreaz tehnologii de backup mai rapid i simplific restaurarea datelor sau a sistemului de operare.

Virtualizare
Windows Server 2008 Hyper-V, tehnologia de virtualizare a serverului de generaie urmtoare bazat pe hypervisor, permite consolidarea serverelor i utilizarea echipamentele hardware mai eficient. mbuntirile aduse n Terminal Services (TS) mbuntesc virtualizarea prezentrii.

Windows Server 2008 Hyper-V permite virtualizarea rolurilor de server sub form de maini virtuale (VM) separate care ruleaz pe aceeai main fizic, fr a fi necesar achiziionarea de software de la teri. Pot fi implementate mai multe sisteme de operare Windows, Linux i altele n paralel pe un singur server, utiliznd Hyper-V. Noile opiuni de implementare permit implementarea celor mai potrivite metode de virtualizare pentru mediul companiei. Suportul pentru cele mai recente tehnologii de virtualizare asistat de hardware permite virtualizarea celor mai complexe sarcini. Noile caracteristici de stocare, cum este accesul pass-through pe disc i suplimentrile stocrii dinamice, permit accesul mainilor virtuale la date i ofer programelor i serviciilor externe acces suplimentar la datele stocate pe mainile virtuale. Clustering-ul gazdelor Windows Server virtualization (WSv) sau al mainilor virtuale care ruleaz pe gazde WSv i backup-ul mainilor virtuale n timp ce acestea ruleaz asigur disponibilitatea ridicat a serverelor virtualizate. Noile instrumente de management i contoarele de performan fac mediul virtualizat mai uor de administrat i de monitorizat.

Web
Windows Server 2008 include instrumente mbuntite de administrare, diagnosticare, dezvoltare i pentru aplicaii n Internet Information Services 7.0 (IIS 7.0), un upgrade semnificativ de la IIS 6.0. Windows Server 2008 unific platforma de publicare Microsoft Web , inclusiv IIS 7.0, ASP.NET, Windows Communication Foundation i Windows SharePoint Services.

Designul modular i opiunile de instalare permit numai instalarea caracteristicilor de care avei nevoie, reducnd zonele de atac i simplificnd administrarea patch-urilor. IIS Manager, o nou interfa de administrare bazat pe sarcini i un nou instrument cu linie de comand appcmd.exe simplific sarcinile de administrare. Implementarea ntre locaii permite copierea cu uurin setrile site-urilor Web pe mai multe servere Web, fr a fi necesar configurare suplimentar. Administrarea delegat a aplicaiilor i a site-urilor ofer control personalizat asupra diferitelor componente ale serverului Web. Administrarea integritii serverului Web, alturi de instrumentele complexe de diagnosticare i depanare permit vizibilitatea i urmrirea cererilor care ruleaz pe serverul Web.

Izolarea mbuntit a pachetelor de aplicaii menine site-urile i aplicaiile izolate, crescnd securitatea i stabilitatea. Suport CGI mai rapid pentru rularea aplicaiilor PHP, a script-urilor Perl i a aplicaiilor Ruby. Integrarea mai strns cu funciile ASP.NET i o locaie de stocare a configuraiei pentru toate setrile configuraiei platformei Web n IIS 7.0 i ASP.NET. Un model de extensibilitate flexibil permite personalizarea, cum ar fi adugarea de module noi utiliznd cod nativ sau administrat.

Securitate
Sistemul de operare Windows Server 2008 este consolidat, integreaz mai multe tehnologii de acces i identiti i include multiple inovaii de securitate pentru implementarea mai simpl a reelelor bazate pe politici, care ajut la protejarea infrastructurii serverului, a datelor i a companiei.

Security Configuration Wizard (SCW) ajut administratorii s configureze sistemul de operare pentru rolurile de server implementate pentru a reduce zonele de atac, acest lucru avnd ca rezultat un mediu pentru server mai robust i mai sigur. Integrated Expanded Group Policy permite crearea i administrarea Group Policies, extinznd numrul de zone care pot fi administrate n siguran cu ajutorul politicilor. Network Access Protection v ajut s v asigurai c reeaua i sistemele nu sunt compromise de calculatoare virusate, izolnd i/sau depannd calculatoarele care nu se conformeaz politicilor de securitate pe care le-ai stabilit. User Account Control ofer o nou arhitectur de autentificare pentru protecie mpotriva aplicaiilor software periculoase. Cryptography Next Generation (CNG) , noua interfa API criptografic de la Microsoft, ofer flexibilitate criptografic crescut, suportnd algoritmi de criptare standard i definii de utilizator, permind crearea, stocarea i preluarea mai facil a cheilor criptografice. Read Only Domain Controller (RODC) permite o metod mai sigur pentru autentificarea local a utilizatorilor de la sucursale i birouri de la distan, cu ajutorul unei replici read-only a bazei de date AD principale. Active Directory Federation Services (AD FS) permite stabilirea mai simpl de relaii acreditate ntre parteneri cu directoare de identiti i de acces diferite care ruleaz n reele diferite, permind conectarea unic (SSO) n reele. Active Directory Certificate Services (AD CS) asigur unele mbuntiri ale Windows Server 2008 Public Key Infrastructure (PKI), inclusiv PKIView pentru monitorizarea strii Certification Authorities (CA) i un control COM nou, mai sigur pentru nscrierea Web a certificatelor n loc de ActiveX. Active Directory Rights Management Services (AD RMS) alturi de aplicaiile activate pentru RMS v ajut s protejai mai uor informaiile digitale ale companiei mpotriva utilizatorilor neautorizai.

BitLocker Drive Encryption ofer protecie mbuntit mpotriva furtului de date i a expunerii hardware-ului serverului dac este pierdut sau furat, oferind tergere mai sigur a datelor cnd renunai la servere.

Active Directory este o implementare a serviciilor de directoare LDAP (Lightweight Directory Access Protocol), folosit de Microsoft n cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziia administratorilor un mediu flexibil cu efect global pentru: setarea permisiunilor, instalarea programelor, nnoirea securitii. Toate aceste operaiuni pot fi aplicate att la reele mici, ct i la reele complexe. Protocol internet din ce n ce mai rspndit, LDAP a aprut pentru a nlocui un standard mai vechi, si anume X500. LDAP este din ce in ce mai folosit in problematica gestionarii identitilor dintro companie, accesului la aplicaiile corporative, securitate si gestionarea informaiilor de tip organizaional. Fata de bazele de date relaionale, un LDAP directory prezint cteva caracteristici importante: este mai "orientat-obiect", poate reflecta ierarhii si prezint o optimizare pentru citirea informaiilor stocate. n schimb, este mai puin "dotat" pentru update-uri frecvente si nu permite tranzacii. Servere LDAP: Microsoft Active Directory, OpenLDAP, IBM Directory Server, Novell e-Directory, Sun Java Systems Directory Server, Netscape Directory Server, Critical Path Directory Server, Syntegra Global Directory, Siemens DirX Server.

Componentele Windows Server 2003

Windows Server 2003 este un sistem de operare de reea de tip enterprise destinat gestionrii resurselor (resurse fizice, aplicaii, clieni) ntr-o reea de organizaie, cu o arhitectur de tip client - server. Componentele sale sunt destinate n primul rnd gestionrii i folosirii n comun a acestor resurse i nu transferului de date n reele mari sau ntre reele. Sistemul de operare conine i unele faciliti de lucru n reele de arie larg, cum ar fi conectare la distan, aplicaii VPN, tehnici de rutare etc. Componentele principale ale Windows Server 2003 sunt aplicaii instalate pe sereve dedicate, destinate lucrului cu fiiere, printrii, securizrii clienilor i aplicaiilor, conectrii la distan, dezvoltrii de aplicaii web, serviciului de pot electronic etc.

1. Server DNS
Serverul de nume de domenii este necesar pentru buna funcionare a serviciului Active Directory.

DNS-ul reprezint mecanismul prin care sunt denumite i recunoscute toate resursele unei reele Windows. Pe de alt parte, fiecare resurs din reea are i o adres IP de identificare unic. DNS-ul face rezoluia numelor cu adresele IP. Un serviciu DNS cuprinde urmtoarele componente: spaiul numelor de domenii nregistrri de resurse servere DNS clieni DNS Spaiul numelor de domenii este o structur arborescent care pornete de la o rdcin, de exemplu .ro, din care se formeaz recursiv subdomenii n care se fac nregistrrile de resurse. De exemplu, o resurs poate fi un calculator al unui student denumit student_1.utm.ro. O alt resurs poate fi adresa e-mail a unui student nume_student@utm.ro Serverul NS este calculatorul pe care se configureaz softul specific acestui tip de serviciu i conine dou elemente: name sreverul i resolverul. Serverul de nume are rolul de a rspunde cererilor lansate prin intermediul browserului de conversie a numelui n adrese IP. Dac serverul nu poate da acest rspuns, atunci apeleaz resolverul care va trimite cererea la un alt server DNS situat pe un nivel superior. Dac nici aceste nu poate rezolva cererea, o va trimite mai departe, spre alt server etc. Cea mai uzual nregistrare de resurs n baza de date a serverului DNS este adresa IP a resursei. O alt nregistrare important este SOA (Start of Authority). Ea conine informaii foarte importante folosite de serverul DNS n rezolvarea cererilor de numelor de domenii denumirea serverului de nume al zonei, adresa de mail a administratorului dimeniului, numrul serial al zonei, timpul de ateptare al transferului de date ntre zone, atunci cnd o zon nu mai este disponibil timpul de via al unei nregistrri, aliasul (CNAME) al unui host.

n configurarea unui server DNS se folosete conceptul de zon, care reprezint o seciune continu din spaiul numelui de domeniu. nregistrrile pentru o anumit zon sunt sunt memorate i gestionate la un loc, chiar dac domeniul este mprit n subdomenii. De exemplu studenti.utm.ro i profesori.utm.ro sunt zone separate ale domeniului utm.ro. Zonele pot fi de dou feluri:

10

primar n care se pot face actualizri secundar, copie a celei primare.

O zon este de fapt o baz de date pentru un singur nume de domeniu. Dac se mai adaug i alte domenii dup cel folosit pentru a crea zone, acestea pot s fac parte din aceeai zon sau din zone diferite. Presupunnd c s-au creat subdomenii noi, acestea pot fi gestionate ca parte a nregistrrilor din zona de origine sau pot fi delegate unei alte zone, creat pentru a deservi acel subdomeniu. De exemplu cnd se creaz prima dat domeniul utm.ro pe un server, va fi cofigurat ca o singur zon pentru ntreg spaiu al numelor DNS din utm.ro. Dac administratorul va crea ulterior subdomenii n domeniul utm.ro, de exemplu inf.utm.ro sau psih.utm.ro, acestea pot fi incluse n zona creat odat cu utm.ro sau pot fi delegate altei zone. Orice zon nou creat trebuie s aib asociat un nume ce deriv din spaiul numelor DNS-ului pentru care serverul respectiv este autorizat s rezolve cererile. n cazul nostru, numele zonei va fi chiar utm.ro. Deoarece zona este din punct de vedere fizic o baz de date, trebuie stabilit un nume pentru fiierul carte va gestiona nregistrrile serverului DNS. Acest nume va fi de forma utm.ro.dns, unde .dns are semnificaia de extensie a numelui fiierului. Un server DNS trebuie instalat i apoi administrat. Rolul de server DNS se instaleaz, de regul, odat cu Active Directory, dar se poate face i separat. Dup alegerea rolului, procesul de instalare este uor, realizat printr-un wizard. La nceput acesta detecteaz toate setrile ce in de configurarea reelei. Apoi administratorul poate alege opiunea de configurare tipic sau la cerere. Ultima necesit luarea unor decizii/opiuni din partea celui care face instalarea. De asemenea, trebuie selectat varianta de DNS recomandat pentru reele (ntreprinderi) mici/medii sau mari. Pentru cazul mici/medii se alege o Create forward lookup zone (recommanded for small networks) Aceast opiune ne oblig s spunem serverului nostru de DNS care este urmtorul server DNS care va rezolva cererile pe care serverul nostru nu le poate rezolva.

2. Active Directory i Domain Controller

Active Directory reprezint organizarea resurselelor din reea, iar Domain Controller este serverul care gzduiete AD i face serviciul de administrare
a datelor. Rolul de DC se instaleaz odat cu AD. Un domeniu reprezint o grupare logic de servere i alte resurse dintr-o reea sub un singur nume de domeniu. Un domeniu este o structura logica care va avea propriile politici de grup si va putea avea relatii de ncredere cu alte domenii.

11

Domeniul este cea mai simpl unitate de reproducere i securitate ntr-o reea Windows. Utilizarea domeniilor ofer urmtoarele avantaje: Politicile de grup nu trec de la un domeniu la altul ci se vor opri la limitele domeniului. ajuta la structurarea retelei astfel nct sa reflecte mai bine structura organizatiei sau grupului. permite delegarea autoritatiilor administrative.

Fiecare domeniu va contine doar informatii care se refera la obiectele din domeniul respectiv. Fiecare domeniu cuprinde unul sau mai multe controllere de domeniu. Un controller de domeniu este un calculator ce ruleaza o versiune de server a Windows (2000,2003,2008) sau Linux, ce se ocup de managementul unui utilizator la reea, ceea ce include logarea, autentificarea i accesul la resurse. Fiecare domeniu are propriile forme de securitate i relaii speciale cu alte domenii. Uneori un domeniu se poate ntinde pe mai multe locaii fizice, alte ori se pot crea mai multe domenii pe aceeai locaie, pentru a separa funcional uniti ale organizaiei. Un controller de domeniu conine urmtoarele informaii ce fac parte i din Active Directory : - Date despre fiecare obiect i container din domeniul respectiv - Date despre alte domenii din arbore sau pdure, pentru a putea asigura localizarea resurselor - O list cu toate domeniile din arbore i pdure - Locaia serverului de tip Catalog Global. Catalogul Global se ocup de rezovarea interogrilor obinuite. Este creat i remprosptat cu informaii noi provenite din Active Directory.

Active Directory
Cea mai simpl definiie pentru Active Directory s-ar traduce ntr-un serviciu cu ajutorul cruia utilizatorii caut i gsesc obiecte. Principala funcie a unui serviciu de director este de a permite gsirea informaiei ntr-o reea i a face accesibile datele proprii ale utilizatorilor.

12

AD organizeaz resursele unei reele (resurse fizice, utilizatori, aplicaii etc.) ntr-um mod asemntor cum NTFS organizeaz resursele unei staii de lucru (fiiere, aplicaii etc). Dar Active Directory face mult mai mult dect a permite utilizatorilor s gseasc informaiile utile. De fapt, Active Directory reprezint o soluie complet de management al sistemului informatic al unei reele de calculatoare. Active Directory are mai multe roluri importante printre care se numra : baz de date pentru fiecare obiect din reea i atributele sale un punct central pentru administrare un mecanism pentru comunicarea ntre sisteme de operare diferite un mijloc de consolidare a serviciilor de directoare un sistem de reproducere a datelor. un sistem de securitate privind acesul la obiecte i relaiile de ncredere ntre domenii Active Directory permite gruparea staiilor de lucru mpreun pentru o administrarea mai uoar. Folosind serviciul de director, staiile de lucru pot fi actualizate, configurate i chiar depanate de la distan. O singur interfa de management care este accesibil din orice punct al reelei nseamn eficien sporit i timp ctigat n intervenia asupra Active Directory ofer modalitatea de autentificare unic pentru utilizatorii din reea. Acest lucru nseamn c utilizatorii nu vor mai trebui s rein parole multiple pentru diverse aplicaii. De fapt, se poate aplica o politic global de securitate pentru configurarea setrilor conturilor de utilizator.

Fig. 2 Active Directory reprezint inima reelelor bazate pe sisteme de operare Windows. Principalele avantaje oferite de implementarea Active Directory n reea sunt : Autentificarea utilizatorilor permite identificarea fr echivoc a fiecrui utilizator al reelei pe baz de utilizator i parol unic.

13

Administrarea centralizat a tuturor serverelor i staiilor de lucru din reea. Autorizarea accesului la resurse pentru fiecare resurs din reea pot fi configurate liste de acces care specific explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective. Aplicarea consistent a unor politici de securitate n cadrul reelei. Acesta din urm este n particular un avantaj foarte important n procesul de securizare al reelei.

Active Directory face un mare pas nainte n direcia furnizrii acestei infrastructuri, n condiiile n care reduce i costurile meninerii unei staii de lucru sau unui PC. Cu Active Directory, angajaii pot afla uor informaii despre toate resursele conectate la reeaua proprie. Administratorii pot gestiona reeaua dintr-un singur punct central, chiar i atunci cnd organizaia se ntinde n mai multe orae, ri sau continente.

mbuntirile Active Directory n Windows Server 2003

Introdus odat cu Windows 2000, serviciul Microsoft Active Directory simplific administrarea directoarelor complexe din reele i faciliteaz utilizatorilor localizarea resurselor chiar i n cele mai largi reele. n Windows Server 2003 acesta este deplin integrat la nivelul sistemului de operare. Numeroasele mbuntiri aduse cu Windows Server 2003 faciliteaz utilizarea i implementarea: cross-forest trusts, posibilitatea redenumirii domeniilor, posibilitatea dezactivrii atributelor i claselor din scheme pentru ca definiiile s poat fi schimbate.

Group Policy Management Console

Administratorii pot utiliza Group Policy pentru a defini setri i aciuni permise pentru utilizatori i calculatoare. n contrast cu politicile locale, organizaiile pot folosi Group Policy pentru a seta politici aplicabile unui ntreg site, domeniu sau unitate organizaional din Active Directory. Managementul bazat pe politici simplific sarcinile cum ar fi operaiile de actualizare a sistemului, instalarea aplicaiilor, profiluri de utilizator sau nghearea unui sistem desktop.

Resultant Set of Policy

Instrumentul RSoP (Resultant Set of Policy) permite administratorilor s vad dinainte efectul pe care l-ar avea aplicarea unei politici asupra calculatoarelor

14

sau utilizatorilor int. Cu RSoP, organizaiile au la ndemn un instrument puternic i flexibil pentru planificare, monitorizare i detectare a problemelor Group Policy. RSoP este o infrastructur furnizat ca set de componente snap-in n MMC (Microsoft Management Console). Cu ea, administratorii vor putea s determine i s analizeze setul curent de politici n dou moduri: logging mode i planning mode. Cu logging mode, administratorii pot stabili ce s-a aplicat unei anumite inte. Iar n planning mode se poate vedea cum va fi aplicat o politic asupra unei inte i ce rezultate ar avea aplicarea politicii nainte de a efectua modificarea propriu zis n Group Policy.

Volume Shadow Copy Restore

Ca parte a serviciului Volume Shadow Copy, aceast caracteristic permite administratorilor s configureze copii ale volumelor cu date critice la anumite momente n timp, fr a ntrerupe serviciul. Aceste copii pot fi ulterior folosite pentru restaurarea serviciului sau pentru arhivare. Utilizatorii pot regsi versiuni arhivate ale documentelor lor transparent meninute de ctre server.

Internet Information Services 6.0

Internet Information Services (IIS) 6.0 este un server de Web cu toate caracteristicile necesare aplicaiilor i serviciilor Web XML din ziua de azi. IIS 6.0 a fost complet reproiectat, noua arhitectur avnd un model de procesare tolerant la defecte, capabil s creasc dramatic fiabilitatea site-urilor i aplicaiilor Web. IIS poate s izoleze unele de altele aplicaiile sau site-urile Web. Acestea sunt dispuse n procese independente (numite application pool) ce comunic direct cu kernel-ul sistemului de operare. Caracteristica este de natur s creasc throughputul i capacitatea aplicaiilor, simultan cu economisirea resurselor pe servere, reducnd efectiv nevoile hardware. Aceste application pools independente previn propagarea problemelor unei aplicaii individuale la alte site-uri, aplicaii sau servicii Web XML ce ruleaz pe acelai IIS. IIS ofer de asemenea capabiliti de monitorizare pentru descoperirea, recuperarea i prevenirea cderilor aplicaiilor Web. Pe Windows Server 2003, Microsoft ASP.NET folosete nativ noul model de procesare al IIS. Aceste caracteristici avansate vor fi disponibile i aplicaiilor Web deja existente, care deocamdat ruleaz nc pe IIS 4.0 sau 5.0 marea majoritate a acestor aplicaii nu vor necesita vreo modificare n cazul migrrii la IIS 6.0.

.NET Framework Integrat

Microsoft .NET Framework este modelul de programare al software-ului conectat prin .NET, pentru tehnologiile destinate construirii, implementrii i rulrii aplicaiilor Web, programelor client inteligente i serviciilor Web XML. .NET Framework asigur un mediu de nalt productivitate, bazat pe standarde, pentru integrarea investiiilor existente cu urmtoarea generaie de

15

aplicaii i servicii. n plus, ajut organizaiile s rezolve provocarea implementrii de aplicaii capabile s opereze la scar Internet.

Administrare n linie de comand

Familia Windows Server 2003 aduce o infrastructur pentru administrare din linia de comand semnificativ mbuntit, permind administratorilor s efectueze cele mai multe sarcini fr a utiliza interfaa grafic. De importan special este posibilitatea de a efectua sarcini accesnd informaii din WMI (Windows Management Instrumentation). Caracteristica WMIC (WMI Command-line) furnizeaz o interfa text simpl ce interopereaz cu shellurile i utilitarele existente, putnd fi extins prin scripturi sau alte aplicaii destinate administrrii. Per ansamblu, funcionalitatea mai bun a Windows Server 2003 n ce privete administrarea din linia de comand, combinat cu scripturile gata folosibile furnizate, rivalizeaz cu puterea altor sisteme de operare. Administratorii obinuii cu interfaa text pentru managementul sistemelor UNIX sau Linux pot trece uor la familia Windows Server 2003.

1. Pduri, domenii i relaii de ncredere

n termeni simpli am putea defini cele trei concepte n felul urmtor: Un forest este o colecie de date partajate i domenii; Un domeniu este o ierarhie de obiecte care se replic ntre unul sau mai multe controllere de domeniu; Un trust reprezint o relaie de ncredere ntre dou domenii pentru a ngdui utilizatorilor, grupurilor sau computerelor accesarea resurselor n cellalt domeniu. Un tree (copac) este o grupare de domenii care formeaz un spaiu de nume comun. Un spaiu de nume comun este un set de nume de domenii n care fiecare subdomeniu adaug unul sau mai muli identificatori la nceputul numelui DNS de domeniu. De exemplu, dac domeniul printe este utm.local i subdomeniul su este inf.utm.local, acestea dou vor forma un spaiu de nume comun.

Numele unui tree (arbore) este numele domeniului care este cel mai nalt n rang. n exemplul de fa, utm.local este numele arborelui, care se mai numete i rdcina arborelui de domeniu. Domeniile n arborii Active Directory impart anumite elemente cum ar fi:

16

- schema (definiia pentru toate obiectele Active Directory), - catalogul global (informaia configurrilor din Active Directory). Aceste obiecte sunt replicate ntre controllerele de domeniu n cadrul tree-ului. n acest fel se asigur consistena definiiei obiectelor, setrilor, i configuraia Active Directory din toat organizaia. Domeniile active directory sunt definite (numite) folosind serviciul de nume DNS. Domeniile care fac parte dintr-un DNS cunoscut sunt considerate a fi n acelai domain tree. De exemplu inf.utm.local, psi.utm.local, ase.utm.local i utm.local fac parte din tree-ul utm.local. Un singur domain tree este suficient pentru mai multe implementri, dar n cazul corporaiilor (care includ mai multe companii) este necesar ca fiecare companie s i pstreze identitatea i deci i domain name-ul, o s avem de a face cu mai multe forest-uri, domenii i implicit trust-uri ntre acestea. Domeniile reprezint partiii logice n Active Directory organizate cu scopul de a securiza directorul i pentru replicarea acestuia. Domeniile sunt nume unice la fel ca numele de domeniu ce se regsesc pe internet. De exemplu google.com reprezint un nume de domeniu i totodat i dga.local. Domeniile au rolul de container pentru obiectele din Active Directory (acestea includ utilizatori, servere, staii de lucru, dispozitive de reea, etc). Fiecare domeniu reine informaii doar despre obiectele ce le conine. Un domeniu Active Directory poate conine pn 10 milioane de obiecte. Toi utilizatorii Active Directory trebuie s se autentifice ntr-un domeniu, altfel nu se pot loga n reea. Controllerele de domeniu sunt responsabile pentru autenticitatea parolelor utilizatorilor, iar Active Directory ofer securitate pentru autentificarea unic pe ntreg domeniul. Domeniile delimiteaz de asemenea i politicile de grup. Politicile de securitate care sunt definite ntr-un domeniu nu se propag i n alte domenii. Acest lucru nseamn ca setrile ca de exemplu drepturile administrative nu ajung dintr-un domeniu n altul. ntr-un domeniu, informaiile despre obiecte sunt replicate ntre toate controllerele de domeniu pentru a se asigura redundana i securitatea adiional. Fiierele importante dintr-un domeniu pot fi replicate pentru a asigura suportul n cazul defeciunilor harware sau mentenanei. Cu toate acestea, informaiile nu se replic ntre domenii. Acest lucru nseamn c domeniile delimiteaz i replicarea. Domeniile sunt reprezentate n Active Directory prin obiecte domainDNS. Numele distinct al unui obiect domainDNS corespunde direct cu numele DNS al domeniului. De exemplu pentru domeniul inf.utm.local vom avea un DN format din: dc=inf, dc=utm, dc=local. n tabela de mai jos avem cteva dintre cele mai interesant atribute ce se regsesc intr-un obiect.

17

Fig.3 Obiecte ale domeniului UTM.LOCAL

Delimiteaz autentificarea

Delimiteaz politicile de grup

UTM.LOCAL Delimiteaz replicarea

Relaii de ncredere tranzitive

ntr-un arbore Active Directory, relaiile de ncredere leag domeniile ntre ele pentru ca acestea s poat fi administrate n mod unitar. De fiecare dat cnd un domeniu este adugat n arbore, se formeaz o relaie de ncredere tranzitiv. Dac domeniul A are trust cu domeniul B, atunci domeniul A va avea trust cu toate domeniile n care B are trust. n Fig 4, este o relaie de ncredere ntre UTM.LOCAL i INF.UTM.LOCAL. Dac este adugat nc un domeniu LAW.UTM.LOCAL care are un trust cu UTM.LOCAL, atunci se va realiza automat un trust ntre cele dou domenii copil.

UTM.LOCAL

Rel. de ncredere

Rel. de ncredere

Rel. de ncredere tranzitiv

LAW.UTM.LOCAL Fig. 4

INF.UTM.LOCAL

Realizarea unei relaii tranzitive

18

UTM.LOCAL

INF.UTM.LOCAL

STUDENT.INF.UTM.LOCAL

Fig. 5 Arbore de domenii

Pdurile Active Directory

O pdure (forest) este compus din unul sau mai muli arbori. Spre deosebire de arbore, o pdure poate conine mai multe spaii de nume fr s mpart un sufix comun. n Fig. 6 pdurea conine doi arbori, fiecare cu spaiul su de nume. UTM.LOCAL i UNIBUC.LOCAL. Pdurea ia numele primului arbore instalat n ea. n acelai fel n care relaiile tranzitive de ncredere exist ntre domenii ntr-un tree, exist trust-uri bidirecionale ntre domeniile de vrf din forest. La fel ca arborii, pdurile mpart o schem comun, o configuraie i un catalog global. Pdurile reprezint o modalitate de legare a sucursalelor (subunitilor) unei companii sau a diferitelor organizaii care colaboreaz. O pdure este o structur logic care reprezint de fapt o colecie de domenii, plus configuraia i schema contextelor de nume, a aplicaiilor i a partiiilor. Ele sunt considerate primele linii de securitate n Active Directory. Prin asta se nelege c dac vrem s restricionm accesul la un domeniu astfel nct administratorii unui alt domeniu s nu aib acces, este nevoie de implementarea unei pduri separate (i un domeniu n acel forest.) n loc s folosim un domeniu n acelai forest. Aceasta se datoreaz faptului c exist un nivel de ncredere tranzitiv ntre toate domeniile unui forest i a permisiunilor extinse pe care grupul Domain Admins l are.

19

UTM.LOCAL

UNIBUC.LOCAL

INF.UTM.LOCAL

FMI.UNIBUC.LOCAL

Schema

Configuraia

Catalogul global

Fig. 6 .Pdure de domenii

2. Crearea unui domeniu i a unei pduri

2.1. Crearea unui domeniu
Start -> Run: se folosete comanda dcpromo Se selecteaz "Domain controller for a new domain" i apoi se alege una dintre opiunile: Domain in a new forest Child domain in an existing domain tree Domain tree in an existing forest

2.2. tergerea unui domeniu

Pentru a terge un domeniu este nevoie de depromovarea tuturor controlerelor de domeniu din domeniu. Pentru ultimul controller din domeniu este nevoie de selectarea opiunii This server is the last domain controller in the domain" n wizardul dcpromo pentru a putea fi siguri c obiectele asociate cu domeniul sunt terse.

20

Not: Dac domeniul pe care vrem s l tergem are subdomenii, trebuie terse mai nti acestea. Dup ce controllerul de domeniu a fost depromovat este nevoie de tergerea nregistrrilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dac nu au fost terse automat prin deregistrarea WINS-ului sau DNS-ului n timpul depromovrii. Urmtoarele comenzi ne pot ajuta s determinm dac toate nregistrrile au fost terse:
> > > > netsh wins server \\<WINSServerName> show name <DomainDNSName> 1c nslookup <DomainControllerName> nslookup -type=SRV _ldap._tcp.dc._msdcs.<DomainDNSName> nslookup <DomainDNSName>

2.3. Redenumirea unui domeniu

Redenumirea unui domeniu este un proces destul de sofisticat i ar trebui realizat doar dac este neaprat necesar. Schimbarea numelui unui domeniu poate avea un impact n cam toate componentele ncepnd cu DNS, replicare, politici de grup, DFS, i serviciile de certificare. De asemenea, schimbarea numelui de domeniu necesit ca toate controllerele de domeniu i computerele membre s fie repornite. n Windows 2000 nu exista un proces de redenumire suportat de sistemul de operare. n Windows 2003 ns, avem un utilitar pus la dispoziie de ctre Microsoft. Acesta funcioneaz dac avem Windows Server 2003 sistem de operare care ruleaz pe toate controllerele de domeniu din forest. Se numete rendom.exe i o http://technet.microsoft.com/endescriere detaliat se poate gsi la: us/windowsserver/bb405948.aspx Redenumirea se poate face n cteva feluri: Redenumirea unui domeniu fr repoziionarea acestuia n domeniu tree; Repoziionarea domeniului n tree-ul de domeniu; Crearea unui nou tree de domeniu cu domeniul redenumit.

2. Crearea unui forest

2.4. Crearea unui forest nou domeniu rdcin (root domain).
Start -> Run: se folosete comanda dcpromo Se selecteaz Domain controller for a new domain apoi se d click pe Next Se selecteaz Domain in a new forest i apoi click Next Se urmeaz restul pailor pentru a ajunge la sfritul wizard-ului.

21

2.5. tergerea unui forest

Pentru a terge un forest este nevoie de depromovarea (retrogradarea) tuturor controllerelor de domeniu din forest. Dup ce am realizat acest proces, n funcie de cum este configuraie, este nevoie de tergerea nregistrrilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dac nu au fost terse automat prin deregistrarea WINS-ului sau DNS-ului n timpul depromovrii. Urmtoarele comenzi ne pot ajuta s determinm dac toate nregistrrile au fost terse:
> > > > netsh wins server \\<WINSServerName> show name <ForestDNSName> 1c nslookup <DomainControllerDNSName> nslookup -type=SRV _ldap._tcp.gc._msdcs.<ForestDNSName> nslookup <ForestDNSName>

Aceast metod descris este soluia pentru a nltura cu succes un forest. Se poate de asemenea terge un forest prin metoda brute-force i anume prin simpla reinstalare a sistemului de operare pe toate controllerele de domeniu din forest. Aceast metod nu este recomandat pentru ca nu este o modalitate curat deoarece controllerele de domeniu nu tiu c forestul a fost ters i pot genera erori pn cnd acesta va fi reconstruit. Va fi totodat nevoie ca toate nregistrrile DNS pentru controllerele de domeniu s fie terse de pe serverele DNS, deoarece controllerele de domeniu nu le terg dinamic n timpul procesului de depromovare (retrogradare).

2.9. Crearea unui trust tranzitiv ntre dou foresturi Active Directory
Not: Este nevoie ca pe amndou foresturile s avem nivelul de funcionare Windows Server 2003 Folosind interfaa grafic: Se deschide Active Directory Domains and Trusts. n fereastra din stnga, click dreapta pe forestul rdcin de domeniu i se selecteaz Properties Click pe tab-ul Trusts. Click pe butonul New Trust. Dup ce se deschide wizard-ul, se d click Next. Se tasteaz numele DNS al forestului AD si apoi click Next. Se selecteaz Forest trust i apoi click Next. Se completeaz wizard-ul cu urmarea pailor necesari.

Folosind linia de comand: 22

> netdom trust <Forest1DNSName> /Domain:<Forest2DNSName> /Twoway /Transitive /ADD[RETURN] [/UserD:<Forest2AdminUser> /PasswordD:*][RETURN] [/UserO:<Forest1AdminUser> /PasswordO:*]

n Windows Server 2003 a fost introdus un nou tip de trust i anume forest trust. n Windows 2000 dac se dorea crearea unui mediu de trust ntre toate componentele a dou foresturi, trebuiau setate trusturi two-way external ntre fiecare domeniu din cele dou foresturi. Presupunnd c avem dou foresturi, fiecare cu 3 domenii i se dorete un model de trust ntre toate domeniile este nevoie de nou trusturi individuale ca in figura 7.

Figura 7. Trusturi necesare pentru dou foresturi Windows 2000 pentru a se realiza relaii de ncredere reciproce.

Cu forest trust se poate defini o singur relaie de trust tranzitiv single Oneway sau two-way trust pentru toate domeniile din amndou foresturile. Dac este nevoie de fuziunea unui nou domeniu i este necesar ca toate resursele domeniului nou s fie accesate de ctre mediul actual Active Directori i vice-versa. Figura 8 ne prezint un scenariu forest trust. Pentru a crea un forest trust este nevoie de utilizarea conturilor de Enterprise Admins pentru fiecare forest.

23

Figura 8. Trust necesar pentru dou Forest-uri Windows Server 2003 care s aib trust reciproc

2.10. Crearea unui trust scurttur ntre dou domenii Active Directory
Folosind interfaa grafic: Se deschide Active Directory Domains and Trusts. n fereastra din stnga, click dreapta pe domeniul pentru care se dorete adugarea trustului i se selecteaz Properties Click pe tab-ul Trusts. Click pe butonul New Trust. Dup ce se deschide wizard-ul New Trust, click Next. Se tasteaz numele DNS al domeniului AD si apoi click Next. Presupunnd c domeniul AD este rezolvabil prin DNS, urmtorul pas vom fi ntrebai de direcia trust-ului. Se selecteaz Two-way i apoi click Next. Pentru proprietile de ieire ale trustului, se selecteaz toate resursele care se vor autentifica si apoi click Next. Se introduce i apoi se retasteaz parola i apoi click Next. Click Next de dou ori.

24

Folosind linia de comand:

> netdom trust <Domain1DNSName> /Domain:<Domain2DNSName> /Twoway /ADD[RETURN] [/UserD:<Domain2AdminUser> /PasswordD:*][RETURN] [/UserO:<Domain1AdminUser> /PasswordO:*]

Considerm forestul din figura 9. Are cinci domenii i un singur domain tree. Pentru ca cererile de autentificare pentru Domeniul 3 s fie procesate de ctre Domeniul 5, cererea trebuie s traverseze calea de la Domeniul 3 la Domeniul 2 la Domeniul 1 la Domeniul 4 i la Domeniul 5. Dac ns crem un trust scurttur ntre Domeniul 3 i Domeniul 5, calea de autentificare urmeaz un singur hop, i anume de la Domeniul 3 la Domeniul 5. Pentru a crea un trust scurttur, trebuie s utilizm un utilizator din grupul Domain Admins pentru amndou domeniile, sau un utilizator membru al grupului Enterprise Admins (pentru forest).

Figura 9. Trust scurttur

2.11. Verificarea unui trust

Se dorete verificarea funcionabilitii unui trust. Aceasta este prima msur ce trebuie luat n cazul n care observm c autentificarea ctre un domeniu distant eueaz. Folosind interfaa grafic: n fereastra din stnga click dreapta pe domeniul ctre care se face relaia de trust i se selecteaz Properties. 25

Click pe tab-ul Trusts. Click pe domeniul care este asociat cu trustul pe care dorim s l verificm. Click pe butonul Properties. Click pe butonul Validate.

Folosind linia de comand:

> netdom trust <TrustingDomain> /Domain:<TrustedDomain> /Verify /verbose[RETURN] [/UserO:<TrustingDomainUser> /PasswordO:*][RETURN] [/UserD:<TrustedDomainUser> /PasswordD:*]

2.12. tergerea unui trust

Acest aspect este de obicei ntlnit n cazul n care domeniului la care se fcea trust i-a fost tears delegarea sau accesul la acesta nu mai este necesar. Folosind interfaa grafic: Se deschide Active Directory Domains and Trusts. n fereastra din stnga click dreapta pe domeniul ctre care se face relaia de trust i se selecteaz Properties. Click pe tab-ul Trusts. Click pe domeniul care este asociat cu trustul pe care dorim s l tergem. Click pe butonul Remove Click OK.

Folosind linia de comand:

> netdom trust <TrustingDomain> /Domain:<TrustedDomain> /Remove /verbose[RETURN] [/UserO:<TrustingDomainUser> /PasswordO:*][RETURN] [/UserD:<TrustedDomainUser> /PasswordD:*]

Trusturile sunt stocate in Active Directory sub forma a dou obiecte; un obiect n locaia System i un obiect user n locaia Users. Amndou aceste obiecte trebuie terse cnd se terge un trust. Soluiile n interfaa grafic i n cea de linie de comand realizeaz acest lucru n primul pas.
trustedDomain

26

Instalarea unui Controller de Domeniu

AD reprezint serviciul director din Windows Server 2003. El stocheaz informaii despre obiectele (resursele) unei reele oferind posibilitatea de a fi localizate i folosite de utilizatori. Serviciul AD presupune existena controlerului de domeniu. Fiecare domeniu trebuie s aib un DC. DC are rolul de a controla accesul utilizatorilor la aceste resurse de reea. El se instaleaz pe un server (poate fi acelai cu DNS sau altul) prin promovarea acestuia ca DC (stabilirea rolului de DC). Rolul de AD al unui server se stabilete prin promovarea lui ca DC. Pentru aceasta se poate folosi utilitarul Manage your server sau comanda dcpromo din Start Rundcpromo. Paii sunt urmtorii: 1. Imediat dup lansarea n execuie se deschide fereastra Active Directory Installation Wizard care conduce instalarea rolului DC. 2. Dac serverul pe care se instaleaz DC este primul din domeniu, la Domain Controller Type se alege opiunea DC for a new domain Next. 3. Se deschide fereastra Create New Domain cu trei opiuni: Domain n a new forest, sau Child Domain in an existing domain tree, sau... 4. Dac se alege prima opiune se va crea un nou domenui al crui nume va trebui specificat, de exemplu utm.ro. Este de menionat c numele domeniului trebuie s coincid cu cel din DNS. Next. 5. Se specific numele NetBIOS (Domain NetBIOS name) al noului domeniu (se va folosi acelai nume). Acest nume va fi folosit de staiile cu sisteme de operare mai vechi pentru identificarea serverului din reea. Next. 6. n fereastra Database and Log Folders se solicit acordul administratorului pentru locaia bazei de date a AD precum i a fiierelor jurnal. Se recomand alegerea locaiei implicite, care este n directorul NTDS din directorul de instalare a sistemului de operare. Next. 7. n Shared System Volume se specific locaia directorului SYSVOL n care se pstreaz i se pun la dispoziie informaii partajate din reea: poltici de securitate, scripturi, profile etc. 8. Dac nu a fost instalat serviciul DNS, wizardul atenioneaz i cere instalarea acestuia. Dac ere instalat, se recomand a se face verificri privind integrarea AD cu DNS. Se face cu comanda: Start Run dnsmgmt.msc OK Se deschide fereastra DNS Registration Diagnostics Next. 9. Se deschide fereastra utm.ro Properties Rclick pe numele zonei, Dynanic updates Nonsecure and secure. 10. Se restarteaz calculatorul

Crearea unei structuri organizaionale

Un aspect important n politica de securitate a unui domeniu Windows este cerarea conturilor de utilizator, organizarea acestora pe grupuri organizaionale i crearea unei politici de securitate pe utilizatori separat de staiile de lucru sau de serverele din reea. n multe cazuri este util a se grupa utilizatorii pe criterii funcionale, pe colective care s

27

faciliteze schimbul de informaii n interiorul grupului i restricionarea accesului userilor din alte grupuri. Administrarea serverului AD din consol se poate face din: Start Rundsa.msc OK sau StartAdministrative Tools Active Directory Users and Computers. n fereastra de administare a AD se vede organizarea arborescent a acestuia, coninnd patru directoare i un grup organizaional: Name Builtin Computers Domain Controllers Foreign Security Principals Users Type builtin Domain Container Org Unit Container Container Description Default contain Default contain Default contain Default contain Default contain

Builtin nregistreaz 16 grupuri de securitate asupra crora nu se pot efectua operaii de terere, mutare sau redenumire. Ele fac parte din categoria celor de top level, neputnd face parte din alte grupuri de securitate. Operaii permise sunt: schimbarea scrierii, asignarea de adrese de mail, introducere de noi membrii etc. Computers este directorul n care se nregistreaz toate staiile de lucru sau serverele membru care sunt adugate n domeniu. Aceste obiect pot fi ulerior transferate n alte grupuri organizaionale. Domain Controllers este grupul organizaional n care se regsesc toate controlerele de domeniu. ForeignSecurityPrincipals nregistreaz identificatorii de securitate (SID) ai unor obiecte din exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu care s-au stabilit relaii de ncredere. Users reprezint directorul n care se nregistreaz n mod implicit utilizatorii domeniului. Implicit sunt 17 obiecte n acest director, dintre care 3 utilizatori, iar restul grupuri de securitate. Elementele care pot fi nregistrate i gestionate ntr-o UO sunt: Computer staii de lucru sau servere de reea Contact obiect folosit de AD pentru a gsi diverse informaii Group grup de securitate prin care se propag politica de securitate asupra membrilor grupului. Unui grup i se pot asigna membrii, iar grupul n sine poate fi asignat altor grupuri. InetOrgPerson categorie special de utilizatori, derivat din clasa User, folosit de reele non Windows, care folosesc ca serviciu director LDAP sau X400. Organizational Unit emuleaz o structur organizaional a companiei Printer imprimante de reea gestionate de AD, pentru a fi gsite i folosite de userii reelei i pentru configurarea drepturilor de acces asupra lor. User cel mai uzual obiect din AD. n general corespunde unei persoane din cadrul organizatiei, dar pot fi i obiecte user aparinnd unui grup de persoane, ori aplicaii, ori grupuri de aplicaii. 28

Share Folder directoare partajate n reea i nregistrate n AD pentru o mai bun gestionare i securizare a acestora.

Un obiect special din grupul User este cel de administrator, denumit astfel n mod implicit. El are cele mai multe drepturi i, ca urmare, este cel mai vnat de atacatori. De aceea, numele acestuia este schimbat intenionat pentru a nu fi recunoscut uor. Schimbarea denumirii se poate face prin mai multe procedee (vezi Reele Windows, pag. 124-126). Profilul userului administrator, chiar denumit altfel, se afl n directorul Administrator, de pe discul C:\ al serverului PDC (Primary Domain Controller).

Managementul AD
Managementul AD se face de regul de ctre administratorul de reea. Aceast funcie realizeaz: 1. Gestionarea grupurilor de securitate Grupurile de securitate sunt de 2 tipuri: Grupuri de securitate folosite pentru definirea permisiunilor de acces la resurse i obiecte Grupuri de distribuie folosite pentru a distribui mesaje Ficare din cele dou tipuri poate avea scopuri diferite: - grup cu scop universal- poate avea drept membrii grupuri sau conturi de utilizator din oricare domeniu Windows, din cadrul oricrui arbore de domeniu. - grup cu scop global poate avea membrii numai din domeniul curent, dar pot fi create politici de securitate i acces la obiectele din oricare domeniu al pdurii - grup cu scop local poate avea membrii doar din domniul curent, i poate avea permisiuni numai n domeniul curent. Crearea unui grup de securitate Din consola de administrare a AD se d Rclick pe un grup organizationalnewGroup apoi se specific numele grupului, scopul, tipul i eventual ataarea unei adrese de e-mail dac serverul de mail este deja instalat, Finish. Adugara unui membru la grup Rclick pe grup, Proprties, Members, Add. Se deschide fereastra Select users, Contacts, Computers, or Group i se scrie numele utilizatorului pe care dorim s-l cereem, Ok, OK. Alte operaii asupra grupurilor: - schimbarea scopului - schimbarea tipului - tergerea grupului.

2. Gestionarea conturilor de utilizator Crearea contului Rclick pe numele grupului, NewUser 29

Se completeaz prenumele, numele, Full name, User logon name (numele de acces n reea), se specific domeniul n care va fi creat (@utm.ro), datele decpre parol i modul de expirare a ei (la prima conectare (recomandat), nu se poate schimba, nu expir) Finish. Alte operaii care se pot face asupra conturilor de utilizator: - copierea - dezactivarea - activarea - tergerea - modificarea prprietilor - mutarea - redenumirea - schimbarea parolei - mutarea dintr-un grup n altul

Crearea profilurilor de utilizator Profilul de utilizator conine setrile personale ale acestuia la interfaa cu utilizatorul (display). Aceste informaii sunt grupate pe directoarele: Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Tamplates. Profilul utilizatorului se afl stocat pe directorul Documents and Settings de pe discul pe care se afl instalat sistemul de operare. Profilul unui user poate fi de tipul: - Roaming, (se salveaz pe server la fiecare schimbare fcut de pe orice staie i se reflct la conectare pe orice staie) sau - mandatory (obligatoriu), (se creaz pe server i se pune la dispoziie n reea prin sharing, nu se modific la delogare). Crearea unui profil se realizeaz automat la conectarea pe o staie de lucru. El se poate copia ntr-un template astfel: - (v pag 134)

Gestiunea resurselor fizice

Pe lng grupurile organizaionale, grupurile de securitate, conturile de utilizator, n AD pot fi adugae i resursele fizice ale reelei: staii de lucru, servere, imprimante. Adugarea unui membru n AD De pe staia sau serverul care se dorete a fi adugat se face Rclick pe Start, My Computer, Properties, Computer NameChange n fereastra Computer Name and Changes, seciunea Member of se alege Domain i se specific numele domeniului, OK. Se va deschide fereastra de autentificare la domeniu n care se specific numele administratorului domeniului respectiv (sau delegat). Se primete mesajul de Bun venit n reea, dup care se restarteaz sistemul. Obs. La configuraia TCP-IP a membrului unui domeniu trebuie s se specifice la Preferred DNS Server, adresa IP a serverului DNS al domeniului. La Alternative DNS server se poate (trebuie) specifica(t) adresa IP a serverului DNS secundar sau a serv DNS a ISP-ului.

30

Pentru a gsi o impimant n AD ea trebuie s fie public i s aib specificat opiunea List in the directory din fereastra imprimantei (v fig 5.22, pag. 138).

ntrebri i teste de control 1. Ce este un sistem de operare de reea de tip enterprise i ce servicii de reea sunt necesare ntr-o organizaie? 2. Cum au evoluat sistemele de operare de reea de tip Windows? 3. Ce este Windows Server 2003 i care sunt componentele sale? 4. Definii conceptul de domeniu Windows i dai exemple. Care este utilitatea unui domeniu n administrarea reelelor? 5. Ce este serviciul de directoare Active Directory? 6. Ce este un Controller de Domeniu i care este legtura sa cu serviciul de directoare? 7. Ce este serviciul numelor de domenii i care este legtura sa cu serviciul de directoare Active Directory? 8. Ce este un arbore de domenii? Dar o pdure de domenii? Dai exemple. 9. Ce este un trust ntre domenii i ce utilitate are n administrarea reelelor? 10. Descriei paii privind instalarea unui controller de domeniu. 11. Descriei structura unui AD 12. Ce sunt grupurile organizaionale i cum se pot crea? Ce elemente se pot crea i administra ntr-o UO? 13. Descriei ce este un grup de securitate i cum poate fi creat. 14. Ce este o politic de securitate i cum se poate implementa? 15. Teme de cas i exerciii 1. ntr-un mediu de virtualizare (VMware ACE, VMware Player sau altele) s se instaleze o Windows server 2003 2. S se instaleze un Controller de domeniu pe maina virtual Windows server 2003 3. S se creeze i s se administreze conturi de utilizator, grupuri organizaionale i politici de securitare pe Windows server 2003 4. S se fac un studiu comparativ privind administrarea conturilor utilizatorilor n mediul Windows Server 2003 i Windows XP 5. S se exemplifice administrarea conturilor de utilizator n mediile Windows Vista/Windows 7/Windows XP

31

Internet Security and Acceleration Server 2004

Tema are ca scop prezentarea unor soluii de securitate a reelelor Windows realizate cu ISA Server 2004 Dup parcurgerea i nsuirea acestei teme, studentul va cunoate: Ce este ISA server i ce faciliti de securitate asigur abloanele tipice de configurare a ISA server ca soluie firewall Cum se configureaz logic o reea n subreele care s permit mplementarea unor soluii optime de securitate Ce sunt politicile de firewall i cum se stabilesc Facilitile ISA server pentru aplicaii VPN Funcia de accelerare a ISA server Timpul minim pe care trebuie s-l acordai acestui modul este de 6 ore.

ISA Server 2004 este o soluie de securitate a reelei Windows care nglobeaz: - firewall- protecie la virui i acces neutorizat - web caching accesul rapid la resurse din Internet Faciliti ISA Server: - multinetworking permite stabilirea de relaii, reguli de acces clare, ntre reele. Presupune crearea reelelor de perimetru pentru protejarea serverelor publice, poate defini reguli de rutare ntre reele, limiteaz comunicaia dintre clieni etc. De exemplu o comunicaie mai securizat nre reele poate folosi tehnica NAT. - politica de firewall care permite controlul porturilor surs i destinaie pentru toate protocoalele, autntificare de tip Windows sau RADIUS, sau RSA, definirea propriilor obiecte de reea (calculatoare, reele, seturi de reele etc. ), intervale de adrese IP, redirectarea conexiunilor spre servere publice etc. - suport pentru clieni VPN - monitorizare complex

Instalarea ISA Server 2004 Dup instalare sunt preconfigurate urmtoarele setri (setri implicite): - Permisiuni - membrii grupului Administrator de pe maina local pot configura politica de firewall - Serri de reea sunt create umtoarele reele:

1. Local host maina pe care ruleaz ISA Server. Poate fi utilizat pentru a restriciona accesul spre i dinspre aplicaile ce ruleaz pe ISA server. 2. External reprezint Internetul 3. Internal reprezint reeaua intern 4. VPN Clients calculatoarele conectate prin VPN Sunt create urmtoarele reguli de conectare n reea: - local host acces definete o relaie de tip rutare ntre reeaul Local Host i toate celelalte reele - Internet acces definete o relaie de tip NAT ntre reelele interne i cele externe - VPN clients to Internal Network definete o relaie de tip rutare ntre reeaua VPN Clients i reeaua intern Firewall policy creaz o regul implicit care blocheaz tot traficul System Policy inplicit permite doar funcionarea serviciilor critice Web caching default rule specific faptul c toate cererile Web Proxy ale clienilor sunt direct din Internet Caching - dimensiunea spaiului caching este 0 Alert activeaz implicit majoritatea alertelor , dar pot fi reconfigurate ulterior Client config la crearea i configurarea clienilor web Proxy i Firewall, acetia sut automat descoperii

Fig.

Model de organizare a unei reele de organizaie

Administrarea serverului ISA se poate face din consola ISA Server Management care are 3 seciuni: Structur afiseaz arborele structurii consolei (nodurile din consol)
Detalii despre obiectul selectat din arbore Sarcini activiti ce pot fi executate legate de obiectul selectat Fiecare nod din arbore dispune de propriul meniu i bar de utilitare care ajut utilizatorul n derularea sarcinilor de lucru. Dup crearea sau configurarea obiectelor din arborele de structur, este permis aplicarea sau renunarea la modificrile fcute. n fereastra de sarcini (a 3-a seciune) exist tabul Toolbox disponibil n cazul selectrii nodului Firewall Policy. Cu ajutorul lui se pot seta politicile i regulile de firewall. Conine opiunile: Protocols, Users, Content Types, Schedules, Network Objects. Protocoalele disponibile sunt grupate dup funcionalitate: - protocoale comune: HTTP, FTP, SMTP, POP3 de intrastructur: DNS, ICMP, SNMP, RIP .... de mail: IMAP4, POP3S de conectare la distan: Telnet, SSH, RDP 3

de streaming: RTSP, HTTP, VPN i Ipsec: (IKE, Ipsec, L2TP, PPTP de web: (FTP, HTTP, HTTPS)

Utilizatorii pot fi grupai dup cele trei seturi predefinite (All users, All authenticated users, System and Network services) sau pot fi definite propriile seturi de utilizatori. Tipurile de coninut se aplic traficului de tip HTTP i FTP i sunt predefinite (video, audio, arhive, text, aplicaii) sau se pot defini i popriilr coninuturi. Programri permite activarea /dezactivarea regulilor de firewall dup anumite programri (n weekenduri, n ore de lucru, pe zile etc.).

Multinetworking este facilitatea ISA serverului de a grupa staiile de lucru din

reeaua intern n seturi de reele i permite definirea unor politici de securitate specifice fiecreia. Dac ntr-o companie doar staiile din reelele IT i Management au acces la Internet, atunci se poate defini un set de reea Acces Inernet care s cuprind cele dou reele, set care va fi folosit n regula de firewall care permite accesul la Internet. ISA server permite stabilirea regulilor de rutare dup care seturile de reele comunic ntre ele (comunicarea se face prin intermediul ISA). n cazul n care se dorete separarea serverelor publice de reeaua intern, ISA permite crearea unui subnet ecranat i configurarea modului n care se face traficul din reeaua intern n reeaua ecranat, precum i ntre reeaua ecranat i exterior. Dac nu este configurat nicio legtur ntre dou reele prin intermediul ISA server, acesta blocheaz tot traficul dintre ele. Pentru a configura traficul dintre reele prin intermediul ISA server, exist mai multe abloane (Templates), dintre care se poate alege cel care corespunde cel mai bine nevoilor concrete.

Fig ....Modul de configurare a legturilor dintre reele

ablonul Edge Firewall n aceast configurare, firewall-ul se dispune la marginea (limita) reelei interne i a celei externe, asigurnd accesul doar clienilor autorizai i filtrnd traficul dup regulile de firewall.

Fig. Configurare ISA server ca Edge Firewall

ablonul 3-Leg Perimeter

Fig. Configurare 3-Leg Firewall Este cea mai folosit configuraie n companiile medii i mari, fiind cunoscut i ca zon demilitarizat (DMZ) sau reea ecranat. Este folosit atunci cnd se dorete publicarea n mod securizat numai anumite servicii pe Internet, cum ar fi cele de web sau de e-mail. Cum se vede i n fig. , dei serverele din reeaua ecranat (Perimetral Network) au adrese IP rutabile, ISA server nu permite accesul direct la resursele interne ale reelei i va ruta spre reeaua ecranat numai pachetele destinate acesteia n funcie de regulile firewall-ului. Att traficul intern ct i cel extern se fac prin ISA server (firewall). Dezavantajul este c la cderea serverului se compromite traficul din ambele reele. ablonul Front Firewall i Back Firewall Arhitectura din fig. conine dou servere ISA, unul configurat ca Front Firewall (i se aplic template-ul Front Firewall) i altul configurat Back Firewall, localizate n ambele pri ale reelei ecranate. Firewall-ul extern este conectat la Internet, iar cel intern la Intranet. n aceast configuraie nu mai exist un singur punct de acces la Internet. Avantajul unei astfel de configurri este acela c permite stabilirea unor reguli foarte granulare pentru accesul intern i extern la reea.

Single Network Adapter Este folosit ca Web Proxy i caching n interiorul reelei. Nu poate face funcii de firewall i nu filtreaz pachete IP, nu suport VPN sau publicarea de servere. abloanele prezentate mai sus se pot accesa din consola ISA Server Management/ Configuration / Networks. n seciunea a 3-a a consolei apar taburile Task, Templates i Help, dintre care se alege Templates i apoi ablonul dorit. Se deschide wizardul de configurare. Prima fereastr care se deschide este cea de configurare adrese IP pentru reeaua intern. Dac reeaua intern este segmentat n mai multe reele (4 n cazul nostru: manager, IT, autentificare i marketing) nu se va specifica niciun interval de adrese IP. Dac reeaua intrn nu este segmentat, atunci wizardul permite introducerea intervalului de adrese IP n trei moduri: - prin specificarea primei i ultimei adrese din interval - prin specificarea adresei de reea a interfeei (tabul Add Adapter) care leag ISA de reeaua intern (i va lua tot intervalul de adrese disponibile clasei IP-lui interfeei) - prin selectarea unui interval de adrese IP private Dup setrile de reea intern se d Next i se deschide fereastra Perimeter Network IP Addresses, unde se specific intervalul de adrese IP al reelei protejate (perimetrale, DMZ). Next Se deschide fereastra Select a Firewall Policy din care se alege o politic de firewall predefinit pentru o reea ecranat. Semnificaia acesora este urmtoarea: No access se alege atunci cnd se dorete definirea ntregii politici de firewall. Ea blocheaz tot traficul dintre toate reelele la care este conectat ISA server. No access - network services on Perimeter Network blocheaz tot accesul, mai puin cel ce ine de serviciile de reea, (de exemplu, serviciul DNS), pentru reeaua ecranat. No access ISP network services se folosete atunci cnd nu este configurat un server DNS n interiorul reelei i folosete serverul DNS al ISP-ului. Blocheaz tot traficul, mai puin accesul la serverul DNS al ISP. Restricted Web access blocheaz tot accesul, mai puin cel spre serverul web i permite accesul clienilor VPN. Restricted Web access network services op Pedrimeter network- asmntor cu Restricted Web access dar permite accesul serverului DNS. Restricted Web access ISP network services permite accesul web, VPN i cererile spre serverul DNS al porviderului de Internet. Unrestricted Internet access permite accesul complet dinspre reeaua intern i clienii VPN spre Internet i reeaua ecranat. Pentru a defini propria politic de firewall se va selecta, evident, No access. Dup alegerea sau definirea unei politici de firewall se d Next i ultima fereastr din Network Template Wizard este Copmpleting The Network Template Wizard care ne permite rvizuirea setrilor efectuate i salvarea lor. Observaie! Din punct de vedere al ISA server, o reea este un element al unei reguli, care conine unul sau mai multe intervale de adrese IP. Se pot aplica reguli pentru una sau mai multe reele (retea n sensul de menionat anterior) sau se pot aplica reguli pentru toate adresele, mai puin cele din reelele specificate. 7

Dup aplicarea Template-ului 3-Leg Perimeter ISA server este configurat (implicit) cu urmtoarele 6 reele: Local Host. Aceasta reprezint ISA Server. Ea nu poate fi modificat sau tears. Local host se utilizeaz ca element al unei reguli atunci cnd se dorete definirea accesului ctre sau dinspre ISA server. Default External. Aceast reea include toate staiile de lucru (adr IP) care nu sunt asociat la nicio reea, adresa IP a reelei Local Host i adr IP ale interfeelor de pe ISA server. Ea nu poate fi modificat sau tears. Ea este o reea nesigur i, ca urmare, legturile cu aceasta sunt configurate NAT. Internal Include toate staiile de lucru (adr. IP) care sunt specificate de ctre administrator n timpul procesului de instalare. Ea nu poate fi tears. Perimeter. Este reeaua ce conine adr. IP ale serverelor din reeaua ecranat (DMZ). Din ea fac parte serverele Web, Exchange, SQL, SharePoint. VPN Clients. Conine adresele clienilor VPN conectai la acest moment cnd se configureaz VPN-ul. Reeaua VPN nu poate fi stears. Quarantined VPN Clients. Conine adr. Clienilor VPN care nu au ieit din carantin. Nu poate fi tears. Pentru regulile de acces, trebuie specificate reeaua-destinaie i reeaua-surs crora li se vor aplica regula. Pentru crearea reelei de autentificare trebuie parcuri urmtorii pai: 1. In consola ISA Server Management, n arborele de structur, seciunea Configuration, se face click pe Networks 2. n seciunea activiti (3) se face click pe Tasks, Networks Tasks, Create New Network 3. se deschide wizardul ptr crearea reelei. i dm numele Autentificare 4. n fereastra Network Type trebuie specificat tipul ei (Internal, Perimetral, External, ...). n cazul nostru este o reea intern, deci bifm Internal, apoi Next. 5. n fereastra Network Addresses, butonul Add, IP Address Range Properties, completm intervalul de adrese (10.1.1.1 10.1.1.2) n mod sinilar se creaz i celelalte reele: IT, Management, Marketing. Dup ce au fost definite reelele, se pot configura propritile lor. Pentru exemplificare continum cu reteaua Autentificare. n arborele de structur selectm Networks, Rclick pe numele reelei (Autentificare), Properties, sau din panoul de activiti, tabul Tasks, Network tasks, Edit Selected Network. S-a deschis fereastra Autentificare Properties cu urmtoarele opiuni: Domains (se aplic doar clienilor de firewall) permite specificarea domeniilor care vor fi incluse n reea. Pentru domeniile din reea, cererile clienilor nu vor fi naintate prin ISA server. Se pot specifica: - un singur calculator prin numele su complet din domeniu, - un ntreg domeniu prin *.nume_domeniu - toate domeniile prin *. Web browser specific serverele (prin indicarea intervalelor de adrese IP) sau numele de domenii pe care clienii le pot accesa direct, precum i modul de redirectare a clienilor ctre Internet atunci cnd ISA nu mai este disponibil. Auto discovery specific dac i modul n care clienii din aceast reea vor putea gsi serverul ISA. Pentru activarea acestei opiuni trebuie activat serverul web Proxy.

Firewall client specific dac aceast retea va asculta pe portul 1745 pentru cererile clienilor de firewall. Web Proxy specific dac aceast reea va asculta pentru cererile TCP Dup instalate, ISA server este preconfigurat cu dou seturi de reele, care nu pot fi modificate sau terse: All Networks reprezint toate reelele definite pe ISA server. Orice reea nou definit pe ISA este inclus automat n acest set. All Protected Networks conine toate reelele definite pe ISA, mai puin reeaua External. Orice reea nou definit pe ISA este i ea inclus n acest set. n afara acestor seturi predefinite, se pot crea alte seturi, la dorina administratorului. De exemplu, reelele IT i Marketing au nevoie de acces la Internet. Atunci putem crea un nou set de reea, Acces Internet, care s le cuprind pe acestea dou. Acest set va fi utilizat n regula de firewall ce permite accesul la serviciul de Internet. n mod asemntor, constatm c reelele IT, Marketing i Management au nevoie de serviciul de e-mail. Creem atunci setul de reea Acces E-mail care s le conin. Modul de caeare a acestor seturi de reea este urmtorul: 1. n consola ISA Server Management , n arborele de structur, Configuration, click pe Networks 2. n panoul Activiti, click pe Tasks, Network Sets Tasks, click Create a New Network Set 3. Se deschide wizardul de configurare a noului set de retea, pe care l numim Acces Internet 4. Din fereastra Network selection seectm reelele care vor face parte din acest nou set (Management si IT), sau reversul, toate reelele, exceptnd cele selectate. 5. Se finalizeaz wizardul i se apas Apply pentru salvare. Similar se face i pentru crearea setului Acces E-mail. Urmtorul pas n configurarea serverului ISA este crearea regulilor de reea, definind astfel topologia reelei. Aceste reguli indic dac exist sau nu o legtur ntre dou entiti de reea, i de ce tip sunt ele rutare sau NAT. n cazul c nu se definete nicio legtur ntre reele, atunci ISA blocheaz toate pachetele care circul ntre reele. O regul de reea nu poate fi definit ntre o reea i ea insi, iar traficul dintre staiile din aceeai reea este considerat ca rutat (nu poate fi definit ca NAT). Regulile de reea sunt ordonate au asignate numere care le asigur prioritate. Atunci cnd ISA verific dac ntre dou reele esist legtur, parcurge regulile n ordinea prioritilor. n cazul configurrii ISA server dup ablonul 3-Leg Perimeter, sunt create urmtoarele reguli: 1. Local Host Access definete o relaie de rutare nte reeaua Local Host i toate celelalte reele. Prin acasta este stabilit conectivitatea dintre ISA server i toate reelele conectata la el. 2. VPN clients to Internal Network definete o relaie de tip rutare ntre reeaua intern i clienii VPN 3. Perimeter configuration definete o relaie de tip NAT ntre reeaua intern, clienii VPN i reeaua de perimetru. 4. Perimeter access definete o relaie de rutare ntre reeaua de perimetru i reeaua extern (External). 5. Internal Access definte o relaie de tip NAT ntre reeaua intern, clienii VPN i reeaua extern. 9

Pentru modificarea regulilor Perimeter Configuration i Internal Access se parcurg urmtorii pai: Selectm regula i apoi din panoul Activiti, tabul Tasks, seciunea Network Rule Tasks, Edit Selected Netwok Rule n fereastra proprieti a regulii, click pe Source Networks Selectm pe rnd cele trei reele-surs i le tergem prin Remove Dup ce le-am ters, adugm reelele pe care le-am creat (IT, Management, Marketing), apsnd butonul Add, din fereastra Add Networks Entities, expandnd nodul Networks. Confirmm cu OK Salvm modificrile cu butonul Apply. Singura regul pe care trebuie s o creem n cazul reelei noastre este aceea prin care rutm trafcul ntre reelele interne. Pentru aceasta: Selectm regula i apoi, din panoul activiti, tab-ul Tasks, seciunea Network Rule Tasks, facem click pe Create a New Network Rule Apare wizardul de configurare a regulii, Next n fereastra urmrtoare, Network Trafic Source, selectm sursele traficului (pot fi reele sau seturi de reele, staii individuale intervale de adrese IP, subreele, seturi de staii). n cazul nostru sunt toate cele 4 reele interne, Next n fereastra urmrtoare, Network TraficDestination, trebuie selectat destinaia, care n cazul nostru vor fi tot cele 4 reele interne, Next Finalizm wizardul cu revizuirea setrilor regulii nou create Salvm cu Apply Dup aceste configurri, panoul de detalii, seciunea Network Rules va arta ca n fig 6.25 Munteanu

Politici de Firewall
O politic de firewall este un set de reguli de publicare sau de acces prin care definim (limitm) accesul din exterior ctre reeaua organizaiei i invers, din reea spre exterior. ISA server are dou roluri mari: 1. de a conecta sursa cu destinaia prin intermediul regulilor de reea 2. de a proteja reeaua intern de accesul neautorizat prin intermediul regulilor de firewall. Modul n care este tratat o cerere a unui client din interiorul reelei este urmtorul: - prima dat ISA server verific dac este definit o legtur ntre reeaua surs i reeaua destinaie prin intermediul unei reguli de reea - dac da, prelucrea regulile din politica de firewall vrificnd ndeplinirea simultan a elementelor: protocol sursa dac este programat destinaia (adr IP, URL) utilizatori coninut 10

La instalarea ISA server i aplicarea ablonului 3-Leg Perimeter, este preconfigurat o regul firewall numit Default rule, cu prioritate Last, care va fi ntotdeauna ultima i blocheaz traficul pe toate protocoalele dinspre toate reelele spre toate reelele i pentru toi utilizatorii. Ea nu poate fi modificat sau tears. Dac nu mai sunt definite alte reguli de firewall, chiar dac sunt definite relaii ntre reele, tot traficul dintre ele va fi blocat. S vedem cum se poate configura accesul nerestricionat al staiilor din reeaua Management spre Internet. Pentru aceasta trebuie configurate dou reguli: - o regul de reea care permite accesul dinspre Management spre Internet - o regul de firewall care permite traficul dinspre Management spre Intenet, pe toate protocoalele, pentru toi utilizatorii n ceea ce privete accesarea serverelor din reeaua de primetru n od securizat, de ctre clienii din exteriorul reelei organizaiei, ISA permite crearea unei politici de publicare format din reguli de publicare a serverelor web, a serverelor de e-mail, a serverelor securizate de web etc. Reguli de acces. Regulile de acces spcific serverului ISA cum s trateze cererile venite de la reelelesurs de a accesa reelele-destinaie. Presupunem c dorim un acces nelimitat al reelei de Management la reeaua (resursele) Internet. Va trebui construit o regul de acces Full Management. Pentru crearea acestei reguli, se parcurg etapele: - se deschide consola ISA Server Management, iar din arborele de structur, n seciunea Configuration, se face click pe Firewall Policy - n panoul activiti se face click pe Tasks, iar n Firewall Policy Tasks click pe Create a New Access Rule - se deschide wizardul de configurare, se specific numele noii reguli de acces (Full Management) - n urmtoarea fereastr, Rule Action, se specific dac accesul este permis sau blocat atunci cnd condiiile sunt ndeplinite. Vom selecta Allow pentru a permite accesul spre Internet. - Urmtoarea feresatr ne solicit specificarea protocoalelor crora li se aplic regula. Dorind acces nelimitat la Internet, secectm opiunea All outbond protocols. Dac dorim doar anumite protocoale, alegem opiunea Selected protocols, i apoi adugm protocoalele dorite. Dac se dorete excluderea unor protocoale, se va alege opiunea All outbond protocols exept selected i le adugm pe cele dorite a fi excluse. De asemenea pentru toate cele trei opiuni avem posibilitatea specificrii unui interval de porturi surs crora s li se aplice regula. - Fereastra Access Rule Sources solicit specificarea reelelor-surs crora li se va aplica regula. n cazul nostru reeaua Management - Fereastra Access Rule Destinations solicit specificarea reelelor-destinaie crora li se va aplica regula. n cazul nostru reeaua External, pe care o adugm n list - Fereastra User Sets solicit specificarea uilizatorilor sau a grupurilor de utilizatori din domeniu sau locali; n cazul nostru vom aduga grupul Management, care a fost setat n avans, n Active Directory. Implicit setarea este All users. 11

- Finalizm wizardul i l salvm cu Apply. Asupra regulii de acces Full Management creat mai sus, se pot efectua urmtoarele aciuni: Editrae Dezactivare tergere n plus, la editarea regulii de acces se mai pot face dou lucruri: Schedule i Content Groups. Opiunea Schedule permite specificarea perioadei din zi /sptmn n care regula este sctiv sau inactiv. Opiunea Content Groups permite aplicarea regulii la tipuri de coninut specificate. De exemplu, dac se dorete blocarea descrcrii de pa Internet a fiierelor video, creem o regul de blocare a accesului la HTTP, dar numai pentru coninuturile din grupul video.

Reguli de publicare a serverelor web Ce nseamn publicarea unui server web? Serverele din reeaua ecranat (DMZ, Perimetral) pot fi accesate sau nu din Internet. Publicarea lor nseamn accesibilitatea lor din Internet, posibilitatea de a fi vzute i utilizate si de useri din afara reelel proprii. Regulile de publicare a serverelor pe web ne permit configurarea modului n care ISA server va trata cererile pentru obiecte HTTP adresate serverului din interiorul organizaiei i modul n care serverul ISA va rspunde n locul serverului web. Serverul web n cazul reelei pe care o analizm este IIS server care are adresa IP 125.125.125.104. Pentru a-l publica se parcurg urmtorii pai: 1. se deschide consola ISA server management i din arborele de structur, seciunea Configuration, se d click pe Firewall policy. 2. n panoul de activiti se face click pe tabul Tasks, iar n seciunea Firewall Policy Tasks se face click pe Publish a Web server 3. se deschide wizardul de configurare a regulilor de publiare i se ncepe cu numele lui, n cazul nostru Web 125.125.125.104 4. n fereastra Select Rule Action se specific dac accesul este permis sau blocat, atunci cnd condiiile sunt ndeplinite. Selectam Allow. 5. n fereastra Select Web Site to Publish, se introduce adresa IP a serverului web. 6. n fereastra Select Public Domain Name se introduce mumele de domeniu al serverului web. Ca exemplu, ar putea fi www.myorg.ro 7. n fereastra Select Web Listener trebuie configurat un asculttor (receptor) de cereri care specific adresa IP i portul pe care ISA server va recepta cererile web. 8. Se finalizeaz wizardul. Se pot publica i servere web securizate (HTTPS), servere de mail sau alte servere dedicate.

12

VPN cu ISA server 2004

O reea virtual privat este o extindere a reelei private peste o reea public. VPN emuleaz o legtur punct la punct, fie c ea conecteaz un singur utilizator ndeprtat, sau un site aflat la distan, de reeaua organizaiei. Pentru a se realiza o conexiune VPN este necesar ca abonaii ndeprtai care se conecteaz s fie autentificai i conexiunea s fie secirizat. ISA server 2004 permite realizarea conexiunilor VPN n dou moduri, uor diferite ntre ele: - conexiune de tip Remote access prin care un client ndeprtat se conecrteaz pe serverul VPN care n autentific i apoi i permite accesul n toat reeaua, conform drepturilor sale - conexiune de tip site-to-site cnd serverul VPN face o conexiune de tip VPN ntre dou situri ale reelei. Desi modul de funcionare a celor dou variante este usor diferit, configurarea cu ISA server este similar. ISA server trateaz cererile de conexiune VPN de la un client sau de la un site folosind aceleai protocoale de tunneling, metode de autentificare, accesul la reea, asignarea i configurarea adreselor IP. Pentru a configura ISA server ca server VPN, se parcurg urmtorii pai: 1. din panoul arborelui de structur al consolei de management se selecteaz Virtual Private Netwrk (VPN) i n panoul de detalii, click pe VPN Clients 2. n panoul de activiti selectm Tasks, Enable VPN Client Access. La activarea accesului la clieni VPN, regula implicit (automat activat) este de a permite accesul. n continuare trebuie configurate numrul de conexiuni concurente, utilizatorii care au drept de acces i protocoalele de acces. 3. 4. n panoul de activiti (Tasks) se face click pe Configure VPN Client Access n fereastra Properties, n tabul General, se completeaz nr max de conexiuni simultane 5. n tabul Users se adaug n list userii sau grupurile de useri care au dreptul de a se conecta prin VPN. 6. n tabul Protocols se marcheaz protocoalele de tunelare pe care dorim s le utilizm, n funcie de gradul de securizare al legturii. Dup activarea VPN-ului, trebuie configurate reelele din care se pot conecta clieni de VPN, modul de asignare a adreselor IP, metode de autentificare, eventual autentificare clieni wireless. Aceasta se face din tabul Tasks, General VPN Configuration. Aici sunt enumerate urmtoarele activiti: VPN Access Points Address Assignment Authentification Methods RADIUS Configuration Pentru a defini reelele acceptate, asignarea adreselor etc., trebuie selectat nodul Virtual Priveta Network (VPN). Sunt afiate numele reelelor configurate n ISA server: External, Internat, Perimetral, All Networks, All Protected Networks. 13

1. Din panoul de activiti (Tasks), din General VPN Configuration, click pe VPN Access Point, 2. Marcm reelele crora le permite accesul VPN (implicit este marcat External) 3. Asignarea adreselor cu tabul Address Asignment, selectm asignarea static sau DHCP (implicit DHCP) 4. Pentru definirea metodei de autentificare, selectm tabul Authentification, i din el o metod mde autentificare din list. Implicit este Microsoft encrypted authentification vers 2 (MS-CHAPv2) 5. Definirea clienilor wireless Se folosete tabul RADIUS care permite serverului RADIUS s realizeze procesul de logare si/sau autentificare. Apoi trebuie fcut specificarea serverului RADIUS

Funcia de accelerare (Caching)

Pentru mbuntirea performanelor reelei, n primul rnd a timpului de cutare pe net i de rspuns la cererile clienilor, ISA server are posibilitatea de a depozita obictele mai des solicitate de clieni. La instalarea ISA server, opiunea de depozitare este dezactivat, spaiul de depozitare fiind nul. Activarea depozirii se face aunci cnd la instalarea ISA server se specific spaiul de pe disk destinat depozitrii. Dup activare, se pot configura reguli de depozitare prin care se specific ce reele au dreptul s solicite obiecte depozitate de ISA server, modul i durata de memorare, dimensiunea maxim a obiectelor, modul de descrcare (automat, la anumite momente). Descrcarea la anumite momente poate fi avantajoas dac se ateapt descrcarea unor obiecte mari atunci cnd reeaua este mai puin solicitat. Dac s-a configurat depozitarea, atunci obiectele pot fi accesate de orice browser Web, mbuntind performanele i optimiznd gradul de ocupare a benzii conexiunii de Internet. Depozitarea funcioneaz astfel: - un client din reeaua intern solicit un obiect Web de la serverele n reeaua extern - ISA server verific dac obiectul este n depozit. Dac este l returneaz serverului ISA. Dac nu este l cere din Internet. Serverul returneaz obiectul ctre ISA Server i menie i o copie a sa. Configurarea depozitului cache pentru ISA se face din consola de administrare, din arborele de structur, nodul Cache, seciunea Configurare, panoul detalii. Se selecteaz tabul Tasks, Define Cache Drivers, fereastra Proprieti. Se pot selecta partiia pentru stocare, dimensiunea ei. De exemplu dac se dorete depozitarea paginilor din domeniul *.ro, trebuie creat o regul nou, cu urmtorii pai. - n panoul detalii, click pe tabul Cache Rules - n panoul activiti click Tasks, Create Cache Rule - se lanseaz wizardul de configurare a regulii creia i se d un nume (exp ro), Next - se specific pentru ce destinaii din Internet se aplic regula. Pentru aceasta se creaz un set de nume de domenii (Domain Name Set) - se fce click pe Add, New, i din list selectm Domain Name Set - n fereastra New Domain Name Set Policy Element, specificm numele de domenii incluse n acest set (n cazul nostru, *.ro), Next 14

n fereastra Content Retrieval se specific modul de extragere a obiectelor din depozit. n fereastra Cache Content se poate specifica dac obiectele vor fi stocat n depozit. n mod normal pentru depozitare se alege opiunea If source and request headers indicate to cache. Dac se alege opiunea Never. No content will ever be cached, atunci se invreseaz regula de stocare, adic obiectele din *.ro nu vor fi stocate. n fereastra Cache Advanced Cofiguration se seteaz dimensiunea maxim a obiectelor . Dac se dorete depozitarea obiectelor de tip HTTP (Enable HTTP caching), se poate selecta durata de depozitare (TTL-Time to Live) Dac dorim depozitare obiecte FTP se marcheaz csua Enable FTP Caching, i se specific TTL-ul dorit Se finalizeaz configurarea cu Finish

Regulile de depozitare sunt ordonate. Ele se proceseaz dup prioriti, cea implicit fiind ultima. Dac o cerere ndeplinete condiiile impuse de regul, ea se proceseaz. Dac nu, se proceseaz urmtoarea regul.

ntrebri de control i teste 1. Care este rolul ISA server ntr-o reea de calculatoare? 2. Explicai noiunea de networking n accepiunea ISA server. 3. Explicai conceptul DMZ (zon demilitarizat). Ce servere se plaseaz n acest zon? 4. Ce se nelege prin publicarea serverelor i cun se poate realize? 5. Ce este un firewall i care este rolul su n aministrarea unei reele? 6. Care sunt configuraiile tipice de firewall realizate cu ISA server? 7. Ce reprezint funcia de accelerare (cashing) i ce utilitate are n funcionarea unei reele? 8. Ce faciliti VPN asigur ISA server 2004? Dai exemple. Teme de cas 1. Descriei modul de realizare a unor conexiuni VPN folosond ISA Server 2. Poiectai o reea de organizaie folosind facilitile de networking ale ISA server, evideniind reeaua intern, zona demilitarizat, reeaua extern 3. Descriei modul de realizare a unor politici de securitate folosind ISA server ca firewall.

15

Instalarea si configurarea unui Server DHCP in Windows Server 2003

DHCP (Dynamic Host Configuration Protocol) este un standard IP proiectat pentru a reduce complexitatea administrarii configuratiilor de adrese IP. Un server DHCP va fi configurat cu setarile corespunzatoare pentru o retea data. Aceste setari includ un set fundamental de parametri cum ar fi gateway, DNS, masti de retea, si o clasa de adrese IP. Utilizarea DHCP intr-o retea inseamna ca administratorii nu trebuie sa configureze aceste setari individual pentru fiecare client din retea. DCHP va distribui automat acesti parametri fiecarui client individual. Serverul DHCP atribuie unui client o adresa IP luata dintr-un set (n original se numete scope) predefinit pentru un anumit timp. Daca o adresa IP este necesara pentru mai mult timp decat a fost setat timpul alocat, clientul trebuie sa ceara o extindere inainte ca perioada sa expire. Daca clientul nu a solicitat o reinnoire a perioadei de alocare (lease time), adresa IP va fi considerata libera si va fi alocata unui alt client. Daca utilizatorul doreste sa-si schimbe adresa IP poate utiliza comanda ipconfig /release urmata de ipconfig /renew in linia de comanda. Aceasta va sterge adresa IP curenta si va aloca una noua. Pot fi definite rezervari intr-un server DHCP pentru a permite anumitor clienti de a avea propria adresa IP. Adresele pot fi rezervate pe baza adresei MAC sau a hostname-ului astfel incat acesti clienti vor avea o adresa IP fixa ce este configurata automat. Majoritatea furnizorilor de servicii Internet utilizeaza DHCP pentru a atribui noi adrese IP calculatoarelor client cand acestea se conecteaza la Internet, ceea ce simplifica lucrurile la nivelul utilizatorului. Instalarea unui server DHCP 1. Dati click pe Start -> Control Panel si apoi alegeti Add/Remove Programs. 2. Dati click pe butonul Add/Remove Windows Components. 3. Selectati din lista Networking services, si dati click pe butonul Details.

4. Bifati componenta Dynamic Host Configuration Protocol (DHCP) si dati click pe OK.

5. Dati click pe butonul Next. Introduceti CD-ul cu kitul de Windows Server in unitatea CD-ROM si instalati serviciul DHCP. Dati click pe Finish pentru a termina instalarea. 6. inchideti fereastra Add/Remove Programs.

Serverul DHCP contine o baza de date cu adrese IP ce contine toate adresele IP disponibile pentru distributie. Daca clientul (avand ca sistem de operare Windows 2000 sau XP Professional) are setat Obtain an IP address automatically in setarile TCP/IP, atunci este setat sa primeasca o adresa IP de la un server DHCP. 2

Crearea spaiului de adrese ale unui server DHCP Spaiul de adrese disponibile pentru alocare dinamic, denumit i scop este o colectie de adrese IP pentru calculatoarele dintr-un subnet ce utilizeaza DHCP. Pentru crearea unui spaiu de adrese dati clic pe Start ->Settings->Control Panel->Administrative Tools->DHCP. Aici dati clic dreapta pe numele serverului DHCP si alegeti optiunea New Scope

Urmatoarea fereastra va cere sa definiti domeniul de adrese care vor fi distribui in retea si masca de retea pentru adresa IP. Introduceti detaliile potrivite si dati clic pe Next.

Va este prezentata o fereastra in care trebuie sa adaugati excluziuni in domeniul de adrese IP pe care l-ati specificat in fereastra anterioara. De exemplu, daca adresa IP 192.168.90.50 este aceea a router-ului companiei, atunci nu doriti ca serverul DHCP sa distribuie acea adresa. in acest exemplu am exclus domeniul de adrese IP 192.168.90.100 192.168.90.115, si o singura adresa 192.168.90.50. n acest caz, 16 adrese IP vor fi rezervate si nu vor fi distribuite clientilor din retea.

n aceasta fereastra se seteaza durata rezervrii (lease) pentru cat timp un client poate utiliza o adresa IP atribuita din acest scop. Este recomandat sa adaugam perioade de lease mai mari pentru o retea fixa si perioade de lease mai scurte pentru conexiuni de la distanta sau laoptop-uri. n acest exemplu am setat perioada de alocare la 12 ore intrucat clientii sunt sisteme desktop intr-un birou local si timpul de lucru uzual este de opt ore.

n urmatoarea fereastra sunteti intrebat daca doriti sau nu sa configurati optiunile DHCP pentru scop (acum sau mai tarziu). Daca alegeti Yes atunci vor apare o serie de casete de dialog pentru setarea acestor optiuni. Daca alegeti No veti putea configura aceste optiuni intro alta faza.

n urmatoarea fereastra trebuie sa setati adresa IP a router-ului sau a gateway-ului si astfel calculatoarele client vor sti ce router sa utilizeze.

Aici setati, serverul DNS si numele domeniului. Adresa IP a serverului DNS va fi distribuita de catre serverul DHCP si va fi atribuita clientilor.

Daca aveti un server de WINS, aici trebuie sa setati adresa IP a acelui server. Puteti sa tastati numele serverului in caseta potrivita si apasati Resolve pentru a permite gasirea respectivei adrese IP. daca nu aveti un server de WINS in retea lasati aceasta pagina necompletata.

Ultimul pas este de a activa scopul doar apasati pe butonul Next cand vedeti fereastra de mai jos. Serverul de DHCP nu va functiona daca nu activati scopul.

La sfarsit dati clic pe Finish pentru a termina configurarea si activarea scopului. Serverul DHCP este acum instalat cu toate setarile de baza. Urmatoarea etapa este de a-l configura dupa nevoile structurii retelei. Configurarea de baza a unui server DHCP Grupul de adrese afiseaza o lista de domenii de IP-uri asignate pentru distributie si excluziuni de adrese IP. Puteti adauga o excluziune de adrese prin dand un clic dreapta pe Address Pool din partea stanga a ferestrei MMC si selectand optiunea New Exclusion Range. Aceasta va afisa o caseta de dialog ce va permite sa adaugati domeniul de adrese ce va fi exclus. Introduceti doar adresele IP de inceput si de sfarsit. Daca introduceti numai adresa IP de inceput veti adauga o singura adresa IP.

Server-ele DHCP va permit sa rezervati o adresa IP pentru un client. Aceasta inseamna ca acel client va avea aceeasi adresa IP atat cat doriti. Pentru a realiza acest lucru trebuie sa cunoasteti adresa fizica (MAC) a fiecarei placi de retea. Dati clic dreapta pe Reservations si alegeti optiunea New Reservation. Introduceti numele rezervarii, adresa IP dorita, adresa MAC si descrierea, apoi alegeti daca doriti suport pentru DHCP, BOOTP sau ambele si dati clic pe Add. Noua rezervare va fi adaugata in lista. Ca exemplu am rezervat adresa IP 192.168.90.144 pentru un calculator client numit Workstation1.

Daca dati clic dreapta pe Scope Options in consola MMC si alegeti Configure Options va apare o fereastra in care puteti configura mai multe servere si parametrii lor. Aceste setari vor fi distribuite de catre serverul DHCP impreuna cu adresa IP. Optiunile server-ului se comporta implicit pentru toate scopurile in serverul DHCP. Totusi, optiunile de scop au precedenta fata de optiunile de server.

Intr-un domeniu Windows Server 2003 toate server-ele DHCP trebuie sa fie autorizate in Active Directory. Acesta este un exemplu al noii initiative de securitate al Microsoft, in incercarea de a elimina server-ele DHCP neautorizate ce sunt in domeniu. Pentru a autoriza un server trebuie sa va logati (sau RunAs) ca un membru al grupului Enterprise Admins. Apoi dati clic dreapta pe icon serverului DHCP si alegeti optiunea Authorize.