Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Шпаргалка к экзамену по TCP/IP 

*IP адресация / Подсети

Двоичная арифметика

• 128-64-32-16-8-4-2-1
• A = 0 B=10 C=110
• 8 = 255; 7 =254; 6=252; 5=248; 4=240; 3=224; 2=192 (Полезно записать как табличку)
• (2ⁿ -2)
• Кол-во подсетей: (2ⁿ-2) где n – число бит в маске подсети. ЭТО ВЕРНО ДЛЯ ВСЕХ КЛАССОВ.
• Кол-во хостов: (2^m-2) где m – число оставшихся бит
• Не надейтесь что вам дадут использовать на экзамене "Power Subnet Tables" :-)

Планирование интрасети. Сколько идентификаторов сетей вам нужно? (Выберите 2)

• один для каждой подсети
• один для каждого соединения с WAN

Сколько идентификаторов хостов (HOST ID) вам необходимо? (Выберите 2)

• один для каждой сетевой платы
• один для каждого инттерфейса маршрутизатора

Поаккуратней с подсетями! Помните – сначала нужно обратить внимание на класс сети. Это очень важно для определения маски. Если у вас адрес класса С а маска 255.255.0.0, и одна NT Workstation не соединяется с NT-сервером в другой посети, в чем проблема? Очевидно! Маска! Если есть другие подсети, то маска неправильная!

Соединения

Не можете	Можете	В чем дело?
Ping 127.0.0.1		TCP/IP установлен некорректно.
Не работает PING к одной машине на другой подсети	1. Шлюз по умолчанию отвечает на PING 2. Проходит ping к другим машинам во внешней подсети	IP адрес машины на внешней сети ошибочен.
Не проходит ping к машине в другой подсети; Не уверены что маршрутизатор работает ….	Проходит PING на ближний вход маршрутизатора.	Для того, чтобы быть уверенным, что работает маршрутизатор, вы должны успешно пропинговать дальнюю сторону маршрутизатора.
Каждый раз когда вы пытаетесь соединиться с сервером в другой подсети ваш компьютер выдает бродкаст – ARP запрос для IP адреса Windows NT сервера в другой подсети	Каждый раз когда пытаешься соединиться с сервером во внешней подсети ваша workstation должна слать ARP-бродкаст для шлюза по умолчанию.	Неверная маска подсети: Комппьютер не может определить – IP сервера во внешней или внутренней сети. Применените логическое AND к IP-адресам и маске подсети: если будет получен одинаковый результат, то адреса локальные. ARP выдаст broadcasts в локальную сеть с IP-адресом компьютера и ожидает получить его MAC-адрес. Если результаты AND не совпадают, то IP запрос посылается на шлюз по умолчанию для прохождения во внешнюю сеть.

Маршрутизация

• Запомните, если в вопросе не сказано, что включен IP forwarding, то никакая маршрутизация не будет работать.
• запомните структуру команды "route add" — Знай и умей прописывать маршрут!
• Запомните (порядок проверки) – 127.0.0.1, ближняя сторона маршрутизатора, затем дальняя сторона маршрутизатора

DHCP (кратко)

• Запомните – если DHCP сервер установлен на маршрутизаторе, то он работает для всех подсетей.
• Если спрашивается про "разрешение имен" – речь идет не о DHCP."
• Если говорится "автоматически назначен" это про DHCP
• Контексты (scopes) соответствуют подсетям. Один контекст не может быть использован несколькими подсетями. Более одного контекста может быть использовано одной подсетью.
• DHCP-серверы могут использоваться как основной/резервный на манеру "round-robin" если их контексты не перекрываются.
• Запомните как DHCP Relay Agents работают и что они требуются при работе в нескольких подсетях с одним DHCP-сервером!
• DHCP Relay Agent setup – указать IP адрес DHCP сервера. Если предлагается "выбрать 2 ответа", то помните – DHCP Relay Agent Service – не существует!
• Добавление резервирования для клиента – требует: IP адрес и MAC адрес; "name" служит для вспомогательных целей и может быть произвольным!

Перемещение DHCP клиента в другую подсеть

Не работает	Работает	В чем дело?
Соединение с другой подсетью	Соединение со своей новой подсетью	Вероятно default gateway изменен вручную
Соединение с новой подсетью		Возможно IP адрес установлен вручную

NetBIOS over TCP/IP

• Порядок разрешения (H-Node)
  • Cache
  • WINS
  • Broadcast Name Query
  • LMHOSTS
  • HOSTS
  • DNS
• Для P-Node = Cache > WINS > Hosts > DNS

*LMHOSTS (не чувствителен к регистру букв)

• Синтаксис для LMHOSTS-файла (пример для PDC) 136.169.16.214 finance #pre #dom:sales
• Хотите чтобы каждый BDC мог работать с PDC (чтобы BDC могли проверять вход клиентов в сеть). Что сделать?
  • Для каждого BDC создать LMHOSTS файл со строкой для PDC.
• Вы обслуживаете TCP/IP многодоменную сеть. Она состоит из 6 подсетей. Вы хотите чтобы каждый компьютер с windows мог просматривать все домены. Что нужно внести в файл LMHOSTS у каждого компьютера
  • запись для каждого контроллера домена в локальном домене и
  • PDC каждого внешнего домена.
• Как вы войдете в другой домен и какие записи необходимы для этого на вашем компьютере в файле LMHOSTS?
  • (PDC и BDC)  #PRE #DOM
• PDC и несколько BDCs в разных подсетях должны видеть друг друга без использования WINS?
  • внесите #PRE и #DOM – записи в их LMHOSTS – файлы.
• LMHOSTS – записи с '#' перед именами
  • не работают

WINS

• Push / Pull должны быть правильно настроены
• Интеграция зашла так далеко, что Unix МОЖЕТ использовать WINS Proxy для разрешения IP-адресов MS-клиентов. Прокси помогает не-WINS клиентам использовать WINS-сервер для разрешения имен.
• WINS-сервер также может разрешать имена UNIX-компьютеров если они не длинее 15 символов и не содержат в имени недопустимых символов. AKA, MS-клиенты могут разрешать имена UNIX-компьютеров если они не длиннее 15 символови не содержат спецсимволов, которые использует WINS. Введите UNIQUE имя для Unix-компьютера и IP в WINS статическую запись.
• WINS Proxy – когда WINS обслуживает несколько подсетей — WINS Proxy агент должен быть установлен в КАЖДОЙ ПОДСЕТИ ГДЕ ЕСТЬ КЛИЕНТЫ НЕ ИСПОЛЬЗУЮЩИЕ WINS.
• WINS не поддерживает Macintosh-клиентов
• When the Если установлен флаг "Enable DNS For Windows Resolution" – на вкладке WINS Address в Microsoft TCP/IP Properties, то WINS передаст DNS все имена хостов, которые не сможет разрешить.

Не работает	Работает	В чем дело?
соединение с компьютером во внешней подсети по имени компьютера	Другие компьютеры на этой подсети могут	WINS или LMHOSTS не сконфигурированы для этой машины
Нельзя подключиться указав для этого же сервера UNC-имя	Соединяется командой FTP x.x.x.x к внешней подсети	Компьютер не использует WINS и LMHOSTS
Не подсоединяется при помощи Windows NT Explorer	Может соединиться используя FTP xxx.zzz.com	Компьютер не использует WINS и LMHOSTS
Не можете получить доступ к FTP-серверу используя FTP xxx.xxx.xxx.xxx	Можете получить доступ к FTP-серверу используя NT Explorer	Доступ закрыт. Почему? Если бы это были проблемы с IP – тогда вообще ничего бы не работало. Мы видим, что WINS работает, так как вы можете использовать NT Explorer. Почему дело не в DNS? потому что FTP пытался подключиться по IP-адресу и при этом не требуется разрешения имен.
Не можете получить доступ к FTP-серверу используя FTP aaa.bbb.com	Можете получить доступ к FTP-серверу используя NT Explorer	Дело в DNS…   так как FTP пытается соединиться по имени хоста и требуется разрешение имен
Не можете подсоединиться к внешнему серверу используя UNC. Внешний сервер не использует WINS, а ваша машина использует WINS и LMHOSTS.	Проходит ping с именем хоста.	Ошибка в LMHOSTS или проблемы с WINS

Внимание: Если проходит ping с именем хоста но не получается соединиться к общему ресурсу через Explorer, то тогда LMHOST не имеет записи для данного хоста или WINS не работает. А если вы МОЖЕТЕ подсоединиться к общему ресурсу через Explorer но не проходит ping с именем хоста, тогда или файл HOSTS содержит ошибку или DNS не работает. Запомните – проблемы с NetBIOS относятся к проблемам WINS или LMHOST, DNS проблемы относятся к проблемам HOSTS или DNS сервера.

По поводу вопросов о FTP. Автоматически, у вас может быть еще одна причина для отказа соединения. У вас может отсутствовать право доступа к FTP-серверу. Если вы можете РАЗРЕШИТЬ (получить IP) имя хоста, то ваша конфигурация правильная. Более чем вероятно что ваша проблема заключается в отсутствии права доступа к FTP.

*HOSTS (рассматривайте как DNS-сервер – НЕ чувствителен к регистру букв)

• # – знак комментария. Синтаксис: IP-адрес TAB имя_хоста.
• Запомните, что несколько имен хостов может быть на одной строке в этом файле, но но там где имя встретится впервые, (даже если это не первое имя хоста в строке) оттуда и будет взят IP-адрес.

DNS (кратко)

• cache.dns. – содержит информацию о хостах для взаимодействия DNS. Этот файл DNS-сервер использует для работы с Интернет. Этот файл определяет корневые сервера имен для DNS. "Девять серверов имен предусмотрены для разрешения имен на верхнем уровне в США. Эти корневые сервера имен прописаны в файле cache.dns который автоматически устанавливается на Microsoft DNS server … Если вы не собираетесь использовать ваш Microsoft DNS server для разрешения имен хостов в Интернете то эти записи в файле cache.dns следует удалить и заменить на записи NS и A используемые вашим внутренним сервером имен."
• boot. – главный конфигурационный файл. В нем описаны все файлы используемые для инициализации DNS. NT DNS использует boot-файл только при импорте данных из базы BIND.
• caching-only server – для разделения нагрузки на DNS внутри зоны, вы можете установить дополнительные DNS-серверы, называемые caching-only servers – кэширующие серверы. Как следует из их названия, они только кэшируют запросы, проходящие через них. Поэтому, они не реплицируют файлы с других DNS-серверов (не переносят зону ), это уменьшает загрузку сети.
• Планируете установить третий сервер для обработки DNS-запросов к Интернет-ресурсам … если DNS-сервер не может разрешить запрос внутри своей зоны, запрос может быть переправлен к forwarder. Forwarder – это DNS-сервер, сконфигурированный для разрешения внешних по отношению к вашей зоне запросов, обычно путем соединения с DNS-серверами в Интернете. Forwarder также может помочь ограничить прямой выход из intranet в Internet. Расположенный снаружи от брандмауэра, forwarder может работать как внешний DNS-сервис для Internet, при этом защищая внутренние ресурсы от хакеров.
• Enable DNS Server to use WINS server for name resolution.Хотите уменьшить число статических записей на вашем DNS-сервере? Как заставить non-MS TCP/IP клиентов использовать WINS для разрешения части имени FQDN, относящегося к хосту. Запомните, это делается только для первичных — не для вторичных.

Утилиты

ARP	arp -a показывает IP-to-MAC соответствие из своего кэша. Network Monitor может также использоваться для этого arp -d очищает ARP-кэш
netstat (может накапливать статистику) – до перезагрузки.	*netstat -r показывает список всех текущих TCP/IP подключений к вашему компьютеру. netstat -r или ROUTE PRINT показывает таблицу маршрутизации *netstat -e -p показывает Ethernet и TCP/IP статистику соответственно. Можно использовать Network Monitor также *netstat -a ... показывает соединения переставшие отвечать …команда показывает статистику по протоколам и текущую активность TCP и UDP-портов на локальной системе по виду транспорта, локальному адресу и номеру порта, внешнему адресу и имени или номеру порта, и (только для TCP) состояние соединения. Netstat с ключом -s [интервал в секундах] показывает TCP, IP и UDP статистику непрерывно.
nbtstat (!!!чувствительна к регистру параметров!!!)	*nbtstat -n покажет имя компьютера с дублирующимся именем. "Event 4320, NetBT Error" такое сообщение на вашем компьютере говорит о двух компьютерах с одним именем в сети. "ДЛЯ НАХОЖДЕНИЯ ДУБЛЯ" nbtstat -A по IP-адресу выдаст имя компьютера. Только после того как известно имя другого компьютера можно разрешать конфликт дальше *nbtstat -R to очищает кэш имен NetBIOS. а затем перезагружает его, включая все записи из LMHOSTS с командой #PRE. Обычно используется после обнаружения ошибок в файле LMHOSTS. nbtstat -r выводит статистику работы NetBIOS. *nbtstat -c выводит локально- кэшированные NetBIOS-имена, их 16й символ (вид сервиса), их тип (unique, group, …) и состояние.
ipconfig	ipconfig /all
tracert	да – с RAS … удаленный dial-up пользователь жалуется что у нее есть проблемы с подключением к сети. С чего начать? … путь через маршрутизаторы
route	ROUTE PRINT – выводит таблицу маршрутизации, можно также NETSTAT -r ROUTE -f Очищает таблицу маршрутизации
nslookup	для проверки работы IP-в-hostname разрешения. NSLOOKUP – диагностический инструмент для DNS-взаимодействия с DNS-сервером!
FTP	для передачи файлов; загрузки файлов; операционная система неважна
telnet	доступ и запуск приложений на удаленном компьютере; в основном клиент – простой терминал

Performance Monitor (основы)

• для дальнейшего анализа
• Собирает TCP/IP статистику с машины и сохраняет в файле … Perfomance Monitor
• Просмотр диаграммы статистики TCP/IP протокола для сервера.
• … экспорт в …
• вы хотите использовать Performance Monitor для просмотра статистики TCP/IP протокола на сервере. Что надо установить? Службу SNMP!
• Накапливание статистики в TCP/IP сети при помощи Performance Monitor требует установки службы SNMP на Windows NT-based компьютерах, за которыми вы хотите наблюдать. Другими словами, если вы хотите наблюдать за удаленными серверами, то нужно установить на них SNMP.
• Планирование роста/загрузки сети: Perf Monitor

Network Monitor (основы)

• в реальном времени
• необходим NDIS 4.0, анализ только на компьютере, на котором установлен.
• Единственный инструмент служащий для анализа протоколов. Захват и анализ кадров (накопление) – отображение (просмотр)

TCP/IP печать (надо знать — наверняка будут вопросы)

• В вопросах про печать
  • Для печати на принтере на Unix-компьютере и контроля через NT Server (шлюз печати)
    • На Unix надо установить LPD
    • Установить LPD на NT Server (TCP/IP Printing Services)
    • Отразить LPR-порт на IP-адрес принтера на NT Server
    • Обьявить принтер общим ресурсом
    • Соединение по протоколу Утилита LPR не требуется на MS workstations, требуется TCP/IP так как NT Server работает как шлюз для клиентов Microsoft
  • MS-клиентам нужно печатать на Unix print-сервере (без шлюза печати на NT Server) ЕДИНСТВЕННОЕ ОТЛИЧИЕ ОТ ШЛЮЗА В ТОМ ЧТО ПРИНТЕР НЕ ОБЬЯВЛЯЕТСЯ РАЗДЕЛЯЕМЫМ РЕСУРСОМ.
    • Важно что вы должны сконфигурировать поддержку TCP/IP принтера на MS-клиентах. Установите LPD службу на NT MS-клиентах (TCP/IP Printing Services).
    • Отразите LPR-порт на IP адрес принтера на NT Server и печатайте.
    • Соединение по протоколу: MS-клиентам надо только использовать общий протокол с Unix, не обязательно TCP/IP
  • Unix-компьютерам нужно печатать на NT Server
    • Unix-клиенты должны использовать LPR (печатаь прямо на принтер – используйте RAW формат)
    • Установите LPD-службу на NT Server (TCP/IP служба печати)
    • Обьявите принтер общим ресурсом (… LPR-клиенты должны использовать имя принтера как указано в каталоге, а не то что указано в свойствах принтера)
  • Для просмотра списка документов отправленных на печать на Unix-based printer
    • LPQ используется для запроса состояния принтера (состояние, список документов в очереди) после постановки документа в очередь печати.
    • LPD должен быть установлен в сети
  • Учтите: LPR – клиентская утилита. MS-клиенты могут использовать print manager; Unix-клиентам следует использовать lpr.exe. При установке все что нужно знать LPR-клиенту – только IP адрес LPD print-сервера и имя принтера (не имя как разделяемого ресурса)I

SNMP (основы)

• SNMP установлен на сервере и хочется предотвратить доступ от посторонних… все должны принадлежать одному сообществу (имя сообщества действует как пароль, хотя это нельзя рассматривать как защиту паролем… установите "only accept SNMP packets from these hosts" – это закроет доступ от других SNMP-консолей.
• "отправлять TCP/IP статистику от Windows NT Server к UNIX-компьютеру." SNMP нужно установить на обоих.
• Установка: на вкладке MANAGEMENT нужно ввести community name (имя сообщества) и IP-адрес или имя хоста) … " Unix-хостов куда следует отправлять захваты…"
• SNMP-менеджеры и 'агенты' устанавливаются как "SNMP Service." SNMP-менеджер запрашивает данные от SNMP-агента на хосте. SNMP-агент возвращает данные в MIB-файле (Management Information Base). SNMP может работать через TCP/IP или IPX. Для сбора TCP/IP-статистики Performance Monitor требует установки SNMP.
• *Отправка сообщений-захватов по сети на UNIX-сервер требует установки SNMP-службы на сервере и настройки отправки захватов на UNIX-сервер. Это ответ на часто попадающийся сценарный вопрос.

RAS и PPTP (кратко)

• "Enable PPTP filtering" (находится в TCP/IP properties > Advanced) RAS сервер позволяет только PPTP пакетам пройти в сеть. Дополнительно вы можете фильтровать порты, IP и UDP адреса. PPTP использует PAP и CHAP! Они конфигурируются в установках RAS.
• PPTP работает через PSTN (телефонная сеть), ISDN и X.25!
• PPTP не поддерживает Macintosh (из-за Appletalk). Поддерживает IP, NetBEUI, IPX
• Адрес шлюза по умолчанию на компьютере с Windows 95 должен указывать IP-адрес интерфейса RAS-сервера в сторону локальной сети … Для RAS-сервера шлюз по умолчанию не указывается. Он задается Интернет-провайдером и его следует оставлять пустым.

Internet Information Server

• (CNAME) запись позволяет создать псевдоним для существующего хоста. Типичное использование CNAME – назначение служб FTP и Web одному серверу.

Browser

• Browsing (просмотр) содержимого подсетей зависит от Domain Master Browser, которым всегда является PDC. PDC, в роли Domain Master Browser, собирает списки результатов просмотра из каждой подсети. Затем Domain Master Browser обьединяет их в единый список для всего домена. Местные browsers показывают результаты просмотра подсетей в зависимости от этого списка. Поэтому, если PDC выходит из строя, просмотр из одной подсети другой невозможен.
• Для проведения просмотра через маршрутизаторы вам нужно использовать файл LMHOSTS или WINS. Но только WINS может обновлять результаты просмотра автоматически. Это значит, что если у вас есть 4 подсети, с PDC в первой и BDC в другой, то пока у вас работает WINS вы сможете обозревать все 4 подсети!

Разные проблемы

• Web Browser: Соединение с сервером не может быть установлено: в DNS нет записи; указан неверный IP-адрес DNS-сервера.
• "Bad IP address" указывает на проблемы с разрешением имен. Это подтверждается тем, что к хосту можно обращаться по IP-адресу.