👨‍🏫 Лектор: Никита Ефимов
Системный инженер департамента инфраструктурных решений и сервисов

Летняя школа «System-инженер»

⚙️ Роль сетевых служб в инфраструктуре

Без них ничего не работает:

  • ❌ Невозможно запомнить все IP → нужен DNS
  • ❌ Ручная настройка сетей → нужен DHCP
  • ❌ Много паролей → нужна служба каталога
  • ❌ Нет корректного анализа логов → нужен NTP
  • ❌ Совместная работа — кошмар

🧠 При сбоях в этих службах возникает множество “необъяснимых” проблем: недоступные сервисы, ошибки авторизации, разрыв сессий, сбои CI/CD, нарушения аудита.

📚 Служба каталога

🎯 Назначение

  • Централизованное хранение и управление учетными записями пользователей, групп и устройств

  • Аутентификация и авторизация в домене (логины, пароли, доступы)

➕ Дополнительные функции

  • Интеграция с другими сервисами (DNS, принт-сервер, файловые шары)
  • Применение групповых политик (GPO) — настройка рабочих станций централизованно
  • Управление безопасностью: контроль доступа, политики паролей, аудита

🧱 Ключевые понятия

  • Лес (Forest) — логическая граница всей инфраструктуры службы каталога
  • Домен (Domain) — единица управления пользователями и ресурсами
  • Контроллер домена (DC) — сервер, предоставляющий каталог и аутентификацию
  • OU (организационные подразделения) — для логического структурирования объектов
  • Доверительные отношения — связь между доменами, разрешающая доступ между ними
  • Kerberos — протокол безопасной аутентификации с использованием билетов
  • LDAP — протокол для поиска и изменения данных в каталоге

alt text

🛠 Что важно при проектировании

  • Архитектура (лес, домены, сайты)
  • Модель управления и администрирования
  • Интеграции с внешними системами
  • Объёмы миграции при переходе с другого решения

alt text

🌐 DNS — служба разрешения доменных имён

🎯 Основное назначение

  • Преобразование доменных имён в IP-адреса (и обратно)

  • Обнаружение сервисов и маршрутизация трафика

    alt text

🧱 Ключевые понятия

  • DNS-сервер — хранит зоны и обслуживает запросы
  • Резолвер (resolver) — клиент, который запрашивает имя
  • Зоны — области пространства имён (forward/reverse, primary/secondary, AD-интегрированные)
  • Типы серверов — корневой, авторитативный, кэширующий

🔍 Популярные типы записей

  • A — IPv4-адрес хоста
  • AAAA — IPv6-адрес
  • PTR — обратное соответствие IP → имя
  • MX — почтовый сервер домена
  • CNAME — псевдоним
  • TXT — SPF, DKIM, верификация
  • NS — указывает, кто отвечает за зону
  • SOA — основная информация о зоне (сервер, TTL, серийный номер)

🛠 Особенности проектирования

  • Разделение внешней и внутренней зон (Split DNS)
  • Делегирование и репликация зон
  • Безопасность (защита от подмены DNS, ограничение зон)
  • Схема разрешения имён (например, через Root Hints или DNS Forwarders)

📡 DHCP — динамическая конфигурация узлов

🎯 Назначение

  • Автоматическая выдача IP-адресов и других параметров (маска, шлюз, DNS, PXE и пр.)

🔁 DORA: как работает

  1. Discover — клиент ищет DHCP-сервер
  2. Offer — сервер предлагает свободный IP
  3. Request — клиент запрашивает выбранный IP
  4. Acknowledge — сервер подтверждает и назначает IP

Использует протокол UDP (порты 67/68), часто работает через широковещательные пакеты.

alt text

🧱 Основные понятия

  • Область DHCP — диапазон адресов, который выдаёт сервер
  • Ретранслятор (DHCP Relay) — пересылает запросы между подсетями
  • Резервирование — закрепление IP за конкретным устройством (по MAC-адресу)
  • Аренда — IP выдаётся на ограниченное время (с возможностью продления)

🛠 Что учитывать

  • Топология сети: расположение клиентов и серверов
  • Надёжность: резервные DHCP, ретрансляторы
  • Интеграция с DNS — автоматическая регистрация имён
  • Защита от спуфинга (например, DHCP Snooping)

⏱️ NTP — служба времени

🎯 Назначение

  • Синхронизация системных часов на всех устройствах в сети
  • Критично для: Kerberos, журналов событий, мониторинга, расследования инцидентов

🧱 Основные понятия

  • Stratum — уровень иерархии (Stratum 0 — эталонные часы)
  • NTP-сервер и клиент — один задаёт время, другой получает
  • Дрейф времени — расхождение часов без синхронизации

➕ Дополнительно

  • Чаще всего используется встроенный Windows Time (w32time)
  • Kerberos требует расхождения ≤ 5 минут
  • NTP-сервер может быть внешним (например, time.windows.com) или локальным (на КД)

🛠 Что учитывать

  • Требования к точности (мс или секунды)
  • Отказоустойчивость (несколько источников)
  • Синхронизация всей инфраструктуры — от доменов до рабочих станций

🧠 Вывод

Базовые сетевые службы — фундамент цифровой инфраструктуры:

Служба Назначение
Каталог (AD/LDAP) Аутентификация, учётки, политики, безопасность
DNS Разрешение имён, обнаружение сервисов
DHCP Быстрая настройка IP, управление адресным пространством
NTP Единое время в сети, корректность логов, безопасность (Kerberos)

💬 Пользователи не замечают этих служб — пока они работают. Но без них сеть перестаёт быть сетью.