Pro úspěšné implementování serveru do firemního prostředí je potřeba jako jeden z prvních kroků nastavit firemní síť, přizpůsobit server vlastním potřebám, počítačové stanice a v neposlední řadě také zvolit dostačující připojení k internetu a s tím i související výběr vhodného poskytovatele internetového připojení. Další důleţitou částí je vybrání vhodného umístění serveru, jak umístění serveru v rámci sítě, tak i fyzického umístění v budově.
Konfigurace sítě
Ve výchozím nastavení má nový server zapnut protokol IPv4 i IPv6, a pokud v síti běţí server DHCP, automaticky má nakonfigurovány adresy pro oba protokoly. Pokud nebyl ţádný server DHCP dostupný, přidělil si server tzv. adresu v link-local (LLA) – IP adresa automatické konfigurace, která je v síti jedinečná, ale směrovače ji nemohou předat jiné síti.
U serverů je důrazně doporučeno, aby alespoň adresa protokolu IPv4 byla statickou adresou.
Ve většině situací můţe být adresa IPv6 bezstavovou adresou automatické konfigurace nebo adresou LLA, poskytnutou serverem DHCP.
Nastavení pevné IP adresy serveru:
1. Klepnutím na odkaz Konfigurovat síť (Configure Networking) v průvodci Úlohami počáteční konfigurace (Initial Configuration Tasks Wizard) se otevře aplikace Ovládacích panelů s názvem Síťová připojení (Network Connections), zobrazenou na obrázku číslo 15.
Obrázek č. 15: Síťová připojení
Zdroj: Copyright © 2007 Microsoft Corporation a vlastní úprava
2. Pomocí pravého tlačítka myši se zvolí připojení, které bude konfigurováno, a kliknutím na poloţky Vlastnosti (Properties) v místní nabídce se otevře dialog Připojení k místní síti – vlastnosti (Local Area Connection Properties), znázorněný na obrázku číslo 16.
Obrázek č. 16: Připojení k místní síti – vlastnosti
Zdroj: Copyright © 2007 Microsoft Corporation a vlastní úprava
3. Vybereme poloţku TCP/IPv4 (Internet Protocol verze 4 – Internet Protocol Version 4 (TCP/IPv4) a klepneme na tlačítko Vlastnosti (Properties).
4. Zvolíme moţnost Pouţít následující adresu IP (Use The Following IP Address) jako na obrázku 17.
5. Zadáme IP adresu, masku podsítě a výchozí bránu pro naši síť.
6. Určíme upřednostňovaný server DNS pro síť. (Měl by jím být řadič domény, pokud pouţíváme server DNS, který je součástí sluţby Active Directory.).
Rovněţ můţeme zadat náhradní server DNS, pokud v dané síti existuje.
V našem případě přiděluje adresy tentýţ server, u kterého nastavujeme pevnou IP adresu.
7. Na tlačítko Upřesnit (Advanced) klepneme pouze v případě, ţe potřebujeme nastavit některé další vlastnosti tohoto síťového připojení. Můţeme zadat další IP adresy, alternativní brány, další nastavení serverů DNS a nastavení serveru WINS. Výchozí hodnoty těchto pokročilých nastavení jsou ve většině sítí dostačující, zejména pro tuto počáteční konfiguraci. Klepnutím na tlačítko OK se vrátíme na hlavní stránku vlastností.
8. Klepnutím na tlačítko OK zavřeme dialog Protokol TCP/IPv4 (Internet Protocol verze 4 – vlastnosti (Internet Protocol Version 4 (TCP/IP) Properties), a poté klepneme na tlačítko Zavřít (Close), dokončíme konfiguraci tohoto připojení.
Obrázek č. 17: Protokol TCP/IPv4
Zdroj: Copyright © 2007 Microsoft Corporation a vlastní úprava
Přizpůsobení serveru
Průvodce Úlohami počáteční konfigurace (Initial Configuration Tasks Wizard) se pouţívá k přidání rolí a funkcí na serveru, k povolení vzdáleného přístupu a ke konfiguraci brány Windows Firewall.
Jednu funkci společnost Microsoft ve výchozím nastavení však neinstaluje, ačkoliv by to mělo být součástí kaţdého serveru. Jedná se o prostředí Windows PowerShell.
Správa protokolu TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) je protokol patřící mezi hlavní síťové protokoly současných sítí. Je nutné zdůraznit, ţe protokol TCP/IP není jedním objektem, TCP i IP jsou protokoly, přesto jsou to jen dva protokoly z protokolů, které vytváří protokol TCP/IP. Protokol TCP/IP je ve skutečnosti celým balíkem protokolů, přičemţ kaţdý má jinou funkční oblast a pouţití.
Nejpouţívanější verzí protokolu TCP/IP, kterou vyuţívají takřka veškeré sítě na celém světě, je verze 4, nazývaná jako IPv4. Protokol IPv4 je datově orientovaný, přepravující data bez záruky a je zaloţen na 32bitovém adresovém prostoru, který limituje maximální počet eventuálních originálních adres na 4 294 967 296 (232). I přesto, ţe toto číslo se jeví jako vysoké, v dnešní době adresy protokolu IPv4 nestačí, respektive jsou vyčerpány. Obecně rozšířené přijetí zařízení pro překlad síťových adres NAT (Network Address Translation) tuto okolnost vylepšilo. Další verzí protokolu TCP/IP je verze 6, známá jako IPv6. Protokol IPv6 je zaloţen na 128bitovém adresovém prostoru, coţ představuje dostatečný vysoký počet adres.
Téměř všechny sítě zaloţené na protokolu TCP/IP vyţadují pouţití třech základních síťových funkcí:
Protokol DHCP (Dynamic Host Configuration Protocol) pro dynamické poskytování IP adres a konfiguračních informací klientům.
Sluţba DNS (Domain Name Systém) pro překlad IP adres na přívětivá jména, s nimiţ se snáze pracuje, a naopak.
Sluţba WINS (Windows Internet Naming Service) pro překlad názvů NetBIOS a IP adres pro klienty, kteří stále pouţívají rozhraní NetBIOS.
Použití serveru DHCP
DHCP (Dynamic Host Configuration Protocol) můţe znamenat název protokolu z rodiny TCP/IP, nebo označení odpovídajícího DHCP serveru či klienta. V tomto případě se budeme zabývat DHCP serverem, sluţbou, která je součástí systému Windows Small Business Server 2008. DHCP provádí konfiguraci protokolu TCP/IP u klientů DHCP včetně dynamického přiřazování adres IP, určení serverů WINS a DNS a názvů DNS specifických pro připojení.
Bezpečnostní opatření týkající se serveru DHCP
Přestoţe servery DHCP nepředstavují pro hackery drahocenné terče útoku, se servery DHCP je spojeno ohroţení zabezpečení. Jelikoţ je počet IP adres daného okruhu omezen, neoprávněný uţivatel můţe v síti realizovat útok typu DoS (denial-of-service; odepření sluţby) získáním významného počtu IP adres od serveru DHCP. Útok typu DoS na server DNS můţe být podnícen také uskutečněním velkého počtu dynamických aktualizací DNS prostřednictvím DHCP. Obdobně uţivatel, který má fyzický přístup k síti, můţe lehko aplikovat server DHCP jiný neţ od společnosti Microsoft k nastavení neautorizovaného serveru DHCP, který uděluje nepravé IP adresy jiným klientům.
Poslední potencionální hrozbou pro zabezpečení serveru DHCP tkví v tom, ţe kaţdý uţivatel, který získá IP adresu od serveru DHCP, pravděpodobně získá také adresu firemních serverů DNS a WINS. Hacker posléze můţe zjistit další informace o konfiguraci sítě z těchto serverů – nebo na ně můţe zaútočit.
Pro minimalizaci rizika redukujme fyzický přístup k naší síti. Pokud hacker má moţnost se připojit do naší sítě, bude mít nesrovnatelně menší mnoţství práce, neţ kdyţ se bude snaţit překonat bránu firewall. Pouţití protokolu 802.1x kontrolujícího přístup v celé fyzické síti můţe podstatně sníţit riziko. Taktéţ je důleţité neopomíjet údrţbu a preventivní kontrolu souborů protokolu auditování serveru DHCP (ve výchozím nastavení jsou uloţeny ve sloţce
%windiw%\System32\Dhcp).
Použití služby Domain Name Systém (DNS)
Sluţba překladu adres IP převádí názvy počítačů na adresy protokolu Internet Protocol (IP).
Pouţitím sluţby DNS lze například plně kvalifikovaný název hostitele mail.finapra.cz plně přeloţit na adresu 90.182.149.98, která umoţňuje počítačům jejich vzájemné vyhledání.
a můře být integrována se sluţbami WINS, Dynamic Host Configuration Protocol (DHCP) a Active Directory Domain Services.
Sluţba DNS uspořádává skupiny počítačů do domén. Tyto domény jsou uspořádány do hierarchické struktury, kterou lze definovat na úrovní sítě internet pro veřejné sítě, nebo na podnikové úrovni pro privátní sítě (rovněţ známé jako intranety a extranety). Různé úrovně v hierarchii tvoří jednotlivé počítače, organizační domény a domény nejvyšší úrovně. V plně kvalifikovaném názvu hostitele mail.finapra.cz vyjadřuje mail název hostitele jednoho počítače, finapra je organizační doména a cz je doména nejvyšší úrovně.