Зміст лекції

Якщо Windows XP Professional-клієнт призначений для прийому вхідних з'єднань із іншими пристроями, то в папці Network Connections (Мережні підключення) для кожного встановленого з'єднання з'являється значок з ім'ям користувача. Для перегляду всіх вхідних з'єднань потрібно в контекстному меню вибрати «Стан». Ця команда виводить інформацію про тривалість з'єднання; швидкість з'єднання; кількість прийнятих /відправлених байт.

Вивчивши ці параметри, можна визначити, чи є проблеми зі зв'язком. Наприклад, якщо є швидке з'єднання Fast Ethernet, а показана швидкість становить тільки 10 Мб/с, то щось не в порядку. Вказівкою на більше серйозну проблему є розрив з'єднання (поява червоного хрестика поруч зі значком і неможливість відкриття меню стану). Текст, що з'явився поруч зі значком, вкаже вірний напрямок дій для вирішення проблеми.

Відкривши діалогове вікно Local Area Connection Status (Стан локального мережного з'єднання) і вибравши вкладку Support (Підтримка), можна побачити: тип адреси, IP-адресу, маску підмережи й адреса шлюзу за замовчуванням. Кнопка Details (Деталі) до цих даних додає: адресу за замовчуванням; фізичну адресу; IP-адреси DHCP-, DNS- і WINS-серверів; дати початку/закінчення оренди адреси відповідно до протоколу динамічної конфігурації хоста (DHCP).

Діагностика мережі. У Центрі допомоги й підтримки (Help and Support Center) системи Windows XP Professional можна скористатися інструментом Network Diagnostics (Діагностика мережі) для перевірки ряду мережних настроювань. Наприклад, система може переглянути мережу й провести серію автоматичних тестів. Вона перевірить модеми й мережні карти й вкаже специфічні параметри пристроїв, додатків і сервісів, встановлених на ПК. Інші інструменти усунення конфліктів будуть видавати інструкції про необхідні дії, і користувачеві буде необхідно нажати на Yes або No залежно від отриманих результатів.

Відновлення з'єднання. Якщо деякі з'єднання викликають занепокоєння – їх можна обновити, вибравши в контекстному меню відповідну кнопку й обновивши ряд мережних настроювань, до яких відносяться: створення поточних TCP/IP-настроювань; відновлення TCP/IP-настроювань; очищення кешу протоколу ARP; відновлення IP-оренди за допомогою виконання DHCP-трансляції; перезавантаження таблиці імен NetBT вилученого кешу; посилка пакетів з релізом імен на WIN-сервер для відновлення останнього; очищення кешу DNS- розпізнавальника й повторна реєстрація DNS-інформації.

Комп'ютерні системи стають все більш складними й проблеми, що в них виникають, усе складніше діагностувати. Розглянемо найпоширеніші проблеми:

1) Проблеми, що виникають в LAN.

Якщо локальна мережа не відповідає на запити, то, у першу чергу, необхідно перевірити: мережний адаптер і сполучний кабель. Відсутність з'єднання буде видно по значку мережних з'єднань. Використання диспетчера пристроїв допоможе переконається в нормальній роботі мережного адаптера й з його допомогою усунути можливі неполадки. Також потрібно перевірити чи не від’єднався кабель.

Рішення проблем з мережею можна спростити, якщо знати її слабкі місця:

1. Сервер.

2. Мережний пристрій (концентратор, комутатор, маршрутизатор і т.д.).

3. Кабель.

4. Робоча станція.

По-перше, потрібно визначити, на скількох клієнтів впливає проблема. Якщо ПК раптово перестав працювати, потрібно перевірити фізичну надійність з'єднань, роботу мережної карти, кабелю. Якщо ПК - клієнт новий, то можлива помилка конфігурації. Це можна перевірити, включивши в даний сегмент працюючий ПК.

Якщо проблема поширилася на декількох клієнтів, то потрібно з'ясувати, що у всіх цих клієнтів є загального. Якщо це нові пристрої, то можливі проблеми з конфігураціями. Якщо раніше ці клієнти працювали, то несправність може полягати в кабелі або в мережному пристрої.

Якщо проблема охоплює з'єднання всіх комп'ютерів в організації, то, швидше за все, причина полягає в роботі сервера.

Проблеми клієнтів. Найперше й легкодоступне місце, де можна шукати рішення проблеми - це протокол. Швидше за все, у мережі використовується набір протоколів TCP/IP. Якщо клієнт не бачить деяких пристроїв (або всі пристрої), то варто перевірити, чи всі пристрої настроєні на роботу із протоколом TCP/IP. Це виконується через «Властивості» мережного з'єднання. При використанні TCP/IP можна протестувати командою ping, що використовується для перевірки доступності адресата шляхом передачі йому певного сигналу й очікування відповіді. Якщо пінг - запит повертається, то протокол працює нормально (але все одно можуть бути проблеми зі зв'язком).

Потрібно перевірити пінгом адресу іншого комп'ютера, шлюзу й пари пристроїв у своєму мережному сегменті. У такий спосіб тестується мережна карта. Якщо посланий пінг -сигнал не вертається, то проблема криється в мережній карті. Якщо пінг пройшов вдало, його потрібно повторити для цього ж комп'ютера, але цього разу з ім'ям комп'ютера. Якщо цей тест пройде невдало, то, можливо, проблема зачіпає WINS- або DNS-сервер.

Якщо пінг імені пройшов успішно, то потрібно спробувати протестувати комп'ютер в іншому сегменті мережі або в Інтернеті. При невдалій спробі, швидше за все, проблема в неправильно сконфігурованому шлюзі, або проблема полягає в маршрутизаторі. Проте, варто провести пінг – тести з іншими клієнтами. Якщо їм вдається додзвонитися до зовнішнього світу, то, найімовірніше, - проблеми зі шлюзом.

Проблеми комутаторів і концентраторів. При наявності проблем зі зв'язком у цілого ряду клієнтів, швидше за все, справа полягає в комутаторі або концентраторі. Наприклад, якщо є мережа, у якій ПК з'єднані одним концентратором, і всі вони не одержують доступ до мережі, то швидше за все проблема в ньому. Якщо крім цього, концентратори створюють ланцюжок з портами комутатора, то проблема може бути пов'язана з портами іншого комутатора.

Проблеми сервера. Рішення проблем, пов'язаних із сервером, вкладаються в логічну схему, викладену для клієнта. Саме головне для серверів - використання правильного протоколу й наявність функціонуючих кабельних з'єднань.

Проблеми з вилученим доступом. Тут можливі наступні проблеми:

1. Не працює модем. Отут можливі варіанти:

- модем неправильно приєднаний або відключений;

- для дозвону використається невірний телефонний номер;

- модем несумісний із системою Windows XP Professinal;

- обліковий запис не дійсний;

- телефонна лінія не підтримує швидкості з'єднання;

- телефонна лінія є цифровою;

- вилучений сервер не працює;

- зв'язок переривається

Якщо з'єднання постійно переривається, потрібно перевірити наступні умови:

1) Розрив зв'язку відбувається через відсутність дій - потрібно набрати номер ще раз.

2) Очікування виклику перериває з'єднання - потрібно відключити очікування виклику (дзвінка).

3) Від’єднався кабель модему.

4) Програма модему має потребу у оновленні.

5) Настроювання модему несумісні із сервером вилученого доступу.

6) Сервер вилученого доступу відключений.

7) Модем не може взаємодіяти з модемом вилученого сервера.

При спробі встановити з'єднання комп'ютер виводить на екран повідомлення, характер яких вкаже на проблему ясніше.

2. Проблеми із з'єднанням. Тут можливо наступне:

- зовнішній модем не включений;

- модем несправний, потрібно активувати реєстрацію модему для перевірки зв'язку;

- кабель несумісний з модемом;

- ISDN-з'єднання одержують повідомлення "No Answer" (Немає відповіді)

При виникненням проблеми з ISDN-з'єднанням, що постійно одержує повідомлення "No Answer" (Немає відповіді) необхідно перевірити наступне: лінія зайнята; якість лінії погана; ISDN-комутатор зайнятий - потрібно спробувати пізніше; неправильно сконфігурований телефонний номер; неправильно введений ідентифікатор профілю SPID (Service Profile Identifier); не включений облік часу, проведеного в мережі; вилучений сервер не підключений або виключений.

Корисні мережні інструменти й сценарії

Існує кілька інструментів для відстеження й вирішення проблем, пов'язаних із застосуванням протоколу TCP/IP. Всі вони запускаються з командного рядка й видають результати у форматі DOS. Зведемо їх у таблицю 6.1.

Таблиця 6.1. Інструменти для вирішення проблем протоколу TCP/IP
Інструмент командного рядка	Опис
ARP	Дозволяє модифікувати таблицю протоколу дозволу адрес.
IPCONFIG	Показує поточну TCP/IP конфігурацію й дозволяє обновляти ці значення.
NBTSTAT	Надає NetBIOS-інформацію про TCP/IP-з'єднання, перезавантажує кеш LMHost і визначає зареєстроване ім'я й область дії ID.
PING	Посилає ехо-запит на зазначений пристрій.
TRACERT	Перераховує кількість переходів (змін маршруту) до зазначеного пристрою.
PATHPING	Показує ступінь втрати інформаційних пакетів на будь-якому маршрутизаторі або посиланні.

Розглянемо наведені інструменти докладніше.

1. PING. Якщо пінг –запитом тестується пристрій локальної мережі, то пристрій відгукнеться практично миттєво. У цьому випадку говорять, що обидва комп'ютери працюють нормально. При виникненні проблем варто виконати наступні кроки.

1). Протестувати пінгом-запитом адресу локальної перемички. Позитивна відповідь говорить про те, що на локальному комп'ютері є конфігурація протоколу TCP/IP.

2. Протестувати локальну IP-адресу й переконатися, що немає конкуренції з іншим пристроєм у мережі.

3. Протестувати IP-адресу шлюзу за замовчуванням для перевірки можливості добратися до найближчого маршрутизатора, що дозволяє спілкуватися з комп'ютерами в інший підмережі.

4. Протестувати пінгом-запитом адресу пристрою в інший підмережі.

5. Протестувати пінгом-запитом той же самий пристрій, застосувавши повне ім'я його домена. Якщо спроба закінчиться провалом, але крок 4 працює, то це проблема дозволу імені. На цьому етапі варто переконатися, що DNS-сервери доступні, таблиці Hosts і LMHosts точні, а WINS (якщо використається) правильно сконфігурований.

Інструмент PING використається в такий спосіб:

Ping [-t] [-a] [-n] [-l] [-f] [-I TTL] [-v TOS] [-r ] [-s ] [-j список вузлів] [-k список вузлів] [-w ] список адресатів

Аргументи PING містять у собі наступне.

-t Підтримує пінгування, поки не буде зупинений натисканням клавіш CTRL+C.

-n Посилає ехо-сигнал певну (зазначену) кількість разів і припиняє тестування.

-l Посилає пакет із зазначеною кількістю бітів.

-f Установлює прапор Don't Fragment (Не фрагментувати). Це значить, що пакети не будуть розбиватися на частині мережними пристроями.

-w Установлює час простою (мс). Час простою за замовчуванням дорівнює 750 мс.

2) ARP. Протокол дозволу адрес (Address Resolution Protocol, ARP) дозволяє комп'ютерам створювати з'єднання на фізичному рівні. Незалежно від того, використаються NetBIOS або TCP/IP імена комп'ютерів у мережі, вони повинні бути конвертовані в MAC-імена мережної карти комп'ютера. Коли одна робоча станція намагається встановити зв'язок з іншою, вона повинна транслювати сигнал до протоколу ARP, щоб з'ясувати MAC-адресу. Після того як Windows XP Professional комп'ютер визначить Мас-адрес, він використає його для установки зв'язку із пристроєм. Ця конверсія IP у МАС зберігається в ARP-таблиці комп'ютера. Команда ARP дозволяє переглядати й редагувати таблицю ARP. Цей інструмент корисний при вирішенні проблем, пов'язаних з дозволами імен. Команда ARP записується в такий спосіб.

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr]

У наведених прикладах атрибути працюють у такий спосіб.

-s Додає IP-адреса (inet_addr) або Ethernet MAC адреса (eth_addr) у таблицю ARP. IP-адреса має стандартний чотирьохоктетний формат, у той час як Ethernet-адреса записується шістьома шістнадцятирічними значеннями, розділеними тире.

-d Видаляє зазначену IP-адресу з таблиці.

-a Виводить на екран поточну ARP-таблицю. Якщо в неї включена IP-адреса, то буде представлена тільки таблиця перекладів IP-адреси в Мас-адрес для даного комп'ютера.

Аргумент [if_addr] указує IP-адресу, відмінний від даного за замовчуванням. Якщо потрібно просто подивитися таблицю ARP комп'ютера, то вводять у командний рядок arp-a.

3) IPCONFIG. Цей інструмент добре підходить для початку пошуків джерела проблеми, пов'язаної із застосуванням протоколу TCP/IP. Команда записується в такий спосіб.

Ipconfig [/all | /release [adapter] | /renew [adapter]]

При використанні без аргументів IPCONFIG представляє тільки основні настроювання TCP/IP, включаючи IP-адресу, маску підмережі й шлюз за замовчуванням для кожної карти мережного адаптера. Аргументи містять у собі наступне.

/all Показує основну й додаткову інформацію, таку як строки закінчення оренди й служби дозволу імен.

/release Видає IP-адресу зазначеному адаптеру, якщо адаптер використав DHCP.

/renew Обновляє IP-адресу для зазначеного адаптера, якщо адаптер використав DHCP.

4)TRACERT. Інструмент Trace Route (TRACERT) застосовується для відстеження переміщення пакета даних від пристрою до пристрою. Він працює за допомогою передачі пакета зі значенням часу життя (TTL), рівним 1. Звичайно маршрутизатори скорочують значення TTL на 1 і потім відправляють пакет далі по шляху проходження. Якщо маршрутизатор одержує TTL зі значенням 0, то він повертає пакет відправникові як прострочений. Це дозволяє довідатися дещо про маршрутизатор. Інструмент TRACERT виконує цю дію для першого маршрутизатора на шляху проходження пакета, додає 1 до TTL і потім відправляє новий пакет. Наступний пакет доходить до другого маршрутизатора й стає простроченим. Цей маршрутизатор повертає пакет разом з інформацією про самого себе. Процес повторюється, поки пакет не дійде до потрібного пристрою, або поки кількість переходів не досягне максимального значення.

Синтаксис команди TRACERT наступний.

Tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] ім'я кінцевого пристрою

Деякі аргументи команди TRACERT описані нижче.

-d Перешкоджає дозволу адреси іменам хостов.

-h maximum_hops Встановлює верхню границю загального числа переходів, необхідних для знаходження потрібної робочої станції.

-j host-list Встановлює вільний початковий маршрутизатор для всього списку хостів.

-w timeout Встановлює час простою (мс) для кожного переходу.

Цей інструмент корисний, якщо немає можливості запустити жодної утиліти з пакета протоколів TCP/IP.

5) NBTSTAT. Інструмент NBTSTAT допомагає в вирішенні проблем, пов'язаних з дозволом NetBIOS-імен в TCP/IP-з'єднаннях. Він показує статистику протоколу й поточні TCP/IP-з'єднання, використовуючи NetBT (NetBIOS поверх TCP/IP). Коли мережа функціонує нормально, NetBT дозволяє привласнювати NetBIOS-імена IP-адресам.

Команда NBTSTAT має наступний синтаксис.

Nbtstat [-a Вилучене ім'я] [-A IP-адреса] [-c] [-n] [-r] [-R] [-s] [-S] [інтервал]

Деякі аргументи NBTSTAT означають наступне.

-n Показує імена, зареєстровані локально системою, у якій використається сервер або служби переадресації.

-с Перераховує переклади імені в IP-адресу, які перебувають у кеші системи.

-R Змушує систему очищати кеш і перезавантажувати його з файлу Lmhosts (автоматично перезавантажуються тільки ті елементи Lmhosts файлу, які мають позначення #PRE).

-a "ім'я" Повертає таблицю NetBIOS-імен комп'ютера, а також MAC-адреса його мережної карти.

-s Перераховує поточні NetBIOS-сесії, їхній статус і основні статистичні дані.

6) PATHPING. Інструмент PATHPING є комбінацією інструментів PING і TRACERT. Цей інструмент в упорядкованому режимі посилає інформаційні пакети на кожний маршрутизатор по шляху до місця призначення. Потім він розраховує результати на підставі пакетів, повернутих кожним маршрутизатором. Тому що PATHPING показує ступінь втрати пакетів у будь-якому маршрутизаторі або з'єднанні, адміністратор може визначити, які саме маршрутизатори й з'єднання викликають проблеми в роботі мережі.

Команда PATHPING записується в такий спосіб.

Pathping [-n] [-h maximum_hops] [-g host-list] [-p period] [-q num_queries] [-w timeout] [-T] [-R] target_name

Деякі аргументи PATHPING містять у собі наступне.

-n Не дозволяє привласнювати адреси іменам хостів.

-h maximum_hops Вказує максимальна кількість змін маршруту, необхідне для знаходження кінцевого пункту. Настроювання за замовчуванням передбачають 30 переходів.

-p period Вказує час (мс) між двома передачами пінг-сигналу. За замовчуванням дорівнює 250 мс.

-q num_queries Вказує кількість запитів, посланих на кожний комп'ютер під час проходження маршруту. Значення за замовчуванням - 100.

-w timeout Указує час (мс), що відводить на очікування відповіді. За замовчуванням - 3000 мс (або 3 с).

Лекція 7 (2 години)

Тема : Безпека при роботі в мережі

Мета: ознайомити студентів з інструментами та методиками забезпечення безпеки при роботі в мережі, настроюванні мережного доступу та застосуванні групових політик.

Література:

1. Елсенпітер Р., Тобі Дж. Велт Адміністрування мереж Microsoft Windows XP Professional , Еком, 2006р.

2. Курячий Г.В. Адміністрування мереж Windows XP Professional ІНТУІТ. Ру 2007

Хід заняття

1. Організаційна частина

а) готовність групи до заняття;

б) психоемоційний настрій;

в) перевірка присутніх;

2. Актуалізація опорних знань студентів:

а) повідомлення теми та мети;

б) повідомлення основних тез теми.

3. Викладення нового матеріалу:

План лекції:

1. Рівні безпеки мережі

2. Використання брандмауеру

3. Аудит безпеки

4. Забезпечення безпеки серверів

5. Протоколи забезпечення безпеки

6. Керування паролями та груповими політиками користувачів

4. Узагальнення та систематизація знань.

5. Підведення підсумків заняття.

6. Домашнє завдання: вивчити матеріал лекції.

7. Самостійне вивчення: опрацювати теми „Забезпечення безпеки в файловій системі NTFS” з Методичного посібника для самостійної роботи або з будь-якого іншого джерела (наприклад, мережі Інтернет).