Предисловие
На начальных этапах разработки Windows 2000 компания Microsoft активно вовлекала в работу основных заказчиков, что позволило создать программный продукт, отвечающий всем современным требованиям. Этот подход реализовался с помощью программы Rapid Deployment Program (RDP), а позднее ? программы Joint Deployment Program (JDP). Каждая из этих программ включала два отдельных этапа. На первом этапе, когда возникала масса затруднений, около 250 заказчиков выразили согласие на тесное сотрудничество с компанией Microsoft. Они развернули сотни рабочих станций и серверов и выполняли работу по совершенствованию среды разработки. На следующем этапе необходимо было работать с представителями различных партнеров компании Microsoft, которые действительно "болели" за Microsoft и работали на ее благо, поддерживая ранние версии операционной системы. В течение 22 месяцев уже только 20 служащих, не являющихся сотрудниками компании Microsoft, выполняли эту работу; автор и являлся одним из этих 20-ти, будучи представителем этого проекта компании Compaq.
Самым волнующим моментом данного проекта являлось следующее обстоятельство. Несмотря на то, что мы представляли конкурирующие компании, однако, тесно и плодотворно сотрудничали с представителями компании Microsoft. Все мы служили одной цели: изучать запросы и поддержать заказчиков в рамках программы RDP/JDP. Независимо от того, интересы каких компаний представлялись, все члены команды могли положиться друг на друга и оказывали взаимную помощь с целью достижения общей цели. С учетом основных технологий Windows 2000 формировались соответствующие подгруппы. И хотя автор являлся членом группы по сетевым вычислениям, которая специализировалась на виртуальных частных сетях, он регулярно сотрудничал с представителями других групп при работе над специальными проектами и разработками. В обязанности всех занятых сотрудников входило посещение еженедельных собраний. На этих собраниях представители различных групп разработчиков обсуждали достоинства и недостатки операционной системы Windows 2000. Каждый из нас мог высказать свои замечания относительно тех вопросов, с которыми сталкивались заказчики RDP/JDP. Также все участники могли наблюдать процесс разработки приложения в компании Microsoft.
И самым важным для меня результатом этой деятельности является осознание тех невероятных усилий, которые предпринимаются при координировании разработки программного продукта во всей его сложности и масштабности. В качестве сетевого администратора мне уже приходилось внедрять программные продукты компании Microsoft. При обнаружении неточностей в процессе внедрения программы я испытывал некоторую тревогу. До тех пор, пока я не оказался участником процесса разработки, не представлялось возможным в полной мере оценить масштабность задачи по разработке операционной системы. Достаточно просто специализироваться в определенной технологической области. До чего же сложно разработать программный код для выполнения определенной задачи и гарантировать при этом, что этот код не повлияет негативным образом на другую часть операционной системы при различных способах развертывания технологии. В то же время весь процесс координирования не может специализироваться с учетом данной технологии, а должен представлять собой завершенный программный продукт. Следует учесть, что процесс тестирования должен выполняться таким образом, чтобы его нельзя было обобщить. В результате приходим к масштабному тестированию, которое требует огромных усилий. И участие заказчиков в этом процессе тестирования было поистине находкой.
Иногда затруднительно гарантировать успешное функционирование данного продукта совместно с другими программными продуктами, разработанными одной и той же фирмой. Компания Microsoft выступает спонсором многих технических разработок, привлекая конкурентов к выполнению тестирования межоперационного взаимодействия. Поскольку технологии появляются и развиваются достаточно быстро, довольно трудно гарантировать превосходное функционирование всех продуктов в средах различных типов. Автор верит, что именно RDP/JDP поможет в этом, поскольку Windows 2000 развертывается в чрезвычайно различных средах, и многие затруднения, которые обнаружились на ранних стадиях разработки, уже устранены.
Тадеуш выражает уверенность в том, что стратегия предварительной разработки увенчалась крупным успехом. Операционная система Windows 2000 является, по многим показателям, совершенно новым продуктом, и для его изучения и тестирования потребуются постоянные усилия. При внедрении Windows 2000 важно полностью представлять диапазон возможностей этого проекта, например, разработку Active Directory с помощью подключений VPN. Программа RDP/JDP помогает вскрыть эти возможности. Она также служит моделью, которая помогает при реализации сетей VPN учесть все особенности функционирования системы еще до ее внедрения. И автор верит, что с помощью подобного подхода можно спроектировать рабочую сеть для тестирования, а также четко очертить испытательную среду, которая позволит создавать и точную документацию, и выполнить тестирование.
Именно благодаря тем возможностям, которые представились автору в программе RDP/JDP, в задачи которой входила разработка версий VPN для множества реальных заказчиков, накопились бесценные для процесса внедрения советы и стратегии, обсуждаемые в этой книге.
Введение
Позвольте мне начать со следующего довольно неожиданного заявления. Я вовсе не собирался создавать руководство по виртуальным частным сетям (VPN), которое включало бы лишь понятия и теории. Вместо этого целью создания книги является описание методов конфигурирования Windows 2000, обеспечивающих применение сетей VPN, а также обоснование необходимости использования этих технологий. Для этого в книгу включены размышления о преимуществах и недостатках большого числа конфигураций, а также пошаговые процедуры их настройки. После просмотра содержания книги читатель сможет создавать и внедрять данную технологию в среде собственной сети.
В книге обсуждаются возможности технологий VPN в Windows 2000, однако, комментарии по документам RFC не входят в спектр вопросов, рассматриваемых в книге. Вообще говоря, книга рассчитана на разработчиков и администраторов сетей, которые желают знать, каким образом следует производить настройку сети. Если вас интересуют подробности каждого пакета и детализированный анализ принципов работы, следует обратиться к приложениям данной книги. Там содержится материал, в котором обсуждаются не только технологии VPN в Windows 2000, но также и стандарты IETF. Опираясь на собственный опыт, я, тем не менее, прихожу к выводам, что сетевые администраторы, как правило, не интересуются деталями технологических разработок. Их больше заботят способы внедрения этих технологий, меры по обеспечению безопасности и поддержка функционирования сетей. Исходя из собственного опыта, я предлагаю непосредственный, удобный в применении подход, который позволяет внедрять виртуальные частные сети на рабочем месте каждого пользователя.
Вопросы, обсуждаемые в книге
Операционная система Windows 2000 включает большое число новых технологий, предназначенных для сетевых администраторов. ОС Windows NT 4.0 поддерживает подключения VPN, которые действительно представляют "вещь в себе". При работе с Windows 2000 среда VPN должна координироваться с большим количеством других служб, что гарантирует ее гибкое и завершенное развертывание. Эта книга представляет собой не только введение в эти службы, но также включает и обсуждение вопросов, относящихся к их развертыванию.
В отличие от большинства книг, посвященных VPN, диапазон обсуждаемых здесь вопросов не ограничивается клиентским доступом к корпоративной сети. Также обсуждается и большое число других моментов, например, развертывание Active Directory с помощью подключений, основанных на туннелях. (Большое количество тестов, выполненных в течение двух последних лет, показало, что возможно конфигурирование полностью функциональной и надежной в работе среды каталогов, которая полностью базируется на использовании сетей VPN.)
Не имеет значения, какой тип имеет внедряемая среда VPN, необходимо лишь помнить о том, что сеть VPN нуждается в гибком подходе, поскольку постоянно изменяются корпоративные задачи и технологии. Теоретически возможна любая разработка. Однако, при разработке сетевой конфигурации необходимо выполнить детальный разбор всего проекта. Тогда можно гарантировать, что проект будет отвечать запросам клиентов. В этой книге объясняется достаточно большое количество технологий и стратегий, которые позволят вам преуспеть в достижении поставленной цели.
Структура книги
Главы в этой книге располагаются с учетом принципа "от простого к сложному". Сначала излагается самая общая информация, затем она усложняется, а затем рассматриваются специальные подходы, которые используются при развертывании VPN на платформе Windows 2000. Необязательно последовательно читать предложенные главы. Однако, следует учесть, что в каждой главе рассматривается специальный набор вопросов, связанных с виртуальными частными сетями, и может служить отдельным руководством. Главы в книге расположены в следующей последовательности.
- Главы 1 и 2 содержат основные понятия, связанные с туннелированием. Данный материал имеет большое значение для администраторов, незнакомых с туннелированием, и позволяет ознакомиться с кругом задач, выполняемых с применением этой технологии.
- Главы с 3 по 7 содержат сведения по отдельным технологиям туннелирования, которые включены в состав Windows 2000. В этих главах не только содержится информация о реальных протоколах типа PPTP, IPSec и L2TP, но также помещены сведения о службах, обеспечивающих развертывание технологий туннелирования.
- В главах с 8 по 12 подробно рассматриваются вопросы, которые имеют значение при реализации технологий туннелирования в отделениях офисов и домашних средах LAN; содержится информация как о среде маршрутизации (включая RRAS и IAS), так и сведения о NAT, DNS и Active Directory. В результате рассмотрения этих сведений нетрудно прийти к выводу, что в проект оборудования для филиалов офисов целесообразно включить распределенные доменные контроллеры.
- В приложениях рассматриваются дополнительные вопросы, которые варьируются от контекстной информации относительно VPN (сведения о модели OSI и связанных с VPN документами RFC) до сведений относительно конфигурирования маршрутизатора Cisco в качестве туннельного клиента для туннельного сервера Windows 2000. Здесь также можно найти информацию относительно основных ошибок и сбоев, происходящих при развертывании туннелей, а также изложение перспективных возможностей VPN.
На протяжении всей книги рассказывается, каким образом и почему необходимо внедрять технологию VPN в сетевой среде Windows 2000. Если мне удастся передать свой бесценный опыт читателю, последний приобретет весьма полезные знания об особенностях применения этой технологии.
Об авторе
Тадеуш Фортенбери (Thaddeus Fortenberry), имеющий степени MCSE и MCT, является главным экспертом в области виртуальных частных сетей, реализуемых на платформе Windows. В качестве программного менеджера компании Compaq (направление виртуальные частные сети) занимается разработкой глобальных спецификаций технологии туннелирования, а также развертыванием туннельных серверов. Имеет опыт работы с Windows NT, начиная с первой версии. Тадеуш работал в службе поддержки, специализируясь в области VPN, а также сетевых вычислений. Его функции заключались в оказании помощи участникам программы Windows 2000 Rapid Deployment Program (Программа быстрого развертывания Windows 2000), инициированной компанией Microsoft. Также Тадеуш Фортенбери принимал участие в администрировании и развертывании Qtest Active Directory для компании Compaq - второй по масштабности предварительной версии Windows 2000 Active Directory. Помимо этого он являлся главным архитектором тестовых сетей Happy VPN. Эти сети представляют собой продукт развертывания Active Directory в распределенной рабочей сети. При этом используются лишь подключения VPN, реализуемых с использованием технологий туннелирования Windows 2000.
О соавторе
Дэвид Нейлан (David Neilan), имеющий степень MCSE, уже более девяти лет работает в области компьютерных/сетевых технологий. Последние пять лет его деятельность связана с обеспечением безопасности локальных сетей и Internet. Около четырех лет он имел дело с компанией Intergraph, занимавшейся разработкой графических систем и сетями. Также Дэвид работал с платформами Digital Equipment (брандмауэры DEC и безопасность сетевых вычислений), принимал участие в обеспечении безопасности сетей LAN/WAN и Internet в компании Online Business Systems. Недавно он открыл собственную консалтинговую фирму. Сотрудники фирмы занимаются разработкой сетевой инфраструктуры для Windows 2000 с целью поддержки защищенных подключений LAN/WAN для различных компаний, использующих Internet при создании защищенных частных виртуальных сетей. Дэвид является бета-тестером программных продуктов компании Microsoft и операционных систем, начиная с Windows for Workgroups 3.11. Также он принимал участие в тестировании Windows 2000 на ранних стадиях разработки этой операционной системы.
Сведения о технических редакторах
Все редакторы внесли свой посильный вклад в выполнение технической экспертизы в процессе создания книги Разработка сетей VPN в среде Windows 2000. При написании книги именно эти профессионалы просматривали весь материал, изучая техническое содержание, организационную структуру и расположение. Их советы способствовали тому, чтобы создаваемая книга лучше соответствовала запросам читателей и содержала наиболее ценную техническую информацию.
Гэри Олсен (Gary Olsen) является консультантом в отделе поддержки пользователей компьютерной корпорации Compaq, имеет степень бакалавра по технической специальности и степень магистра в области компьютерной индустрии, которую он получил в университете Бригхэма Янга (Brigham Young University). В области компьютерных технологий работает с 1983 г. Гэри Олсен около двух лет сотрудничал с компанией Microsoft по программе Windows 2000 Rapid Deployment Program (RDP), поддерживая группы новостей бета-тестеров. Вместе с инженерами компании Microsoft выполнял работу по проверке замеченных погрешностей и их устранению, написанию статей, созданию обзоров для учебных курсов и тестированию бета-версий операционных систем. Также он руководил учебным курсом по Windows 2000 для технического персонала компании Compaq и проводил консультации для заказчиков компаний Compaq и Microsoft в области Active Directory. Гэри Олсен на нескольких конференциях и Web-форумах представлял проект Active Directory, а также в течение последних двух лет выполнял функции администратора Enterprise общеизвестного домена Qtest Windows 2000 компании Compaq; является автором книги Windows 2000 Active Directory Design & Deployment (ISBN: 1-57870-242-9), выпущенной издательством New Riders.
Нейл Рустон (Neil Ruston) администрирует систему Perot Systems в лондонском отделении крупного швейцарского банка. В области компьютерных технологий работает около 10 лет. В самом начале своей карьеры разрабатывал и внедрял локальные сети NetWare 2/3/4. Имеет сертификат CNE 4. Затем он занимался разработкой сетей на базе Windows NT и получил степень MCSE. Участвовал в проекте Joint Development Program (JDP) компании Microsoft, создавал и внедрял Active Directory и топологию DNS как часть программы JDP. Работал с Windows 2000, начиная со 2-й бета-версии.
Жан де Клерк (Jan De Clercq) является старшим консультантом Группы технологического лидерства (Technology Leadership Group (TLG)) компании Compaq. Основные его интересы сосредоточены в области обеспечения безопасности при передаче коммерческих электронных сообщений и на особенностях реализации платформ Microsoft. Жан де Клерк принимал участие в создании многих технических документов для компании Compaq, написал ряд статей в журналах, посвященных реализации сетей VPN в Windows 2000. Также неоднократно выступал как докладчик на конференциях Microsoft, на конференции RSA и на конференции EMA. Жан де Клерк участвовал в нескольких проектах компании Compaq, посвященных обработке больших массивов учетных записей. Эти проекты имели отношение к вопросам обеспечения безопасности, а также связаны с Windows и технологией PKI. В течение последнего года он выполнял функции консультанта по вопросам безопасности при реализации нескольких крупных разработок программных продуктов на базе Windows 2000.
Уоррен Бэркли (Warren Barkley) более 10 лет работает в технологическом секторе экономики. Он имеет степени нескольких колледжей и обладает рядом индустриальных сертификатов. Мистер Бэркли работал консультантом по сетевым инфраструктурам во многих крупных и небольших организациях. Кроме того, он является автором нескольких технических разработок, связанных с сетевыми вычислениями и вопросами обеспечения безопасности. Вместе с женой и двумя сыновьями Уоррен Бэркли проживает в районе Сиэтла.
Патрик "Швейцарец" Рамсей (Patrick "Swissman" Ramseier), имеющий степени CCNA, GSEC, CISSP, является старшим штатным консультантом в фирме Exodus Communications, Inc. Фирма Exodus выполняет функции ведущего провайдера при проведении комплексного Internet-хостинга для предприятий, важные операции которых выполняются в Internet. Карьера Патрика Рамсея начиналась с роли системного администратора UNIX. Последние 12 лет участвовал в проведении обзоров архитектуры безопасности на корпоративном уровне, устранении "узких мест", реализовал поддержку подключений VPN, сетей и систем безопасности операционных систем (UNIX-Solaris, Linux, BSD и Windows NT). Он также производил обучение, вел исследовательскую работу и внедрял практические разработки. Патрик имеет степень бакалавра в области бизнеса и работает над докторской/магистерской диссертацией в области компьютерных технологий.
Посвящение
Этот труд посвящается моей бабушке и матери, которые всегда поддерживали мои проекты.
Благодарности
Я благодарен Гэри Олсену за то, что работал вместе со мной около 26 месяцев. От Гэри я узнал много полезной и ценной информации, он является самым интеллигентным и добросердечным собеседником из тех, с кем мне приходилось общаться в жизни. Гэри внес существенный вклад в дело написания главы 12, а также применил на практике свои познания ведущего эксперта в области Active Directory.
Я благодарен всем сотрудникам издательства New Riders за их терпение и чуткость. Мои особые благодарности адресованы Терезе Джин (Theresa Gheen), Элисон Джонсон (Allison Johnson) и Гранту Манрою (Grant Munroe). У меня непрерывно возникали проблемы при совмещении основных обязанностей и обязательств по работе над книгой. Эти сотрудники неизменно вежливо напоминали мне о рабочем графике, которому необходимо следовать.
Я хотел бы принести благодарности Джефу Баббу (Jeff Babb), Брюсу Варфорду (Bruce Warford), Майклу Трабалку (Michael Trabalka), Элджин Браун (Eljin Brown) и Джереми Джонс (Jeramy Jones) за то, что они позволяли мне пользоваться офисными услугами на своих рабочих местах.
Я благодарен Мэтту Вилльямсону (Matt Williamson) и Стефену Крайку (Shephen Craike) за проведенные вместе со мной месяцы в Сиэтле. Также, Мэтт, благодарю тебя за то, что позволил отвлекать тебя всевозможными вопросами.
Благодарю моих коллег по последнему месту работы в Ассоциации университетов Оук Ридж (Oak Ridge Associated Universities), поскольку без приобретенного там опыта я не смог бы работать над теми вопросами, которые заботят меня сейчас.
Также благодарю Донни Маклин (Donnie Macklin) за постоянную поддержку и за те напоминания, которые ей приходилось делать во время работы над проектом.
Наконец, благодарю мою любимую подругу Аманду Уайтинг (Amanda Whiting), которая упорно поддерживала этот проект, хотя меня иногда и посещала неуверенность в своих силах.
От издательства
Вы, читатель этой книги, и есть главный ее критик и комментатор. Мы ценим ваше мнение и хотим знать, что было сделано нами правильно, что можно было сделать лучше и что еще вы хотели бы увидеть изданным нами. Нам интересно услышать и любые другие замечания, которые вам хотелось бы высказать в наш адрес.
Мы ждем ваших комментариев и надеемся на них. Вы можете прислать электронное письмо или просто посетить наш Web-сервер, оставив свои замечания, - одним словом, любым удобным для вас способом дайте нам знать, нравится или нет вам эта книга, а также выскажите свое мнение о том, как сделать наши книги более подходящими для вас.
Посылая письмо или сообщение, не забудьте указать название книги и ее авторов, а также ваш e-mail. Мы внимательно ознакомимся с вашим мнением и обязательно учтем его при отборе и подготовке к изданию последующих книг. Наши координаты:
E-mail: [email protected]
WWW: http://www.williamspublishing.com