64153 (Корпоративная сеть), страница 2

Кабельная структура

Пассивная часть кабельной структуры ЛВС содержит в себе:

• кабель "витая пара" l00Base-T Level 5;

Активная часть кабельной структуры ЛВС представлена:

• концентратором 3COM OfficeConnect Hub 8/ТРО.

Аппаратно-программая организация

Сервер, кроме своего прямого назначения обработки и хранения информации, решает задачу маршрутизации и транспортировки информации, снижая трафик на основной информационной магистрали.

Подготовка к установке сети. Если ваша сеть будет объединять более двух компью­теров. установленных в одной комнате, обязательно нужно составить план помещения и пометить на нем места расположения компьютеров. «Зачем?» — спроси­те вы. Для того чтобы правильно развести кабельную систему, выбрать систему присваивания имен компью­терам и дать им уникальные имена, правильно расста­вить сетевое оборудование. Гораздо проще продумывать эти вопросы, имея на руках план помещения.

Не помешает выяснить и общее число компьюте­ров. От него зависит число сегментов в вашей сети (не следует делать более 30 рабочих станций на сегмент) и наличие выделенного сервера. Если в сети меньше пяти компьютеров и не предъявляются особые требо­вания по .защите, обычно достаточно простой одно­ранговой сети.

Следует знать также общее число пользователей и иметь представление о том. сколько компьютеров будет находиться в личном пользовании, а сколько — в общем доступе.

Получить план работы филиалов, отделов и сотруд­ников компании зачастую бывает труднее всего. Но при решении задач распределения доступа и состав­ления структуры каталогов и ресурсов вам потребу­ется структурный план вашей компании с названия­ми отделов, иерархией подчинения и т.д.

Наконец, необходимо предусмотреть возможность расширения компании. Составлять проект нужно та­ким образом, чтобы в любой момент можно было до­бавить в сеть еще пяток компьютеров, не сверля для этого дополнительные дыры в стенах и не протяги­вая новые километры кабелей.

После того как план будет вычерчен и вы нанесе­те на него предполагаемые места размещения ком­пьютеров, разводку кабелей, места для установки сер­вера и концентраторов и т.д., можно приступать к выбору сетевого оборудования и сервера.

ыбор сетевых карт. Сетевые карты должны быть совместимы с NE2000. поддерживать шину РСI и стандарт Fast Ethernet 10/ 100 Мбит. Такие карты не сильно дороже обыкновен­ных 10-мегабитных ISA-плат. Даже если в данный мо­мент вся ваша сеть состоит из одного сегмента, соеди­ненного коаксиальным кабелем, то лучше всего сра­зу приобретать СОМВО-карты — то есть с разъемами RJ-45, BNC и AUI.

Рекомендуется не покупать дешевых карточек неизвестных производителей — могут возникнуть проблемы. Лучше ориентироваться на лидеров — 3Com, Acton, Compex, Allied Telesyn International, Kingston... Лично мне больше нравятся сетевые адаптеры 3Com. Идеальный вариант — приобрести все сете­вые адаптеры одного типа и одного производителя.

Выбор концентраторов. Лучше использовать 100-мегабитные хабы фирм 3Com, Kingston, Allied Telesyn International. LanBit, Compex. При планировании сети всегда следует остав­лять в запасе один или два разъема для подключения новых компьютеров.

Выбор сервера. В любом случае нужен сервер как минимум с од­ним процессором Pentium II. Для нормальной работы ЛВС с сотней пользователей, обращающихся к файл-серверу, я бы купил не меньше 100 Мбайт памяти.

Выбор диска — одна из наиболее важных задач. Во-первых, берите диски только со SCSI-интерфейсом и емкостью не менее 4 Гбайт. Во-вторых, купите сразу три одинаковых диска — два для «зеркала», третий — про запас, на тот черный день. когда сломается один из первых двух. Соответственно SCSI-адаптеров тоже должно быть два.

Кстати, не мешало бы иметь на сервере два блока питания. И еще — дисководы и кнопка выключения питания должны закрываться пластмассовой крышеч­кой на ключ. «Уборщиц» у нас пока еще хватает.

Мой выбор — Windows NT Server 4.0.

Сначала я создаю раздел С: с файловой системой FAT и объемом 250 Мбайт и копирую туда каталог i386 с компакт-диска Windows NT Server, Предварительно лучше запустить SMARTDrive. Установку Windows NT Server я запускаю командой «C:\i386\winnt /b». Даль­ше все как в книгах, и проблем обычно не возникает. Не устанавливайте сервисы, которые вам не нужны.

После установки Window's NT сначала выберите в Control PanelRegional Settings русский язык и уже после этого устанавливайте Service Pack 3.

Выбор протокола. Разумеется, TCP/IP. Установите серверы DHCP, WINS и DNS, настройте маршрутизацию и забудьте о них. IPX/SPX необходим тем, кто имеет серверы Novell NetWare. NetBEUI применяется для небольших одно­ранговых сетей. Кроме того, NetBEUI может пригодить­ся на стадии подключения DOS-клиентов к Windows NT Server, так как протокол TCP/IP слишком объемный.

Существует масса способов и правил присвоения имен компьютерам и другим устройствам. Я выбрал следующую систему. Предположим наихудшее — ваша компания имеет филиалы в разных городах. причем в каждом городе по несколько офисов. В каждом офисе — несколько этажей, на каждом эта­же много комнат, в каждой комнате много ком­пьютеров.

Тогда компьютер, находящийся в бухгалтерии цен­трального офиса московского филиала, будет иметь имя 07С01041702, где 07 — условный код Москвы; С — условный код устройства (С — компьютеры. Р —принтеры и т.д.); 01 — условный код центрального филиала; 04 — условный код этажа бухгалтерии; 17 — условный код комнаты бухгалтерии на этаже; 02 — условный код компьютера в комнате бухгалте­рии.

Во всяком случае, такое имя содержит больше ин­формации. чем традиционное COMP1WIN95. Имена устройств нанесите на свой план.

Повторюсь: нельзя экономить на дисках и контрол­лерах. Вы обязательно должны иметь возможность делать дублирование. Только не надо при этом думать, что дублирование освобождает вас от необходимос­ти делать резервные копии! Если случайно будут уда­лены важные данные, то восстановить их можно бу­дет только с резервной копии.

Производительность Windows NT немного умень­шается при работе с «зеркальными» дисками, эта про­блема решается установкой двух дисковых контрол­леров. Еще одно небольшое неудобство — после не­корректного завершения Windows NT «зеркальные» диски автоматически начинают синхронизировать­ся, в зависимости от емкости «зеркальных» разделов это может занять десять минут или полчаса, и нор­мально работать в это время невозможно.

Я предлагаю следующий вариант экономного раз­мещения данных на сервере (тот случай, когда файл-сервер, контроллер домена и рабочее место админи­стратора — одна и та же машина).

Диск 0:

• С: (FAT) — загрузочный раздел с дистрибутивом Windows NT,

• D: (NTFS) — раздел с каталогом WINNT, инструмен­тами администратора и каталогом PUBLIC;

• Е: (NTFS) — раздел с пользовательскими данными — то, что обязательно следует копировать каждый день!

Диск 1:

• F: (NTFS) — диск резервного копирования. Это мо­жет быть обычный жесткий диск, магнитооптичес­кий накопитель и т.п.

Диск 2:

• Н: (FAT) — копия диска С:;

• D: - «зеркало»;

• Е: - «зеркало».

Имена ресурсов C_SERV$. D_SERV$, E$_SERV, MO_SERV$ (магнитооптический диск), CD_SERV$ дос­тупные только администратору. Они подключаются, когда я регистрируюсь как пользователь.

Все ресурсы, доступные на моих серверах, — скры­тые. При просмотре доступных ресурсов с рабочей станции пользователь может увидеть PUBLIC и NETLOGON — и все! Все остальные ресурсы сами под­ключаются в процедуре регистрации.

Домашние каталоги при создании доступны толь­ко определенному пользователю. Каждому пользова­телю я создаю домашний каталог сразу после его ре­гистрации, чтобы иметь доступ к пользовательским данным. Игрушки они чаще всего хранят именно там! Каталог каждого пользователя — отдельный скрытый ресурс. Отдельные ресурсы выделены директору пред­приятия, заведующим отделами, бухгалтерии и т.д.

По умолчанию все пользователи являются членами группы Domain Users и в зависимости от отдела принадлежат, как правило, еще к одной группе. Например, бухгалте­рия — Accountancy, отдел кадров — Personnel и т.д.

Забудьте об именах типа MASHA, SASHA, NATASHA. Я выбрал простую систему — пользовательское имя со­ставляется из первой буквы имени и фамилии. Напри­мер, Сергей Иванов — SIVANOV. Если в организации несколько Сергеев Ивановых, пусть «называются» SIVANOVI, SIVANOV2 и т.д. Не обращайте внимания на тех, кому лень набирать 8 или более символов, по­мните — вы администратор. Привыкание к длинным именам и длинным паролям происходит очень быс­тро.

К выбору пароля нужно относиться с большим вни­манием. Пароль должен быть не короче шести сим­волов. Многим пользователям не хватает фантазии придумать себе пароль, в результате рождается нечто вроде «147», «159», «zzz», «sex», «god». Запомните, та­кие пароли недопустимы!

Все мои пользователи при регистрации получают три сетевых диска:

• W: — (work) рабочий диск, на котором всегда нахо­дятся рабочие файлы отдела. Для каждого отдела используется свой ресурс, но имя диска всегда W:.

• Н: — (home) домашний диск. Личный диск пользо­вателя, на котором он может хранить свои личные файлы (вместо диска С:).

• Р: — (public) общий диск. Диск для хранения общей информации предприятия.

Я использую матричные принтеры Epson, лазерные от HP — эта техника меня все­гда полностью устраивала.

Принтеры у меня автоматически подключаются при входе в сеть командой

net use lpt1: \\myserver\printer11

Защита-Сервер должен находиться в отдельном помещении, куда ограничен доступ. Хорошо если в этой комнате есть кондиционер. Идеальный вариант: выделить одну комнату для офисной АТС, серверов, шкафов для хабов, концентраторов и т.д. Попробуйте выбить у начальства хотя бы несгораемый шкаф для сервера и оборудования.

Опечатайте сервер хотя бы бумажной лентой, что­бы быть уверенным, что сервер в ваше отсутствие не вскрывали. Есть также специальные наклейки для опе­чатывания техники.

Физическая защита кабельной системы. Защищать кабельную систему нужно даже не от зло­умышленников, а от уборщиц. Уборщица — главный враг проводов. Идеальный вариант — короба, но фир­менные короба дороги. Есть альтернативный вари­ант — простенькие коробочки на четыре провода с витой парой. Для них нет специальных розеток, при­меняются они в основном при монтаже электропро­водки. На крайний случай можно использовать клея­щиеся хомуты или пластмассовые клипсы. Главное — чтобы кабель был хорошо закреплен, убран от лишних глаз и не болтался под ногами ваших пользователей.

Физическая защита рабочих станций. Опечатайте станции, как и сервер, хотя бы бумажной лентой. Сделайте это для того, чтобы быть уверенным. что «умные» пользователи не меняли внутренности компьютера.

Если пользователю нет необходимости пользовать­ся дискетами, то отключите дисководы физически. Хуже от этого никому не будет. Оставьте дисководы на одной-двух машинах: если кому-то надо перепи­сать файл, то пусть кидает его на общий диск и пере­писывает на дискету и обратно. Вы всегда сможете это отследить, пользуясь аудитом.

Кроме того, отключите или опечатайте последова­тельные и параллельные порты.

Защита данных на сервере. Отключите флоппи-дисковод. Когда сервер «умрет». тогда и подключите. Отключите загрузку с флоппи-дисководов и компакт-диска. Из файла BOOT.INI удалите строку «C:="MS DOS"». Установите минимальную длину пароля не менее шести символов, а числен попы­ток регистрации не более трех, и сделайте так, чтобы учетная запись блокировалась до вашего прихода и выяснения, почему неправильно набирается пароль.

Кроме того, поставьте аудит на общий диск PUBLIC. Но будьте осторожны — если поставить аудит на все события, то разобраться с журналом будет невозмож­но.

План действий по защите рабочих станций

• Отключите флоппи-дисководы.

• Отключите загрузку с флоппи-дисководов и ком­пакт-диска.

• Постарайтесь как можно меньше программ хранить на локальном диске. Постарайтесь сделать так. чтобы в любой момент каждый из пользователей мог ра­ботать с любой рабочей станции в вашей организа­ции.

• Запретите пользователям сохранять файлы на ло­кальном диске.

• Определите список программ и каталогов, которые должны быть на рабочей станции.

• Всем важным конфигурационным файлам поставьте атрибут «только для чтения».

• Незачем разрешать доступ ко всем дискам и прин­терам рабочих станций, У вас сеть с выделенным сервером, а не одноранговая.

Работа с персоналом. Все беды в локальных сетях происходят, конечно, из-за пользователей! Чем взламывать сеть из Интернета и воровать серверы с предприятий, в наше время про­ще просто поговорить по душам с рядовым пользо­вателем. Поэтому выполните следующие действия:

• Рекомендуйте начальству при приеме сотрудников на работу указывать в контракте, что пользователь не должен разглашать сведения, касающиеся локаль­ной сети предприятия, а также свой пароль и сис­тему каталогов.

• Обязательно напишите инструкции с иллюстраци­ями по работе в локальной сети, чтобы человек, имеющий хотя бы малейшие навыки работы на ком­пьютере, мог после прочтения сесть и начать рабо­тать — это сэкономит вам массу времени.

• Не забудьте указать в инструкции, для чего пользо­вателю выдается пароль.

• Вы — сетевой администратор, а не бесплатный ин­структор и помощник в работе. Давайте советы, но не более того. Постарайтесь организовать обучение ваших пользователей основным навыкам работы с компьютером на специальных курсах.