Если домен использует маршрутизаторы, работающие в соответствии с протоколом RIP (Routing Information Protocol), то установите поддержку RIP.
Невозможно переименовать компьютер
У вас могут возникнуть проблемы, если вы попытаетесь дать компьютеру новое имя, похожее на имя контроллера домена. В этом случае вы получите следующее сообщение:
The new computer name may not be the same as the Workgroup (Domain) name. (Новое имя компьютера не должно быть таким, как имя рабочей группы [домена])
Даже если имя компьютера только похоже на имя контроллера домена, вы все равно можете получить такое сообщение. Например, если имя домена crazyearlsstereoshop.com, а имя клиента - crazyearlsstereomanager, то вы получите вышеназванное сообщение. Почему? Если NetBIOS работает на всех клиентах и серверах, то первые 15 знаков в имени Windows XP Professional-клиента (в данном случае crazyearlsstere) не могут быть такими же, как у контроллера домена, сервера, клиента и любого другого устройства.
Невозможно зарегистрироваться в домене
Если вы не можете зарегистрироваться в домене, то, возможно, увидите следующее сообщение:
The system cannot log you on due to the following error: There is a time difference between the Client and Server. Please try again or consult your system administrator.
(Система не может зарегистрировать вас по следующей причине:
существует разница во времени между клиентом и сервером. Пожалуйста, попробуйте еще раз или проконсультируйтесь у администратора системы.)
Эта ошибка возникает из-за того, что протокол безопасности Kerberos проверяет отметку времени на запросе об аутентификации клиента. Если разница во времени между клиентом и сервером составляет больше 5 минут, то аутентификация отменяется. Это можно исправить путем сравнения с коллегой, зарегистрированном на этом домене, и убедившись в том, что часы вашего компьютера показывают правильное время. Также хорошо бы проверить свою временную зону и убедиться, что она настроена соответствующим образом. Дело в том, что для полного совпадения Kerberos переводит все временные метки во время по Гринвичу.
Другие ошибки регистрации, которые мешают клиентам подключиться к домену, включают в себя следующее:
некорректный ввод имени пользователя;
некорректный ввод пароля;
включена функция CAPS LOCK во время ввода имени пользователя и пароля;
протоколы клиента и контроллера домена не совпадают.
В случае проблемы с протоколами контроллера домена и клиента обратите внимание на следующие детали, которые могут вызывать несовместимость:
неверно заданный IP-адрес или маска подсети;
применение протокола DHCP при отсутствии DHCP-сервера;
некорректные адреса DNS- и WINS-серверов.
Получение доступа к ресурсам домена
После того как вы стали членом домена, вы можете пользоваться доступными вам ресурсами. Иначе для чего все это было нужно? Теперь же вы стали частью структуры безопасности домена и будете иметь доступ к данным и другим компьютерам этого домена.
Безопасность
Помимо решения организационных задач домены позволяют централизованно использовать функции обеспечения безопасности. Информация об учетных записях домена хранится в службе каталогов Active Directory (AD), которая размещена на Windows NT, 2000 или .NET сервере. После регистрации в домене Windows XP Professional-клиент получает информацию о настройках и разрешениях AD. Учетные записи доменов используются в больших сетях, где ведение учетных записей в индивидуальном компьютере становится непрактичным. Например, учетные записи доменов могут использовать блуждающие профили пользователей (roaming user profiles). Эти профили позволяют пользователям переходить с компьютера на компьютер со своими разрешениями, настройками и даже разметкой рабочего стола.
Примечание. В качестве меры обеспечения безопасности Windows XP Professional защищает с помощью пароля файлы, находящиеся в папке My Documents (Мои документы), от прочтения их теми, кто может работать на этом клиентском компьютере.
Network Neighborhood/My Network Places
Каждый, кто прошел через несколько обновлений системы Windows, наверное, заметил привычку Microsoft брать существующее приложение или инструмент и давать ему новый значок и новое имя. Так, Microsoft переделывает уже знакомое название Network Neighborhood (Сетевое окружение) в новое My Network Places (Сетевое окружение). My Network Places - это те места, куда вы заходите во время работы в сети.
Просмотр соединений
Для просмотра соединений своей сети просто откройте значок My Network Places (Сетевое окружение).
Примечание. My Network Places проще всего найти, щелкнув на кнопке Start (Пуск). Однако можно расположить этот значок у себя на рабочем столе. Это делается с помощью нажатия на Start (Пуск), щелчка правой кнопкой мыши на My Network Places и выбора Show on Desktop (Отображать на рабочем столе).
Посмотрите на рис. 6.5. На нем показаны компьютеры этой сети с соответствующими ресурсами. Эту картинку можно получить, выбрав View (Просмотр) в окне My Network Places и затем выбрав Computer (Компютер) в Arrange Icons by (Упорядочить значки). Вы видите, что тут показаны два компьютера - Coruscant и Endor. В окне показаны компьютеры и папки, которыми они могут обмениваться.
Рис. 6.5. Просмотр сетевых соединений с каждым компьютером
Просмотр сетевых ресурсов
Сети состоят не только из компьютеров и папок (хотя и без них не обойдешься). Помимо этих устройств существуют и другие ресурсы, которыми можно совместно пользоваться. Например, My Network Places (Сетевое окружение) позволяет использовать такие сетевые ресурсы, как принтеры (рис. 6.6).
В данном случае принтер Brother соединен с компьютером Coruscant. Однако принтер не обязательно должен быть соединен с компьютером. Так же легко сетевой принтер можно соединить со своим собственным сервером печати.
Соглашение о назначении имен
Так как Windows предоставляет графический способ взаимодействия вашего компьютера с сетью, то легко забыть о том, что все компьютеры и сетевые взаимодействия контролируются посредством интерфейса командной строки. Графический интерфейс (GUI), конечно, сильно облегчает работу на компьютере, но иногда все же бывает полезно ввести простую команду и заставить Windows выполнить то, что вам надо.
При работе в сети Соглашение о назначении имен (Universal Naming Convention, UNC) является способом указать файл общего пользования без необходимости знать, на каком устройстве он хранится. UNC - это не уникальная особенность системы Windows. Им можно пользоваться в любых операционных системах: в Novell NetWare, Linux и др.
Рис. 6.6. Просмотр сетевых принтеров
В операционных системах Windows UNC-формат имени выглядит следующим образом:
\\servername\sharename\filename
UNC расшифровывается так:
Servername - имя компьютера, на котором хранится файл.
Sharename - имя, идентифицирующее ресурс на сервере.
Filename - имя файла.
Например, рассмотрим UNC:
\\ENDOR\webfiles\html\osborne.html
Этот UNC указывает сервер (ENDOR), на котором находится общедоступный файл (Osborne.html), хранящийся наряду с другими HTML файлами в папке, отведенной под веб-файлы. HTML-папка является общим ресурсом, поэтому имя, идентифицирующее ресурс на сервере, и данные о пути могут быть пропущены.
\\ENDOR\HTML
приведет вас к папке общего доступа, а
\\ENDOR\HTML\osborne.html
доставит прямо к нужному файлу.
Использование в Windows xp
Использовать ли UNC в Windows XP Professional - это вопрос личного предпочтения. Возможно, вам больше нравится щелкать на значках, чтобы добраться в нужное место. С другой стороны, вы можете обнаружить, что постоянно используете данный ресурс, поэтому проще вводить его UNC.
Windows XP Professional позволяет просматривать UNC различных сетевых ресурсов. Если вам нужен UNC конкретного объекта, то следует убедиться в том, что способность видеть UNC включена. Это можно выполнить, проделав следующее.
Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Appearance and Themes (Оформление и темы) и выберите Folder Options (Свойства папки).
Щелкните на вкладке View (Вид) (рис. 6.7).
Рис. 6.7. Детали UNC в Windows XP Professional
В области File and Folders (Файлы и папки) убедитесь в том, что включены флажки Display full path in the address bar (Отображать полный путь в строке адреса) или Display full address in the title bar (Отображать полный адрес в строке заголовка).
Независимо от того, включена ли опция для показа информации об UNC, можно использовать UNC для перехода в определенную сетевую папку. Например, на рис. 6.8 показан результат простого введения UNC нужного сетевого ресурса: Windows XP Professional переходит непосредственно в эту папку. UNC является полезным инструментом, потому что вам не надо щелкать на все значки, если вы знаете путь к нужной папке.
Рис. 6.8. Название
UNC можно использовать в ряде приложений для перехода к нужному сетевому ресурсу или файлу. Например, в веб-браузере можно просто ввести соответствующий UNC в адресную строку и перейти к этой папке или файлу.
Active Directory
Основой работоспособности Windows-домена является инструмент Active Directory. Active Directory (AD) - это база данных всего домена. В ней содержится информация о различных атрибутах объектов системы, включая пользователей, разрешения, настройки компьютеров, периферийных устройств и т. д.
Как и в любой базе данных, в AD содержатся информационные поля. Если сравнить AD с базой данных магазина, продающего запчасти для автомобилей, то отличие состоит в том, что в AD содержатся не названия деталей, а информация (имена и описания) об объектах домена.
Active Directory имеет логическую иерархическую структуру, что позволяет сортировать содержимое от самых больших элементов до самых маленьких. Кроме того, AD является расширяемой базой данных, то есть ее можно модифицировать, добавляя новые поля для размещения информации.
IntelliMirror
Интересно выяснить, какую именно выгоду получают пользователи системы Windows XP Professional, помимо надежности в сетевой работе, которую предоставляет AD. Почему они беспокоятся по поводу AD, доменов и всего прочего? Один из ответов заключается в IntelliMirror службы каталогов Active Directory.
IntelliMirror - это не отдельный продукт или приложение, а, скорее, набор свойств, предоставляемых Windows 2000-серверами. IntelliMirror - это демонстрация того, насколько AD полезна для Windows XP Professional-клиентов. Например, IntelliMirror предоставляет инструменты, которые облегчают управление, обеспечивая пользователям доступность их настроек, документов и приложений, независимо от компьютера, с которого они загружаются в рамках домена. IntelliMirror достигает этого тремя способами.
Приложения следуют за пользователем
При входе пользователя система определяет, что нужное пользователю приложение недоступно на текущем компьютере-клиенте, и начинает инсталляцию программных пакетов. Система знает, какие приложения инсталлировать, так как при регистрации пользователя проверяется заложенная в компьютер групповая политика инсталляции программ. Если политика требует приложение, которого нет, то оно загружается на клиентский компьютер.
Настройки следуют за пользователем
Блуждающий профиль в операционной системе Windows NT является инструментом, позволяющим индивидуальным настройкам компьютера переходить с компьютера на компьютер вслед за пользователем. В рамках AD эту функцию берет на себя групповая политика. Эта политика диктует, в каком виде рабочий стол, элементы меню и другие прикладные свойства должны предоставляться пользователю, независимо от места его регистрации. Пользователям это нравится, так как они всегда попадают в знакомое окружение. Администраторам это тоже нравится, так как они могут блокировать вход пользователей в отдельные части операционной системы.
Данные следуют за пользователем
Хорошо иметь под рукой настройки и приложения, перескакивая с компьютера на компьютер. Однако если у вас нет доступа к электронной таблице, над которой вы работали, или к документу Word, находящемуся на другом компьютере, то от правильной темы рабочего стола и значков мало прока. AD позволяет создавать на компакт-диске специальные папки, в которые копируется сетевая рабочая информация.
Во время работы над электронной таблицей платежной ведомости за четвертый квартал, например, в папке My Documents (Мои документы), ее можно скопировать в безопасное сетевое место расположения. Когда вы прерываете связь с сетью на одном компьютере и заходите в нее с другой машины, то система отслеживает специальную папку для гарантии наличия самых свежих файлов и предоставляет ваши документы.
Организационные единицы
Структура Active Directory имеет важное значение. Ранее в этом курсе мы говорили о таких объектах, как организационные единицы (Organizational Units, OU), домены, леса и деревья. Они представляют собой строительные блоки Active Directory. Прочитайте следующее, чтобы освежить память (рис. 6.9).
OU - это группа, состоящая из людей, компьютеров, файлов, принтеров и других ресурсов, которая создается для решения организационных и управленческих задач.
Домены - это коллекции OU.
Деревья - это коллекции доменов.
Леса - это коллекции деревьев.
Рис. 6.9. Организационная иерархия элементов службы каталогов
В среде операционных систем Windows 2000 или Windows .NET организационные единицы (OU) являются основными элементами. Для сравнения - в системе NT основным элементом являлся домен. Так как организационные единицы обеспечивают раздробленную организацию ресурсов, то такая сетевая иерархия делает контроль за сетью и ее атрибутами более четким. Например, если вы хотите присвоить специальные атрибуты двум пользователям в удаленном офисе, то их можно определить как организационную единицу. В системе NT вам пришлось бы присваивать эти признаки всему домену.
Другой важной составляющей службы каталога является его схема, которая представляет собой внутреннюю структуру базы данных. Схема (являющаяся частью файла NTDS.dit) определяет взаимосвязи между классами и объектами. Например, используя в качестве примера магазин автомобильных запчастей, у вас может быть класс "Колесо", имеющий атрибут "Количество спиц". Это указывает на то, что объект класса колес должен содержать информацию о количестве спиц в каждом колесе. Классы могут происходить из других классов, образовывая иерархию классов. На рис. 6.10 показана иерархия классов и подклассов на примере базы данных из магазина автозапчастей.
Рис. 6.10. Классы и подклассы
Глобальный каталог
Глобальный каталог является отдельной базой данных объектов Active Directory. В нем содержатся все объекты основной базы данных и часть атрибутов этих объектов. Глобальный каталог позволяет пользователям быстро находить объекты в лесу. Он особенно полезен, если у вас много доменов и деревья доменов разбросаны по сети большого размера.
Примечание. Глобальный каталог можно представить себе в виде указателя ресурсов домена.
Глобальный каталог по умолчанию создается на первом контроллере домена в дереве. Позже при желании можно использовать оснастку MMC Active Directory Sites (Active Directory - сайты), чтобы вручную выбрать другие домены для глобального каталога.
Во время развертывания сети, работающей под управлением Windows 2000 или .NET, убедитесь в правильности установки глобального каталога. Каждый Windows XP Professional-клиент должен иметь легкий доступ к глобальному каталогу для оптимального поиска.
Группы
В системе Windows NT было две группы пользователей: глобальная и локальная. Эти группы создавались для присваивания атрибутов безопасности и содержали только объекты пользователей. Active Directory добавляет третью группу - универсальную. Между группами существуют следующие различия.
Локальные группы. Используются только в рамках своего локального домена. Они получают доступ к ресурсам домена, и администраторы могут видеть их только внутри домена.
Глобальные группы. Получают доступ к доменам, с которыми установлены доверительные отношения. Вы всегда можете их видеть, находясь внутри определенного дерева. Вы можете вкладывать глобальные группы в другие глобальные группы.
Универсальные группы. Их можно видеть во всех доменах данного леса. Они содержат в себе глобальные группы. Например, администратор может создать две отдельные глобальные группы, а затем объединить их в одну универсальную группу. Теперь администратору приходится иметь дело с одной универсальной группой, а не с двумя (или больше) глобальными группами.
По таблице 6.1 легко найти различия между локальными, глобальными и универсальными группами.
Таблица 6.1. Типы групп и области их применения |
||
Тип группы |
Видимость |
Состав |
Локальные |
Локальный домен |
Пользователи, глобальные или универсальные группы, |
Глобальные |
Лес |
Пользователи или глобальные группы |
Универсальные |
Лес |
Пользователи, глобальные или универсальные группы |
Инструменты администрирования
Несмотря на то что поддержка и управление службой Active Directory находится на Windows 2000 или .NET-серверах, ей можно управлять и с удаленного Windows XP Professional-клиента. Такое управление реализуется посредством средств администрирования Windows .NET - набора инструментов, который можно добавить к консоли MMC Windows XP Professional-клиента.
Примечание. Важно помнить, что Windows XP Professional-клиент, которым вы пользуетесь, должен быть частью Windows 2000 домена. "Удаленно" не означает, что управление доменом осуществляется из интернета.
Как мы упоминали ранее, MMC является полезным инструментом, так как позволяет создавать модифицированное под нужды клиента окружение для сетевой работы и управления компьютером. Это реализуется с помощью оснасток. Вы можете добавлять их столько, сколько нужно для работы.
Набор инструментов Windows .NET Server Administration Tools Pack (adminpak.msi) позволяет администратору удаленно управлять серверами Windows 2000 с Windows XP Professional-компьютера.
Для инсталляции Windows .NET Server Administration Tools Pack на локальном компьютере скачайте его с сайта http://www.microsoft.com/downloads/release.asp?ReleaseID=34032&area=search&ordinal=1.
Файл adminpak.msi включен в инсталляционный диск Windows 2000. Однако версия для Windows XP на установочном диске Windows XP Professional отсутствует, хотя adminpak.msi включен в установочный диск .NET.
Примечание. На момент написания данного курса существовала третья бета-версия Windows .NET Server Administration Tools Pack. Размер файла составляет 10,4 Mб, что следует иметь в виду при загрузке файла по медленному соединению.
Windows .NET Server Administration Tools Pack предоставляет набор часто используемых инструментов для удаленного администрирования серверов и служб. Инструменты администрирования поставляются как оснастки для MMC. Их можно использовать для любой операционной системы Windows .NET Server и Windows XP Professional.
Примечание. Набор инструментов для администрирования не работает в среде Windows XP Home Edition или с 64-разрядными версиями.
Файл adminpak.msi включает в себя следующие приложения:
Active Directory Domains and Trusts (Active Directory - домены и доверие);
Active Directory Sites and Services (Active Directory - сайты и службы);
Active Directory Users and Computers (Active Directory - пользователи и компьютеры);
Certification Authority (Центр сертификации);
Cluster Administrator (Администратор кластера);
Component Services (Службы компонентов);
Computer Management (Управление компьютером);
Connection Manager Administraion Kit (Пакет администрирования диспетчера подключений);
Data Sources (ODBS) (Источники данных);
DHCP;
Distributed File System (Распределенная файловая система);
DNS;
Event Viewer (Просмотр событий);
Local Security Policy (Локальная политика безопасности);
.NET Framework Configuration (Конфигурация .NET Framework);
.NET Wizards (Мастера .NET);
Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки);
Performance (Быстродействие);
Remote Desktops (Удаленные рабочие столы);
Remote Storage (Внешнее хранилище);
Routing and Remote Access (Маршрутизация и удаленный доступ);
Server Extensions Administrator (Администратор расширений сервера);
Services (Службы);
Tеlephony (Телефония);
Terminal Server Licensing (Лицензирование сервера терминалов);
Terminal Services Manager (Диспетчер служб терминалов);
WINS.
На рис. 6.11 приведен пример приложения Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки). Мы рассмотрим специфические функции каждого инструмента Windows .NET Administration Tools в приложении.
Домены являются важной составляющей работы сети. Они представляют собой не только механизмы для работы в больших сетях, но также важны для функционирования службы Active Directory и для обеспечения границ безопасности. Помимо использования на клиентских машинах, система Windows XP Profеssional также применяется для управления ресурсами домена.
Рис. 6.11. Диспетчер балансировки сетевой нагрузки является частью пакета средств администрирования Windows .NET
Внимание! Если Вы увидите ошибку на нашем сайте, выделите её и нажмите Ctrl+Enter.
Лекция 7. Информационные службы интернета
Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.
В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.
Что такое iis
IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.
Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.
Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.
IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.
Отличительные черты IIS 5.1
IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.
Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.
Надежность
По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.
HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.
Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.
Регистрация и дросселирование
В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.
Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.
Дросселирование процесса. Позволяет управлять использованием процессора с помощью приложений, находящихся вне процесса. Такие приложения работают в отделенном от центральных IIS-процессов участке памяти. Эта особенность повышает надежность работы IIS. Если приложение, находящееся вне процесса, становится нестабильным, то это не влияет на основную работу сервера.
Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.
WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).
WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.
WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.
Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.
Рис. 7.1. Обмен документами с помощью WebDAV
Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).
После запуска мастера проделайте следующие шаги.
В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
Выберите файл или папку, которые нужно скопировать на веб-сервер.
Рис. 7.2. Для установки соединения с WebDAV воспользуйтесь мастером добавления в сетевое окружение операционной системы Windows XP Professional
В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
Щелкните на Copy (Копировать).
Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.
Обеспечение безопасности
При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.
Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Response (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие - в качестве серверов баз данных стало легче и безопаснее.
Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.
Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.
Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности
Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола - SSL 3.0.
Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.
Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый хешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.
Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.
Управление
С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел "Инсталляция IIS"). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.
Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).
Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.
Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.
Приложения
IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.
ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц "на лету". ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.
ASP-скрипты используются для создания HTML "на лету". Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.
ASP в IIS 5.1 предлагает ряд полезных инструментов.
Asperror object. Этот объект улучшает обработку ошибок, позволяя разработчикам находить ошибки в файлах со скриптами. Возможность контролировать потоки данных позволяет серверу обрабатывать страницы без традиционной передачи данных в оба конца, которая требуется при переадресации на сервере.
ASP без скриптов. Они стали лучше благодаря новой проверке на стадии синтаксического анализа. В более ранних версиях IIS сайты использовали расширение .asp для всех страниц, создавая возможность сохранять ссылки без изменений после добавления скрипта на HTML-страницу. Недостаток этого метода состоит в том, что механизм написания скрипта по умолчанию запускается даже при отсутствии кода. Новая проверка определяет, когда выполняющиеся запросы ожидают внутренних компонентов, и автоматически выдает необходимые ресурсы, чтобы можно было продолжать обработку других запросов.
ASP имеет ряд встроенных компонентов для выполнения следующих заданий:
регистрация;
получение доступа к данным;
получение доступа к файлам;
использование счетчиков.
Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.
ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.
FrontPage
На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.
Front Page Server Extensions
Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.
Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.
FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:
разрешают авторам напрямую взаимодействовать с сервером на веб-сайте;
добавляют функции веб-сайтам без написания программ;
поддерживают учет входящих на сайт пользователей;
поддерживают управление электронной почтой;
гибкая инсталляция на другие платформы;
автоматическое обновление гиперссылок при изменении или переносе веб-страницы;
интеграция с приложениями Microsoft Office, Visual SourceSafe и Index Server.
Оснастка FrontPage
Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.
Оснастка позволяет выполнить следующие задания:
инсталлировать серверные расширения на веб-сервере;
исправлять, обновлять и удалять существующие расширения сервера;
добавлять администратора;
запрашивать SSL для авторизации;
изменять конфигурацию гиперссылок;
включать или отключать авторизацию в глобальной сети;
регистрировать операции авторизации;
конфигурировать опции электронной почты;
регулировать работу в глобальной сети.
Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.
Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
Щелкните на ОК.
Управление содержимым интранета
Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.
Рис. 7.3. Подключение серверных расширений FrontPage
Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.
Инсталляция IIS
Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.
Выбор места
IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.
Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.
Серверу обеспечена физическая безопасность.
Сервер регулярно копируется.
Носители копий переносятся на вспомогательное устройство.
IIS имеет надежный и бесперебойный источник энергопитания.
Сетевые соединения надежны и их рабочие возможности соответствуют требованиям.
Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.
На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.
Рис. 7.4. Размещение интернет- и интранет-веб-серверов
Аппаратные и сетевые компоненты
Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.
Сетевая карта (NIC).
Сетевое соединение с локальной сетью (LAN).
Интернет-соединение с интернет-провайдером (ISP).
Зарегистрированные IP-адреса (интернет).
Частные или зарегистрированные IP-адреса (интранет/интернет).
DNS-сервер (рекомендуется внутренний DNS или DNS, предоставленный ISP) или локальный HOSTS-файл на каждом клиенте IIS.
Программное обеспечение
После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:
Active Server Pages (ASP);
NetShow;
Index Server;
Java Virtual Machine;
FrontPage server extensions;
FrontPage;
Seagate Crystal Reports;
SQL Server;
SNA Server;
Exchange Server;
Office XP.
В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.
Этапы инсталляции
Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.
Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
Щелкните на Add Windows Components (Добавить компоненты Windows).
Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost - имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.
Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).
Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.
Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).
Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.
Рис. 7.5. Консоль IIS
Конфигурирование IIS
Инсталляция - это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.
Управление IIS
Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента - MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.
Рис. 7.6. Оснастка ММС используется в Windows XP Professional для управления IIS
IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.
Конфигурирование веб-сервисов
Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.
Рис. 7.7. Конфигурирование веб-сервисов с помощью MMC
Свойства, которые, возможно, потребуется настроить, перечислены ниже.
Время ожидания подключения. Соединение пользователей будет прерываться, если в течение данного времени не произойдет никаких действий. Сократите это время, чтобы избавиться от пользователей, который держат соединение открытым, не получая никакой информации.
Максимальное число подключений к ресурсу. Определяет количество пользователей, одновременно подключаемых к веб-серверу. Здесь следует учитывать возможности оборудования и соединения.
Анонимный вход. Если вы хотите, чтобы пользователи, не являющиеся членами домена, имели доступ к веб-серверу, нужно разрешить анонимный вход.
Имя пользователя/Пароль. Это учетная запись, которая реально имеет доступ к веб-страницам. Ограничьте привилегии этой учетной записи, чтобы предоставлять доступ только к тем ресурсам, которые вы делаете доступными другими пользователям.
Аутентификация с помощью пароля. Если вы не разрешили вход анонимным пользователям, то следует отбирать пользователей с помощью обязательного ввода пароля, то есть воспользоваться наиболее безопасным методом аутентификации - Challenge/Response (Вызов/Ответ).
Виртуальные каталоги. С IIS появляется гораздо больше возможностей для создания каталогов, в которых будут храниться интернет-страницы. Каталоги можно создавать вне исходного каталога, созданного во время инсталляции. Они называются виртуальными каталогами и могут размещаться на том же или на удаленном компьютере. Для пользователей они представляют собой подкаталоги корневого веб-каталога. В действительности они могут располагаться на совершенно другой машине.
Создать виртуальный каталог очень просто.
Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка - Read (Чтение) и Run (Исполнение). Затем щелкните на Next.
Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname - это имя, которое вы задали в шаге 3.
Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге в Windows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).
Регистрация
IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.
Рис. 7.8. Настройка системы безопасности при создании виртуального каталога
Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства), выбрать вкладку Web Site. Для включения записи лога нужно убедиться что флажок Enable Logging (разрешить логирование) Отмечен и выбран способ ведения журнала из списка. Далее нужно нажать кнопку Properties (свойства), в результате появится окно, показанное на рис. 7.9.
Рис. 7.9. Опции системы регистрации IIS
Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.
Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.
Контроль доступа
Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.
Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).
Рис. 7.10. Контроль доступа поддерживает безопасность IIS
С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.
Конфигурирование ftp-сервера
Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.
В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
Щелкните на Next (Далее).
Щелкните на Finish (Готово).
Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.
FTP Site. Содержит ряд однотипных опций, которые не влияют на работу других сервисных программ, но используются только в FTP:
Connection timeout (Время простоя соединения);
Maximum connections (Максимальное количество соединений);
Whether or not allow anonymous users (Разрешить/запретить вход для анонимных пользователей).
Security Accounts. Один интересный флажок называется Allow only anonymous connections (Разрешить только анонимные соединения). Отметьте его, только если вы разрешаете вход в систему анонимным пользователям. Если флажок отключен, то пользователи, регистрирующиеся на FTP-сервере, должны будут вводить свой пароль (который высылается открытым текстом). Если анонимные соединения разрешены, то пароль не нужен.
Message. Служба FTP позволяет посылать сообщения пользователям при их входе или выходе, или когда достигнуто максимальное количество пользователей.
Home Directory. Позволяет сконфигурировать виртуальные каталоги так, как вы это делали для службы World Wide Web. Вы также получаете возможность представлять каталоги в операционных системах DOS или UNIX.
Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.
Использование IIS
Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.
В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.
Установка страниц по умолчанию
При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.
Публикация в сетевых папках
Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.
Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог - \Inetpub\wwwroot.
Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.
Публикация в ftp-папках
Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.
Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.
Управление системой безопасности
Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.
Разрешения
Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.
Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.
Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.
Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
Введите псевдоним для папки или файла.
Установите любые разрешения или ограничения по своему выбору, включая следующие:
чтение;
запись;
доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
просмотр каталога.
Рис. 7.11. Введите псевдоним для папки или файла
Установите любые разрешения прикладного характера:
Никаких;
Сценарии;
Выполнить (включает в себя сценарии).
Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.
Аутентификация
Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.
Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.
Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.
Рис. 7.12. Настройка аутентификации на веб-сайте
FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.
Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
Нажмите на ОК.
Установите необходимые NTFS-разрешения для анонимного доступа.
Анонимная аутентификация
Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.
Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces - ADSI (дополнительного инструмента MMC).
Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.
В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.
Шифрование
Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.
Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.
Для настройки шифрования проделайте следующие шаги.
В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).
Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.
Управление содержимым
Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали "живыми", в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.
После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.
С чего начать
Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.
Если принять, что все файлы находятся на одном жестком диске с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.
Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.
Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.
Отведи меня домой
В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).
Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.
Обходной путь
Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:
We're sorry, the page you're looking for is no longer here.
We will redirect you in a moment.
(Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)
Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:
из одного каталога в другой;
на другой веб-сайт;
в другой файл из другого каталога.
Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).
С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.
Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
Выберите Properties (Свойства).
Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.
Рис. 7.13. Переадресация запросов браузера в IIS
Выберите A redirection to a URL (Перенаправление на URL).
В поле Redirect (Переадресовать) введите URL нового каталога.
Для переадресовки запросов на определенный файл:
Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
Выберите A redirection to URL (Перенаправление на URL).
В поле Redirect to (Переадресовать) введите URL конечного файла.
Выберите The exact URL (Существующий URL), введенный выше.
Вставки на стороне сервера
Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.
IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.
Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.
Подключение SSI выполняется посредством следующих действий.
Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).
Отключить SSI можно следующим образом.
Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
Выберите Properties (Свойства).
Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
Выберите каталог, в котором запускается приложение.
Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
Выберите расширение и щелкните на кнопке Remove (Удалить).
IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.
Рис. 7.14. Отображение распределения приложений
Внимание! Если Вы увидите ошибку на нашем сайте, выделите её и нажмите Ctrl+Enter
Лекция 8. Инструменты и методики решения проблем, возникающих в компьютерных соединениях
Полностью противостоящую сбоям компьютерную сеть еще предстоит разработать. Если это когда-нибудь случится, то члены мирового сообщества пожмут друг другу руки в знак всеобщего согласия. Однако до тех пор остается только молиться о том, чтобы ничего не стряслось с вашей сетью. Если у вас будут возникать проблемы со связью (а так будет), то Windows XP Professional предоставит ряд инструментов, которые помогут обнаружить причину затруднений.
В этой лекции сначала рассматриваются инструменты, пригодные для решения проблем, возникающих в самой системе Windows XP Professional. Далее мы поговорим об устранении неполадок в сетях (как в локальных, так и в сетях удаленного доступа). В конце мы рассмотрим некоторые инструменты, часто используемые в сетях TCP/IP, которые могут оказать неоценимую помощь при возникновении проблем в сетях Windows XP Professional.
Проблемы, возникающие в Windows XP Professional
Ряд инструментов и методик полезен при устранении проблем с Windows XP Professional-клиентом. Эти проблемы могут быть самыми разнообразными, от раздражающего зависания программ до самого худшего - невозможности загрузить компьютер. Из этого раздела вы узнаете, как с помощью Windows XP Professional выйти из затруднительного положения наиболее легким способом.
Режимы запуска
Если при попытке загрузить компьютер вы когда-нибудь обнаруживали, что он вообще не запускается, то вам знакомо возникающее при этом тошнотворное ощущение. Однако если на вашем жестком диске присутствует операционная система Windows XP Professional, то она предложит девять способов "поднять" компьютер и заставить его работать.
Windows XP Professional имеет более надежный набор режимов запуска, чем предыдущие версии, и может эффективно помочь в обнаружении проблем с установкой и настройками. Вы можете просмотреть список режимов запуска, нажав F8 во время загрузки. Вот эти режимы.
Safe Mode (Безопасный режим). Запускает Windows XP Professional с минимальным набором драйверов (мышь, монитор, клавиатура, основная память и системные сервисы по умолчанию) и в режиме VGA.
Safe Mode With Networking (Безопасный режим с загрузкой сетевых драйверов). Запускает Windows XP Professional в безопасном режиме, но с возможностью установки сетевого соединения.
Safe Mode With Command Propmt (Безопасный режим с поддержкой командной строки). Запускает Windows XP Professional в безопасном режиме, но вместо рабочего стола на экране появляется окно команд.
Enable Boot Logging (Включить протоколирование загрузки). Запускает Windows XP Professional и регистрирует все драйверы и сервисы, которые были или не были успешно загружены. Список сохраняется в файле под названием ntblog.txt, расположенном в каталоге C:\Windows.
Enable VGA Mode (Включить режим VGA). Запускает Windows XP Professional с основным VGA-драйвером. Эта опция позволяет пользователям восстановить систему после некорректной установки видеодрайвера.
Last Known Good Configuration (Загрузка последней удачной конфигурации). Запускает Windows XP Professional, используя информацию журнала, сохранившуюся после последнего успешного запуска системы. Этот способ не решает проблем с аппаратными устройствами и изменения, внесенные после последней загрузки, будут потеряны.
Debugging Mode (Режим отладки). Режим отладки запускает Windows XP Professional, пересылая информацию об отладке на присоединенный соседний компьютер.
Selective Startup (Выборочный запуск). Этот режим не указан в списке, открывающемся при нажатии F8, а включается с помощью утилиты System Configuration (о которой мы поговорим позже в разделе "Утилита System Configuration").
Normal Mode (Обычный режим). Запускает Windows XP Professional в нормальном режиме.
Каждый из этих режимов полезен по-своему. Но, скорее всего, вы будете пользоваться только четырьмя режимами.
Безопасный режим
Безопасный режим является одним из главных инструментов еще со времен Windows 95. В этом режиме загружается минимальный набор драйверов. Основные функции Windows сохраняются, но вы узнаете режим Safe Mode, поскольку система обращается к VGA-режиму экрана (640х480, 16 цветов). Единственными доступными в безопасном режиме устройствами являются клавиатура, мышь и жесткий диск. Этот режим используется тогда, когда компьютер не может корректно загружаться, например, после инсталляции некачественной программы.
Безопасный режим с загрузкой сетевых драйверов
Этот режим похож на безопасный режим и позволяет установить сетевое соединение. Его можно использовать, если вам требуется попасть в сеть для решения проблемы, связанной с Windows, например, найти в сети файл или воспользоваться Удаленным помощником (Remote Assistance).
Безопасный режим с поддержкой командной строки
В двух предыдущих режимах присутствует то качество Windows, которое делает эту систему столь популярной, а именно графический пользовательский интерфейс (GUI). Однако в безопасном режиме с поддержкой командной строки вы не сможете на него положиться. Вместо этого вы будете работать в окне команд и использовать команды DOS для достижения своих целей.
Этот режим можно запустить с установочного диска Windows XP Professional, и он называется консоль восстановления (Recovery Console). Для старта консоли восстановления загрузите компьютер с установочного компакт-диска и нажмите клавишу "R" в начале процесса установки. Более того, полезно сделать консоль восстановления частью инсталляции Windows XP Professional. Для этого вставьте компакт-диск в CD- или DVD-дисковод, выберите Start\Run (Пуск\Выполнить), введите d:\i386\winnt32.exe/cmdcons (где d: - обозначение CD-дисковода) и затем щелкните на ОК.
Складывается впечатление, что этот режим доставляет много хлопот. Однако если вы знаете имена и местоположение файлов, которые вызывают проблемы, то можете найти их и уничтожить без всякого сожаления.
Примечание. Для получения списка доступных команд введите HELP и нажмите Еnter.
Вот несколько основных команд DOS, которые помогут вам справиться с проблемой.
DIR. Выводит список содержимого текущего каталога. Файлы с надписью <DIR> являются каталогами. Если вы находитесь внутри большой папки, и список файлов не помещается на экране, то команда DIR/P выполнит приостановку вывода данных. DIR/W организует вывод информации в несколько колонок. Можно использовать эти команды вместе (DIR/P/W) и получить изображение нескольких неподвижных колонок.
CD. Что, если файл, который вы ищете, отсутствует в каталоге? Команда CD позволяет сменить папку. Введите CD, пробел и имя папки - и вы перейдете в эту папку. Если в папке имеется несколько подкаталогов, добавьте \имя каталога к имени каталога. Например, команда
CD windows\desktop
покажет содержимое подкаталога рабочего стола в каталоге Windows. Для выхода из папки введите
CD ..
· DEL. Используется для удаления файлов. Просто введите DEL и имя файла - и пошлите ему прощальный поцелуй. Вы можете пользоваться командой DEL для удаления всех файлов (в выбранном каталоге) определенного типа. Например, если нужно избавиться от всех файлов Adobe Acrobat, введите
DEL * .PDF
· CHKDSK. Если необходимости уничтожать определенный файл нет, но проблемы с загрузкой остаются, и вы подозреваете неполадки с жестким диском, то инструмент Microsoft Check Disk проверит его. Он исследует целостность диска и определит количество использованного пространства. Для получения лучших результатов команду CHKDSK следует выполнять до запуска Windows - введите CHKDSK/F. Появится сообщение об ошибке и вопрос о том, нужно ли выполнить команду перед следующим запуском Windows. Нажмите на Y и затем нажмите на Enter.
Загрузка последней удачной конфигурации
Система Windows XP Professional может вернуть компьютер к тому времени, когда все работало нормально. Выбрав этот стартовый режим, вы, скорее всего, потеряете все приложения, которые пытались проинсталлировать, но заодно исчезнет и маленький злодей, вызвавший неприятности. В отличие от System Restore, на контрольно-пропускном пункте Last Known Good Configuration вы не создадите исходной конфигурации для восстановления системы. Вместо этого компьютер просмотрит реестр и выберет точку для восстановления из имеющихся конфигураций. Чаще всего это срабатывает, но можно и не получить ожидаемых результатов.
Дело в том, что ваше понимание того, что такое хорошая конфигурация, и точка зрения Windows являются субъективными и не обязательно совпадают. Например, если у вас возникли проблемы с приложением или драйвером, но система Windows работает, то ОС сочтет такую конфигурацию хорошей. Для вас же она будет плохой, так как не дает ожидаемых результатов.
Загрузочная дискета
Другой вид запуска осуществляется с помощью загрузочной дискеты. Это такая дискета, которую вы храните в безопасном месте и используете в случае аварии компьютера для его перезапуска. Утилита System Restore в Windows XP Professional предназначена для облегчения процесса восстановления, но на всякий случай хорошо иметь под рукой загрузочную дискету.
Чтобы сделать загрузочную дискету, выполните следующие действия.
Вставьте в дисковод чистую дискету.
Выберите Start\My Computer (Пуск\Мой компьютер)
Щелкните правой кнопкой мыши на значке дисковода и выберите Format (Форматировать) (рис. 8.1).
Рис. 8.1. Создание загрузочной дискеты
Отметьте флажок Сreate an MS-DOS startup disk (Создание загрузочного диска MS-DOS ).
Щелкните Start (Начать).
Если вам придется загружать компьютер с помощью загрузочной дискеты, то у вас окажется еще более аскетический набор драйверов, чем тот, который доступен в безопасном режиме загрузки. Вы не сможете воспользоваться драйверами компакт-диска или DVD-диска. Более того, вы не увидите ни одного NTFS-диска, а только FAT-диски. Однако, если жесткий диск не в порядке, то это именно тот инструмент, который нужен для запуска компьютера.
Исправление инсталляции
Если вы столкнулись с проблемами во время инсталляции Windows XP Professional, то, возможно, придется провести некоторые восстановительные работы. Для этого воспользуйтесь мастером установки Windows XP Professional (Windows XP Professional Setup Wizard). Эта программа запускается следующим образом.
Вставьте установочный диск Windows XP Professional в CD-дисковод и выберите Install Windows XP (Установка Windows XP ). Начнется процесс инсталляции и после первой перезагрузки будет указано на то, что инсталляция продолжается. Затем мастер спросит, хотите ли вы внести исправления в инсталляцию.
Нажмите клавишу R для внесения исправлений. После завершения инсталляции перезагрузите компьютер.
Нажмите F3 для перезагрузки - и вы вернетесь в программу установки Windows XP. На этом этапе завершите работу мастера, не выполняя повторную инсталляцию Windows.
"Зависание" программ
Даже с самыми лучшими из нас это случается. При выполнении программы компьютер останавливается, и данные становятся заблокированными. Это раздражает во время игры, и это - катастрофа, если вы работаете. Иногда, если повезет, можно снова все восстановить. В других случаях приходится начинать все с самого начала. На случай "зависания" программы система Windows XP Professional располагает двумя инструментами, которые помогут хотя бы частично сохранить данные.
Диспетчер задач
Каждому, кто работал в Windows, приходилось сталкиваться с "зависанием" программы, то есть с тем, что программа перестает реагировать. К сожалению, лучшее, что вы можете сделать - остановить работу программы, не вызывая сбоя в работе компьютера. Диспетчер задач (Task Manager) (рис. 8.2) поможет в этом.
Диспетчер задач включается с помощью нажатия клавиш CTRL-ALT-DEL. На вкладке Applications (Приложения) диспетчера задач имеется список текущих работающих приложений. Если программа "зависла", то в колонке Status (Состояние) появится Not Responding (Не отвечает). Для остановки работы приложения щелкните на нем и затем щелкните на кнопке End Task (Завершить задачу).
Если в системе действительно возникли проблемы, то возможно, придется полностью перезагрузить компьютер. Для этого включите диспетчер задач и выберите в меню Shut Down (Перезагрузка).
Рис. 8.2. Диспетчер задач
Регистрация ошибок
В "Введение в Windows XP Professional для работы в сети" мы говорили о последствиях обеспечения секретности при активации Windows XP. Обеспечение секретности может стать проблемой при зависании приложения. Если с вашим компьютером случилась неприятность, то система Windows XP Professional предлагает функцию регистрации ошибок для написания отчета об ошибке, который можно отправить в компанию Microsoft. Эта функция позволяет посылать информацию в Редмонд, где Microsoft на основании сообщения устанавливает причины сбоя.
Однако, в отличие от активации, эту функцию можно отключить. Если вы не хотите делиться информацией об ошибках с компанией Microsoft, то проделайте следующее.
Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Computer (Мой компьютер).
В появившемся меню выберите Properties (Свойства).
Щелкните на вкладке Advanced (Дополнительно).
Нажмите кнопку Error Reporting (Отчет об ошибках ) для вызова диалогового окна Error Reporting (рис. 8.3).
Выберите, какой уровень отчета об ошибке вам больше подходит:
никакой;
только Windows;
приложения.
Рис. 8.3. Конфигурирование опций регистрации ошибок
Остановка запускающихся программ
При включении Windows XP Professional на компьютере может автоматически запуститься приложение, которое неправильно взаимодействует с остальными приложениями. К сожалению, Microsoft не разрешает легко отключить автозапуск программ. Если вы не хотите активировать какое-то конкретное приложение, то есть три подходящих способа для его отключения.
Папка автозагрузки
Проще всего это сделать в папке Startup (Автозагрузка). Для ее открытия выберите Start\All Programs\Startup (Пуск\Все программы\Автозагрузка). Если в этой папке находится ярлык приложения, то просто удалите его.
Утилита System Configuration
Утилита System Configuration является удобным инструментом для показа и редактирования различных элементов конфигурации системы. Для ее открытия (рис. 8.4) выберите Start\Run (Пуск\Выполнить) и введите MSCоnfig.
На вкладке General (Общие) выберите Selective Startup для включения режима выборочного запуска. Это режим, при котором Windows запрашивает конфигурацию перед запуском каждой программы.
На вкладке Startup (Автозагрузка) показан список программ, которые запускаются при загрузке Windows. Если вы отмените выбор любого элементов этой вкладки, то автоматически включится режим Selective Startup.
На вкладке Win.ini можно ознакомиться с файлом Win.ini. В этом файле содержится информация о конфигурации Windows. Проверьте наличие в нем строки, которая активирует запрос о запуске приложения. Обычно это строка начинается с "run=" или "load=".
Рис. 8.4. Утилита System Configuration
Реестр
Реестр - это база установочных данных программ для операционной системы Windows XP Professional. Воспользуйтесь редактором реестра (выберите Start\Run и введите regedit) для поиска файла. Будет очень хорошо, если вы сделаете запасную копию журнала, перед тем как залезть в него. Исследуйте группу ключей HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RUN, чтобы найти список программ, которые запускаются автоматически.
Предупреждение. Файл Win.ini и реестр - это не место для опрометчивых поступков. Если вы поменяете строки местами, то это может вызвать серьезные проблемы с компьютером. Будьте предельно внимательны, работая в этих файлах.
Консоль mmc
Компания Microsoft создала консоль MMC, чтобы облегчить управление путем использования расширяемого, последовательного и интуитивного интерфейса для всех административных приложений. ММС - это многодокументный интерфейс системы Windows, похожий на веб-браузер Internet Explorer. Являясь всего лишь обрамлением, ММС не имеет собственных функций. Ему нужны оснастки, чтобы он мог работать по назначению. Такие оснастки существуют для многих современных административных инструментов, например Event Viewer.
Оснастки являются полностью модифицируемыми, могут быть созданы с нуля и включать в себя сетевые интерфейсы. Как только в ММС появляется нужная оснастка, вы можете сохранить ММС в качестве инструмента. Администратор включает в ММС все те оснастки, которые нужны ему для выполнения сложных административных заданий, и использует только ММС, а не переключается с одного приложения на другое.
Основная консоль выглядит так, как это показано на рис. 8.5.
Основной вид одинаков почти для всех оснасток ММС. В верхней части исходной структуры расположено главное меню и панель инструментов. Здесь вы найдете знакомые элементы, которые контролируют управление файлом или окном, такие как Properties (Свойства), View (Просмотр) и Help (Справка). Инструменты панели будут различаться, но, в основном, они предоставляют помощь при навигации или выполняют такие функции, как создание новых папок или удаление файлов.
Рис. 8.5. Пустая консоль MMC
Фреймы, расположенные внутри исходной структуры, называются дочерними (children frame) и могут сильно различаться, но чаще всего представляют собой два фрейма. Левый фрейм содержит специфическую иерархию организации оснастки, правый фрейм представляет данные, относящиеся к элементу, выделенному в левом фрейме.
Для добавления инструментов в меню Console (Консоль) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку). Появится диалоговое окно Add/Remove Snap-in (рис. 8.6).
В диалоговом окне нажмите кнопку Add (Добавить) и щелкните на оснастке, которую вы хотите добавить (в данном случае это Event Viewer, показанный на рис. 8.7). Затем щелкните на Add. Таким способом вы можете добавить в ММС столько инструментов, сколько вам нужно.
Рис. 8.6. Открытие диалогового окна Add/Remove Snap-in (Добавить или удалить оснастку)
Рис. 8.7. Выберите оснастку из списка в диалоговом окне
Просмотр событий
Своим происхождением Event Viewer (Просмотр событий) обязан операционной системе Windows NT 3.1. В Windows XP Professional он является частью ММС. Event Viewer следит за всем, что происходит во время работы Windows. Это достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы.
Для запуска Event Viewer в ММС откройте System Tools (Служебные программы) и щелкните на Event Viewer. В открывшемся окне (рис. 8.8) представлены три элемента, которые Event Viewer может отслеживать:
Application (Приложения). Мониторинг всех событий, вызванных работой приложений и программ.
System (Система). Мониторинг компонентов системы, таких как драйверы устройств.
Security (Безопасность). Мониторинг изменений в системе защиты и предупреждение о возможности возникновения "брешей" в этой системе.
Рис. 8.8. Event Viewer (Просмотр событий)
Двойной щелчок на определенном событии открывает окно, в котором со всеми деталями описывается событие и дается интернет-ссылка на описание этого события. Пример такого события приведен на рис. 8.9.
Команда меню Status (Состояние)
Если Windows XP Professional-клиент предназначен для приема входящих соединений с другими устройствами, то в папке Network Connections (Сетевые подключения) для каждого установленного соединения появляется значок с именем пользователя. Для просмотра всех входящих соединений щелкните правой кнопкой мыши на имени соединения и затем щелкните на Status (Состояние).
Команда Status (Состояние) выведет следующую информацию.
Продолжительность соединения.
Скорость соединения.
Рис. 8.9. Свойства события
Количество переданных и полученных байтов .
Инструменты диагностики, доступные для соединения.
Этот инструмент показан на рис. 8.10.
Рис. 8.10. Состояние сетевого соединения
Изучив эти параметры, вы сможете определить, имеются ли проблемы со связью. Например, если у вас имеется быстрое соединение Fast Ethernet, а показанная скорость составляет только 10 Мб/с, то что-то не в порядке. Указанием на более серьезную проблему является разрыв соединения (появление красного крестика рядом со значком и невозможность открытия меню состояния). Появившийся рядом со значком текст укажет верное направление действий для решения проблемы. Например, вы увидите "Network cable unplugged" (Сетевой кабель не подключен).
Помощь в поддержке работы сети
Открыв диалоговое окно Local Area Connection Status (Состояние локального сетевого соединения) и выбрав вкладку Support (Поддержка), вы увидите тип адреса, IP-адрес, маску подсети и адрес шлюза по умолчанию. Щелкните на кнопке Details и просмотрите подробную сводку о сетевом соединении (рис. 8.11), включающую в себя следующие пункты.
IP-адрес.
Маска подсети.
Адрес по умолчанию.
Физический адрес.
IP-адреса DHCP-, DNS- и WINS-серверов.
Дата начала аренды адреса в соответствии с протоколом динамической конфигурации хоста (DHCP).
Дата окончания аренды адреса в соответствии с DHCP.
Рис. 8.11. Подробная информация о сетевом соединении
Диагностика сети
В Центре помощи и поддержки (Help and Support Center) системы Windows XP Professional вы можете воспользоваться инструментом Network Diagnostics (Диагностика сети) для проверки ряда сетевых настроек. Для доступа к этому инструменту откройте Help and Support Center в меню Start (Пуск) и щелкните на пункте Fixing a Problem (Устранение неполадок). В появившемся окне откроется список проблем, которые можно решить (рис. 8.12).
Например, система Windows XP Professional может просмотреть вашу сеть и провести серию автоматических тестов. Она проверит модемы и сетевые карты (помимо всего прочего) и укажет специфические параметры устройств, приложений и сервисов, которыми вы пользуетесь. Например, параметры сетевого адаптера включают в себя следующее:
даты начала и окончания аренды соединения в соответствии с протоколом DHCP;
DNS-имя хоста;
наличие IPX;
IP-адрес.
Рис. 8.12. Устранение проблем в Центре помощи и поддержки
Инструмент укажет и такие дополнительные подробности, как:
метрику соединения;
разрешения безопасности протокола IP;
путь к базе данных.
Другие инструменты устранения конфликтов будут выдавать инструкции о необходимых действиях, от вас потребуется нажать на Yes или No в зависимости от полученных результатов.
Восстановление соединения
Если вас беспокоит какое-либо соединение, то Windows XP Professional предлагает легкий способ восстановить его. Просто щелкните правой кнопкой мыши на соединении в окне Network Connections (Сетевые соединения) и затем щелкните на кнопке Repair (Восстановить).
Рис. 8.13. Страница диагностики Центра помощи и поддержки системы Windows XP Professional
Щелкнув на кнопке Repair, вы сможете установить ряд сетевых настроек, к которым относятся:
создание текущих TCP/IP-настроек;
обновление TCP/IP-настроек;
очистка кэша протокола ARP;
обновление IP-аренды посредством выполнения DHCP-трансляции;
перезагрузка таблицы имен NetBT удаленного кэша. (В командной строке это можно выполнить вводом nbtstat-R.);
посылка пакетов с релизом имен на WIN-сервер для обновления последнего. (В командной строке это можно выполнить вводом nbstat-RR.);
очистка кэша DNS-распознавателя и повторная регистрация DNS-информации. (В командной строке это можно выполнить вводом ipconfig/flushdns.)
Восстановление системы
Если в компьютере возникли неполадки, то компания Microsoft предложит инструмент системного уровня, который поможет вернуться к нормальной работе. Инструмент System Restore (Восстановление системы) полезен в тех случаях, когда вы проинсталлировали программу, вызвавшую сбой компьютера или его некорректную работу. System Restore можно представить себе в виде гигантской кнопки Undo (Отменить).
Используя System Restore, вы сможете возвратить настройки своего компьютера к тому времени, когда он нормально работал. Более того, вы сами вручную можете установить точку восстановления. Точки восстановления создаются автоматически, либо по установленной схеме, либо в ответ на определенные события в системе, такие как инсталляция нового драйвера. Помимо этого, можно вручную создавать точки восстановления в любое время.
Если в компьютере произошел сбой, то можно вернуться к одной из точек восстановления, что, в свою очередь, переустановит драйверы и приложения в том виде, в каком они были во время создания точки восстановления. Точка восстановления содержит два типа информации:
снимок реестра;
динамические системные файлы.
Примечание. System Restore восстанавливает программы, а не файлы. Если вам приходится запускать System Restore, то это не изменит файлы Microsoft Office, веб-страницы или другие документы в папке My Documents.
Информация, хранящаяся в точке восстановления, включает в себя следующее:
сведения об учетной записи пользователя, записанные в реестре;
настройки приложений и программ, записанные в реестре;
запускающие файлы для Windows XP Professional, включая находящиеся в корневом каталоге системы и загрузочные файлы.
Активизация восстановления системы
System Restore (Восстановление системы) подключается к системе во время инсталляции Windows XP Professional. Однако можно отключать или включать эту функцию по мере необходимости. Вы можете отключить инструмент, если на диске мало места. Но помните, что нельзя воспользоваться System Restore, если он не активизирован. Для включения и отключения проделайте следующие шаги.
В панели управления откройте Performance and Maintenance (Производительность и обслуживание) и затем откройте System (Система).
В диалоговом окне System Properties (Свойства системы) щелкните на вкладке System Restore (Восстановление системы) (рис. 8.14).
Для того чтобы снова включить System Restore, очистите флажок Turn Off System Restore (Отключить восстановление системы).
Помимо этого можно указать, какую часть пространства на жестком диске может использовать System Restore, установив ползунок Disk space (Объем диска) для каждого раздела.
Рис. 8.14. Подключение System Restore (Восстановление системы)
Предупреждение. Отключение System Restore удаляет все точки восстановления, так что не делайте этого, не обдумав возможных последствий.
Откат к точке восстановления
Для отката настроек компьютера к точке восстановления проделайте следующие шаги.
Щелкните на Help and Support Center (Центр помощи и поддержки). В поле Pick a task (Выбор задания) щелкните на Undo changes to your computer with System Restore (Отменить изменения с помощью System Restore).
В окне приглашения щелкните на Restore my computer to an earlier time (Вернуть компьютер к точке восстановления) и затем щелкните на Next. (Появившееся диалоговое окно показано на рис. 8.15.)
Выберите точку восстановления в окне Select a Restore Point и затем щелкните на Next.
Примечание. Возвращайтесь назад не далее необходимого вам места. Если вы восстановитесь в слишком "старой" точке восстановления, то рискуете потерять часть корректно работающих программ, которые вы проинсталлировали позже точки восстановления.
Рис. 8.15. Выбор точки восстановления
Щелкните на Next в окне Confirm Restore Point (Подтверждение точки восстановления).
При выборе точки восстановления System Restore исследует журнал System Restore change (Изменение записей System Restore) и создает карту восстановления, которую использует для возврата системы. Инструмент использует карту для удаления определенных файлов и внесения изменений в реестр. Если выяснится, что точка возврата не решает проблему, то можно повторно запустить System Restore и выбрать для возврата более раннюю точку.
Установка точки восстановления
При установке неподписанного драйвера устройства система Windows XP Professional предпринимает решительные действия и создает точку восстановления. Также Windows XP Professional будет создавать точки возврата в следующих случаях.
При инсталляции System Restore-подчиненных приложений.
Через каждые 10 часов работы компьютера или один раз в сутки.
При инсталляции обновления посредством автоматического обновления.
По истечении заранее указанного интервала времени.
При восстановлении данных с резервной копии.
Однако вы можете создавать свои собственные точки восстановления, проделав следующие действия.
Запустите System Restore (Восстановление системы).
Щелкните на Create a restore point (Создать точку восстановления) и затем щелкните на Next (Далее).
Введите описание точки восстановления (рис. 8.16).
Щелкните на кнопке Create (Создать).
Рис. 8.16. Создание точки восстановления вручную
Отмена восстановления
Было бы прекрасно, если бы System Restore был настолько совершенным инструментом, что решал бы все ваши проблемы. Тем не менее, может случиться так , что вы не получите желаемых результатов с помощью операции восстановления. В таком случае можно отменить эту операцию. Щелкните на Undo my last restoration (Отменить последнее восстановление) в окне приглашения к восстановлению системы. Отмену точки восстановления можно применять, если нужно переместиться в более позднюю точку восстановления, чем первоначальная точка.
Доктор Ватсон
Dr. Watson входит в комплект программ системы Windows последние несколько лет. Dr. Watson (drwtsn32.exe) находит ошибки в программах, диагностирует ошибки и записывает информацию о диагностике в файл DRWTSN32.LOG. Этот файл можно послать всем работникам для проведения анализа и диагностики.
Dr.Watson запускается автоматически при появлении ошибки в программе. Вы можете запустить его вручную из меню Tools (Служебные программы) или из командной строки. На рис. 8.17. изображен инструмент Dr. Watson.
Рис. 8.17. Программа Dr. Watson помогает диагностировать ошибки приложения
Если программа не работает, сразу же запускайте Dr. Watson. Этот инструмент создает мгновенный снимок состояния компьютера и пишет отчет о ходе проверки. Просматривая этот отчет, вы увидите ошибки, обнаруженные с помощью Dr. Watson.
Вы можете сохранить этот файл для использования в будущем в случае возникновения проблем. Если хотите разобраться в проблеме самостоятельно, то исследуйте первые несколько строк в регистрационной записи. Затем зайдите на страницу справки по адресу http://support.microsoft.com и запустите машину поиска для записанных имен. Возможно, вы получите несколько полезных советов.
Решение проблем
Проблемы могут возникать не только в отдельном компьютере. Компьютерные сети становятся все более обширными и сложными, и проблемы, возникающие в них, все труднее диагностировать. В этом разделе будут обсуждаться затруднения, связанные с работой сетей, и способы их решения.
Проблемы, связанные с LAN
Есть несколько весьма распространенных проблем со связью в локальных сетях LAN, с которыми вы можете столкнуться. Если локальная сеть не отвечает на ваши запросы, то, в первую очередь, проверьте два следующих элемента.
Возможно, что-то случилось с сетевым адаптером. Проверьте значок локального соединения в папке Network Connections (Сетевые подключения). Если соединение отсутствует, то значок отобразит это состояние. Используйте диспетчер устройств, чтобы убедиться в нормальной работе сетевого адаптера. В случае неполадки используйте данный инструмент для ее исправления.
Убедитесь в том, что LAN-кабель надежно соединен как с сетевым адаптером, так и с сетевым устройством. Возможно, кто-то задел его, и произошло разъединение. Если это случилось, то значок в панели заданий будет показывать соединение, перечеркнутое красным крестиком.
Поиск решения проблем, связанных с работой сети, может показаться достаточно трудной задачей (так оно и есть), но эта задача может быть в значительной степени упрощена, если вы знаете, что есть четыре основных слабых места сети.
Сервер.
Сетевое устройство (концентратор, коммутатор, маршрутизатор и т. д.).
Кабель.
Рабочая станция.
Сужая круг поисков источника проблемы, вы значительно упростите свою задачу. Например, если вы в состоянии определить, что проблема кроется в работе сервера, то вы на 75% сделаете свою задачу проще. Но как найти место, в котором возникла проблема?
С чего следует начинать
Во-первых, нужно определить, на скольких клиентов влияет проблема. Изолирована ли она на одном устройстве или распространилась на несколько клиентов? Если проблема изолирована на одном компьютере, то вы знаете, с чего начинать поиски. Далее, если компьютер, который недавно работал, вдруг перестал это делать, то нужно проверить физическую надежность соединений, работоспособность кабеля и сетевой карты.
Если компьютер-клиент является новым, то, возможно, вы столкнулись с ошибкой конфигурации. Это можно легко проверить, включив в это соединение другой (работающий) компьютер. Этим вы заодно исключите проблемы с кабелем или неисправным коммутатором (концентратором).
Если проблема распространилась на несколько клиентов, то подумайте, что у всех этих клиентов есть общего. Если это новые устройства, то возможны проблемы с конфигурациями. Если раньше эти клиенты работали, то неисправность может заключаться в кабеле или в сетевом устройстве.
Если проблема охватывает соединения всех компьютеров в организации, то, скорее всего, причина заключается в работе сервера - и на нем нужно сосредоточить свои усилия.
Проблемы клиентов
Устранение неполадок в работе клиента может оказаться очень сложной задачей. Давайте рассмотрим наиболее часто встречающиеся источники проблем для Windows XP Professional-клиента. Самое первое и легкодоступное место, где можно искать решение проблемы - это протокол. Скорее всего, в вашей сети используется набор протоколов TCP/IP. Если клиент не видит некоторых устройств (или все устройства), то следует проверить, все ли устройства настроены на работу по протоколу TCP/IP.
Это делается в Windows XP Professional с помощью двойного щелчка на значке Network and Internet Connections (Сеть и подключения к интернету) в панели управления. Затем щелкните на Network Connections (Сетевые подключения) и правой кнопкой мыши щелкните на соединении, которое вы хотите исследовать. Выберите Properties (Свойства) - и вы увидите список протоколов этого соединения (рис. 8.18).
Рис. 8.18. Проверка протоколов
Сравните список протоколов с теми протоколами, которые используются в вашей сети. Они совпадают? Если нет, то вы нашли источник неприятностей.
При использовании TCP/IP можно протестировать свой собственный IP-адрес с помощью программы ping, используемой для проверки доступности адресата путем передачи ему определенного сигнала и ожидания ответа. Если пинг-запрос возвращается, то протокол работает нормально (но у вас все равно могут быть проблемы со связью).
Примечание. Если вы не знакомы с пинг-командой, то мы дадим объяснение позже в разделе "Ping".
Попробуйте проверить пингом адрес другого компьютера, своего шлюза и пары устройств в своем сетевом сегменте. Этим вы протестируете свою сетевую карту. Если посланный пинг-сигнал не возвращается, то проблема кроется в сетевой карте. Если пинг прошел удачно, то пробуйте повторить его для этого же компьютера, но на этот раз с именем компьютера. Если этот тест пройдет неудачно, то, возможно, проблема затрагивает WINS- или DNS-сервер.
Если пинг имени прошел успешно, то попробуйте протестировать компьютер в другом сегменте сети или в интернете. При неудачной попытке, скорее всего, у вас неправильно сконфигурирован шлюз, или проблема заключается в маршрутизаторе. Тем не менее, следует провести пинг-тесты с другими клиентами. Если им удается дозвониться до внешнего мира, то, вероятнее всего, у вас проблемы со шлюзом.
Коммутаторы и концентраторы
При наличии проблем со связью у целого ряда клиентов, скорее всего, дело заключается в коммутаторе или концентраторе. Рассмотрите сеть, изображенную на рис. 8.19.
Если клиенты с девятого по шестнадцатый не получают доступ в сеть, то что их всех объединяет? Все они соединены с одним и тем же концентратором. В таком случае надо проверить концентратор. Однако в этом примере имеется еще один источник потенциальных неприятностей. Так как концентраторы образуют цепь с портами коммутатора, то проблема может быть связана с вторым портом коммутатора.
Серверы
Если проблема заключена в сервере, не следует переоценивать его роль в работе сети. Для вас будет полезно пробежаться по тем основным вопросам, о которых мы говорили в связи с клиентами. Самое главное для серверов - использование правильного протокола и наличие функционирующих кабельных соединений.
Рис. 8.19. Поиск источника ошибки в сети
Проблемы с удаленным доступом
Иногда невозможность установить связь с удаленным сервером может сводить с ума, так как вы не знаете, чья это проблема - ваша или удаленного сервера. Все перечисленное ниже должно дать вам некоторое представление о различных проблемах удаленного доступа.
Не работает модем
Если модем не работает, возможны следующие варианты.
Модем неправильно подсоединен или отключен.
Для дозвона используется неверный телефонный номер.
Модем несовместим с системой Windows XP Professinal. Проверьте по списку совместимости оборудования на http://www.microsoft.com/hcl.
Учетная запись недействительна.
Телефонная линия не поддерживает скорости соединения.
Телефонная линия является цифровой.
Удаленный сервер не работает.
Связь прерывается
Если соединение постоянно прерывается, проверьте следующие условия.
Разрыв связи происходит из-за отсутствия действий. Наберите номер еще раз.
Ожидание вызова прерывает соединение. Отключите ожидание вызова (звонка).
Кто-то еще воспользовался удлинителем.
Отсоединился кабель модема.
Программа модема нуждается в обновлении.
Настройки модема несовместимы с сервером удаленного доступа.
Сервер удаленного доступа отключен.
Модем не может взаимодействовать с модемом удаленного сервера.
При попытке установить соединение компьютер выводит на экран сообщения
Если вы получаете сообщения о проблемах с устройствами при попытке установить соединение, проверьте следующие детали.
Внешний модем не включен.
Модем неисправен. Активируйте регистрацию модема для проверки связи.
Кабель несовместим с модемом.
ISDN-соединения получают сообщение "No Answer" (Нет ответа)
Если возникли проблемы с ISDN-соединением, которое постоянно получает сообщение "No Answer" (Нет ответа), то проверьте следующее.
Линия занята.
Качество линии плохое.
ISDN-коммутатор занят. Попробуйте позже.
Неправильно сконфигурирован телефонный номер. Для соединения может потребоваться один или два телефонных номера. Свяжитесь с телефонной компанией и уточните.
Неправильно введен идентификатор профиля SPID (Service Profile Identifier) - это относится к Соединенным Штатам и Канаде.
Не включен учет времени, проводимого в сети.
Удаленный сервер не подключен или выключен.
Полезные сетевые инструменты и сценарии
Существует несколько инструментов для отслеживания и решения проблем, связанных с применением протокола TCP/IP. Этими инструментами являются PING, ARP, IPCONFIG, TRACERT, NBTSTAT и PATHPING. Все они запускаются из командной строки и выдают результаты в формате DOS. В таблице 8.1 перечислены эти инструменты и дано их краткие описания.
PING
Подобно гидролокатору на подводной лодке, команда PING позволяет получать информацию о своих соседях. Правда, тут она применяется в сугубо мирных целях. Она может сообщить вам о том, как долго информационные пакеты идут из вашего компьютера на принимающий компьютер. Она делает это посредством отправки ICMP эхо-сигнала указанному устройству - будь то устройство локальной сети или сервер на другой стороне земного шара.
Таблица 8.1. Инструменты для решения проблем протокола TCP/IP |
|
Инструмент командной строки |
Описание |
ARP |
Позволяет модифицировать таблицу протокола разрешения адресов. |
IPCONFIG |
Показывает текущую TCP/IP конфигурацию и позволяет обновлять эти значения. |
NBTSTAT |
Предоставляет NetBIOS-информацию о TCP/IP-соединениях, перезагружает кэш LMHost и определяет зарегистрированное имя и область действия ID. |
PING |
Посылает эхо-запрос на указанное устройство. |
TRACERT |
Перечисляет количество переходов (изменений маршрута) до указанного устройства. |
PATHPING |
Показывает степень потери информационных пакетов на любом маршрутизаторе или ссылке. |
Если вы тестируете пинг-запросом устройство своей локальной сети, то устройство откликнется практически мгновенно. В этом случае вы узнаете, что оба компьютера работают нормально. При возникновении проблем следует выполнить следующие шаги.
1. Протестируйте пингом-запросом адрес локальной перемычки. Если этот адрес ответит, то на локальном компьютере имеется конфигурация протокола TCP/IP.
Ping 127.0.0.1
2. Протестируйте локальный IP-адрес и убедитесь, что нет конкуренции с другим устройством в сети.
Ping IP_адрес
3. Протестируйте IP-адрес шлюза по умолчанию. Так вы проверите возможность добраться до ближайшего маршрутизатора, который позволяет общаться с компьютерами в другой подсети.
Ping IP_адрес шлюза
4. Протестируйте пингом-запросом адрес указанного вами устройства в другой подсети. Так вы проверите возможность установки связи с устройством другой подсети.
Ping IP_адрес узла
5. Протестируйте пингом-запросом то же самое устройство, применив полное имя его домена. Если попытка закончится провалом, но шаг 4 работает, то это проблема разрешения имени. На этом этапе следует убедиться, что DNS-серверы доступны, таблицы Hosts и LMHosts точны, а WINS (если используется) правильно сконфигурирован.
Ping IP_имя узла
Инструмент PING используется следующим образом:
Ping [-t] [-a] [-n] [-l] [-f] [-I TTL] [-v TOS] [-r ] [-s ] [-j список узлов] [-k список узлов] [-w ] список адресатов
Аргументы PING включают в себя следующее.
-t Поддерживает пингование, пока не будет остановлен нажатием клавиш CTRL+C.
-n Посылает эхо-сигнал определенное (указанное) количество раз и прекращает тестирование.
-l Посылает пакет с указанным количеством битов.
-f Устанавливает флаг Don't Fragment (Не фрагментировать). Это значит, что пакеты не будут разбиваться на части сетевыми устройствами.
-w Устанавливает время простоя (мс). Время простоя по умолчанию равно 750 мс.
ARP
Протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет компьютерам создавать соединения на физическом уровне. Независимо от того, используете ли вы NetBIOS или TCP/IP имена компьютеров в своей сети, они должны быть конвертированы в MAC-имена сетевой карты компьютера. Когда одна рабочая станция пытается установить связь с другой, она должна транслировать сигнал в соответствии с протоколом ARP, чтобы выяснить MAC-адрес. После того как Windows XP Professional компьютер определит МАС-адрес, он использует его для установки связи с устройством. Эта конверсия IP в МАС хранится в ARP-таблице компьютера.
Команда ARP позволяет просматривать и редактировать таблицу ARP. Этот инструмент полезен при решении проблем, связанных с разрешениями имен. Команда ARP записывается следующим образом.
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
В приведенных примерах атрибуты работают следующим образом.
-s Добавляет IP-адрес (inet_addr) или Ethernet MAC адрес (eth_addr) в таблицу ARP. IP-адрес имеет стандартный четырехоктетный формат, в то время как Ethernet-адрес записывается шестью шестнадцатеричными значениями, разделенными тире.
-d Удаляет указанный IP-адрес из таблицы.
-a Выводит на экран текущую ARP-таблицу. Если вы включили в нее IP-адрес, то будет представлена только таблица переводов IP-адреса в МАС-адрес для данного компьютера.
Аргумент [if_addr] указывает IP-адрес, отличный от данного по умолчанию. Если вы хотите посмотреть на таблицу ARP компьютера, которым вы пользуетесь, то введите в командную строку arp -a.
Ниже проиллюстрирован результат применения команды ARP.
Interface: 192.168.1.101 on Interface 0x200003
Internet Address Physical Address Type
192.168.1.1. 00-04-5a-d0-b9-67 dynamic
192.168.1.100 00-04-5a-69-cc-60 dynamic
192.168.1.102 00-40-96-41-af-29 dynamic
Листинг 8.1.
IPCONFIG
Инструмент IPCONFIG хорошо подходит для начала поисков источника проблемы, связанной с применением протокола TCP/IP. Команда записывается следующим образом.
Ipconfig [/all | /release [adapter] | /renew [adapter]]
При использовании без аргументов IPCONFIG представляет только основные настройки TCP/IP, включая IP-адрес, маску подсети и шлюз по умолчанию для каждой карты сетевого адаптера. Однако, добавив аргументы, можно повысить полезность IPCONFIG. Аргументы включают в себя следующее.
/all Показывает основную и дополнительную информацию, такую как сроки окончания аренды и службы разрешения имен.
/release Выдает IP-адрес указанному адаптеру, если адаптер использовал DHCP.
/renew Обновляет IP-адрес для указанного адаптера, если адаптер использовал DHCP.
Примечание. Ввод ipconfig /? в командную строку сгенерирует полный список аргументов.
Windows IP Configuration
Host Name : geonosis
Primary Dns Suffix :
Node Type : Unknown
IP Routing Enabled : No
WINS Proxy Enabled : No
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix :
Description : Linksys NC100 Fast Ethernet Adapter
Physical Address : 00-04-5A-69-CC-60
Dhcp Enabled : Yes
Autoconfiguration Enabled : Yes
IP Address : 192.168.1.100
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.1
DHCP Server : 192.168.1.1
DNS Servers : 192.168.1.1
Lease Obtained : Saturday, April 27, 2002 2:18:33 PM
Lease Expires : Saturday, April 27, 2002 2:23:33 PM
Листинг 8.2.
Использование инструмента IPCONFIG может дать огромное количество информации о TCP/IP-соединениях и их конфигурациях. Всегда полезно проверять маску подсети. Убедитесь в том, что она не записана как 0.0.0.0, что указывает на конфликт с другим устройством подсети.
TRACERT
Инструмент Trace Route (TRACERT) применяется для отслеживания перемещения пакета данных от устройства к устройству. Он работает посредством передачи пакета со значением времени жизни (TTL), равным 1. Обычно маршрутизаторы сокращают значение TTL на 1 и затем отправляют пакет дальше по пути следования. Если маршрутизатор получает TTL со значением 0, то он возвращает пакет отправителю как просроченный. Это позволяет узнать кое-что о маршрутизаторе. Инструмент TRACERT выполняет это действие для первого маршрутизатора на пути следования пакета, добавляет 1 к TTL и затем отправляет новый пакет. Следующий пакет доходит до второго маршрутизатора и становится просроченным. Этот маршрутизатор возвращает пакет вместе с информацией о самом себе. Процесс повторяется, пока пакет не дойдет до нужного устройства, или пока количество переходов не достигнет максимального значения.
Синтаксис команды TRACERT следующий.
Tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] имя конечного устройства
Некоторые аргументы команды TRACERT описаны ниже.
-d Препятствует разрешению адреса именам хостов.
-h maximum_hops Устанавливает верхнюю границу общего числа переходов, необходимых для нахождения нужной рабочей станции.
-j host-list Устанавливает свободный начальный маршрутизатор для всего списка хостов.
-w timeout Устанавливает время простоя (мс) для каждого перехода.
Вы можете применять команду TRACERT, просто вводя tracert и адрес конечного устройства. Например:
C:\WINDOWS>tracert http://www.velte.com
Tracing rout to http://www.velte.com (64.66.150.248)
Over a maximum of 30 hops:
1 66 ms 93 ms 63 ms c6400-l-nrp-6.border.mpls.visi.com [209. 98.0.20]
2 73 ms 62 ms 59 ms fa4-0-0.core-l.mpls.visi.com [209.98.3.222]
3 75 ms 59 ms 84 ms fal-0-0.core-2.mpls.visi.com [209. 98.3.195]
4 68 ms 62 ms 58 ms 500.POS2-3.GW4.MSP1.ALTER.NET [157.130.98.1]
5 65 ms 58 ms 63 ms 110.at-1-1-0.CL2.MSPl.ALTER.NET [152.63.67.102]
6 69 ms 73 ms 69 ms O.SO-7-0-O.XL2.CHI2.ALTER.NET [152.63.145.50]
7 72 ms 67 ms 83 ms POS7-0.BR2.CHI2.ALTER.NET [152.63.67.245]
8 99 ms 116 ms 101 ms chi-brdr-03.inet.qwest.net [205.171.1.145]
9 101 ms 101 ms 103 ms chi-core-02.inet.qwest.net [205.171.20.137]
10 100 ms 115 ms 100 ms chi-edge-08.inet.qwest.net [205.171.20.114]
11 110 ms 109 ms 117 ms pos-6-0.ons.siteprotect.com [65.112.64.146]
12 122 ms 115 ms 128 ms cO-feO.siteprotect.com [66.113.129.2]
13 108 ms 107 ms 109 ms www.velte.com [64.66.150.248]
Trace complete.
Листинг 8.3.
Этот инструмент полезен, если вы не можете запустить ни одной утилиты из пакета протоколов TCP/IP. После того как вы убедились в том, что TCP/IP установлен, но нельзя использовать команды PING или TRACERT, следует удалить и заново проинсталлировать протокол TCP/IP, который мог повредиться.
NBTSTAT
Инструмент NBTSTAT помогает в решении проблем, связанных с разрешением NetBIOS-имен в TCP/IP-соединениях. Он показывает статистику протокола и текущие TCP/IP-соединения, используя NetBT (NetBIOS поверх TCP/IP). Когда сеть функционирует нормально, NetBT разрешает присваивать NetBIOS-имена IP-адресам.
Команда NBTSTAT имеет следующий синтаксис.
Nbtstat [-a Удаленное имя] [-A IP-адрес] [-c] [-n] [-r] [-R] [-s] [-S] [интервал]
Некоторые аргументы NBTSTAT означают следующее.
-n Показывает имена, зарегистрированные локально системой, в которой используется сервер или службы переадресации.
-с Перечисляет переводы имени в IP-адрес, которые находятся в кэше системы.
-R Заставляет систему очищать кэш и перезагружать его из файла Lmhosts (автоматически перезагружаются только те элементы Lmhosts файла, которые имеют обозначение #PRE).
-a "имя" Возвращает таблицу NetBIOS-имен компьютера, а также MAC-адрес его сетевой карты.
-s Перечисляет текущие NetBIOS-сессии, их статус и основные статистические данные.
Примечание. Для получения более подробной информации о NBTSTAT введите nbtstat /? в окне команд.
Здесь приведен пример команды NBTSTAT.
C:\WINDOWS>nbtstat -n
Node IpAddress: [192.168.1.101] Scope Id: [] NetBIOS Local Name Table
Name Type Status
CORUSCANT <00> UNIQUE Registered
LAN <00> GROUP Registered
CORUSCANT <03> UNIQUE Registered
CORUSCANT <20> UNIQUE Registered
LAN <1E> GROUP Registered
DEFAULT <03> UNIQUE Registered
Введите nbtstat -c и увидите следующий результат.
Node IpAddress: [192.168.1.101] Scope Id: [] NetBIOS Remote Cache Name Table
Name Type Host Address Life [sec]
ENDOR <00> UNIQUE 192.168.1.102, 180
ENDOR <20> UNIQUE 192.168.1.102 60
Листинг 8.4.
PATHPING
Инструмент PATHPING является комбинацией инструментов PING и TRACERT. Этот инструмент в упорядоченном режиме посылает информационные пакеты на каждый маршрутизатор по пути к месту назначения. Затем он рассчитывает результаты на основании пакетов, возвращенных каждым маршрутизатором. Так как PATHPING показывает степень потери пакетов в любом маршрутизаторе или соединении, администратор может определить, какие именно маршрутизаторы и соединения вызывают проблемы в работе сети.
Команда PATHPING записывается следующим образом.
Pathping [-n] [-h maximum_hops] [-g host-list] [-p period] [-q num_queries] [-w timeout] [-T] [-R] target_name
Некоторые аргументы PATHPING включают в себя следующее.
-n Не разрешает присваивать адреса именам хостов.
-h maximum_hops Указывает максимальное количество изменений маршрута, необходимое для нахождения конечного пункта. Настройка по умолчанию предусматривает 30 переходов.
-p period Указывает время (мс) между двумя передачами пинг-сигнала. По умолчанию равно 250 мс.
-q num_queries Указывает количество запросов, посланных на каждый компьютер во время прохождения маршрута. Значение по умолчанию - 100.
-w timeout Указывает время (мс), отводимое на ожидание ответа. По умолчанию - 3000 мс (или 3 с).
Следующий пример, в котором проверяется маршрут и путь от компьютера в Соединенных Штатах до Университета науки и технологии в Китае, дает вам представление о полезности и результативности инструмента PATHPING.
C:\pathping 202.38.64.2
Tracing route to www.ustc.edu.cn [202.38.64.2]
over a maximum of 30 hops:
0 Endor [65.103.23.213]
1 mplsapanas12poolC254.mpls.uswest.net [65.103.23.254]
2 www.ustc.edu.cn [207.225.140.29]
3 min-core-02.tamerica.net [205.171.128.25]
4 den-core-02.tamerica.net [205.171.8.97]
5 500.POS4-1.GW4.DEN4.ALTER.NET [157.130.172.41]
6 175.at-5-0-0.XR1.DEN4.ALTER.NET [152.63.93.202]
7 177.at-2-0-0.XR1.SLT4.ALTER.NET [152.63.94.46]
8 0.so-0-0-0.TL1.SLT4.ALTER.NET [152.63.9.70]
9 0.so-4-0-0.TL1.LAX9.ALTER.NET [152.63.0.165]
10 0.so-0-0-0.XL1.LAX9.ALTER.NET [152.63.115.137]
11 POS6-0.BR3.LAX9.ALTER.NET [152.63.115.1]
12 if-5-0-1.bb3.LosAngeles.Teleglobe.net [207.45.200.197]
13 if-2-1.core1.LosAngeles.Teleglobe.net [207.45.220.97]
14 if-6-0.core1.LosAngeles2.Teleglobe.net [64.86.83.134]
15 if-0-0-0.bb1.LosAngeles2.Teleglobe.net [64.86.80.38]
16 64.86.173.34
17 202.112.61.21
18 202.112.61.137
19 202.112.61.193
20 whbj4.cernet.net [202.112.46.66]
21 hfwh3.cernet.net [202.112.46.130]
22 hef1.cernet.net [202.112.38.126]
23 * * *
Computing statistics for 575 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address 0 Endor [65.103.23.213]
5/ 100 = 5% |
1 172ms 6/ 100 = 6% 1/ 100 = 1%
mplsapanas12poolC254.mpls.uswest.net [65.103.23.254]
0/ 100 = 0% |
2 167ms 6/ 100 = 6% 1/ 100 = 1% 207.225.140.29
0/ 100 = 0% |
3 166ms 6/ 100 = 6% 1/ 100 = 1%
min-core-02.tamerica.net [205.171.128.25]
0/ 100 = 0% |
4 196ms 6/ 100 = 6% 1/ 100 = 1%
den-core-02.tamerica.net [205.171.8.97]
0/ 100 = 0% |
5 215ms 6/ 100 = 6% 1/ 100 = 1%
500.POS4-1.GW4.DEN4.ALTER.NET [157.130.172.41]
0/ 100 = 0% |
6 211ms 6/ 100 = 6% 1/ 100 = 1%
175.at-5-0-0.XR1.DEN4.ALTER.NET [152.63.93.202]
0/ 100 = 0% |
7 215ms 6/ 100 = 6% 1/ 100 = 1%
177.at-2-0-0.XR1.SLT4.ALTER.NET [152.63.94.46]
0/ 100 = 0% |
8 220ms 6/ 100 = 6% 1/ 100 = 1%
0.so-0-0-0.TL1.SLT4.ALTER.NET [152.63.9.70]
0/ 100 = 0% |
9 295ms 5/ 100 = 5% 0/ 100 = 0%
0.so-4-0-0.TL1.LAX9.ALTER.NET [152.63.0.165]
0/ 100 = 0% |
10 293ms 5/ 100 = 5% 0/ 100 = 0%
0.so-0-0-0.XL1.LAX9.ALTER.NET [152.63.115.137]
0/ 100 = 0% |
11 295ms 5/ 100 = 5% 0/ 100 = 0%
POS6-0.BR3.LAX9.ALTER.NET [152.63.115.1]
0/ 100 = 0% |
12 294ms 5/ 100 = 5% 0/ 100 = 0%
if-5-0-1.bb3.LosAngeles.Teleglobe.net [207.45.200.197]
0/ 100 = 0% |
13 321ms 5/ 100 = 5% 0/ 100 = 0%
if-2-1.core1.LosAngeles.Teleglobe.net [207.45.220.97]
0/ 100 = 0% |
14 280ms 5/ 100 = 5% 0/ 100 = 0%
if-6-0.core1.LosAngeles2.Teleglobe.net [64.86.83.134]
0/ 100 = 0% |
15 287ms 5/ 100 = 5% 0/ 100 = 0%
if-0-0-0.bb1.LosAngeles2.Teleglobe.net [64.86.80.38]
0/ 100 = 0% |
16 442ms 5/ 100 = 5% 0/ 100 = 0% 64.86.173.34
0/ 100 = 0% |
17 456ms 5/ 100 = 5% 0/ 100 = 0% 202.112.61.21
0/ 100 = 0% |
18 453ms 5/ 100 = 5% 0/ 100 = 0% 202.112.61.137
0/ 100 = 0% |
19 444ms 5/ 100 = 5% 0/ 100 = 0% 202.112.61.193
1/ 100 = 1% |
20 426ms 6/ 100 = 6% 0/ 100 = 0% whbj4.cernet.net [202.112.46.66]
0/ 100 = 0% |
21 433ms 6/ 100 = 6% 0/ 100 = 0% hfwh3.cernet.net [202.112.46.130]
0/ 100 = 0% |
22 428ms 6/ 100 = 6% 0/ 100 = 0% hef1.cernet.net [202.112.38.126]
94/ 100 = 94% |
23 - 100/ 100 =100% 0/ 100 = 0% Endor [0.0.0.0]
Trace complete.
Листинг 8.5.
Устранение неполадок может оказаться трудной задачей. Но мы питаем надежду, что с помощью приемов и методов, представленных здесь, а также благодаря набору инструментов системы Windows XP Professional и сетевым протоколам TCP/IP, вы справитесь со всеми проблемами своей сети, и они не вызовут у вас слишком большого стресса.
Лекция 9. Безопасность при работе в сети
Система обеспечения безопасности в Windows xp Professional
ОС Windows XP Professional обеспечивает безопасность системы несколькими способами. Причем не только старыми проверенными способами, известными еще в ранних версиях Windows, но и с помощью совершенно новых свойств. Мы поговорим об управлении локальной политикой безопасности, регистрации, журналах безопасности Internet Connection Firewall, шаблонах безопасности, процессе ввода данных и, наконец, об анализе и конфигурации системы защиты. Инструменты защиты могут использоваться не только для обеспечения безопасности в системе Windows XP Professional, но и для управления настройками системы защиты домена. Начнем с обзора улучшения системы защиты Windows XP Professional.
Новое в Windows xp Professional
Система защиты в Windows не стоит на месте. При выходе каждой новой версии Windows вы можете ожидать улучшения свойств обеспечения безопасности. Windows XP Professional не является исключением.
В ней содержатся все основные средства защиты, которые имелись в Windows NT и Windows 2000, но есть и новые свойства.
Собственность администратора (Administrative ownership). В более ранних версиях Windows любые ресурсы, созданные администратором (файлы и папки), становились достоянием всей группы. Однако в Windows XP Professional эти ресурсы принадлежат отдельному администратору, создавшему их.
Агент восстановления EFS. В Windows 2000 при попытке конфигурирования EFS политики восстановления без сертификатов агента восстановления система EFS автоматически отключается. В Windows XP Professional можно шифровать файлы без агента восстановления данных (Data Recovery Agent).
Инсталляция принтера. Только администраторы и опытные пользователи могут устанавливать локальные принтеры. Причем администраторы имеют это право по умолчанию, а опытные пользователи должны получать эту привилегию.
Ограничения, связанные с использованием пустого пароля. Windows XP Professional пользователи могут использовать пустые пароли, но с ними они могут только физически зарегистрироваться на локальном компьютере.
Программное ограничение. Политика безопасности Windows XP Professional может быть присвоена отдельным приложениям на основании пути файла, интернет-зоны или сертификата.
Быстрая смена пользователей. Компьютеры, работающие в среде Windows XP Professional и не соединенные с доменом, могут быстро переключаться с одного пользователя на другого, не выходя из сети и не закрывая приложений.
Мастер сброса пароля. Если пользователь забыл свой пароль, то он может воспользоваться дискетой перезагрузки для доступа к своей учетной записи.
В следующих разделах некоторые из этих тем рассматриваются более подробно, а другие не требуют объяснений и запускаются в Windows XP Professional по умолчанию.
Локальная политика безопасности
Возможность создавать и управлять политикой безопасности на локальном компьютере осуществляется посредством оснастки MMC. Это приложение позволяет вам не только просматривать локальную систему безопасности, но и вносить в нее изменения.
Просмотр
Для просмотра политики безопасности выберите Start\Control Panel\ Performance and Maintenance\Administrative Tools (Пуск\Панель управления\Производительность и обслуживание\Администрирование). Щелкните дважды на Local Security Policy (Локальная политика безопасности). Появится окно, изображенное на рис. 9.1.
Примечание. Вы можете запустить этот инструмент из командной строки, введя secpol.msc.
Рис. 9.1. Просмотр локальной политики безопасности
Управление локальной политикой
Для просмотра отдельной политики безопасности щелкните дважды на значке нужной политики. В качестве примера рассмотрим, как управлять настройками системы безопасности в папке Security Options (Параметры безопасности). После того как вы щелкните дважды на Security Options, появится список настроек системы безопасности (рис. 9.2). Затем щелкните на настройке Devices: Unsigned driver installation behavior (Устройства: поведение при установке неподписанного драйвера). Из рис. 9.3 видно, что можно выбрать один из трех вариантов настройки.
Согласиться безоговорочно.
Предупредить, но разрешить инсталляцию.
Не разрешать инсталляцию.
Журнал безопасности
В "Подключения к рабочим группам" мы говорили об основах использования и управления межсетевым экраном ICF (Internet Connection Firewall) системы Windows XP Professional. Несколько дополнительных сведений о безопасности в области регистрации сделают знакомство с ICF еще более полезным. Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.
Входящие эхо-запросы.
Входящие метки времени.
Входящие запросы маршрутизатора.
Переадресацию.
Рис. 9.2. Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)
Рис. 9.3. Детали настройки
На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней.
Запись в журнал безопасности icf
Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.
Таблица 9.1. Поля ввода данных в журнале безопасности ICF |
|
Поле |
Описание |
action |
Операция, перехваченная межсетевым экраном. Входящие данные включают в себя OPEN CLOSE DROP INFO-EVENTS-LOST (здесь указывается количество произошедших событий, не сохраненных в журнале). |
date |
Дата ввода файла в формате YY-MM-DD (год-месяц-день). |
Dst-ip |
IP-адрес конечного пункта доставки пакета. |
Dst-port |
Номер порта конечного пункта доставки пакета. |
icmpcode |
Число, обозначающее поле кода в ICMP-сообщении. |
icmptype |
Число, обозначающее поле ввода текста в ICMP-сообщении. |
info |
Поле для ввода информации о событии, которое зависит от типа действия. |
protocol |
Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра. |
size |
Размер пакета. |
Src-ip |
IP-адрес устройства-отправителя. |
Src-port |
Номер порта отправителя. |
tcpack |
TCP-номер подтверждения пакета. |
tcpflags |
TCP-флаг, указываемый в начале пакета: A-Ack (важность поля подтверждения); F-Fin (последний пакет); P-Psh (функция "проталкивания" пакета); S-Syn (синхронизация последовательности номеров); U-Urg (важность поля указателя срочности). |
tcpsyn |
TCP-последовательность номеров пакетов. |
tcpwin |
TCP-размер окна (байт). |
time |
Время регистрации файла в формате HH:MM:SS (часы:минуты:секунды). |
Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.
Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.
Включение и отключение ведения журнала
В связи с тем, что ведение журнала ICF не активировано по умолчанию при инсталляции ICF, его необходимо включать. Для этого выполните следующие действия.
Выберите Start\Control Panel (Пуск\Панель управления).
Щелкните на Network and Internet Connections (Сеть и подключения к интернету), а затем - на Network Connections (Сетевые подключения).
Щелкните на соединении, которое использует ICF, а затем в Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).
На вкладке Advanced (Дополнительно) щелкните на Settings (Параметры).
На вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) выберите опции:
регистрация пропущенных пакетов;
регистрация всех входящих попыток установить соединение, которому отказано в доступе;
регистрация успешных соединений;
регистрация всех успешных попыток исходящих соединений.
Разумеется, если вы решите больше не отслеживать работу ICF, то можете отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful connections (Записывать успешные подключения).
Рис. 9.4. Опции ведения журнала ICF
Управление файлом журнала icf
Вы можете переименовать журнал ICF или указать для него путь, отличный от пути по умолчанию. Это удобно, если нужно получать несколько отчетов (время дня, день недели и т. д.). Для изменения пути или имени файла на вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) в разделе Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное имя в поле File name (Имя файла) и нажмите на Open (Открыть).
Примечание. Если вы оставите поле имени файла пустым, то система Windows XP Professional по умолчанию назовет файл журнала pfirewall.log.
Просматривать журнал регистраций ICF так же несложно, как и выполнять другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в области Log file options(Параметры файла журнала) в разделе Name (Имя) щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под определенным именем, то он называется pfirewall.log. Щелкните на нем правой кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания.
Изменение размера журнала icf
Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от размеров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если он занимает слишком много места на жестком диске), то войдите на вкладку Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию размер журнала составляет 4 Мб, а максимальный размер - 32 Мб.
Примечание. Если журнал (например, используемый по умолчанию) будет заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д.
Шаблоны безопасности
Используя оснастку Security Templates (Шаблоны безопасности), вы можете создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional.
Создание шаблона
Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.
Откройте ММС.
В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку) и затем щелкните на Add (Добавить).
В списке Available Standalone Snap-ins (Доступные изолированные оснастки) выберите Security Templates (Шаблоны безопасности).
Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
Нажмите ОК. Оснастка Security Templates показана на рис. 9.5.
В правом окне щелкните на значке '+', чтобы развернуть Security Templates (Шаблоны безопасности).
Разверните C:\Windows\security\templates (С: - это обозначение диска, на котором хранится система Windows).
Для создания шаблона щелкните дважды на Security Templates, правой кнопкой мыши щелкните на папке шаблонов по умолчанию и затем щелкните на New Template (Новый шаблон).
Таким образом вы создадите пустой шаблон, в который можно внести все, относящееся к политике безопасности организации. Для сохранения шаблона откройте меню File (Файл) и щелкните на Save As (Сохранить как).
Рис. 9.5. Оснастка Security Templates (Шаблоны безопасности)
Редактирование существующих шаблонов
Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого шаблона дважды щелкните на нем в левом окне оснастки Security Templates (Шаблоны безопасности).
Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд вашей организации.
Существует четыре основных типа шаблонов:
основной;
безопасный;
высокой степени безопасности;
смешанный.
Эти шаблоны представляют диапазон средств безопасности, начиная со стандартных (Basic) и заканчивая средствами повышенной безопасности (High Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких опций как Terminal Services (Службы терминалов) и Certificate Services (Службы сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.
Basicsv Устанавливает базовый уровень безопасности для сервера печати и файлового сервера.
Securews Устанавливает средний уровень безопасности для рабочих станций.
Hisecdc Устанавливает самый высокий уровень безопасности для контроллеров доменов.
Ocfiless Устанавливает политику безопасности файловых серверов.
Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл сохранить его под новым именем, чтобы старый шаблон не был переписан.
Применение шаблонов безопасности
Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь созданного или отредактированного шаблона проделайте следующее.
В оснастке Group Policy (Групповая политика) щелкните дважды на Computer Configuration (Конфигурация компьютера) и разверните Windows Settings (Конфигурация Windows).
Щелкните правой кнопкой мыши на Security Settings (Параметры безопасности) и затем щелкните на Import Policy (Импорт политики) (рис. 9.6).
Выберите шаблон, которым вы хотите воспользоваться.
Нажмите на ОК.
Аудит безопасности
Так как компьютерные сети постоянно конфигурируются, реконфигурируются и настраиваются, то может случиться так, что уже существующие рабочие настройки безопасности не будут работать корректно после изменений, внесенных в сеть. Чтобы держать под контролем систему обеспечения безопасности сети, полезно использовать инструменты проверки (аудита) безопасности, предоставляемые Windows XP Professional. К таким инструментам относятся:
Event Viewer (Просмотр событий) (рассмотрен в "Инструменты и методики решения проблем, возникающих в компьютерных соединениях" );
Audit policies (Политики аудита);
оснастка Security Configuration and Analysis (Анализ и настройка безопасности).
Рис. 9.6. Применение шаблонов безопасности
Проверка проводится посредством оснастки групповой политики ММС. Вы можете увидеть различные элементы, проверка которых возможна в Windows XP Professional, открыв папку Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy в оснастке Group Policy.
Что можно проверить
Ввод учетной записи регистрируется всякий раз, когда пользователь пытается войти в сеть. Регистрируются как удачные, так и неудачные попытки. Неудачные попытки впоследствии делятся на те, для которых учетная запись устарела, пользователь пытался войти локально, был введен неправильный пароль или другие случаи. Можно проверить следующие элементы.
Управление учетной записью. Регистрируется всякое управление учетной записью.
События ввода. Регистрируются все события, связанные с вводом данных в сети.
Доступ к объекту. Регистрируются все попытки доступа к конкретному объекту (папке, принтеру).
Изменения политики. Регистрируется всякое успешное изменение политики сети. Полезно, если вы хотите переустановить политику до определенного состояния и нуждаетесь в справочном материале.
Использование привилегий. Регистрируются попытки воспользоваться специальными привилегиями. Регистрационная запись делается как для удачной, так и для неудачной попытки.
Отслеживание процесса. Регистрируются процессы, запускаемые пользователем. Эта функция используется для мониторинга приложений, запускаемых пользователем в течение дня.
События системы. Регистрируются события, происходящие в системе, например перезапуск системы.
Перед тем как заняться аудитом, следует составить четкий план, включающий в себя все, что нужно проверять, и то, как использовать эту информацию для позитивных изменений. Аудит в значительной степени расходует ресурсы системы - надо точно знать, что проверять, чтобы не переборщить.
Например, если в сети наблюдаются проблемы с выполнением, то начать следует с отслеживания процессов. Сравнив регистрационную запись об отслеживании процессов с общей работой системы, вы сможете определить, отвечают ли конкретные приложения за замедление работы сети. Если вы обнаруживаете избыточный расход тонера (краски для принтера), то аудит доступа к объектам поможет определить, кто из работников использует принтер и для каких целей. Вы сможете решить, нужно ли ограничить разрешение на доступ к принтеру некоторым пользователям.
Включение
Для включения аудита проделайте следующие шаги.
Щелкните правой кнопкой мыши на объекте, который вы хотите проверить, и затем щелкните на Properties (Свойства).
На вкладке Security (Безопасность) нажмите кнопку Properties.
Появятся расширенные настройки безопасности для страницы Shared Documents (Общие документы). Щелкните на вкладке Auditing (Аудит) (рис. 9.7).
Щелкните на кнопке Add (Добавить). Появится список пользователей и групп. Выберите пользователя или группу, чьи действия вы хотите проверять.
Можете выбрать несколько пользователей или групп. Для каждого из них решите, что нужно отслеживать: успешные действия, неудачные или оба вида (см. рис. 9.8).
Выберите, будет ли аудит проводиться только в отношении этого объекта, или будет включать в себя и дочерние объекты. Например, если выбрана папка Documents, в которой содержатся подкаталоги Administration Documents и Accounting Documents, и требуется мониторинг их использования, выберите опцию применения аудита к объектам и/или контейнерам внутри этого контейнера (Apply auditing entries to objects and/or containers within this container only).
Выполните все настройки для мониторинга выбранных пользователей, компьютеров или групп и нажмите на ОК.
Рис. 9.7. Аудит папки в Windows XP Professional
Рис. 9.8. Выбор объектов для мониторинга
Откройте оснастку Group Policy (Групповая политика) ММС. Перейдите в Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Щелкните дважды на Audit objects access (Аудит доступа к объектам).
Отметьте или очистите флажки "successful" (успех) или "failed" (неудача) в соответствии с требованиями проверки.
Нажмите на ОК.
Аудит может интенсивно поглощать время и ресурсы. Однако, решив, какие именно свойства следует проверить, и составив четкий план их анализа, вы сможете убедиться в том, что безопасность системы настроена должным образом.
Оснастка Security Configuration and Analysis (Анализ и настройка безопасности)
Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) ММС является хорошим инструментом для анализа текущих настроек безопасности и сравнения их с базовым шаблоном безопасности. Учитывая, что в системе Windows XP Professional имеется огромное количество настроек безопасности, отслеживать каждую из них представляется достаточно сложной задачей. Анализ же позволяет обнаруживать дыры в системе безопасности, тестировать влияние множественного изменения настроек безопасности в системе без реализации этого изменения и обнаруживать любые отклонения в политике безопасности, существующей в сети.
Например, если вы создали шаблон безопасности и хотите сравнить его (то есть идеальные настройки безопасности) с текущими настройками безопасности системы, воспользуйтесь инструментом Security Configuration and Analysis. Если ваш шаблон безопасности окажется более строгим, чем текущий, то инструмент укажет те области, которые следует укрепить, чтобы они соответствовали новым настройкам. Более того, инструмент сообщит, что произойдет с системой в случае реализации этих новых настроек.
Для запуска инструмента Security Configuration and Analysis проделайте следующее.
Введите в командную строку MMC/s.
В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку).
Щелкните на Add (Добавить).
В Available Standalone Snap-ins (Доступные изолированные оснастки) найдите Security Configuration and Analysis (Анализ и настройка безопасности) и сделайте двойной щелчок.
Нажмите на Close (Закрыть), затем на ОК.
Теперь инструмент Security Configuration and Analysis доступен вам (рис. 9.9), но еще предстоит его сконфигурировать.
Рис. 9.9. Инструмент Security Configuration and Analysis (Анализ и настройка безопасности)
Создание базы данных
Работа инструмента Security Configuration and Analysis (Анализ и настройка безопасности) основана на использовании базы данных. Вам надо ее создать. Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую локальной базой данных политики компьютера.
Изначально база данных создается во время инсталляции Windows XP Professional. В ней содержатся конфигурации безопасности системы по умолчанию. При необходимости можно сразу же после инсталляции экспортировать эту базу данных и держать ее всегда под рукой на случай восстановления первоначальных настроек.
База данных определяет локальную политику безопасности компьютера, работающего при той конфигурации, которая определена требованиями политики безопасности. Однако политика безопасности может оказаться недостаточной для определения всей конфигурации в целом. Например, у вас может не оказаться предписаний безопасности для определенных папок или файлов. Запустив Security Configuration and Analysis, вы сможете найти такого рода ошибки.
Можно создать столько баз данных безопасности, сколько нужно. Для создания базы данных конфигураций безопасности проделайте следующее.
В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
Щелкните на Open Database (Открыть базу данных).
В диалоговом окне Name (Имя) введите имя, которое вы хотите дать новой базе данных, и щелкните на Open (Открыть).
Выберите имеющийся шаблон безопасности для импорта в базу данных.
Щелкните на Open.
Анализ базы данных
Для анализа конфигураций базы данных проделайте следующие шаги.
В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
Щелкните на Analyze Computer Now (Анализ компьютера).
В появившемся диалоговом окне Error log file path (Путь к файлу журнала ошибок) введите место, в котором будут сохранены результаты анализа, например, c:\logs\securitylog.log.
Щелкните на Open (Открыть) и затем нажмите ОК. По мере проверки инструментом настроек безопасности компьютера в окне состояния будет отображаться процесс выполнения задания
После того как задание будет выполнено, просмотрите результаты анализа:
В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
Щелкните на View (Просмотр) и затем щелкните на Customize (Настроить).
Выберите описание для отображения базы данных, над которой вы работаете, и щелкните ОК.
В левом окне щелкните на Security Configuration and Analysis.
В правом окне щелкните дважды на любой записи для получения подробного объяснения (см. рис. 9.10).
Здесь представлены результаты анализа конфигурации следующих областей.
Account policies (Политика учетной записи). Показывает пароль, блокировку учетной записи и политику аутентификации, соответствующую протоколу Kerberos (в системе Windows 2000 только контроллеры доменов)
Event log (Журнал событий). Показывает методы аудита, включая доступ к объекту, изменение пароля и операции входа/выхода в систему.
Рис. 9.10. Исследование результатов анализа
Local policies (Локальная политика). Показывает методы аудита назначения прав пользователей и опции безопасности компьютера.
Restricted groups (Группы с ограниченным доступом). Показывает членство для групп, определенных как секретные.
Object trees (Объектные деревья). Как и Windows 2000, контроллер доменов показывает объекты каталогов, журнал подключей и записей, а также локальную файловую систему.
Другие записи включают в себя сервисы системы, журнал и файловую систему. Проанализировав свою систему безопасности, возможно, вы захотите внести изменения в ее настройки. Если вы считаете настройку актуальной, то отметьте флажок Define this policy (Определить следующую политику в базе данных) во время исследования системы безопасности. Если очистить флажок, то данная политика будет удалена из конфигурации.
В будущем для использования различных видов конфигурации и анализа просто щелкните на элементе управления Еdit Security Settings (Изменить параметры безопасности), чтобы изменить текущее определение безопасности, содержащееся в базе данных.
Обеспечение безопасности серверов
Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов по обеспечению безопасности сервера (Windows NT, 2000 или .NET) во время постройки и конфигурирования Windows XP Professional сети. Так же следует обдуманно настраивать соединения сервера с Windows XP Professional-клиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика, аутентификация и списки управления доступом.
IPSec
Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.
Конфиденциальность. Отдельные лица не могут перехватывать и читать сообщения.
Аутентификация. Отправители сообщений действительно являются теми, кем себя объявляют.
Целостность. Сообщения гарантированно не могут быть фальсифицированными при передаче.
Защита. Блокируя определенные порты или протоколы, IPSec защищает от возможных отказов от обслуживания (denial of service, DoS).
Как работает протокол ipSec
На рис. 9.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.
Хост А пытается передать данные. IPSec-драйвер хоста А связывается с IPSec-драйвером хоста В для установления ассоциированной безопасности (SA) , о которой пойдет речь в следующем разделе.
Два компьютера производят обмен секретными ключами проверки подлинности, создавая секретные ключи совместного пользования.
Используя методику безопасности, согласованную в SA, хост А подписывает и шифрует пакеты, предназначенные для хоста В.
Хост В получает пакеты, и драйвер IPSec проверяет подпись и ключ пакетов. После аутентификации данные передаются по стеку в хост В.
Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов расходуются дополнительные циклы работы процессора.
Согласование протоколов ipSec
На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IP-политики. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.
Рис. 9.11. Для обмена информацией два хоста устанавливают связь посредством протокола IPSec
SA является контрактом, заключаемым между двумя компьютерами до начала обмена данными. В этом соглашении определены следующие особенности обмена данными.
Протокол IPSec. Заголовок аутентификации, инкапсулированная полезная нагрузка.
Алгоритм целостности. Message Digest 5, алгоритм безопасного хэширования.
Алгоритм шифрования. Data Encryption Standard (DES), Triple DES, 40-битное DES или никакого.
Установка ipSec-политики
По умолчанию Windows XP Professional предоставляет три вида заранее определенной политики безопасности, которые подходят для большинства случаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.
Client (Работает только в режиме отклика). Компьютеру дается указание использовать протокол IPSec, если другой компьютер запрашивает его. IPSec не требуется при установке связи с другим компьютером. Эта политика лучше всего подходит для компьютеров, в которых находится очень мало или отсутствуют секретные данные.
Server (Защита желательна). Эта политика предназначена для серверов, которые должны по мере возможности использовать протокол IPSec, но не отменяют сеанс связи, если клиент не поддерживает IPSec. При необходимости тотальной безопасности должна применяться политика Secure Server, описанная ниже. Политика Server применяется в таком окружении, где не каждый клиент может использовать IPSec. Например, во время миграции из системы Windows NT.
Secure Server (Защита обязательна). Эта политика подходит для серверов, содержащих секретные данные. Она требует использования IPSec всеми клиентами. Все исходящие соединения безопасны, а все небезопасные запросы клиентов получают отказ.
Выбор правильной политики основывается на тщательной оценке данных. Необдуманное предписание самого высокого уровня безопасности для всех пользователей и серверов создаст огромную и ненужную нагрузку на серверах и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает широкий доступ для потока небезопасной информации.
Создание и применение ipSec-политики
Консоль Microsoft Management Console (MMC) используется для создания и конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку IPSec Policy Management (рис. 9.12).
Рис. 9.12. Оснастка IPSec Policy Management
Примечание. Добавление IPSec в ММС происходит аналогично добавлению других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP Security Policy Management.
После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:
этот компьютер;
контроллер домена Active Directory, членом которого является этот компьютер;
другой домен Active Directory;
другой компьютер.
Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так, как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке IPSec в левом окне с последующим выбором Create IP Security Policy (Создать политику безопасности IP).
При запуске мастер запросит следующую информацию.
Имя и описание политики.
Будет ли политика отвечать на запросы по установке безопасных соединений.
Метод аутентификации (Kerberos, сертификат или общий секретный ключ).
Фрагмент готовой IPSec-политики показан на рис. 9.13.
Можно также регулировать настройки, относящиеся к работе с ключами и к ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной характеристики. Как показано на рис. 9.14, эта специфическая деталь IPSec указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих видов.
Можно импортировать другие доступные методы обеспечения безопасности по мере их появления, чтобы не привязываться к устаревшей технологии. После внесения изменений политика будет добавлена к списку политик безопасности по умолчанию, так что вы всегда сможете воспользоваться ей или модифицировать ее позже.
Дальше IPSec-политика может быть присвоена групповой политике (Group Policy). Здесь она будет применяться ко всем компьютерам, которые являются членами группы, и ко всем пользователям. В отличие от других видов политики, локальная политика безопасности имеет приоритет над политиками, стоящими выше с иерархической точки зрения. Например, локальная IPSec-политика организационной единицы аннулирует политику, присвоенную домену.
Рис. 9.13. Конфигурирование IPSec-политики в ММС
Рис. 9.14. Редактирование правил IPSec
Вход в систему
Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.
Типы процессов входа в систему
При использовании Windows 2000 в качестве операционной системы сервера, Windows XP Professional использует четыре типа процессов входа.
Интерактивный. Используется при входе пользователя на локальный компьютер.
Сетевой. Используется при входе пользователя в сеть. Локальный администратор безопасности (Local Security Authority, LSA) клиентской рабочей станции предпринимает попытку авторизации с помощью аутентификационных данных входа в систему.
Сервисный. Сервисы на базе Win32 загружаются на локальный компьютер, используя данные удостоверения личности из учетной записи пользователя локальной сети (или домена) или учетной записи LocalSystem. При использовании учетной записи LocalSystem (в Windows 2000 Server) сервис будет иметь свободный доступ к Active Directory. С другой стороны, если сервис использует привилегии безопасности учетной записи пользователя, то у него не будет доступа к сетевым ресурсам.
Пакетный. Этот тип входа в систему редко используется в Windows-окружении и применяется, в основном, для крупных пакетов заданий.
При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.
Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com.
Интерактивный вход
Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит "за кулисами". В процессе входа задействованы следующие компоненты.
Winlogon. Процесс, отвечающий за проведение операций входа и выхода, а также за начало сессии пользователя.
Graphical Identification and Authentication (GINA). Файл динамической библиотеки (DLL), вызываемый Winlogon и содержащий имя пользователя и пароль. Представлен в виде диалогового окна, появляющегося при входе в систему.
Local Security Authoruty (LSA). Объект на локальном устройстве, который проверяет имя пользователя и пароль при аутентификации.
Security Account Manager (SAM). Объект, который ведет базу данных имен пользователей и паролей. SAM находится как на локальных компьютерах, так и на контроллерах доменов.
Net Logon Service. Эта служба используется наравне с NTLM (будет обсуждаться далее в лекции) для отправки запросов к SAM контроллера домена.
Kerberos Key Distribution Center (KDS) service. Эта служба применяется при аутентификации для доступа к Active Directory.
Запуск от имени
Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.
К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As.
Запуск от имени позволяет запускать:
программы;
ярлыки программ;
ММС;
элементы Панели управления.
Для запуска Run As проделайте следующие шаги.
Определите место расположения элемента, который вы хотите открыть, в Windows Explorer, и затем щелкните на нем.
Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите Run As (Запуск от имени).
В открывшемся диалоговом окне (рис. 9.15) щелкните на кнопке The following user (Учетная запись указанного пользователя).
Рис. 9.15. Диалоговое окно Run As (Запуск от имени)
Введите свое имя пользователя и пароль или учетную запись, которую вы хотите использовать для доступа к элементу.
В окне Domain (Домен) выполните одно из действий:
введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
введите имя своего домена для использования данных удостоверения личности администратора домена.
Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.
Протоколы
Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.
Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности.
Kerberos
Мы уже упоминали Kerberos ранее. Но в связи с его важностью для Windows 2000 доменов (и их взаимодействия с Windows XP Professional) он заслуживает более подробного рассмотрения. Kerberos - это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.
Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1999 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:
быструю аутентификацию при входе в компьютерную сеть со множеством компонентов;
взаимодействие с не-Windows системами, использующими протокол Kerberos;
сквозную аутентификацию для распределенных приложений;
транзитивные доверительные отношения между доменами.
Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей - KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.
Примечание. Вход с систему в соответствии с протоколом Kerberos описан в "Введение в Windows XP Professional для работы в сети" .
NTLM
Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.
Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.
Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.
Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Это называется SAS (Secure Attention Sequence).
Далее Winlogon вызывает библиотеку GINA.DLL - появляется диалоговое окно входа.
После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.
Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.
Если учетная запись пользователя хранится на локальном компьютере, то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой вход в систему (Net Logon) для проверки SAM на Windows NT-контроллере домена.
Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь. Эта информация используется локальным администратором безопасности (LSA) для создания маркера доступа, который включает в себя идентификатор защиты пользователя.
Сеанс работы пользователя начинается после получения службой Winlogon этого маркера.
Аутентификация
Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.
Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.
Учетная запись пользователя
Каждый пользователь в сети имеет свою учетную запись. Учетные записи могут создаваться локально или как часть домена. Если у пользователя имеется локальная учетная запись, то он не может получить доступ к сетевым ресурсам (если в сети нет разрешенного анонимного доступа). Если у пользователя есть учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.
При инсталляции Windows XP Professional создаются две учетные записи пользователя.
Администратор. Позволяет конфигурировать и управлять системой. После окончания инсталляции и конфигурирования Windows XP Professional эта учетная запись нужна только для выполнения отдельных административных задач.
Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной работы учетной записи пользователя.
Гость. Позволяет пользователям входить в компьютер без отдельной учетной записи для каждого пользователя.
Помимо этих учетных записей, Windows XP Professional позволяет создавать еще ряд учетных записей.
Оператор архива. Члены этой группы могут выполнять операции копирования и восстановления на компьютерах, независимо от имеющихся разрешений.
Группа службы поддержки. Члены этой группы могут использовать приложения для диагностики проблем, возникающих в системе.
Операторы настройки сети. Члены этой группы могут выполнять ограниченные административные функции, такие как выдача IP-адресов.
Опытные пользователи. Члены этой группы занимают промежуточное положение между администраторами и простыми пользователями. Они могут устанавливать и модифицировать приложения, имеют права на чтение и запись и могут получать разрешения на установку локальных принтеров (с согласия администратора).
Пользователи удаленного рабочего стола. Члены этой группы имеют право доступа с удаленного компьютера.
Репликатор. Члены этой группы имеют право копировать файлы домена.
Пользователи. Члены этой группы имеют ограниченное право доступа к системе и могут получать права на чтение и запись только в индивидуальном порядке.
Если для локального компьютера нужен определенный тип учетной записи, то администратор должен войти в систему и создать эту учетную запись. Никто, кроме него, не имеет права создавать учетные записи.
Для создания, управления и удаления учетной записи проделайте следующие шаги.
Выберите Start\Control Panel (Пуск\Панель управления).
Щелкните на User Accounts (Учетные записи пользователей). Появится окно, показанное на рис. 9.16.
Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.
Управление паролем
Работники приходят и уходят (некоторым даже предлагается это сделать). Поэтому Windows XP Professional обеспечивает возможность управления паролями служащих вашей организации. Есть два способа управления паролями.
Рис. 9.16. Управление учетными записями пользователей
User Accounts (Учетные записи пользователей). Расположенная в панели управления, эта опция используется, если компьютер не является частью домена, и паролями надо управлять локально.
Local Users and Groups (Локальные пользователи и группы). Эта оснастка ММС используется, если компьютер является частью домена и надо управлять паролями на нескольких компьютерах.
Задачи, связанные с паролем
Для изменения пароля пользователя проделайте следующие шаги.
Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните дважды на User Accounts (Учетные записи пользователя).
В появившемся диалоговом окне (рис. 9.17) щелкните на имени пользователя и затем щелкните на Change Password (Смена пароля).
Впишите новый пароль два раза в диалоговом окне Reset Password (Смена пароля).
Вы можете ввести подсказки для пароля, если считаете, что это поможет пользователю вспомнить забытый пароль.
Windows XP Professional позволяет устанавливать определенные правила для управления паролями. Например, можно заставить пользователя изменять свой пароль при каждом входе в систему, отключить учетную запись и т. д. Для установки правил проделайте следующее.
Рис. 9.17. Изменение пароля пользователя
Откройте ММС и добавьте оснастку Local Users and Groups (Локальные пользователи и группы).
Щелкните дважды на папке Users (Пользователи).
Щелкните правой кнопкой мыши на имени пользователя, учетной записью которого вы собираетесь управлять, и затем выберите Properties (Свойства).
На странице свойств (рис. 9.18) можно установить следующие правила:
User must change password at next logon (Пользователь должен сменить пароль при следующем входе);
User cannot change password (Пользователь не может менять пароль).
Password never expires (Время действия пароля не ограничено);
Account is disabled (Учетная запись отключена);
Account is locked out (Учетная запись заблокирована).
Примечание.Установить более сложные правила для использования пароля можно с помощью оснастки Group Policy (Групповая политика): установить минимальную длину пароля или определить время смены пароля. Групповая политика будет обсуждаться в одном из следующих разделов этой лекции.
Рис. 9.18. Управление правилами пароля
Сохранение имен пользователей и паролей. Исходя из сложности и конфигурации сети, вы можете не захотеть, чтобы пользователь применял одни и те же реквизиты для доступа к различным ресурсам. Например, пользователь будет иметь доступ на уровне опытного пользователя для сети, но только уровень обычного пользователя для доступа к серверу. В любом случае Windows XP Professional будет отслеживать реквизиты пользователя с помощью опции Stored User Names and Passwords (Сохранение имен пользователей и паролей), находящейся в панели управления.
Примечание. Возможности сохранения имен пользователей и паролей не ограничиваются только именами пользователей и паролями. Также можно отслеживать сертификаты безопасности, смарт-карты и мандаты Passport.
Если пользователь пытается получить доступ к сетевому ресурсу, защищенному паролем, то будут использованы его реквизиты входа. Если эти реквизиты окажутся недостаточными, то будет послан запрос в файл Stored User Names and Passwords (Сохранение имен пользователей и паролей). Если реквизиты пользователя окажутся на месте, то пользователь получит доступ к ресурсу. Если реквизитов на месте не окажется, то пользователю порекомендуют ввести корректные реквизиты, которые будут сохранены для использования в будущем.
При создании нового имени пользователя и пароля для доступа к защищенному паролем ресурсу сети проделайте следующие шаги.
Выберите Start\Control Panel (Пуск\Панель управления) и дважды щелкните на User Accounts (Учетные записи пользователей).
Если вы являетесь частью домена, щелкните на вкладке Advanced (Дополнительно) и затем щелкните на Manage Passwords (Управление паролями). На компьютерах, не являющихся часть домена, надо щелкнуть на значке, аналогичном учетной записи, и затем в области Related Tasks нажать на Manage your stored passwords (Управление сохраненными паролями).
Щелкните на Add (Добавить).
Введите необходимую информацию.
Восстановление паролей. Если вы когда-нибудь забывали свой пароль, то вам знакомо ощущение тревоги и неудобства, связанное с его восстановлением. Для решения этой проблемы Windows XP Professional включает в себя мастер сброса пароля (Password Reset Wizard), который позволяет создавать запасную дискету для восстановления пароля.
Примечание. Мастер сброса пароля работает только на локальном компьютере. Программу нельзя использовать для сетевых учетных записей. Более того, на дискете на самом деле нет пароля, а вместо этого она содержит пару секретных ключей - общий и личный. Так как ваш пароль не хранится на дискете, то нет необходимости создавать новую запасную дискету всякий раз при смене пароля.
Для создания запасной дискеты проделайте следующие шаги.
Выберите Start\Control Panel (Пуск\Панель управления).
Выберите User Accounts (Учетные записи пользователей) и в списке выберите свою учетную запись.
В окне Related Tasks (Связанные задачи) щелкните на Prevent a forgotten password. Этим приводится в действие мастер сброса пароля.
Щелкните на Next (Далее).
Вставьте дискету в дисковод.
В поле Current User Account Password (Пароль текущей учетной записи) введите свой пароль и нажмите Next (Далее).
Когда индикатор выполнения задания покажет, что задание выполнено, нажмите на Finish (Готово) и уберите дискету в безопасное место.
Примечание. Лучше не снабжать дискету наклейкой с надписью "Запасная копия пароля".
Теперь при вводе неверного пароля система Windows XP Professional будет запрашивать дискету с запасной копией. Мастер задаст вопрос, в каком дисководе находится запасная дискета, и попросит ввести новый пароль.
Групповая безопасность
Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на группы, состоящие из руководителей высшего звена, среднего звена и простых служащих. Такая структура будет полезна, если вы хотите дать (или отобрать) разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер, но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все служащие компании будут пользоваться принтером. Более того, надо выдать всего два разрешения (по одному каждой группе пользователей), а не возиться целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.
Группы безопасности могут быть любого размера. Они включают от одного компьютера или пользователя до всего домена или леса. Все группы безопасности системы Windows XP Professional подпадают под одну из следующих категорий.
Локальные группы компьютера. Эти группы определены только в рамках работы локального компьютера и не фигурируют нигде внутри домена.
Локальные группы домена. Разрешения выдаются только устройствам, являющимся частями домена.
Глобальные группы. Используются в рамках домена для объединения учетных записей пользователей, которым необходим доступ, на основании их работы внутри организации.
Универсальные группы. Группы этой категории применяются в многодоменной сети для объединения пользователей, которым необходим доступ к сетевым ресурсам на основании их работы в данной организации.
Встроенные принципы безопасности применяются к любой учетной записи, которая использует компьютер определенным образом, по сути, не являясь группой безопасности, но подчиняясь тем же правилам. Например, встроенные принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.
В основном группы определяются на основании того, в какой части сети они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.
Whoami
Нет, Whoami - это не группа мирового класса по брэйк-дансу начала 1980-х. Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.
Whoami находится на диске с Windows XP Professional в каталоге Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду с именем текущего пользователя и компьютера, в системе которого работает Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.
Для инсталляции Whoami щелкните дважды на инструменте SETUP.EXE в каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (Support Tools Setup Wizard) для завершения инсталляции Whoami.
Для запуска Whoami в окне команд введите whoami.
Ниже перечислены опции команды Whoami для получения необходимых результатов:
/all Показывает всю информацию текущего маркера доступа.
/user Показывает информацию о пользователе, связанном с текущим маркером доступа.
/groups Показывает группы, связанные с текущим маркером доступа.
/priv Показывает привилегии, связанные с текущим маркером доступа.
/logonid Показывает ID входа в систему, используемый в текущей сессии.
/sid Показывает SID, связанный с текущей сессией. Этот аргумент должен добавляться в конце опций /USER, /GROUPS, /PRIV, /LOGONID.
Далее следуют два примера применения Whoami.
C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv
[User] = "GEONOSIS\Robert Elsenpeter"
(X) SeChangeNotifyPrivilege = Bypass traverse checking
(O) SeSecurityPrivilege = Manage auditing and security log
(O) SeBackupPrivilege = Back up files and directories
(O) SeRestorePrivilege = Restore files and directories
(O) SeSystemtimePrivilege = Change the system time
(O) SeShutdownPrivilege = Shut down the system
(O) SeRemoteShutdownPrivilege = Force shutdown from a remote system
(O) SeTakeOwnershipPrivilege = Take ownership of files or other objects
(O) SeDebugPrivilege = Debug programs
(O) SeSystemEnvironmentPrivilege = Modify firmware environment values
(O) SeSystemProfilePrivilege = Profile system performance
(O) SeProfileSingleProcessPrivilege = Profile single process
(O) SeIncreaseBasePriorityPrivilege = Increase scheduling priority
(X) SeLoadDriverPrivilege = Load and unload device drivers
(O) SeCreatePagefilePrivilege = Create a pagefile
(O) SeIncreaseQuotaPrivilege = Adjust memory quotas for a process
(X) SeUndockPrivilege = Remove computer from docking station
(O) SeManageVolumePrivilege = Perform volume maintenance tasks
Для вывода SID используйте параметры /user и /sid вместе:
C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid
[User] = "GEONOSIS\Robert Elsenpeter" S-1-5-21-606747145-113007714-17085377
68-1003
Листинг 9.1.
Списки контроля доступа
В последнем разделе мы поверхностно рассмотрели учетные записи пользователей и управление ими с помощью групп. Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют списки контроля доступа (ACL).
В Windows XP Professional имеется два вида ACL.
Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ.
System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа.
Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.
Просмотр
Для просмотра ACL щелкните правой кнопкой мыши на значке объекта (папки, принтера и т. д.) и выберите Properties (Свойства). Щелкните на вкладке Security (Безопасность) - и увидите группы и пользователей, имеющих доступ к этому объекту, а также перечень разрешений, выданных этой группе.
Примечание. Компьютеры с системой Windows XP Professional, как отдельные, так и в составе рабочей группы, не смогут увидеть вкладку Security (Безопасность), если работают в режиме простого обмена информацией. Для отключения Simple Sharing откройте My Computer (Мой компьютер). В меню Tools (Параметры) щелкните на Folder Options (Свойства папок). Затем щелкните на вкладке View (Просмотр) и очистите флажок Use simple file sharing (Использовать простой обмен файлами).
На вкладке Security (Безопасность) расположены два окна.
Group or user names (Группы или пользователи). В этом окне перечислены группы и пользователи, которые имеют необходимые разрешения для доступа к данному объекту.
Permissions (Разрешения). В этом окне перечислены разрешения, выданные или запрещенные для пользователя или группы, выбранных в окне Group or user names (Группы или пользователи).
Примечание. Только пользователи, имеющие разрешения доступа к определенному объекту, могут просматривать ACL данного объекта.
Кнопки Add (Добавить) и Remove (Удалить) выполняют те действия, на которые указывают их названия, а именно добавление или удаление пользователей или группы из списка.
Расширенные настройки
Щелкнув на кнопке Advanced (Дополнительно), можно изучить детали настроек определенного пользователя или группы. На странице Advanced Security Settings (Дополнительные параметры безопасности) можно установить большее количество расширенных свойств выдачи разрешений:
выдача специальных разрешений пользователю или группе;
создание наследуемых возможностей доступа для дочерних объектов данного объекта;
отслеживание попыток доступа к объекту;
управление правами собственности на информацию данного объекта.
При своем появлении страница Advanced Security Settings автоматически выводит на экран вкладку Permissions (Разрешения). На ней показаны разрешения, которые были установлены в явном виде для данного объекта. Другая вкладка с разрешениями, называемая Effective Permissions (Действующие разрешения), позволяет просматривать все разрешения, которые применяются к пользователю или группе в отношении данного объекта, включая разрешения, являющиеся частью разрешений определенной группы или установленные для определенного пользователя.
Групповая политика
Одним из наиболее сильных инструментов администрирования в Windows XP Professional является Group Policy (Групповая политика). Разумное использование этого инструмента может уменьшить TCO (Total Cost of Ownership - полная стоимость владения) посредством блокировки системы пользователя и снижения вероятности взлома ее каким-нибудь пользователем. Group Policy является оснасткой ММС и может применяться практически к любому объекту. Вы могли бы создать и применить групповую политику к домену, подразделению и группе внутри подразделения. Применение политики иерархически распространяется по всему дереву домена. Следовательно, если политика на более высоких уровнях дерева конфликтует с политикой нижележащих уровней, то по умолчанию приоритет остается за политикой верхних уровней.
Примечание. В целом Group Policy используется для доменов Active Directory. Для применения групповой политики на своем локальном компьютере вы должны использовать инструмент Local Group Policy (Локальная групповая политика). Вы применяете эту политику примерно так же, как и групповую политику. Однако при подключении оснастки Group Policy задается вопрос, каким компьютером вы намерены управлять - следует выбрать Local Computer (Локальный компьютер).
Оснастка
Оснастка Group Policy (Групповая политика) (рис. 9.19) включает в себя две основные группы: Computer Configuration (Настройка компьютера) и User Configuration (Конфигурация пользователя). Они соответствуют System Policy Editor (Редактор системной политики) и User Policies (Политики пользователей). Каждая из этих групп содержит в себе еще три подгруппы.
Software Settings (Настройки программ). Инсталлирует программы на определенные компьютеры или пользовательские системы.
Windows Settings (Настройки Windows). Устанавливает настройки системы безопасности и запускает сценарии при включении и выключении компьютера.
Administrative Templates (Административные шаблоны). Контролирует вид и поведение системы Windows и приложений.
После выбора политики, требующей изменения, щелкните правой кнопкой мыши на ней и выберите Properties (Свойства). Вы можете подключить или отключить политику. Допустим, мы подключили меню Remove Documents (Удалить меню (Документы)) из главного меню. Теперь ни один пользователь во всем домене не будет видеть элемент Documents (Документы) в своем меню Start (Пуск).
Управление группами
В организации с тысячами работников не представляется возможным отдельно управлять каждой учетной записью пользователя. Именно здесь полезны и необходимы группы. Вы можете присваивать атрибуты широкому диапазону пользователей двумя щелчками мыши.
Рис. 9.19. Оснастка Group Policy (Групповые политики)
Создание группы. Первым шагом является создание OU (Organizational Unit - организационная единица). Это можно сделать на Windows 2000 или .NET сервере или с помощью пакета инструментов Windows .NET Server Administration Tools Pack (см. гл. 6 и приложение). OU являются основными строительными блоками Active Directory. Откройте инструмент Active Directory Users and Computers (Active Directory - пользователи и компьютеры), выбрав Start\Administrative Tools\ Active Directory Users and Computers (Пуск\Администрирование\Active Directory - пользователи и компьютеры). Выберите домен, в котором вы хотите разместить OU. Выберите Action\New\Organizational Unit (Действие\Создать\Подразделение). Введите имя для новой организационной единицы и нажмите на ОК.
Для добавления пользователя во вновь созданную OU вернитесь к оснастке Active Directory Users and Computers и выберите OU, куда необходимо поместить пользователя. В панели выберите Action\New\User (Действие\Создать\Пользователь).
Появится окно New Object-User (Новый объект - пользователь), в котором следует ввести необходимую информацию о пользователе и затем щелкнуть на Next (Далее). Вас попросят ввести пароль пользователя, который может быть изменен при следующем входе пользователя в систему.
Добавление новой группы в OU происходит аналогичным образом. Снова воспользуйтесь оснасткой Аctive Directory Users and Computers, выберите Action\New\Group (Действие\Создать\Группа) и введите информацию в диалоговые окна для установки группы и ее атрибутов.
Следует обратить особое внимание на то, где создается новый объект, так как новый объект можно добавить практически в любое место иерархии. Можно и даже нужно создавать OU внутри других OU. Если это то, что вы хотели сделать, а на самом деле создали новую OU внутри домена, то результат будет совершенно другой и это почувствуют все члены OU. То же самое можно сказать о пользователях и группах. Место их размещения в иерархии Active Directory имеет существенное влияние на их свойства. Например, создание нового пользователя внутри домена будет давать этому пользователю права на доступ ко всем объектам, иерархически расположенным ниже, включая все организационные единицы, являющиеся членами домена. Это существенно отличается от размещения нового пользователя в OU с весьма ограниченными правами.
Примечание. Вы легко можете перемещать пользователей, группы и OU по дереву домена, используя эту оснастку. Но помните, что простое перемещение может оказать влияние на многих пользователей.
Редактирование группы. Информация о группе редко остается неизменной со времени ее создания. Active Directory обеспечивает вас необходимыми инструментами для редактирования группы и ее атрибутов. Воспользуйтесь оснасткой Active Directory Users and Computers, щелкните правой кнопкой мыши на учетной записи пользователя или группы и выберите Properties (Свойства). Откроется окно свойств, в котором содержатся все атрибуты пользователя или группы.
Как видно на примере групповой политики, управление безопасностью в Windows XP Professional сетях может быть весьма детализированным. Вы должны осознать всю важность управления безопасностью, а также и то, что к этой задаче нельзя подходить легкомысленно.
Лекция 10. Обеспечение безопасности в файловой системе NTFS
Файловая система NTFS появилась еще в Windows NT. Но пусть ее возраст не приводит вас в замешательство. Эта файловая система обладает целым рядом качеств, которые могут обеспечить безопасную, стабильную и надежную работу жестких дисков.
NTFS обеспечивает безопасность на уровне файлов, в отличие от общей безопасности файловой системы FAT. При использовании FAT вы можете запретить или разрешить доступ из сети к части дискового пространства. А с помощью NTFS можно установить доступ к конкретным папкам и файлам. При работе с FAT любой пользователь, расположившийся за компьютером, независимо от способа его регистрации, имеет доступ ко всем вашим файлам.
NTFS является частью сетевой и Windows XP Professional-систем безопасности. В этой лекции рассматриваются методы обеспечения безопасности и использование системы NTFS в Windows XP Professional. Сначала мы рассмотрим отличительные черты NTFS, затем обсудим применение разрешений NTFS. Наконец, если NTFS - это то, что вам подходит, мы поговорим о конвертации FAT в NTFS на вашем жестком диске.
Отличительные черты ntfs
Термины FAT и NTFS являются общими названиями, каждое из которых заключает в себе несколько различных версий этих форматов. Например, существует несколько разновидностей FAT: FAT12, FAT16 и FAT32. Для простоты изложения в этом курсе мы будем их называть просто FAT. С другой стороны, существуют две версии NTFS, а именно версия 4.0 и 5.0.
В этом разделе мы поговорим об отличительных особенностях NTFS, и почему эта система лучше подходит вашей организации, чем FAT. Мы рассмотрим сжатие, шифрование, квоты, а также работу системы в целом. Но сначала давайте разберемся, в чем состоит отличие версии 4.0 файловой системы NTFS от версии 5.0.
4.0 и 5.0
Windows XP Professional предлагает самую свежую версию NTFS. В Windows NT использовалась версия 4.0 NTFS. Система Windows XP Professional пользуется версией 5.0, представленной в Windows 2000. Хотя файловые системы обеих версий приспособлены к взаимному чтению и записи, в Windows XP Professional есть ряд новых качеств, которыми Windows NT не может пользоваться при доступе к жесткому диску с NTFS 5.0.
Reparse points (Точки повторной обработки). Windows NT не может пользоваться этими точками.
Disk Quotas (Квотирование диска). Windows NT будет игнорировать квоты на дисковое пространство, установленные Windows XP Professional.
Encryption (Шифрование). Windows NT не может ни читать, ни делать запись в шифрованных файлах.
Sparse files (Разреженные файлы). Windows NT не может пользоваться разреженными файлами.
Change journal (Журнал изменений). Windows NT игнорирует журнал изменений.
Эти добавления делают NTFS v.5.0 мощным инструментом со встроенными возможностями управления, который при правильном применении сделает организацию более продуктивной и эффективной.
Сжатие
Жесткие диски компьютеров становятся все более вместительными. Это происходит потому, что цены на жесткие диски падают, а потребность в дисковом пространстве для хранения файлов растет. Что бы вы ни сохраняли, будь то приложения или мультимедийные файлы, всегда требуется дополнительное место на диске. Но вместо добавления или обновления жестких дисков Windows XP Professional предлагает механизм, который поможет использовать пространство жесткого диска самым оптимальным образом. Это - сжатие папок.
Типы сжатия Windows XP Professional
Windows XP Professional предлагает два типа сжатия папок: NTFS-сжатие и ZIP-сжатие. Выбор метода сжатия будет зависеть от цели, которую вы преследуете, применяя этот метод. Если надо заархивировать данные, то лучше всего применить zip-сжатие. С другой стороны, если файлы, которые вы постоянно используете, захватывают все большее пространство (или есть файлы, которые вы хотите сохранять на жестком диске, но редко ими пользуетесь), то следует обратиться к NTFS-компрессии. Ниже мы рассмотрим особенности этих двух видов сжатия.
ZIP. ZIP-компрессия является популярным форматом сжатия, который годами реализовывался с помощью инструмента от сторонних разработчиков. При ZIP-сжатии несколько файлов архивируются в одной большой ZIP-папке. Для выполнения компрессии или декомпрессии папки пользователь должен явно выполнить это действие. Поэтому такой тип компрессии нельзя применить незаметно. Более того, в связи с тем, что ZIP-файлы выглядят как файлы уникального типа, приложения не могут получить к ним доступ. ZIP-компрессия подходит для тех случаев, когда вы хотите переслать несколько файлов во вложении к письму и надо учитывать размер вложения, или при создании архива данных.
Примечание. ZipMagic является инструментом сторонних разработчиков, который позволяет работать с ZIP-файлами, как если бы они были системными файлами. Для получения более подробной информации о ZipMagic зайдите на http://www.ontrack.com/zipmagic.
NTFS. Сейчас нас больше интересует NTFS-сжатие. Этот вид компрессии подходит как для папок, так и для файлов, но работает только при NTFS-делении дискового пространства (еще один повод конвертировать диск в NTFS). Кроме того, NTFS-компрессия совершенно "прозрачна" (незаметна) для приложений и пользователей. Когда приложение открывает сжатый файл, то NTFS выполняет декомпрессию только той части файла, которая читается в данный момент, и копирует ее в память. Так как порция данных в памяти находится в сжатом состоянии, то работе системы ничто не мешает. Если данные нужно сохранить в файле, то компьютер должен сжать файл. В NTFS это выполняется достаточно легко. Просто включите компрессию в меню Properties (Свойства) файла или папки.
Размер сжатого файла или папки будет зависеть от типа файла. Например, при сжатии документа Word можно ожидать довольно значительного сжатия - со 120 Кб до 50 Кб. С другой стороны, при сжатии графического файла вы не достигнете такого же уровня компрессии. Изображение вашей тети Матильды, составляющее 120 Кб, после сжатия будет занимать на диске около 90 Кб.
Обращаясь к компрессии, вы также должны подумать о том, что она затронет процесс доступа к файлу (хотя и не так сильно, как об этом упоминалось ранее в связи с NTFS-сжатыми файлами). Это особенно заметно, когда сжат весь диск целиком, а не отдельный файл или папка. Компьютеру приходится выполнять задание по сжатию и декомпрессии файла, так что, если таких файлов много, то система будет загружена работой.
Тома
Если вы хотите выжать из своего жесткого диска все пространство "до последней капли", то можете подвергнуть сжатию весь том. В зависимости от величины тома, количества файлов, содержащихся в нем, и скорости компьютера процесс может занять несколько минут. По сравнению со сжатием файлов или папок выполнение этого задания занимает больше времени, потому что Windows XP Professional должна пройтись по всем папкам и изменить уровень сжатия, а затем сжать (или наоборот) каждый файл в папке.
Для сжатия полного тома проделайте следующие шаги.
Используя Windows Explorer или через меню My Computer (Мой компьютер), найдите том, который надо сжать.
Щелкните правой кнопкой мыши на томе и выберите Properties (Свойства).
На вкладке General (Общие) (рис. 10.1) отметьте (или снимите отметку, если вы хотите декомпрессировать том) флажок Compress drive to save disk space (Сжать диск для экономии места).
Нажмите на ОК.
Далее вы увидите диалоговое окно Confirm Attribute Changes (Подтверждение изменения атрибутов). Выберите либо сжатие всего тома, либо корневой папки.
Рис. 10.1. Сжатие полного тома
Файлы и папки
В зависимости от потребностей и желаний вы можете выбрать только несколько папок или файлов, которые надо компрессировать. Система NTFS позволяет сжимать отдельные папки и файлы. Для выполнения компрессии отдельных файлов и папок проделайте следующие действия.
Используя Windows Explorer или через меню My Computer (Мой компьютер), найдите файл или папку, который вы хотите компрессировать.
Щелкните правой кнопкой мыши на объекте и выберите Properties (Свойства).
На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно).
В диалоговом окне Advanced Attributes (Дополнительные атрибуты) (рис. 10.2) выберите (или очистите, если вы хотите провести декомпрессию раздела) флажок Compress contents to save disk space (Сжать содержимое для экономии места).
Рис. 10.2. Сжатие файла или папки
Щелкните на ОК.
В окне свойств щелкните на ОК.
При сжатии папки Windows XP Professional спросит, нужно ли сжать только папку или сжать папку со всеми подкаталогами и файлами. Сделайте свой выбор и нажмите на ОК.
Когда вы посмотрите на Windows Explorer, то заметите, что сжатые файлы и папки выглядят несколько иначе. Имена сжатых файлов и папок напечатаны синим шрифтом. Это служит напоминанием о том, какие папки и файлы являются сжатыми, а какие нет.
COMPACT.EXE
Как и при работе с другими инструментами Windows XP Professional, вы можете сжимать файлы и папки из командной строки. Командная строка бывает предпочтительнее, если нужно провести пакетное сжатие. Команда COMPACT записывается следующим образом:
Compact /c
COMPACT.EXE содержит несколько ключей, которые помогают модифицировать сжатие. Помимо ключа /c (который означает простое сжатие файла), вы можете воспользоваться ключом /f на случай сбоя в работе компьютера во время проведения сжатия, так как этот ключ позволяет закончить компрессию.
Более того, команда COMPACT пригодится для сжатия файла определенного типа по шаблону. Например, если требуется сжать все Adobe Acrobat файлы, то команда выглядит следующим образом:
Compact /c*.pdf
Из корневой папки вы можете сжать полный том:
Compact /c/I s:\
В данном случае ключ /I не позволяет посылать сообщения об ошибке, прерывающие процесс сжатия. Полный список ключей команды COMPACT можно получить, введя в командную строку следующее:
Compact /?
Выполнение
Компьютеры-клиенты являются подходящим местом для проведения сжатия, так как компрессия и декомпрессия должны проводиться локально. И наоборот, при размещении сжатых файлов на сервере он будет тратить дополнительное время на компрессию и декомпрессию файлов. Это вызовет перебои в работе сервера, которые распространятся по всей сети, так как пакеты не будут передаваться с положенной им скоростью.
С другой стороны, серверы, на которых размещена информация только для чтения (или файлы, которые редко требуются) будут приемлемыми кандидатами для проведения компрессии из-за их редкой посещаемости.
Квоты на дисковое пространство
В век МР3, видеоклипов и других ресурсоемких файлов хорошо иметь под рукой инструмент, ограничивающий пространство на жестком диске, предоставляемое пользователю. В системе NTFS можно устанавливать квоты для пользователей на пространство жесткого диска. Но к введению квот подталкивает не только безответственное поведение работников. Если свободное пространство на диске ограничено, квоты помогут избежать потери исключительно важных данных, которые просто могут не уместиться на заполненный до отказа диск.
В системе Windows XP Professional квотирование дискового пространства позволяет выполнять следующие действия.
Уведомлять пользователей о том, что они превысили порог выдачи предупреждения (но еще не израсходовали свою квоту).
Не допускать запись на диск после того, как пользователи исчерпали свои квоты.
Квотирование диска в Windows XP Professional работает индивидуально в отношении каждого пользователя и каждого тома. Дисковое пространство выделяется каждому пользователю, чье право собственности на файл отслеживается по его идентификатору безопасности (SID). Если пользователь переносит данные из одной папки в другую папку на том же томе, то количество пространства на жестком диске, которое занимает пользователь, не меняется. Если пользователь копирует файлы одной папки в другую в одном и том же томе, то ему придется дважды платить за эти данные, так как они существуют в двух местах одного тома.
Квоты диска "прозрачны" для пользователя. Когда он смотрит на доступное пространство диска, то видит, сколько осталось от выделенной ему части. Как и для полностью заполненного диска, после того как квота исчерпана, на диске нельзя сохранить ни одного файла. Если пользователю требуется больше пространства на жестком диске, то он может проделать следующее.
Удалить файлы.
Передать файлы в собственность другого пользователя.
Попросить администратора об увеличении квоты.
Примечание. Пользователи не могут схитрить, применяя компрессию файлов в надежде получить больше дискового пространства.
При установлении квот следует помнить о двух величинах.
Порог выдачи предупреждения. Создает точку, при прохождении которой в журнале регистрации событий делается запись о том, что пользователь превысил порог выдачи предупреждения.
Предел квоты. Устанавливает объем пространства диска, который выделяется для работы данному пользователю. При выходе за эту границу Windows XP Professional может сделать запись в журнале регистрации событий о том, что квота исчерпана, или вы просто можете лишить пользователя возможности сохранять информацию в его томе. Размер квоты можно ограничить 1 Кб, но все же лучше довести его до 2 Мб. Это позволит Windows XP Professional создавать профиль пользователя при входе пользователя в систему.
Например, если вы решите, что квота каждого пользователя должна составлять 1 Гб, и установите порог выдачи предупреждения на 900 Мб, то, когда пользователь израсходует 900 Мб объема, в регистрационном журнале будет сделана запись. Когда пользователь превысит порог в 1 Гб, вы посредством инструмента квотирования можете запретить пользователю получение дополнительного пространства на жестком диске, сделать запись в журнале регистрации, или выполнить и то, и другое.
Включение квотирования
Для установки квот диск должен быть отформатирован под NTFS, и квоты должны устанавливаться лицом, имеющим полномочия администратора. Для включения квот проделайте следующие шаги.
Щелкните правой кнопкой мыши на томе, для которого вы хотите установит квоты.
Выберите Properties (Свойства).
Щелкните на вкладке Quota (Квота) (рис. 10.3). Вы можете ввести следующие настройки.
Включить или выключить квотирование диска.
Запретить использование диска лицам, израсходовавшим свои квоты.
Установить по умолчанию порог выдачи предупреждения и границу квоты для новых пользователей объема.
Делать запись в журнале регистации событий о том, что пользователь превысил квоту или порог выдачи предупреждения.
Рис. 10.3. Установление квот на пространство диска
В заключение нажмите на ОК, чтобы установить квоты.
Управление квотами
После того как квоты установлены, вы можете отслеживать пороги квот, статус предупреждения или реально использованное пространство. На рисунке 10.4 показано окно Quota Entries (Записи квот), в котором перечислены пользователи, имеющие доступ к компьютеру с именем GEONOSIS.
Рис. 10.4. Окно записей квот
Как можно видеть, из пяти пользователей четыре находятся в рамках границы квоты и порога выдачи предупреждения. Однако третий пользователь превысил порог выдачи предупреждения. Это отражено предупреждающим значком в поле статуса.
Давайте предположим, что этому пользователю требуется дополнительное пространство на диске. Для изменения его квоты (увеличения или уменьшения) проделайте следующие шаги.
Щелкните правой кнопкой мыши на соответствующем томе
Выберите Properties (Свойства).
Щелкните на вкладке Quota (Квота) и затем щелкните на Quota Entries (Записи квот), что вызовет появление окна, показанного на рис. 10.4.
Щелкните правой кнопкой мыши на пользователе и затем - на Properties (Свойства) для изменения границы квоты данного пользователя.
Когда вы откроете окно Quotas Entries в первый раз, то обнаружите там чистую консоль. Перед установкой квот следует заполнить список пользователей. Это выполняется щелчком на Quota (Квота) в строке меню и последующим выбором New Quota Entry (Создать запись квоты). Появляется окно с вопросом о том, для какого объекта требуется устанавливать квоту. Введите имя пользователя - появится окно, изображенное на рис. 10.5.
В окне Add New Quota Entry вы будете устанавливать свои квоты. Их размер колеблется в диапазоне от 1 Кб (по умолчанию) до максимального размера в 6 Кб.
Рис. 10.5. Установка квот
EFS
Когда вы стираете файл с жесткого диска, на самом деле вы не удаляете его, а просто сообщаете компьютеру о том, что часть диска, на которой находится файл, теперь доступна для использования. Файл исчезает только тогда, когда вы что-то записываете поверх него. Однако пока этого не произошло, файл продолжает существовать на диске и может быть легко восстановлен.
Использование файловой системы EFS (Encrypting File System - шифрованная файловая система) в Windows XP Professional позволяет защитить данные. При применении EFS сохраняемые на диске файлы шифруются, и их нельзя прочитать, пока к ним не будет корректного доступа.
Примечание. EFS можно применять только в NTFS-томе.
EFS представляет собой трехступенчатый процесс.
Для шифрования и расшифровки данных применяется пара ключей: открытый/закрытый и ключ шифрования файлов. Когда пользователь в первый раз шифрует файл, EFS создает ключ шифрования файлов (FEK). FEK шифруется с помощью открытого ключа пользователя и в зашифрованном состоянии хранится вместе с файлом.
Существует несколько способов пометить файл, предназначенный для шифрования:
вручную настроить EFS путем изменения расширенных свойств файла;
сохранить файл в папке, предназначенной для шифрования;
использовать команду CIPHER.EXE в командной строке.
Для расшифровки файла пользователь должен открыть его и удалить шифрование, используя команду CIPHER.EXE. При дешифровке файла система EFS сначала декодирует FEK с помощью закрытого ключа пользователя, а затем расшифровывает данные, используя FEK.
EFS в Windows XP Professional
Система EFS известна со времени появления Windows 2000, но Windows XP Professional добавила в нее новые свойства, повысив ее функциональность. Эти новые качества включают в себя следующее.
Возможность шифровать файлы в режиме офлайн.
Наличие агентов восстановления данных (Data Recovery Agents).
Возможность использования алгоритма 3DES (triple-DES) вместо DESX (Data Encryption Standard XORed).
Дискета сброса пароля может быть использована для переустановки пароля пользователя.
Зашифрованные файлы можно хранить в веб-папках.
В Windows XP Professional система EFS включается по умолчанию. Однако тут надо соблюсти некоторые предварительные условия. Во-первых, пользователи должны иметь открытый и закрытый ключи и открытый сертификат шифрования. Однако EFS может использовать самоподписываемые сертификаты, которым для работы не нужна подпись администратора.
Шифрование и расшифровка
При работе с EFS лучше всего зашифровывать целую папку, а не отдельные файлы. Это ускоряет процесс и делает его более эффективным. Вместо шифрования разрозненных файлов вы сможете одним движением руки создать защиту множества файлов. Более того, при шифровании папки целиком все запасные копии файлов тоже шифруются.
Примечание. Разумеется, будут зашифрованы только те копии, которые хранятся в зашифрованной папке.
Для шифрования файла или папки проделайте следующие шаги.
В My Computer (Мой компьютер) выберите файл или папку, которые нужно зашифровать.
Щелкните правой кнопкой мыши на файле или папке и выберите Properties (Свойства).
На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно). Появится экран, показанный на рис. 10.6.
Отметьте флажок Encrypt contents to secure data (Шифровать содержимое для защиты данных) и затем нажмите ОК.
Если вы решили зашифровать только файл, то Windows XP Professional выдаст запрос, хотите ли вы зашифровать один этот файл или всю папку. Как упоминалось ранее, лучше зашифровать целую папку, но, тем не менее, можно зашифровать и отдельный файл. После шифрования имя файла будет показано зеленым цветом.
Рис. 10.6. Шифрование файла или папки
Примечание. Сжатые файлы представлены шрифтом синего цвета. Файл не может быть одновременно зашифрованным и сжатым.
Дешифрование файлов и папок проводится аналогичным образом. В данном случае вам потребуется очистить флажок Encrypt contents to secure data.
Команда cipher
По желанию для шифрования папок и файлов можно использовать инструмент командной строки CIPHER. Использование команды CIPHER в чистом виде просто показывает атрибуты файлов и папок, содержащихся в данной папке. Однако эту команду можно применять с набором ключей. Перечисленные ниже являются наиболее полезными.
/e Назначает файл или папку для шифрования.
/d Расшифровывает выбранный файл или папку.
/a Указывает, что действие будет применено ко всем файлам в папке.
/? Представляет список всех аргументов CIPHER.
Ниже показаны два файла, которые были предварительно зашифрованы с помощью Windows XP Professional GUI, каждый из которых содержит очень секретную информацию: Top Secret Plans For World Domination.txt и Aunt Barb's Apple Brown Betty Recipe.txt. Воспользовавшись командой CIPHER, мы можем увидеть EFS-атрибуты файлов в этой папке. Оба файла были зашифрованы, о чем свидетельствует буква "E" рядом с именами файлов. Незашифрованные папки помечены буквой "U".
C:>cipher
Listing C:\Documents and Settings\Robert Elsenpeter\My Documents\
New files added to this directory will not be encrypted.
E Aunt Barb's Apple Brown Betty Recipe.txt
U My Music
U My Pictures
E Top Secret Plans For World Domination.txt
Для расшифровки этих файлов введите:
C:>cipher /d /a
Decrypting files in C:\Documents and Settings\Robert Elsenpeter\My Documents\
Aunt Barb's Apple Brown Betty Recipe.txt [OK]
Top Secret Plans For World Domination.txt [OK]
2 file(s) [or directorie(s)] within 1 directorie(s) were decrypted.
Листинг 10.1.
Оптимизация NTFS
Хотя Windows XP Professional и NTFS включают в себя множество функций, облегчающих хранение и управление файлами, за всю эту легкость приходится платить. Если вы хотите повысить эффективность работы своего жесткого диска, то проверьте ряд элементов.
Размер кластеров
Решение конвертировать свой жесткий диск в NTFS требует некоторого планирования (о чем мы будем говорить в разделе "Конвертирование/Форматирование жесткого диска с помощью NTFS"). Необходимо заранее обдумать величину кластеров. Если все файлы будут преимущественно одного размера, меньше размера кластера по умолчанию, равного 4Кб, то, возможно, вы сочтете нужным изменить размер кластеров по умолчанию при конвертировании жесткого диска.
Представьте себе, что жесткий диск составлен из миллиардов крошечных блоков. Это - кластеры. Допустим, что каждый кластер содержит 4 Кб информации. Если файл вмещает в себя только 3 Кб данных, то в каждом кластере будет напрасно расходоваться пространство. Конечно, это только 1 Кб, но в сумме получится много. В таблице 10.1 содержатся размеры кластеров по умолчанию для NTFS-дисков различного размера.
С другой стороны, уменьшение размера кластеров приводит к увеличению фрагментации. Это означает, что после удаления информации из блока кластеров, если вы хотите снова им воспользоваться для записи файла, то он должен быть равен (или меньше) файла, ранее располагавшегося в этом блоке. При добавлении новых файлов, записываемых на неиспользованные кластеры, начинает проявляться фрагментация, поскольку, хотя на диске и есть свободное пространство, оно разбито на такие мелкие кусочки, что им нельзя воспользоваться. Если вы сохраняете большие файлы, или они имеют тенденцию к росту, лучше по умолчанию установить величину кластеров, равную 16 - 32 Кб.
Таблица 10.1. Размер NTFS кластеров по умолчанию |
|
Размер жесткого диска |
Размер кластера |
512 Мб или меньше |
512 б |
513 Мб - 1 Гб |
1 024 б |
1 Гб - 2 Гб |
2 048 б |
2 Гб и больше |
4 069 б |
О размере кластеров следует подумать и при преобразовании томов из формата FAT в NTFS в Windows 2000 и в более ранних версиях. Это связано с тем, что по умолчанию размер кластеров составляет 512 байтов, что, естественно, ведет к фрагментации. Лучше всего скопировать все содержимое жесткого диска, переформатировать его, указать нужный размер кластеров, и затем вернуть все данные на том.
Если жесткий диск стал фрагментированным, то было бы хорошо провести дефрагментацию с помощью инструмента, предоставляемого Windows XP Professional. Этот инструмент мы обсудим в разделе "Дефрагментация" далее в лекции.
Организация
Хорошая организация украшает не только медицинский кабинет. Система NTFS тоже должна быть организована соответствующим образом. На самом деле решение нескольких "хозяйственных вопросов" для жесткого диска во многом улучшит работу NTFS.
Файловая система. Хотя NTFS поддерживает папки с огромным количеством файлов, будет неразумно складывать все документы в одну папку. Это особенно актуально, если вы часто читаете и удаляете файлы из этой папки. При каждом открывании папки Windows XP Professional тратит время на поиск имени и статистики каждого файла. Наилучшим решением в этом случае будет создание подкаталогов всегда, когда это возможно, чтобы свести количество считываний к минимуму.
Индексация. Если пользователи регулярно просматривают жесткие диски в поисках файлов и папок, то вам следует подключить службу индексации - Indexing Service. Это в значительной степени сократит время поиска. Indexing Service также помогает сократить время поиска внутри документа.
При подключенной службе индексации NTFS заносит все изменения файловой системы в журнал изменений. Необходимость проводить обновления журнала изменений неизбежно вызывает замедление в работе системы, но эти издержки полностью покрываются за счет конечного повышения скорости поиска файлов и папок.
Антивирусные программы
Нет нужды говорить о том, что у вас должна быть установлена одна из антивирусных программ, чтобы поддерживать безопасность и чистоту в компьютере. Эти программы, хотя и служат защитой, но несут с собой и дополнительные затраты. Мы не предлагаем отказываться от использования антивирусных программ, а советуем испытать несколько антивирусных приложений и оценить их с учетом влияния на скорость работы всей системы. Более того, разработчики программ могут предложить настроить их таким образом, чтобы свести дополнительные затраты к минимуму.
Сжатие
Ранее мы уже говорили о достоинствах и недостатках сжатия. Вы, возможно, и сэкономите несколько долларов, отказавшись от установки жесткого диска большего объема, но если тома сжаты, то, скорее всего, вы столкнетесь с некоторыми проблемами выполнения. Мы рекомендуем не проводить сжатие жесткого диска на сервере. В то же время разумное сжатие данных на клиентских компьютерах является неплохой идеей.
Разреженные файлы
Если у вас есть файлы, которые содержат множество нулей, то Windows XP Professional позволяет сохранять пространство диска, давая таким файлам определение sparse (разреженный). Если NTFS файл имеет пометку sparse, то NTFS выделяет кластеры только для данных, специально объявленных приложением. Под диапазон необъявленных данных кластеры не выделяются, и при считывании файла с диска распределенные файлы будут возвращаться, а не распределенные - заполняться нулями. Например, Windows Indexing Service использует sparse-файлы на NTFS-дисках.
Разреженные файлы конвертируются с помощью следующей команды.
fsutil sparse
За SPARSE следуют такие аргументы:
queryflag. Запрашивает SPARSE.
queryrange. Сканирует файл в поисках областей, которые могут содержать ненулевые данные.
setflag. Отмечает указанный файл как разреженный.
setrange pathname BeginningOffset length. Заполняет указанную область нулями, где BeginningOffset (Начальное смещение) является смещением в границах файла для пометки этого файла как разреженного, а length является величиной диапазона (в байтах) внутри файла, которая должна быть отмечена как разреженная.
За этими аргументами записывается путь к файлу, например:
fsutil sparse setflag c:\sparsesample.txt
Sparse-файлы работают только на дисках, подключенных к компьютерам под управлением операционных систем Windows XP Professional и Windows 2000. Если вы перемещаете файл на диск с системой FAT или NTFS, который был подключен к другой операционной системе, то файл вернется к своему исходному размеру. Если на диске не окажется достаточно свободного пространства для размещения файла с таким размером, то операция будет отменена.
Разрешения NTFS
В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.
Разрешения отдельного пользователя
Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.
Наследование
В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в "Безопасность при работе в сети" , если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.
Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.
Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.
Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.
С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.
Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.
Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.
Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .
В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).
Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).
Нажмите на ОК.
Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.
Разрешения для папок и томов
Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В таблице 10.2 перечислены разрешения, назначаемые для папок, а в таблице 10.3 - для файлов.
Таблица 10.2. Разрешения папок |
||
Разрешение |
Разрешает или запрещает это действие |
|
Change Permissions |
Изменение разрешений папки. |
|
Create Files |
Создание новых файлов в данной папке. |
|
Create Folders |
Создание подкаталогов в данной папке. |
|
Delete |
Удаление папки. |
|
Delete subfolders and files |
Удаление файлов и подкаталогов, даже если у вас нет разрешения на их создание. |
|
List Folder |
Просмотр содержимого папки. |
|
Read Attributes |
Просмотр атрибутов папки. |
|
Read Permissions |
Просмотр разрешений папки. |
|
Take Ownership |
Присвоение себе прав другого пользователя на владение папкой. |
|
Traverse Folder |
Открытие папки для просмотра подкаталогов и родительских папок. |
|
Write Attributes |
Внесение изменений в свойства папки. |
|
Таблица 10.3. Разрешения файла |
||
Разрешение |
Разрешает или запрещает это действие |
|
Append Data |
Добавление информации в конец файла без изменения существующей информации. |
|
Change Permissions |
Внесение изменений в разрешения файла. |
|
Delete |
Удаление файла. |
|
Execute File |
Запуск программы, содержащейся в файле. |
|
Read Attributes |
Просмотр атрибутов файла. |
|
Read Data |
Просмотр содержимого файла. |
|
Read Permissions |
Просмотр разрешений файла. |
|
Take Ownership |
Присвоение себе прав собственности на этот файл у другого владельца. |
|
Write Attributes |
Изменение атрибутов файла. |
|
Write Data |
Изменение содержания файла. |
|
Создание и управление разрешениями
Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.
Для настройки разрешений данной папки или тома проделайте следующие шаги.
Укажите том или папку, для которых вы собираетесь устанавливать разрешения.
Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).
Выберите вкладку Security (Безопасность).
Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).
В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (рис. 10.7). В нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.
Рис. 10.7. Вкладка Security (Безопасность) диалогового окна свойств
Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.
Full Control (Полный контроль). Разрешает пользователю или группе читать, создавать, изменять и удалять файлы.
Modify (Модификация). Разрешает пользователям удалять файлы и папки, вносить изменения в разрешения или получать право собственности на файл или папку от другого пользователя.
Read&Execute (Чтение и исполнение). Разрешает пользователям читать и запускать файлы, не внося изменений в содержание совместно используемого тома или папки.
List Folder Contents (Список содержимого папки). Позволяет пользователям просматривать содержимое папок.
Read (Чтение). Разрешает пользователям просматривать содержимое тома или папки. Они также могут открывать файлы, но не имеют права сохранять изменения.
Write (Запись). Разрешает пользователям делать записи в папках или томах, но запрещает открывать файлы или просматривать список файлов.
Special permissions (Специальные разрешения). Щелкнув на кнопке Advanced (Дополнительно), можно применять специальные разрешения.
Ограничение количества пользователей
В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8).
Рис. 10.8. Вкладка Sharing (Общий доступ) используется для управления количеством пользователей, которые одновременно получают доступ к тому
В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.
Maximum allowed Разрешить доступ для максимального числа пользователей сети.
Allow this number of users Разрешить доступ только для указанного числа пользователей.
Более подробно о разрешениях можно узнать в гл. 9.
Конвертирование/форматирование жестких дисков в формат ntfs
Чтобы воспользоваться всеми описанными преимуществами, жесткие диски должны использовать формат NTFS. Это несложно, когда компьютер попадает к вам с заранее установленной системой Windows XP Professional, так как жесткий диск уже имеет формат NTFS. Однако при миграции с компьютера, использующего систему FAT (Windows 95 или Windows 98), необходимо конвертировать жесткий диск или его часть.
В этом разделе рассматриваются шаги, которые необходимо предпринять при переводе жесткого диска в систему NTFS или при форматировании жесткого диска. Сначала мы обсудим ряд вопросов, связанных с FAT-NTFS-конверсией, затем поговорим об инструменте командной строки CONVERT.EXE и ключах, которые можно использовать при преобразовании жесткого диска.
Замечания
Хотя по сравнению с FAT файловая система NTFS обеспечивает гораздо более высокую функциональность, перед принятием решения о конверсии следует рассмотреть ряд замечаний.
Переход к NTFS можно сделать только в одну сторону. После выполнения конверсии в NTFS вы не сможете вернуться обратно.
Примечание. Существует несколько продуктов других разработчиков, которые позволят конвертировать диск обратно в FAT, но лучше придерживаться одного формата, а не переключаться с одного на другой.
Процесс конверсии требует наличия определенного свободного пространства на диске или на части диска. Если инструмент конверсии считает, что пространства недостаточно для осуществления операции, то он не будет работать.
Возможно, вы работаете с устройствами двойной загрузки. В таком случае вы должны помнить следующее.
Хотя Windows NT использует NTFS (точнее, ее версию 4.0), эта операционная система не сможет полностью воспользоваться всеми качествами NTFS 5.0, представленной в Windows 2000.
Windows Me, 9X и более ранние версии не имеют доступа к NTFS-файлам.
Если вы перейдете к файловой системе NTFS, то уже не сможете удалить инсталляцию Windows XP Professional.
Существует возможность повреждения данных во время конверсии. Обязательно сделайте запасные копии своих данных.
Конверсия занимает какое-то время. Так как первый шаг состоит в запуске инструмента CHKDSK.EXE, то времени потребуется еще больше.
Примечание. Независимо от того, какую операционную систему вы используете, гибкие диски всегда используют систему FAT.
Защита данных
Переход от FAT к NTFS может быть достаточно напряженным процессом, особенно если дело касается сохранения целостности данных. Мы всегда рекомендуем делать запасные копии перед выполнением подобного преобразования формата, а Windows XP Professional предпринимает следующие шаги для защиты данных от повреждений.
Во-первых, CONVERT.EXE запускает инструменты CHKDSK или AUTOCHK, чтобы проверить целостность файловой системы. При обнаружении поврежденных файлов следует использовать команду CHKDSK/F для устранения этих проблем, а затем снова запустить конверсию. Инструмент AUTOCHK старается устранить проблемы самостоятельно и продолжает конверсию. Далее, существующие FAT кластеры удаляются (чтобы "проложить путь" для новой NTFS-структуры), после чего таблица размещения файлов перестраивается. В нечитаемых секторах процесс конверсии прерывается, и FAT-том остается таким, каким был до конверсии.
Элементарная NTFS-структура формируется на свободном от FAT месте. Эта структура представляет собой таблицу фиксированного размера, которая используется во всех NTFS-томах. Вслед за элементарной структурой на свободном от FAT пространстве генерируются главная NTFS-таблица файлов и каталог. Необходимое для этого пространство будет различным в зависимости от общего количества файлов и папок, которые подлежат конверсии. Следующим шагом является указание в карте NTFS, что FAT-кластеры, использовавшиеся в процессе конверсии, теперь свободны. Пространство диска, занятое FAT-метаданными, освобождается и используется как свободное NTFS-пространство.
В самом конце записывается загрузочный сектор NTFS. Именно это действие заставляет диск принимать вид NTFS-тома. Если в этот момент произойдут какие-либо ошибки конверсии, то диск будет по-прежнему определяться как FAT-диск. В этом процессе все записи выполняются на свободном пространстве. При возникновении проблем с конверсией FAT-данные останутся пригодными к применению.
Дефрагментация
Регулярная дефрагментация жесткого диска при работе с файловой системой NTFS в среде Windows XP Professional должна быть обычной рабочей процедурой. Есть два способа дефрагментации NTFS диска.
Во-первых, можно воспользоваться оснасткой Disk Defragmenter (Дефрагментация диска), показанной на рис. 10.9.
Рис. 10.9. Оснастка Disk Defragmenter (Дефрагментация диска)
Во-вторых, можно использовать новинку Windows XP Professional - инструмент командной строки DEFRAG. Это делается следующим образом:
Defrag "volume" [-a] [-f] [-v] [-?]
Используются следующие атрибуты:
Volume Обозначение диска, который надо дефрагментировать.
-a Только анализировать.
-f Выполнять дефрагментацию даже при малом количестве свободного пространства.
-v Подробный отчет о результатах.
Оба метода дефрагментации демонстрируют новые функциональные возможности Windows XP Professional. Во-первых, Windows XP Professional позволяет дефрагментировать NTFS-тома с кластерами любого размера. Это серьезное отличие от Windows 2000, где можно дефрагментировать только кластеры размером до 4 Кб. Также можно дефрагментировать файлы, содержащиеся менее чем в 16 кластерах. В Windows 2000 это игнорируется.
Конвертирование
Существует три способа преобразования дисков в NTFS-формат.
Форматирование в процессе инсталляции Windows XP Professional.
Конвертирование с помощью Disk Management (Управление дисками).
Конвертирование с использованием окна команд.
Форматирование в процессе инсталляции Windows XP Professional
Легче всего конвертировать жесткий диск в формат NTFS во время инсталляции Windows XP Professional. Конверсия выполняется как часть миграции. Как можно догадаться, проще всего проводить конверсию в чистой системе, то есть в системе без файлов, с которых надо делать запасные копии. Но идеальное редко достижимо.
Конвертирование с помощью оснастки Disk Management
Если вы уже установили Windows XP Professional, но по каким-либо причинам не перешли к файловой системе NTFS, вы все еще можете провести конверсию. Windows XP Professional включает в себя оснастку Disk Management (Управление дисками), которая позволяет проводить процесс в GUI-окружении.
Примечание. Disk Management поддерживает конвертирование любого жесткого диска или его части, за исключением дисков CD-ROM, DVD-ROM и системного диска.
Запустив оснастку (рис. 10.10), выберите диск или часть диска, которые вы собираетесь переформатировать. Щелкните правой кнопкой мыши на нем и выберите Format (Форматирование). Появится новое диалоговое окно, в котором можно выбрать следующие детали:
имя тома;
файловая система;
размер кластера.
Рис. 10.10. Оснастка Disk Management (Управление дисками)
В нижней части диалогового окна располагаются два флажка: Perform quick format (Быстрое форматирование) и Enable file and folder compression (Включить сжатие файлов и папок). Флажок быстрого форматирования лучше оставить пустым (так как быстрое форматирование приводит к ошибкам) и отметить другой флажок, если вы хотите использовать сжатие файлов и папок.
Примечание. Самое большое ограничение при конвертировании жесткого диска в NTFS-формат состоит в том, что конверсию нельзя проводить на текущем системном диске.
Конвертирование с использованием окна команд
Третий способ преобразовать раздел диска в NTFS-формат похож на второй, но использует окно команд. Это хорошо подходит, когда у вас нет устройства для хранения копий, и имеются большие файлы, которые не помещаются на других дисках. Инструмент, используемый в Windows XP Professional, называется CONVERT.EXE. Команда CONVERT записывается следующим образом:
Convert volume: /fs:ntfs [/v] [/x] [/cvtarea: filename] [/nosecurity] [/?]
где volume - обозначение диска или имя тома, который вы собираетесь конвертировать.
С командой CONVERT используются следующие ключи:
/fs:ntfs Указывает, что нужно конвертировать диск в NTFS-формат.
/v Активизирует текстовый режим, который выводит все сообщения, посылаемые системой Windows XP Professional во время конверсии.
/x Отключает том перед началом конверсии, если это необходимо.
/cvtarea:/filename Указывает, что NTFS-файлы метаданных записываются в отдельный файл. Этот файл должен размещаться в корневой папке конвертируемого тома.
/nosecurity Не применяет NTFS-разрешения по умолчанию к конвертируемому тому. Этот ключ имитирует Windows 2000-конверсию.
/? Помощь при работе с CONVERT.
Вы можете получить сообщение о том, что текущий диск является рабочим и не может быть отформатирован. Не беспокойтесь. Это не означает, что конверсию вообще нельзя провести. Более того, Windows XP Professional спросит о вашем желании выполнить конверсию после перезагрузки. Если вы нажмете ОК, то следует перезагрузить компьютер для завершения конверсии.
NTFS обеспечивает возможность управления файлами. Если вам нужно сжать, зашифровать или создать квоты файлов, то NTFS предоставляет средства для достижения этих целей. Если вы используете систему FAT, то конверсия является легкой операцией. Хотя Windows XP Professional включает в себя ряд инструментов, повышающих безопасность (таких как Internet Connection Firewall и Group Policy), NTFS позволяет управлять ресурсами отдельных файлов
Лекция 11. Совместное использование сетевых ресурсов
Операционная система Windows XP Professional позволяет совместно использовать практически все, что находится в сети - файлы и папки, принтеры и даже приложения. В этой лекции мы поговорим о том, как совместно пользоваться сетевыми ресурсами.
Во-первых, мы охватим особенности совместного использования приложений, файлов и папок, жестких дисков и принтеров. Затем обсудим управление совместными ресурсами и, наконец, вернемся к вопросу сетевой безопасности и поговорим о специфике методов обеспечения защиты открытых сетевых ресурсов, будь то защита посредством управления разрешениями или административная работа с пользователями, имеющими доступ к ресурсам сети.
Представление о совместном использовании
В Windows XP Professional можно реализовать совместное использование файлов, папок, принтеров и других сетевых ресурсов. С этими ресурсами могут работать либо другие пользователи локального компьютера, либо пользователи, находящиеся в сети. В этом разделе дается объяснение того, как настроить совместное использование в Windows XP Professional-системе.
Сначала мы обсудим совместное использование папок и жестких дисков, затем обратимся к использованию принтеров, а в конце на примере приложения Windows Messenger обсудим совместное использование приложений.
Совместное использование папок и жестких дисков
Основное назначение сетей состоит в совместном использовании информации. Если бы не было возможности общего доступа к файлам и папкам, то не было бы и причин для создания сетей. Windows XP Professional разрешает совместное использование папок и жестких дисков несколькими способами. Реализовать совместное использование достаточно просто. То, каким образом ресурсы используются совместно, будет зависеть от настройки системы Windows XP Professional.
Совместное использование на уровне папок является базовым (исходным) уровнем, на котором вы можете осуществлять управление. Вы не можете реализовать совместное использование одного файла. Он должен быть перенесен или создан внутри папки, предназначенной для совместного использования.
Реализация совместного использования
Если необходимо ввести совместное использование файлов, то сделать это будет достаточно просто. Осуществите навигацию к нужной папке, щелкните на ней правой кнопкой мыши и выберите Properties (Свойства) в появившемся меню. Щелкните на вкладке Sharing (Общий доступ) и проведите настройку реквизитов. Настройки, которые вы выберете, зависят от нескольких факторов: во-первых, включение или отключение Simple File Sharing (Простой общий доступ к файлам) предоставляет разные возможности. Файловая система, которой вы пользуетесь - NTFS или FAT - также влияет на возможности совместного использования. Мы обсудим варианты этих настроек позже в лекции.
Для совместного использования ресурсов сети сначала надо инициировать File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft) в сетевом диалоговом окне. Если вы не видите вкладку Sharing в диалоговом окне свойств папки, то, значит, этот сервис не подключен. Обычно этот сервис автоматически инсталлируется мастером установки сети (Network Setup Wizard). Если требуется его проинсталлировать, проделайте следующие шаги.
Примечание. File and Printer Sharing for Microsoft Networks (Службу доступа к файлам и принтерам сетей Microsoft) нужно инсталлировать только в сетях, состоящих из устройств одного ранга, представленных компьютерами, работающими в среде Windows.
Щелкните на Start (Пуск), правой кнопкой мыши щелкните на My Network Places (Сетевое окружение), выберите Properties (Свойства), щелкните правой кнопкой мыши на Local Area Connection (Локальные сетевые подключения) и выберите Properties.
Щелкните на вкладке General (Общие).
Нажмите кнопку Install (Установить). Появится диалоговое окно Select Network Component Type (Выбор типа сетевого компонента).
Выберите Service (Службы) и щелкните на кнопке Add (Добавить).
Выберите File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft) и нажмите ОК.
Вы вернетесь в окно Local Area Connection и, возможно, появится запрос вставить компакт-диск Windows XP Professional.
Нажмите на ОК для сохранения изменений.
Возможно, потребуется перезагрузка компьютера.
Уровни доступа
Windows XP professional предлагает пять уровней доступа к файлам и папкам. Их полезно знать, чтобы настраивать реквизиты в соответствии с потребностями организации в совместном использовании ресурсов. Вот эти уровни.
Уровень 1. Мои документы. Это уровень самых жестких ограничений. Единственным лицом, имеющим право читать эти документы, является их создатель.
Уровень 2. Мои документы. Это уровень по умолчанию для локальных папок.
Уровень 3. Файлы в открытых (для общего использования) документах доступны локальным пользователям.
Уровень 4. Общие файлы в сети. На этом уровне все пользователи сети могут читать эти файлы.
Уровень 5. Общие файлы в сети. На этом уровне все пользователи сети могут не только читать эти файлы, но и вносить в них записи.
Примечание. Файлы уровней 1, 2 и 3 доступны только для локально зарегистрированных пользователей.
В следующих параграфах особенности этих уровней рассматриваются более подробно. Для пояснения создания конфигураций этих уровней доступа процесс установления уровня безопасности показан на примере системы с подключенной опцией Simple File Sharing (Простой общий доступ к файлам).
Уровень 1. Этот уровень является самым строгим в плане защиты. На уровне 1 только владелец файла может читать и записывать в свой файл. Даже сетевой администратор не имеет доступа к таким файлам. Все подкаталоги, существующие в папке уровня 1, сохраняют тот же уровень секретности, что и родительская папка. Если владелец папки хочет, чтобы некоторые файлы и подкаталоги стали доступны для других лиц, то изменяет настройки безопасности.
Возможность создания папки уровня 1 доступна только для учетной записи пользователя и только в рамках его собственной папки My Documents (Мои документы). Для создания папки уровня 1 проделайте следующие шаги.
Щелкните правой кнопкой мыши на нужной папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
Щелкните на окошке Make this folder private (Отменить общий доступ к этой папке).
Нажмите ОК.
Уровень 2. На уровне 2 владелец файла и администратор имеют права на чтение и запись в файле или папке. В Windows XP Professional это является настройкой по умолчанию для каждого пользовательского файла в папке My Documents (Мои документы).
Для установки уровня 2 безопасности папки, ее подкаталогов и файлов проделайте следующие шаги.
Щелкните правой кнопкой мыши на нужной папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
Очистите флажки Make this folder private (Отменить общий доступ к этой папке) и Share this folder on the network (Открыть общий доступ к этой папке).
Нажмите ОК.
Уровень 3. Уровень 3 позволяет совместно использовать файлы и папки пользователям, входящим в компьютер в рамках локальной сети. В зависимости от типа пользователя (за более подробной информацией о типах пользователей обратитесь к "Безопасность при работе в сети" ) он может (или не может) выполнять определенные действия с файлами уровня 3 в папке Shared Documents (Общие документы).
Администраторы локальных компьютеров и опытные пользователи имеют полный доступ.
Ограниченные пользователи имеют доступ только для чтения.
Удаленные пользователи не имеют доступа к файлам уровня 3.
Установка разрешений уровня 3 требует перемещения желаемых папок и файлов в папку Shared Documents (Общие документы).
Уровень 4. На четвертом уровне файлы доступны для чтения всем удаленным пользователям. Локальные пользователи имеют доступ на чтение (это касается и учетных записей Гость), но не имеют права записи и модификации файлов. На этом уровне каждый имеющий доступ к сети может читать файлы.
Для создания разрешений уровня 4 для папки проделайте следующие шаги.
Щелкните правой кнопкой мыши на папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
Отметьте флажок Share this folder on the network (Открыть общий доступ к этой папке).
Очистите окошко Allow network users to change my files (Разрешить изменение файлов по сети).
Нажмите ОК.
Уровень 5. Наконец, уровень 5 является наиболее разрешенным уровнем с точки зрения безопасности файлов и папок. Любой пользователь сети имеет карт-бланш для доступа к файлам и папкам уровня 5. Так как каждый может читать, записывать или удалять файлы и папки, то такой уровень безопасности следует вводить только в закрытых, надежных и защищенных сетях. Для установки разрешений уровня 5 проделайте следующие шаги.
Щелкните правой кнопкой мыши на папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
Отметьте флажок Share this folder on the network (Открыть общий доступ к этой папке).
Нажмите ОК.
Подключение жесткого диска
Если вы часто заходите на определенный диск, то можете упростить процесс с помощью опции подключения жесткого диска. Эта операция присваивает совместно используемому жесткому диску букву, аналогичную тем, которые имеются у локальных дисков. В этом случае не придется тратить неоправданно много времени, осуществляя навигацию по окнам My Network Places (Сетевое окружение), чтобы найти часто посещаемый диск.
Например, жесткий диск вашего компьютера определяется как диск С:. Если вы постоянно заходите на диск С: сервера бухгалтерии, то, использовав опцию подключения жесткого диска, можете присвоить этому диску обозначение Z: (или любую другую букву). После этого диск начинает отображаться как диск вашего компьютера, несмотря на то, что является сетевым ресурсом.
Применение подключения диска
Для подключения диска проделайте следующие шаги.
Выберите Start\My Computer (Пуск\Мой компьютер).
Из строки меню выберите Tools\Map Network Drive (Сервис\Подключить сетевой диск). Появится окно, показанное на рис. 11.1.
Из ниспадающего списка выберите желаемую букву для обозначения диска. В списке будут указаны только доступные для обозначения буквы. Буквы, которыми уже отмечены диски вашего компьютера (А:, С: и т. д.) не будут указаны в списке. Буквы, уже присвоенные сетевому диску, также указаны в списке, но с последующими именами ресурсов совместного использования.
Нажмите кнопку Browse (Обзор) рядом с окошком Folder (Папка) и найдите ресурс, который вы хотите подключить. Список будет представлен в формате UNC (Universal Naming Convention) и покажет все ресурсы совместного использования в сети.
Перезагружая Windows всякий раз для активизации обозначения, включайте флажок Reconnect at logon (Восстанавливать при входе в систему).
Щелкните на Finish (Готово) для завершения операции. Если ресурсу требуется пароль, то вы получите подсказку о том, что его надо создать.
Рис. 11.1. Подключение сетевого диска
Совет. Вы можете разместить кнопку Map Drive (Подключить диск) на панели инструментов Проводника Windows. Для этого щелкните правой кнопкой мыши на панели инструментов, выберите Customize (Настройка) из меню и затем щелкните на Map Drive (Подключить диск) из списка Available Toolbar Buttons (Доступные кнопки панели инструментов). Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
После того как вы подключите диск, он будет отображен значком в Windows Explorer и в окне My Computer. При присвоении обозначения диску все настройки будут действительны только в локальном компьютере. Они не касаются всех устройств сети. Если вы хотите, чтобы обозначение диска было на каждом компьютере организации, то надо будет реализовывать это на каждой машине отдельно.
Отключение диска
Процесс отмены обозначения диска несложен. Проделайте следующие шаги.
В Windows Explorer щелкните правой кнопкой мыши на диске, который вы хотите отключить.
Выберите Disconnect (Отключить) в меню ярлыков (в строке меню можно выбрать Tools\Disconnect Network Drive [Сервис\Отключить сетевой диск] и затем выбрать диск, соединение с которым следует прервать).
У вас по прежнему останется доступ к сетевому ресурсу, но буква, обозначавшая жесткий диск, уже не будет ассоциирована с ним.
Подключение диска с помощью команды
Если вы хотите воспользоваться командой для введения обозначения диска, то для этого подойдет команда NET USE. Она особенно полезна при проведении пакетной операции, в которой обозначения одновременно присваиваются нескольким дискам. Команда записывается следующим образом:
Net use d: \\computername\sharename
Здесь d должно быть заменено буквой, которую следует применить для обозначения, с последующим UNC сетевого ресурса совместного использования.
Совместное использование принтера
Хотя принтер можно купить и за очень небольшую цену, по-настоящему хорошие принтеры все еще стоят очень дорого. Если такой элемент оборудования используется только время от времени, то имеет смысл ввести его совместное использование в вашей сети.
К тому же разные принтеры могут выполнять в организации различные функции. Например, нежелательно, чтобы 250-страничные отчеты печатались на цветном принтере, расходуя цветные чернила. С другой стороны, лазерный принтер (даже с высокой скоростью печати) не сможет создать цветных отпечатков, требующихся работникам отделения маркетинга. Поэтому разумно, чтобы у каждого пользователя был свой собственный принтер (или даже два - в зависимости от роли данного пользователя в организации). Решение (как вы уже догадываетесь) заключается в превращении принтеров в ресурс совместного использования.
Выполнение этого задания состоит из двух этапов.
Конфигурирование компьютера, имеющего принтер, для совместного использования этого устройства.
Конфигурирование других сетевых устройств, чтобы они видели принтер
Превращение принтера в ресурс совместного использования
Первым шагом в выполнении этой задачи является подтверждение того, что принтер правильно подключен для работы в качестве локального принтера. Plug and Play решает эту задачу легко. В идеале, вам надо только подключить принтер и ждать, пока система Windows XP professional заметит, что новый принтер доступен, и, возможно, ответить на несколько вопросов и вставить компакт-диск с драйвером принтера для завершения инсталляции.
Plug and Play-принтеры. Все современные принтеры поддерживают режим Plug and Play. Более того, если Windows XP Professional имеет копию драйвера вашего принтера, то установка становится исключительно легкой. Если система Windows не может идентифицировать принтер (или найти его драйвер), то она запускает мастер установки нового оборудования (Found New Hardware Wizard). Просто отвечайте на все вопросы и держите наготове компакт-диск с драйвером устройства.
Если Windows XP Professional не видит нового принтера, то, скорее всего, принтер не поддерживает режим Plug and Play. Всегда полезно заглянуть в инструкцию производителя и убедиться в том, что в принтере нет ничего уникального, что мешало бы подключить его.
Примечание. Если в принтере не предусмотрено подключение Plug and Play, то рекомендуется посетить веб-сайт производителя этого принтера и поискать там свежую копию драйвера.
Принтеры, не поддерживающие Plug and Play. Если принтер не поддерживает режим установки Plug and Play, то вам придется выполнить больше ручной работы. Для подключения такого принтера выполните следующие действия.
Подключите принтер к источнику питания и включите его.
Соедините принтер с компьютером (с помощью USB- или параллельного порта).
Выберите Start\Printers and Faxes\Add Printer (Пуск\Принтеры и факсы\Добавить принтер).
Выберите Add a Printer из списка Printer Tasks (Задачи печати) и щелкните на Next (Далее).
Система Windows XP Professional задаст вам ряд вопросов о принтере:
порт, с которым устанавливается соединение;
производитель принтера и номер модели,
Если производитель и номер модели не названы, то щелкните на кнопке Have Disk (Установить с диска), вставьте диск с драйвером принтера и используйте драйвер, предоставленный производителем.
Настройка совместного использования. После подключения принтера его можно использовать совместно. Компьютер, соединенный с принтером, называется сервером принтера. В зависимости от размеров организации сервер принтера может располагаться на одном из рабочих компьютеров, а в крупных организациях ему отводится отдельный компьютер.
Принтеру надо дать имя ресурса совместного использования (аналогично присвоению имени компьютеру-клиенту, добавляемому к сети). После того как принтер получит это имя, все остальные устройства сети смогут видеть и распознавать его. Имя можно выбрать любое; оно может отражать модель принтера (BROTHER в нашем примере) или быть частью системы имен.
Для настройки совместного использования принтера проделайте следующие шаги.
Выберите Start\Printers and Faxes (Пуск\Принтеры и факсы).
Щелкните правой кнопкой мыши на принтере, которым вы хотите пользоваться совместно, и выберите Sharing (Общий доступ) в меню (диалоговое окно Properties с выбранной вкладкой Sharing показано на рис. 11.2).
Рис. 11.2. Открытие общего доступа к принтеру
Выберите кнопку Share this printer (Совместный доступ к принтеру).
Введите имя принтера, чтобы его видели в сети.
Если вы дезактивировали Simple File Sharing (более подробно см. гл. 10), то в диалоговом окне Properties будет показана вкладка Security (Безопасность). Выбор этой вкладки позволяет управлять доступом пользователя к принтеру. На вкладке нас интересуют два вида настроек.
Manage Printers (Управление принтерами) дает пользователю административный контроль за принтером.
Manage Documents (Управление документами) позволяет пользователю запускать, останавливать и менять порядок выполнения заданий принтером.
Нажмите на ОК. Теперь принтер стал ресурсом для совместного использования, на что указывает маленькая рука над его иконкой.
Для отключения совместного использования принтера надо проделать те же действия, но на этот раз в вкладке Sharing следует щелкнуть на кнопке Do not share this printer (Нет общего доступа к данному принтеру).
Использование принтера сетевыми устройствами
Следующим шагом будет настройка принтера, чтобы его могли видеть другие компьютеры локальной сети. Когда система Windows XP Professional видит принтер, находящийся в совместном использовании, на другом компьютере внутри данной локальной сети, то она старается автоматически установить драйвер этого принтера. Следовательно, попытки пользователей получить доступ к принтеру сводятся к простому просмотру списка принтеров, доступных приложению.
В Windows XP Professional для проверки доступности принтера выберите Start\Printers and Faxes (Пуск\Принтеры и факсы), чтобы показать папку Printers and Faxes. Если принтер является общим ресурсом, то под ним изображен кабель. Если совместно используемый принтер не занесен в список и требуется установить драйвер, то проделайте следующее.
Откройте папку Printers and Faxes (Принтеры и факсы).
Щелкните на Add a printer (Установка принтера). Будет инициирован мастер установки принтеров (Add Printer Wizard), который задаст вам следующие вопросы.
Инсталлируете ли вы локальный или сетевой принтер. Выберите сетевой принтер.
Путь к принтеру в сети. Используя кнопку обзора, найдите принтер в своей сети.
Какой драйвер следует инсталлировать. Позволяет использовать ранее установленный драйвер, обновить его более свежей версией или проинсталлировать новый драйвер.
Какое имя вы хотите дать принтеру. Описательное имя хорошо подходит, если в сети имеется несколько принтеров.
Хотите ли вы, чтобы принтер стал принтером по умолчанию. Если вы выберите утвердительный ответ, то все задания, связанные с печатью, будут посылаться на этот принтер.
После выполнения этих действий принтер можно считать успешно установленным и готовым к работе в любое время (при условии, что сервер печати включен).
Совместное использование приложений
В Windows XP Professional можно совместно использовать не только файлы, папки и принтеры. Сюда можно также отнести и приложение Windows Messenger, входящее в пакет программ Windows XP Professional и бесплатно доступное на сайте компании Microsoft. Это приложение обычно используется для организации чатов в интернете. Однако оно включает в себя несколько функций, позволяющих реализовывать совместное использование приложений как в локальных сетях, так и в интернете.
Для работы с Windows Messenger вы должны иметь учетную запись .NET Passport. При первоначальном запуске Windows Messenger мастер паспорта .NET (.NET Passport Wizard) создаст такую учетную запись.
Мы не будем слишком глубоко погружаться в механизм работы Windows Messenger, а только покажем, как совместно пользоваться приложениями с помощью этой программы, а точнее, одного из ее инструментов - Application Sharing (Общий доступ к приложению). Он позволяет использовать приложение в то время, когда другие наблюдают за вашими действиями, или, наоборот, другие пользователи из сети управляют приложением, а вы наблюдаете. Более того, этот инструмент обеспечивает совместную работу с приложением, не требуя от всех участников общения наличия приложения.
Примечание. Несмотря на то, что каждому участнику дискуссии не обязательно использовать для этого приложение, у них должна быть версия Windows Messenger, которая осуществляет поддержку общего пользования приложением. Мы советуем посетить сайт http://www.microsoft.com, чтобы приобрести последнюю версию Windows Messenger.
Подключение общего доступа к приложению
Перед тем как приступить к совместному использованию приложения, необходимо подписаться для работы с Windows Messenger, добавить пользователей, с которыми вы собираетесь пользоваться приложением, и т. д. После запуска инсталляции Windows Messenger программа проведет вас через все этапы, необходимые для создания этих настроек.
Для реализации совместного использования приложения в окне Windows Messenger Conversation (рис. 11.3) выберите Actions\Start Application Sharing (Действия\Запуск общего доступа к приложению).
После этого Windows Messenger посылает приглашения всем участникам дискуссии для совместного использования приложения. Если они щелкнут на Accept (Принять), то откроется окно сеанса общего доступа (рис. 11.4).
В появившемся окне выберите приложение для совместного использования с другими участниками. Например, если вы хотите совместно использовать электронную таблицу Excel, то нужно открыть Excel и загрузить электронную таблицу. Затем следует щелкнуть на Share. Это заставит приложение появиться на экранах всех участников дискуссии.
Примечание. Убедитесь, что экран совместно используемого приложения является активным. В противном случае он может быть заблокирован другим окном. Заблокированный вид будет передаваться всем пользователям приложения.
Рис. 11.3. Окно Windows Messenger Conversation
Рис. 11.4. Окно сеанса общего доступа программы Windows Messenger
Если вы решите совместно использовать приложение, то неплохо убедиться в том, что у всех пользователей установлено одинаковое разрешение экрана. Это предохранит экран от подергивания при движении курсора мыши. В локальных сетях не возникает проблем со скоростью при совместном использовании приложения. Однако при совместном использовании приложения с пользователями, подключенными по dial-up-соединению, загрузка экрана приложения на их рабочие столы потребует некоторого времени.
Разрешение другим пользователям контролировать приложение
После того как вы установили сеанс совместного использования приложения, можно передать контроль над ним другому пользователю, переключившись в окно Sharing и щелкнув на Allow Control (Разрешить управление) (см. рис. 11.5).
Рис. 11.5. Подключение пользователя для управления приложением
Если пользователь дважды щелкнет на окне, в котором отображается приложение, то у вас на экране появится окно Request Control (Запрос на управление), указывающее, кто именно желает управлять приложением. Вы можете нажать либо на Accept (Принять), либо на Reject (Отклонить) в зависимости от того, нужно ли передавать управление или нет.
Если вы укажете Accept, то у этого пользователя появляется возможность управления приложением с помощью мыши и клавиатуры. Вы можете прервать его, нажав любую клавишу. Когда вы закончите совместное управление приложением, то перейдите в окно Sharing и щелкните на кнопке Prevent Control (Запретить управление). По окончании сеанса совместного использования приложения просто закройте приложение.
Можно управлять правилами контроля над приложением, отметив флажок Automatically accept requests for control (Автоматически принимать запросы на управление). После этого вас не будут отвлекать запросы на разрешение управления. Если вы не хотите, чтобы вас донимали запросами об управлении и не намерены прекращать управление, отметьте флажок Do not disturb with requests for control right now (В данный момент не беспокоить запросами на передачу управления).
Примечание. Имейте в виду, что при совместном использовании Windows Explorer все окна Windows Explorer будут открыты для всех членов обсуждения.
Управление общим доступом
Вы можете управлять доступом к общим ресурсам Windows XP Professional двумя способами: с помощью настроенной политики безопасности и посредством оснастки Computer Management (Управление компьютером) консоли ММС. В этом разделе мы обсудим способы контроля над доступом к совместно используемым ресурсам.
С помощью правильных настроек системы безопасности можно запретить неавторизованным пользователям доступ к ресурсам для совместного использования или установить различные уровни авторизации для пользователей. Используя оснастку Computer Management, можно реагировать на события доступа, то есть просматривать доступ текущего пользователя, прерывать сеанс связи пользователей или посылать сообщения, если это необходимо.
Безопасность
В предыдущих двух лекциях мы уже говорили о безопасности. Однако когда дело касается ресурсов для совместного использования, то к вопросу обеспечения безопасности стоит вернуться. При настройке системы защиты ресурсов общего пользования надо учесть ряд факторов. Ваши возможности зависят от типа файловой системы, а также от использования Simple File Sharing системы Windows XP Professional. В этом разделе мы рассмотрим эти компоненты применительно к обеспечению безопасности сетевых ресурсов общего доступа.
Простой общий доступ к файлам
Как мы уже говорили ранее, Simple File Sharing (Простой общий доступ к файлам) является системой настроек, которые позволяют регулировать уровни совместного использования файлов. Simple File Sharing предоставляет различные сценарии для обеспечения безопасности совместно используемых ресурсов, и стоит разобраться в его работе более подробно.
Примечание. Инструкции по подключению и отключению Simple File Sharing можно найти в гл. 10.
При включении простого общего доступа к файлам совместное использование ресурсов упрощается. Однако за это приходится платить снижением гибкости системы безопасности. С другой стороны, если отключить Simple File Sharing, то Windows XP Professional предоставляет ряд возможностей для обеспечения безопасности. Эти возможности зависят от того, какой файловой системой вы пользуетесь - FAT или NTFS. При выборе файла или папки для совместного использования появятся разные окна в зависимости от того, включена или отключена опция Simple File Sharing. На рис. 11.6 и 11.7 показана вкладка Sharing (Общий доступ) для папок на компьютере с включенным и отключенным Simple File Sharing.
Посмотрев на эти рисунки, вы поймете, почему Simple File Sharing называется "simple", то есть "простой". В окне с подключенным Simple File Sharing задается только три вида настроек, да и те представляют собой флажки, которые надо отметить. При отключенном Simple File Sharing, напротив, можно сделать гораздо больше настроек для управления совместным использованием ресурсов.
Сделать или не сделать папку ресурсом для общего использования.
Дать имя ресурсу для общего использования.
Добавить комментарий к этому ресурсу (например, "Принтер для Евгении").
Определить количество пользователей, имеющих доступ к ресурсу.
Настроить разрешения для пользователей, имеющих доступ к ресурсу.
Создать конфигурации настроек для доступа в режиме офлайн.
Рис. 11.6. Совместное использование папки с включенным Simple File Sharing
Рис. 11.7. Совместное использование папки с отключенным Simple File Sharing
Примечание. Более подробно о работе с файлами в режиме офлайн мы поговорим в гл. 12.
Разрешения
При включении простого общего доступа к файлам на самом деле есть только одна возможность для обеспечения безопасности, а именно: разрешить или не разрешить пользователям изменять содержимое файлов. Так как Simple File Sharing позволяет любому пользователю получить доступ к файлам, то вам не придется выбирать тех, кто их просматривает, но можно запретить внесение изменений.
Отключив Simple File Sharing, вы получаете гораздо больше возможностей. Щелкнув на кнопке Permissions (Разрешения) на вкладке Sharing (Общий доступ), можно устанавливать разрешения для своего ресурса. В зависимости от файловой системы жесткого диска (FAT или NTFS) настройки, которые вы устанавливаете и регулируете, будут разными.
Жесткие диски с файловой системой FAT. Если вы пытаетесь установить разрешения на FAT-диске (или разделе диска), то ваши возможности ограничены по сравнению с возможностями NTFS-диска. Разрешения устанавливаются и регулируются в диалоговом окне Permissions (рис. 11.8).
В диалоговом окне Рermissions (Разрешения) выберите группу или отдельного пользователя, а затем используйте флажки в нижней части окна для настройки разрешений. Для файловой системы FAT имеется только три типа разрешений, которыми вы можете управлять.
Рис. 11.8. Настройка разрешений для совместно используемого ресурса
Full Control. Разрешает или запрещает пользователю или группе возможность чтения, записи, удаления, создания или изменения файлов. Эта настройка разрешает сетевому пользователю выполнять любые действия с файлом.
Change. Разрешает или запрещает удаление ресурсов, изменение разрешений или получение права собственности на ресурс.
Read. Разрешает или запрещает открытие и чтение файла.
Имейте в виду, что на самом деле у вас не шесть видов настроек, а только три. Запрещая один из типов доступа, вы автоматически изменяете два остальных вида настройки. Например, при отмене полного контроля разрешения на внесение изменений и чтение отменяются автоматически.
Примечание. Можно добавлять или удалять группы и отдельных пользователей этого ресурса с помощью кнопок Add и Remove.
Жесткие диски с файловой системой NTFS. Если вы управляете разрешениями доступа к совместно используемому ресурсу, находящемуся на диске (или разделе диска) в формате NTFS, то имеете больше возможностей по сравнению с FAT-диском. Как показано на рис. 11.9, NTFS-диски добавляют вкладку Security (Безопасность) в окно свойств файла или папки.
Примечание. При управлении доступом к совместно используемым файлам на NTFS-томе с точки зрения безопасности лучше пользоваться вкладкой Security (Безопасность) вместо вкладки Sharing (Общий доступ).
Рис. 11.9. Вкладка Security (Безопасность) диалогового окна свойств в файловой системе NTFS
Элементы управления безопасностью во вкладке Security аналогичны элементам диалогового окна Permissions (Разрешения) в FAT-системе. Сначала выбирается пользователь или группа, а затем устанавливается или регулируется разрешение. В файловой системе NTFS доступны следующие разрешения.
Full Control. Разрешает или запрещает для пользователя или группы чтение, запись, удаление, создание или изменение файлов. Эта настройка позволяет сетевому пользователю выполнять любые действия с вашим файлом.
Modify. Разрешает или запрещает удаление файлов или папок, изменение разрешений и получение прав собственности на файл или папку.
Read&Execute. Разрешает или запрещает чтение и запуск файлов. Пользователям нельзя вносить изменения в содержимое.
List Folder Contents. Разрешает или запрещает просмотр содержимого папки.
Read. Разрешает или запрещает просмотр содержимого диска или папки и открытие файлов.
Write. Разрешает или запрещает запись на диске или в папку. Пользователи не имеют права открывать папку и просматривать ее содержимое.
Special permissions. Щелкните на кнопке Advanced (Дополнительно), чтобы применить специальные разрешения.
Использование оснастки Computer Management (Управление компьютером)
Совместное использование файлов, папок и других ресурсов является удобным способом разрешить доступ многочисленным пользователям к сетевым ресурсам. Однако иногда требуется проследить за тем, кто посещает ресурсы. Например, если вы отвечаете за работу сервера, то неплохо было бы узнать, кто пользуется сервером, до того как работа сервера прервется. Также хорошо бы послать пользователям сообщение, предупреждающее о том, что им следует выйти из системы, вместо того чтобы бесцеремонно перезагрузить их систему. Есть еще ряд моментов, связанных с безопасностью и требующих проверки, кто чем пользуется. Кроме того, необходимость проверки использования ресурса может возникнуть в связи с планированием расширения сети. В любом случае система Windows XP Professional предоставит вам полезный инструмент мониторинга совместно используемых ресурсов, который называется Computer Management (Управление компьютером).
Что он содержит
Посмотрев на оснастку Computer Management (Управление компьютером), вы сразу поймете, что этот инструмент способен на большее, чем простое отключение пользователей. Давайте более детально рассмотрим папки, находящиеся в разделе Shared Folders (Общие папки) этого инструмента. В разделе содержатся три подкаталога:
Shares - совместно используемые ресурсы;
Sessions - сеансы;
Open Files - открытые файлы.
Используя инструмент Computer Management, можно контролировать доступ пользователя к открытым ресурсам путем отслеживания файлов, к которым осуществляется доступ, сессии отдельного пользователя, а также ресурса как такового.
Совместно используемые ресурсы. В папке Shares содержится список ресурсов совместного использования. Сюда входят следующие рубрики и данные.
Shared Folders. Содержит перечисление всех совместно используемых ресурсов компьютера: файлов, папок, принтеров или других ресурсов.
Shared Path. Путь к ресурсу, находящемуся в совместном использовании.
Type. Тип сетевого соединения (Windows, NetWare и т. д.)
#Client Connection. Количество пользователей, имеющих доступ к данному ресурсу.
Comment. Описание ресурса, находящегося в совместном использовании.
На рис. 11.10 показан пример такого обзора.
Рис. 11.10. Отображение ресурсов в оснастке Computer Management (Управление компьютером)
Сеансы. Сессия содержит информацию обо всех сетевых пользователях, имеющих соединение с компьютером. Информация в папке Sessions включает в себя следующее.
User. Сетевой пользователь, имеющий соединение с компьютером.
Computer. Имя компьютера, с которого пользователь устанавливает соединение.
Type. Тип сетевого соединения.
#Open Files. Количество ресурсов, открытых пользователем.
Connected Time. Время, проведенное пользователем на данном соединении.
Idle Time. Время, истекшее после последнего действия, инициированного пользователем.
Guest. Входит ли данный пользователь на этот компьютер в качестве гостя.
На рис. 11.11 представлен пример такого списка.
Открытые файлы. В папке Open Files содержится информация о файлах, открытых на вашем компьютере. Эта информация включает в себя следующее.
Рис. 11.11. Отображение сеансов в оснастке Computer Management (Управление компьютером)
Open File. Имена открытых файлов. Открытым файлом может быть задание для принтера или файл неопознанного типа.
Accessed By. Имя пользователя, имеющего доступ к файлу.
Type. Тип соединения.
#Locks. Количество блокировок ресурса.
Open Mode. Разрешение, выданное при открытии ресурса.
На рис. 11.12 приведен пример открытых ресурсов.
Рис. 11.12. Отображение открытых ресурсов в оснастке Computer Management (Управление компьютером)
Использование оснастки Computer Management (Управление компьютером)
Оснастку Computer Management можно активировать несколькими способами.
На рабочем столе щелкните правой кнопкой мыши на My Computer (Мой компьютер) и выберите Manage (Управление). Из стартового меню выберите Programs\Administrative Tools\Computer Management (Программы\Администрирование\Управление компьютером).
Если вы предпочитаете использовать ММС, то можете добавить Computer Management в свою консоль.
После запуска инструмента Computer Management (рис. 11.13) для управления ресурсами совместного пользования перейдите в Computer Management\System Tools\Shared Folders\Shares (Управление компьютером\Служебные программы\Общие папки\Общие ресурсы). В этом разделе консоли показаны все совместно используемые ресурсы компьютера: имя ресурса, физическое местонахождение папки и комментарии, относящиеся к ресурсам. Важно то, что в столбце # Client Connections отображено, сколько клиентов закреплено за ресурсом.
Рис. 11.13. Инструмент Computer Management (Управление компьютером)
При возникновении проблем с каким-нибудь ресурсом можно посмотреть, сколько клиентов имеет доступ к этому ресурсу. Затем, щелкнув правой кнопкой мыши на ресурсе, выбрать Properties (Свойства) из появившегося контекстного меню - появится перечень свойств ресурса. В этом окне наряду с основной информацией вы увидите максимальное количество клиентов, которым разрешен доступ к данному файлу. Возможно, вы придете к выводу, что проблемы с ресурсом возникают из-за слишком большого числа лиц, использующих его. Можно использовать этот список для проверки настроек системы безопасности и кэша данного ресурса.
Как послать сообщение
В начале этого раздела говорилось о том, что полезно посылать пользователям, имеющим доступ к общим ресурсам, сообщения, предупреждающие о том, что вы собираетесь отключить их от ресурса.
Для отправки сообщения пользователю совершите навигацию в консоли Computer Management\System Tools\Shared Folders и затем щелкните правой кнопкой мыши на Shared Folders. Затем выберите All Tasks\Send Console Message (Все задачи\Сообщение консоли). Откроется диалоговое окно, в котором вы можете написать свое сообщение (рис. 11.14). Конечный вид сообщения, появляющийся на экране пользователя, показан на рис. 11.15.
Рис. 11.14. Отправка сообщения пользователю
Рис. 11.15. Сообщение, отображаемое пользователю
Если сообщение пользователю с требованием прервать соединение не работает (например, пользователь отошел от компьютера), а вам необходимо, чтобы он прервал связь немедленно, то вам придется отключить его в принудительном порядке. Это можно выполнить, совершив навигацию в Computer Management\System Tools\Shared Folders\Open Files. Щелкните правой кнопкой мыши на Open Files и выберите All Tasks\ Disconnect All Open Files (Все задачи\Отключить все открытые файлы).
Совместное использование ресурсов занимает центральное место в работе компьютерных сетей. Система Windows XP Professional не только обеспечивает вам легкий способ совместного использования файлов и папок (посредством Simple File Sharing), но предлагает и средства управления этими ресурсами. Вы можете не только предпринимать превентивные действия для управления ресурсами, но и отслеживать то, что происходит, когда пользователи начинают совместно использовать свои ресурсы
Лекция 12. Автономные файлы и папки
Представьте себе, что сейчас воскресенье, половина одиннадцатого вечера. Один из ваших сотрудников провел большую часть уикенда в офисе, заканчивая отчет, который необходимо сдать в понедельник утром. Во время работы над решающей частью отчета вдруг появляется окно, сообщающее этому пользователю, что его работа в сети прервана. Это означает, что ваш сотрудник не может закончить отчет, не говоря уже о том, чтобы получить доступ к базе данных, где хранится вся финансовая информация за этот квартал. Все попытки установить соединение терпят неудачу. Как в таком случае поступить пользователю?
К сожалению, пользователю из этого сценария придется пережить неприятную ситуацию, когда надо будет представить отчет. Однако ее можно было бы избежать, если бы пользователь применил инструмент Offline Files (Автономные файлы). Это свойства Windows XP Professional позволяет продолжать работу над сетевым файлом, даже если связь с сетью потеряна.
Как показано в предыдущей лекции, компьютерные сети в системе Windows XP Professional обеспечены великолепными средствами для совместного использования файлов, папок и приложений. Пользователь может получать доступ к папкам, находящимся на сервере или в общих папках другого пользователя, что дает замечательную возможность для взаимодействия при работе над документами или для доступа к хранилищу общей информации. Однако бывают случаи, когда пользователь просто не может установить соединение с локальной сетью (LAN). Отсутствие сетевого соединения, тем не менее, не означает, что пользователь не может получить доступа к своим файлам.
Инструмент Offline Files (Автономные файлы) в Windows XP Professional является одним из способов обеспечения связи для пользователей, которым необходимо получить доступ к централизованно хранящимся ресурсам общего пользования. Offline Files разрешает получить доступ к файлам пользователям, которые вынуждены отключить свой компьютер от сети (например, во время поездки), или тем, кто подключается к сети периодически. Также этот инструмент полезен при отключении сервера, при потере связи пользователем и в других случаях.
Люди, находящиеся в пути, могут получить доступ к своим сетевым файлам, однако им не надо устанавливать физическое соединение с сетью для работы с этими файлами. Очевидно, что в этом случае возникает проблема сохранения целостности данных. Когда одни файлы находятся в сети, а другие - на локальных компьютерах пользователей, то должно быть средство для сверки этих документов. Во избежание появления нескольких версий одних и тех же файлов, что может привести к путанице, система Windows XP Professional разрешает пользователям, работающим с инструментом Offline Files (Автономные файлы), устанавливать повторное соединение с сетью для синхронизации своих файлов. Это можно сделать после прихода пользователя в офис или удаленно (например, установив dial-up-соединение).
В этой лекции рассматриваются вопросы, относящиеся к работе с автономными файлами и папками. Мы обсудим настройку автономных файлов и папок, управление этими файлами и синхронизацию. Мы также рассмотрим Windows Briefcase (Портфель Windows), являющийся еще одним инструментом для работы с автономными файлами. Наконец, обсудим способы решения проблем, возникающих при работе с файлами и папками в режиме офлайн.
Использование автономных файлов и папок
Инструмент Offline Files (Автономные файлы) полезен не только для тех, кто продолжает работать во время поездок. Для пользователя, о котором шла речь в начале лекции, этот инструмент может стать просто спасителем. Например, если для проведения работ сервер требуется отключить от сети, а пользователям необходим доступ к сетевым файлам, то они могут обозначить свои файлы как Offline Files и продолжить работу. После повторного соединения эти файлы надо будет синхронизировать.
Для повышения доступности Offline Files можно использовать в паре с Folder Redirection (Перенаправление папки). Например, если пользователь пытается войти в папку на компьютере другого пользователя, то с помощью Folder Redirection он может перенести содержание папки на сервер. По умолчанию Windows XP Professional делает любую переадресованную папку доступной в автономном режиме. Поэтому, если Дейв из бухгалтерии пытается войти в папку на компьютере Ларри из производственного отдела, но Ларри выключил компьютер, то Дейв все же может получить доступ к папке Ларри, если она была перенаправлена, и ее копия находится на сервере.
Примечание. Если вы решите отключить Folder Redirection (Перенаправление папки) в своей организации, то воспользуйтесь оснасткой Group Policy консоли ММС и измените настройки опции Do not automatically make redirected folders available offline (Не делать перенаправляемые папки доступными в автономном режиме автоматически).
В Active Directory настройки Group Policy используются для управления инструментом Offline Files (Автономные файлы). Об этих настройках мы будем говорить позже.
Подключение
Первым шагом в использовании Offline Files (Автономные файлы) является подключение этого инструмента на локальном компьютере. Настройка конфигурации компьютера для работы с автономными файлами требует выполнения следующих действий.
Выберите Start\My Computer (Пуск\Мой компьютер).
В меню Tools (Сервис) выберите Folder Options (Свойства папки).
Щелкните на вкладке Offline Files (Автономные файлы) (рис. 12.1).
Отметьте флажок Enable Offline Files (Использовать автономные файлы) и затем нажмите ОК.
Рис. 12.1. Подключение инструмента Offline Files (Автономные файлы)
Примечание. Вы не сможете использовать автономные файлы, если на компьютере задействована опция Fast User Switching (Быстрая смена пользователей). Для ее отключения войдите в User Accounts (Учетные записи пользователя) в панели управления. Выберите Change the way users log on or off (Изменение входа пользователей в систему) и отключите флажок Use Fast User Switching (Использовать быструю смену пользователей).
Как сделать файлы и папки доступными в автономном режиме
После подключения инструмента Offline Files (Автономные файлы) вы можете выбрать файлы и папки для работы в автономном режиме. Как и при выполнении многих других заданий в Windows XP Professional, можно вызвать соответствующего мастера (в данном случае Offline File Wizard) для помощи в отборе файлов и папок, которыми нужно управлять. Доступ к файлам и папкам, отобранным для работы в автономном режиме, осуществляется особым образом, чтобы они были корректно синхронизированы после восстановления сетевого соединения. Эти процедуры описаны в следующих лекциях.
Мастер автономных файлов
Чтобы использовать файл или папку в автономном режиме, проделайте следующие шаги.
В Проводнике Windows совершите навигацию к файлу или папке сети, с которыми нужно работать автономно.
Щелкните правой кнопкой мыши на этом файле или папке и затем выберите в меню ярлыков Make Availablе Offline (Сделать доступной автономно). Активируется мастер автономных файлов (Offline File Wizard) (рис. 12.2).
Рис. 12.2. Мастер автономных файлов
Щелкните на Next (Далее). Мастер спросит, желаете ли вы автоматически синхронизировать файлы при следующем входе или выходе из сети. Сделайте свой выбор и щелкните на Next.
Далее мастер предоставит вам две опции. Первая - Enable Reminders (Включить уведомления) - при работе в автономном режиме будет уведомлять вас об этом сообщением в окне уведомлений. Вторая спрашивает о создании ярлыка к автономным файлам на рабочем столе. С его помощью можно быстро переходить к этим файлам. Сделайте свой выбор и нажмите на Finish (Готово).
Примечание. Наличие ярлыка к автономным файлам упрощает доступ к ним.
Если вы выбрали папку, в которой имеются подкаталоги, то появится диалоговое окно с запросом на преобразование этих подкаталогов в автономные. Сделав выбор, нажмите ОК.
В то время, когда Windows XP professional перемещает файлы и папки в папку Offline Files (Автономные файлы), на экране появляется диалоговое окно Synchronizing (Синхронизация). Автономные файлы доступны с Windows-серверов. Если сервер от стороннего производителя использует протокол SMB (Server Message Block), то к автономным файлам можно получить доступ с серверов другого типа, таких как UNIX-серверы.
Для того чтобы использовать эту особенность серверов от сторонних производителей, убедитесь, что на сервере установлен протокол SMB. После подключения этого протокола можно использовать Windows XP для установки соединения с файлами и обеспечения их доступности в автономном режиме.
Использование автономных файлов
Использование автономных файлов представляется достаточно простым (и, до некоторой степени, так оно и есть), но вы должны быть уверены в том, что пользуетесь этими файлами правильно. Это убережет вас от потери данных, что и является основной задачей Offline Files.
Если при работе мастера вы создали ярлык к своим автономным файлам и папкам, то их использование сильно упрощается. Просто щелкайте дважды на этом ярлыке и затем открывайте свои файлы в появившемся окне.
Если вы не создали ярлыка, то сможете найти файлы, открыв Windows Explorer и выбрав Tools\Folder Options (Сервис\Свойства папки). Затем следует щелкнуть на вкладке Offline Files (Автономные файлы) и на View Files (Просмотр файлов). На рис. 12.3 показано окно, которое открывается независимо от вида доступа к этим файлам.
Используя автономные файлы, не забывайте сохранять их в папке Offline Files для правильной синхронизации при установлении соединения с совместно используемым сетевым ресурсом.
Загрузка файлов для работы в автономном режиме
После того как вы выбрали файлы и папки для работы с ними в автономном режиме, Windows XP Professional может загрузить их на локальный компьютер двумя способами. Способ загрузки зависит от того, как вы указали системе Windows XP Professional файлы, которыми хотите пользоваться. К тому же, при выполнении некоторых условий файлы могут быть загружены на локальный компьютер при восстановлении сетевого соединения.
Рис. 12.3. Автономные файлы в папке Offline Files
Автономные файлы
Существует два способа получения файлов для использования их в автономном режиме. Можно указать Windows XP Professional, какие именно файлы нужно использовать автономно, либо можно создать что-то вроде общего указания и надеяться на то, что система займется этими файлами при выполнении служебных заданий. Указать файлы для автономного использования можно двумя способами.
Вручную. Файлы "захватываются" вручную при проверке компьютером файлов и папок на принадлежность их к автономным файлам. Это выполняется посредством навигации к файлу или папке и выбора в меню File (Файл) пункта Make Available Offline (Сделать доступным автономно). Файлы этого типа всегда будут доступны в автономном режиме.
Автоматически. Файлы захватываются автоматически при указании сервера на то, что данный файл или папка должны быть доступны в автономном режиме. В этом случае некоторые файлы могут стать доступными в автономном режиме, но без гарантии, что так будет обязательно.
Вы можете установить автоматический захват избранных файлов или папок, щелкнув правой кнопкой мыши на папке, затем выбрав Properties (Свойства), щелкнув на вкладке Sharing (Общий доступ) и затем щелкнув на Catching. В появившемся окне настроек щелкните на Automatic Catching of Documents. Этим же способом вы можете отменить захват файлов.
По умолчанию под автономные файлы отводится 10 % пространства на жестком диске. Этот объем можно регулировать в диапазоне от 0 до 100 %. На размер этого пространства не влияют файлы, захваченные вручную, а также файлы, выбранные администратором. В целом файлы, захваченные вручную, могут использовать все доступное дисковое пространство.
Условия для восстановления соединения
Сетевой ресурс становится доступным после того, как он находился в автономном режиме, при выполнении трех условий.
Нет открытых автономных файлов.
Ни один из автономных файлов из сетевого ресурса не нуждается в синхронизации.
Сетевое соединение не является медленным (slow link).
Примечание. Slow link - это ограничение, которое вы устанавливаете для скорости соединения. Если скорость соединения опускается ниже этой отметки, то соединение считается медленным.
Если эти три условия удовлетворены, то пользователь может открыть файл и начать с ним работать. Файл будет сохраняться как в сетевом ресурсе, так и в папке Offline Files (Автономные файлы). При отсутствии одного из условий пользователь может войти в автономный файл, даже если доступна его версия на сетевом ресурсе общего пользования. Любые изменения, внесенные в файл, необходимо синхронизировать с версией на сетевом ресурсе.
Примечание. Более подробно мы поговорим об этом в разделе "Синхронизация".
Удаление автономных файлов
При переезде в новый дом всегда остаются не распакованными несколько коробок. Там могут находиться елочные украшения или хлам, который вы планируете однажды разобрать и рассортировать. В любом случае эти коробки будут валяться на чердаке или в углу гаража. Со временем таких коробок становится все больше. Вы даже не можете вспомнить, когда их туда положили. Автономные файлы создают такую же проблему. Только они загромождают не чердак, а жесткий диск компьютера.
По прошествии некоторого времени в папке Offline Files (Автономные файлы) появляется много файлов, которыми вы больше не пользуетесь. Такая перегруженность не только мешает работать, но и поглощает пространство жесткого диска. Разумнее будет удалять из системы те файлы, которые больше не нужны.
Удалить автономные файлы можно одним из способов: либо удалить файл или файлы из папки Offline Files, либо удалить все файлы, имеющие отношение к определенному ресурсу, используя инструмент Delete Files (Удаление файлов) на странице свойств автономных файлов.
Предупреждение. Никогда не удаляйте, не перемещайте и не изменяйте файлы, находящиеся в папке systemroot\CSC.
Не беспокойтесь: при удалении автономные файлы удаляются только из кэша локального компьютера, а не из их исходного места расположения в сети.
Использование папки Offline Files (Автономные файлы)
Чтобы удалить автономные файлы из кэша компьютера, используя папку Offline Files (Автономные файлы), проделайте следующие шаги.
Совершите навигацию к нужной папке в Проводнике Windows, а затем в меню Tools (Сервис) выберите Folder Options (Свойства папки).
Щелкните на вкладке Offline Files (Автономные файлы).
Щелкните на View Files (Просмотр файлов).
Выберите файлы, которые нужно удалить, а затем в меню File (Файл) щелкните на Delete (Удалить).
Удаление из кэша сетевого ресурса
Для удаления файлов из кэша сетевого ресурса проделайте следующие шаги.
Используя Проводник Windows, совершите навигацию к папке сетевого ресурса и в меню Tools (Сервис) выберите Folder Options (Свойства папки).
Щелкните на вкладке Offline Files (Автономные файлы).
Щелкните на Delete files (Удалить файлы).
Появится диалоговое окно с запросом на подтверждение удаления. Можно выбрать только удаление временных версий автономных файлов (то есть файлов, которые кэшируются автоматически). Можно также выбрать удаление и временных версий, и версий, доступных в автономном режиме.
Очистка кэша
Вы можете обнаружить, что попытки удаления файлов из кэша оказались тщетными. В этом случае вы можете позволить себе более агрессивное действие и полностью очистить кэш, инициализировав его заново. Имейте в виду, что таким образом вы удалите все, что находится в кэше. Поэтому, если там находятся не синхронизированные файлы, то их надо сначала синхронизировать. Чтобы заново инициализировать кэш, проделайте следующие шаги.
В Windows Explorer совершите навигацию к нужной папке, а затем в меню Tools (Сервис) выберите Folder Options (Свойства папки).
Щелкните на вкладке Offline Files (Автономные файлы).
Нажмите CTRL+SHIFT и затем щелкните на Delete Files (Удалить файлы).
Для выполнения повторной инициализации перезапустите компьютер.
Примечание. Перезагрузка компьютера отнимает время и снижает продуктивность работы. Поэтому хорошей практикой считается наблюдение за своими кэшированными файлами и удаление их по мере необходимости. Однако если вы затеяли генеральную уборку и хотите удалить из кэша все, то лучше сделать это тогда, когда у вас действительно есть свободное время, и его можно потратить на перезагрузку компьютера.
Безопасность
Автономные файлы кэшируются в папке Offline Files (Автономные файлы). На каждом компьютере существует только одна папка Offline Files, независимо от того, сколько человек имеют доступ к этому компьютеру. Для предотвращения неавторизованного доступа эта папка защищена разрешениями администратора. Как вы помните из нашего обсуждения NTFS-файлов, такой уровень разрешения доступен только в формате NTFS. Защитить автономные файлы и папки можно также с помощью разрешений, оснастки Group Policy и шифрования.
Разрешения
Автономные файлы можно защищать с помощью разрешений, как и любые другие файлы в системе NTFS, т. е. для папки Offline Files поддерживаются такие же разрешения, как и для сетевого ресурса, где они находились изначально. Допустим, что Ларри и Дейв пользуются одним компьютером для входа в сеть. Ларри создал в сетевом ресурсе электронную таблицу, установив для этого файла разрешения, чтобы никто, кроме него, не мог получить доступа к этой таблице. После переноса автономной копии этого файла в компьютер Ларри уезжает на один день. Когда Дейв, в свою очередь, садится за компьютер, то электронная таблица находится в общей папке Offline Files. Однако Дейв не может получить доступ ни к варианту, находящемуся в сетевом ресурсе общего пользования, ни к версии в папке Offline Files, так как на них распространяется действие разрешений, установленных Ларри.
Установка и перенос действия разрешений имеют место независимо от типа файловой системы на жестком диске. Если вы установили разрешения на доступ к сетевому ресурсу, используя NTFS, а затем сделали этот файл доступным автономно на FAT-диске, то в системе Windows XP Professional разрешения будут сохранять свою силу, даже если диск не использует формат NTFS.
Управление посредством настроек в групповой политике
Как мы уже говорили ранее, разрешениями и настройками автономных файлов можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС (рис. 12.4). Настройки, управляющие безопасностью автономных файлов, регулируются в двух разделах оснастки Group Police в зависимости от того, какой тип управления необходимо настроить.
Computer. Вы можете управлять специфическими настройками автономных файлов в отдельном компьютере в разделе Computer Configurations\Administrative Templates\Network\Offline Files.
User. Вы можете управлять специфическими настройками автономных файлов пользователя или группы в разделе User Configurations\ Administrative Templates\Network\Offline Files.
Рис. 12.4. Оснастка Group Policy (Групповая политика) для управления автономными файлами
На рис. 12.5 показано диалоговое окно для специальной настройки автономного файла.
В таблице 12.1 перечислены настройки папки автономных в оснастке Group Policy и дано краткое описание их функций.
Рис. 12.5. Установление политики автономных файлов
Таблица 12.1. Настройки групповой политики для автономных файлов |
|
Настройка |
Описание |
Allow or Disallow use of Offline Files features (Разрешить или запретить использование автономных файлов) |
Устанавливает подключение или отключение автономных файлов. |
Prohibit user configuration of Offline Files (Запретить пользовательскую настройку автономных файлов) |
Устанавливает возможность для пользователя управлять настройками автономных файлов. |
Synchronize all offline files when logging off (Синхронизовать автономные файлы при выходе из системы) |
Синхронизирует файлы при выходе пользователя из системы. |
Synchronize all offline files before logging on (Синхронизовать автономные файлы при входе в систему) |
Синхронизирует все автономные файлы перед входом пользователя в систему. |
Synchronize offline files before suspend (Синхронизовать автономные файлы перед приостановкой) |
Синхронизирует все файлы при входе компьютера в ждущий режим. |
Default cache size (Размер кэша по умолчанию) |
Устанавливает границы пространства на жестком диске, отведенного для автономных файлов. |
Action on server disconnect (Действия при отключении от сервера) |
Определяет, следует ли оставлять автономные файлы доступными при неожиданном разрыве связи компьютера с сетью. |
Non-default server disconnect actions (Нестандартные действия при отключении от сервера) |
Устанавливает реакцию компьютеров на разрыв связи с серверами. В зависимости от имени сервера могут быть назначены разные действия. |
Remove "Make Available Offline" tab (Удалить вкладку "Сделать доступным автономно") |
Запрещает пользователям делать файл или папку доступными в автономном режиме путем удаления вкладки Make Available Offline из меню файла и меню всех ярлыков. |
Prevent use of Offline Files folder (Запретить использование папки "Автономные файлы") |
Дезактивирует кнопку View Files (Просмотр файлов) на вкладке Offline Files (Автономные файлы). Этим создается запрет для пользователей на просмотр или открытие файлов с помощью папки Offline Files. Однако это не мешает им работать с автономными файлами или использовать Windows Explorer для навигации к своим автономным файлам. |
Files not cached (Некэшируемые файлы) |
Исключает кэширование файлов определенного типа. Эта настройка нужна при наличии файлов, которые нельзя отделять друг от друга, например компонентов базы данных. |
Administratively assigned offline files (Административно назначенные автономные файлы) |
Позволяет администраторам устанавливать доступность файлов и папок для работы в автономном режиме. |
Turn off reminder balloons (Отключить всплывающие напоминания) |
Включает или отключает сообщения, появляющиеся в связи с потерей соединения, чтобы поставить пользователей в известность о том, что они работают с локальной копией файла. |
Reminder balloon frequency (Частота появления всплывающих напоминаний) |
Устанавливает частоту появления сообщений (мин). |
Initial reminder balloon lifetime (Длительность отображения первого всплывающего напоминания) |
Устанавливает время (с), в течение которого первоначальное сообщение находится на экране пользователя. |
Reminder balloon lifetime (Длительность отображения всплывающих напоминаний) |
Устанавливает время (с), в течение которого последующие сообщения находятся на экране пользователя. |
At logoff, delete local copy of user’s offline files (При выходе из системы удалять локальную копию автономных файлов пользователя) |
Удаляет файлы из кэша при выходе локального пользователя из системы. (Примечание. Эта настройка не синхронизирует файлы автоматически. Если локальный пользователь не синхронизирует свои файлы, то они будут потеряны при очистке кэша.) |
Event logging level (Уровень регистрации событий) |
Устанавливает, какие события папки Offline Files должны регистрироваться в журнале событий. |
Subfolders always available offline (Сделать подпапки всегда доступными в автономном режиме) |
Делает все подпапки доступными в случае доступности основной папки в автономном режиме. |
Encrypt the Offline Files cache (Шифровать кэш автономных файлов) |
Шифрует автономные файлы, хранящиеся в кэше. |
Prohibit "Make Available Offline" for these files and folders |
Позволяет администраторам назначать папки и файлы, которые не могут быть доступны в режиме офлайн. |
Configure slow link speed (Настроить скорость медленного подключения) |
Устанавливает скорость соединения, которую Offline Files будет считать слишком низкой, ограничивая объем трафика для сохранения скорости соединения. |
Некоторые из настроек таблицы 12.1 актуальны только для компьютеров, а некоторые - только для пользователей. Однако если один и тот же вид настроек конфигурируется как для компьютера, так и для пользователя, то в первую очередь создается конфигурация для компьютера.
Шифрование
Система EFS (Encrypting File System) может быть использована и в ваших автономных файлах для сохранения их секретности. Пока автономные файлы находятся на диске формата NTFS, их можно зашифровывать. Для включения шифрования автономных файлов в диалоговом окне Folder Options (Свойства папки) щелкните на вкладке Offline Files (Автономные файлы), а затем отметьте флажок Encrypt offline files to secure data (Шифровать автономные файлы для защиты данных), как это показано на рис. 12.6.
Рис. 12.6. Шифрование автономных файлов
Для группы пользователей эта настройка может быть реализована посредством групповой политики, как показано в предыдущем разделе. Используя оснастку Group policy (Групповая политика), включите настройку Encrypt the Offline Files cash (Шифровать кэш автономных файлов). Так как эту настройку инициирует администратор для группы пользователей, то она не может быть отменена отдельным пользователем на локальном компьютере.
Печать в автономном режиме
Две наиболее вероятные причины, по которым вы прибегаете к использованию автономных файлов, заключаются в том, что вы работаете с переносным компьютером либо по какой-то причине потеряли связь с сетевым ресурсом. Если вы используете сетевой принтер, то не сможете напечатать свои файлы, пока связь с сетью не будет восстановлена.
В зависимости от того, насколько срочно необходимо напечатать документ, вы либо будете ждать своей очереди, либо начнете искать принтер, которым можно в данный момент воспользоваться. Давайте рассмотрим оба этих сценария и поведение Windows XP Professional в соответствии с ними.
Печать без принтера
Если на компьютере установлен принтер, но в данный момент не соединен с ним, то воспользуйтесь опцией задержки печати Windows XP Professional. Она позволяет дать команду на печать, но задание будет сохраняться на жестком диске, до тех пор пока ни будет установлено соединение с принтером. При восстановлении соединения (либо с сетевым, либо с локальным принтером) вы увидите сообщение о заданиях принтера, ждущих исполнения. На этом этапе можно напечатать или отменить эти задания.
Если после установки связи с принтером такое сообщение не появилось, то можно вручную заставить принтер начать выполнение задания, проделав следующие шаги.
Выберите Start\Printers and Faxes (Пуск\Принтеры и факсы).
Щелкните правой кнопкой мыши на принтере, находящемся в автономном режиме. Рядом с опцией Use Printer Offline (Работать автономно) в меню ярлыков должна появиться отметка.
Снимите флажок Use Printer Offline - выполнится запуск заданий печати.
Если вы торопитесь напечатать файл, то можете установить соединение с другим принтером, которым обычно не пользуетесь.
Использование другого принтера
При наличии нужной программы можно временно сменить принтер, используемый компьютером Windows XP Professional. Наибольшая трудность при этом состоит в нахождении корректного драйвера для этого принтера. Если драйвер есть на установочном диске Windows XP Professional, то операционная система сможет найти его, так как она копирует большую часть драйверов на жесткий диск во время инсталляции. Возможно, придется воспользоваться дискетой или компакт-диском, на котором находится нужный драйвер. При наличии интернет-соединения можно зайти на сайт производителя принтера и скачать копию драйвера.
Допустим, что расположение планет было благоприятным, и вы получили необходимый драйвер. Проделайте следующие шаги, чтобы установить драйвер для временного использования нового принтера.
Выберите Start\Printers and Faxes (Пуск\Принтеры и факсы).
Откройте принтер по умолчанию (при наличии отложенных заданий печати они появятся в списке).
Щелкните правой кнопкой мыши на окне принтера и выберите Properties (Свойства).
В случае необходимости поменяйте порт соединения с принтером на вкладке Ports (Порты).
Щелкните на вкладке Advanced (Дополнительно) и выберите нужный драйвер. Если временно используемый принтер не значится в списке, то щелкните на кнопке New Driver (Установить драйвер) и выберите тот тип принтера, который у вас имеется.
Выйдите изо всех диалоговых окон. Система Windows XP Professional может попросить вставить установочный компакт-диск (хотя можно воспользоваться CAB-файлами для завершения инсталляции вместо использования установочного диска).
После возвращения в свое обычное рабочее окружение нужно проделать все эти шаги, чтобы переустановить обычный принтер в качестве принтера по умолчанию.
Инсталляция временного принтера проходит болезненно и требует соблюдения ряда условий. Во-первых, необходим доступ ко второму принтеру; во-вторых, у вас должен быть нужный драйвер, и , наконец, у вас должен быть установочный диск Windows XP Professional (или, по крайней мере, необходимые САВ-файлы). Во время поездки всего этого может и не оказаться.
Синхронизация
Когда компьютер восстанавливает соединение с сетью (например, работник, находящийся в отъезде, устанавливает связь с локальной сетью на своем портативном компьютере или те, кто автономно работал с файлами, пока сервер был отключен), то требуется синхронизация автономных файлов с их сетевыми оригиналами. Все это выполняется в Windows XP Professional с помощью Synchronization Manager (Диспетчера синхронизации).
Используя групповую политику, администраторы могут устанавливать время синхронизации автономных файлов в компьютере. Это делается в следующих ситуациях:
при входе пользователя в сеть;
при выходе пользователя из сети;
когда компьютер находится в режиме ожидания.
В этом разделе рассматриваются особенности синхронизации автономных файлов и настройки, необходимые для управления синхронизацией.
Синхронизация автономных файлов и папок
Как мы уже отмечали ранее, основное назначение автономных файлов состоит в создании возможности для пользователей отключать свои компьютеры от сети и продолжать пользоваться сетевыми файлами. Это делает любой ресурс, доступный в сети, доступным и в автономном режиме.
При восстановлении связи с сетью автономно использовавшиеся файлы следует скоординировать с файлами сетевого ресурса. Это выполняется посредством Synchronization Manager (Диспетчера синхронизации).
Диспетчер синхронизации
Диспетчер синхронизации (Synchronization Manager) сканирует систему и при обнаружении изменений автоматически обновляет файлы. Обновление только измененных файлов (а не всех автономных файлов) экономит время и ресурсы компьютера.
Использование диспетчера синхронизации позволяет синхронизировать файлы и веб-страницы одним из способов:
во время входа (или выхода) в сеть;
во время бездействия компьютера;
по расписанию.
Помимо автоматической синхронизации в соответствии с установками диспетчера пользователь может проводить синхронизацию вручную. Более того, во время синхронизации можно дать команду Windows XP Professional на выполнение одного из типов синхронизации.
Full synchronization (Полная синхронизация). Синхронизирует каждый файл локального кэша с файлами сетевого ресурса.
Quick synchronization (Быстрая синхронизация). Убеждается в том, что в кэше содержатся все файлы, не заботясь об их обновлении.
Например, для быстрой синхронизации допустим, что у вас есть файл размером 1 Мб, который называется Test.doc. При первой синхронизации компьютер-клиент будет постепенно загружать Test.doc, пока полностью его ни загрузит. Однако если что-то помешает полной загрузке файла Тest.doc в компьютер-клиент, то он не будет доступен в автономном режиме. Быстрая синхронизация используется для докачки таких файлов.
Полная синхронизация проводится по умолчанию при каждом выходе клиента из сети. Оснастка Group Policy (Групповая политика) используется для управления настройками синхронизации, и если вы решите отключить элемент настройки Synchronize all files before logging off (Синхронизировать все файлы перед выходом), то система будет автоматически выполнять быструю синхронизацию.
Во время синхронизации система Windows XP Professional сравнивает оригинальный файл, находящийся на сетевом ресурсе, с его версией в кэше локального компьютера. При обнаружении различий можно изучить оба файла и решить, какой из них следует оставить. При синхронизации появляется окно Resolve File Conflicts (Устранение конфликтов файлов), предоставляющее следующие возможности.
Keep both versions. Сохраняются обе версии файла. Однако версия локального кэша сохраняется в сети с использованием формата filename (username vx).ext, где filename - исходное имя файла; username - имя пользователя; х - номер версии; ext - расширение файла.
Keep only the version on my computer. Версия в сети замещается версией из локального кэша
Keep only the network version. Версия локального кэша замещается сетевой версией.
Конфигурирование синхронизации
Для синхронизации папки автономных файлов проделайте следующие шаги.
Выберите Start\All Programs\Accessories\Synchronize (Пуск\Все программы\Стандартные\Синхронизация).
В диалоговом окне Items to Synchronize (Синхронизируемые объекты) щелкните на Setup (Установка). Появится окно, показанное на рис. 12.7.
Рис. 12.7. Синхронизация файлов, используемых в автономном режиме
В окне When I am using this network connection (При использовании данного сетевого подключения) выберите соединение, для которого вы хотите указать автономные веб-страницы и файлы, нуждающиеся в синхронизации.
Все автономные страницы и файлы перечислены в окне Synchronize the following checked items (Синхронизировать все отмеченные элементы). Выберите элементы, которые вы хотите синхронизировать во время следующего входа в сеть.
Повторяйте шаги 3 и 4, пока не сконфигурируете настройки синхронизации для каждого сетевого соединения.
Укажите, желаете ли вы синхронизировать файлы во время входа или выхода из Windows или хотите получать уведомление перед проведением синхронизации.
Нажмите на ОК.
Щелкните на Synchronize, чтобы выполнить синхронизацию немедленно или нажмите на Close, чтобы закрыть диалоговое окно Items to Synchronize.
Синхронизация по расписанию
Вы можете указать для своих автономных файлов (и веб-страниц) определенное время, когда они должны синхронизироваться. Это удобно, если вы регулярно работаете в режиме оффлайн и должны синхронизировать свои файлы с сетевыми ресурсами. Для настройки синхронизации по расписанию выполните следующие шаги.
Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
Щелкните на вкладке Scheduled (Расписание).
Щелкните на Add (Добавить). Будет запущен мастер расписания синхронизации (Scheduled Synchronization Wizard) (рис. 12.8).
Рис. 12.8. Мастер расписания синхронизации
Выберите соединение, которое вы хотите использовать.
Щелкните на Next (Далее).
В ниспадающем списке щелкните на сетевом соединении, которое будет использоваться для синхронизации.
Во вспомогательном окне On this connection, synchronize these items (Синхронизировать данные элементы при этом соединении) отметьте все флажки рядом с элементами, которые вы хотите синхронизировать. Если установление связи не гарантируется к моменту проведения синхронизации, то отметьте флажок If my computer is not connected when this scheduled synchronization begins, automatically connect for me (Если компьютер не подключен к интернету к началу запланированной синхронизации, подключаться автоматически).
Щелкните на Next.
Мастер позволяет устанавливать время для синхронизации по графику. Можно проводить синхронизацию ежедневно, еженедельно или каждые х дней. Кроме того, можно назначить дату начала синхронизации по графику.
Щелкните на Next и дайте имя заданию.
Щелкните на Finish (Готово) для завершения выполнения задания расписания по графику.
Для удаления или внесения изменений в существующий график синхронизации на шаге 3 выберите синхронизацию по графику и щелкните на кнопке Delete (Удалить) или Edit (Изменить).
Возможности синхронизации на переносном компьютере
Если пользователь работает с автономными файлами на переносном компьютере, то некоторые настройки могут оказаться полезными при выполнении (или планировании) синхронизации. В следующих разделах речь пойдет о различных приемах, которыми можно воспользоваться для оптимизации процесса синхронизации на портативном компьютере, в особенности, если он работает от батареек.
В ждущем режиме
Когда переносной компьютер находится в состоянии бездействия и работает от батареек, синхронизация не выполняется. Такая установка дается по умолчанию для экономии энергии батареек. Если вы хотите отключить этот вид настройки, то выполните следующие действия.
Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
В появившемся диалоговом окне Synchronization Settings (Параметры синхронизации) щелкните на вкладке On Idle (При простое), а затем щелкните на Advanced (Дополнительно).
В появившемся диалоговом окне Idle Settings (Параметры синхронизации при простое) (рис. 12.9) очистите флажок Prevent synchronization when me computer is running on battery power (Запретить синхронизацию при питании компьютера от батарей).
Как показано на рис. 12.9, проведение синхронизации можно настроить на определенные периоды времени, во время которых ваш компьютер отдыхает.
Рис. 12.9. Включение или отключение синхронизации на бездействующем переносном компьютере, работающем от батареек
Отмена синхронизации по расписанию
Если график проведения синхронизации уже установлен, возможно, вам захочется отключить такую синхронизацию, в особенности, если компьютер работает на батарейках, или когда батарейки садятся.
При работе от батареек. Можно не начинать процесс синхронизации, так как он истощает заряд батарей. Для отмены синхронизации проделайте следующие шаги.
Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
В диалоговом окне Synchronization Settings (Параметры синхронизации) щелкните на вкладке Scheduled (Расписание)
Выберите задание составления графика и щелкните на Edit (Изменить).
Щелкните на вкладке Settings (рис. 12.10). В разделе Power Management (Управление электропитанием) отметьте флажок Don't start the task if the computer is running on batteries (Не выполнять задание, если компьютер работает от батарей).
При разряженных батареях. Если батареи в компьютере уже в значительной степени израсходованы, то выполнение предписанной по графику синхронизации может быть нежелательным. Для ее отмены проделайте следующее.
Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
В диалоговом окне Synchronization Settings (Параметры синхронизации) щелкните на вкладке Scheduled (Расписание)
Выберите задание составления графика и щелкните на Edit.
Щелкните на вкладке Settings (Настройка). В разделе Power Management отметьте флажок Stop the task if battery mode begins (Отменить выполнение задания в режиме работы от батарей).
Рис. 12.10. Управление настройками синхронизации по графику
Портфель Windows
Другой способ координирования автономных файлов состоит в использовании инструмента Windows Briefcase (Портфель Windows). В то время как автономные файлы удобно использовать при работе с сетевыми файлами на настольном или переносном компьютере, инструмент Windows Briefcase особенно хорош, когда требуется взять файл из одного компьютера (например, из вашего настольного компьютера) и пользоваться им на другом компьютере, например на переносном. При возвращении к настольному компьютеру используется Windows Briefcase для синхронизации двух файлов, что позволяет иметь самую новую версию файла, где бы вы ни работали.
Этот инструмент во время работы создает портфели - папки, содержащие файлы и подкаталоги, которые вы перемещаете между своим стационарным и переносным компьютерами. Для управления перемещением этих файлов вы просто устанавливаете соединение переносного компьютера с сетью и осуществляете перенос файлов. Вам, возможно, не удастся повторно связаться с сетью со своего стационарного компьютера. Тем не менее, можно синхронизировать файлы, используя дискету. В зависимости от размеров портфеля может потребоваться несколько дискет для размещения всех файлов.
Значок портфеля расположен на рабочем столе компьютера (на рабочих столах системы Windows он находится со времен Windows 95). Если значка нет, то можно создать его, щелкнув правой кнопкой мыши на рабочем столе и выбрав New\Briefcase (Создать\Портфель). Можно создать несколько портфелей и рассортировать файлы, используемые в автономном режиме так, как удобно.
При создании нового портфеля система Windows XP Professional показывает диалоговое окно приглашения (см. рис. 12.11). Вам надо прочитать все рекомендации и щелкнуть на Finish (Готово).
Рис. 12.11. Создание нового портфеля
После создания нового портфеля просто "перетащите" туда файлы, с которыми собираетесь работать (рис. 12.12).
Рис. 12.12. Портфель, содержащий несколько файлов
Использование портфеля
Использование Windows Briefcase (Портфель Windows) включает в себя следующие действия:
Перенос нужных файлов в портфель.
Создание копии портфеля на переносном компьютере посредством сетевого соединения, дискеты или другим способом.
Использование файлов.
Перед тем как перенести свои файлы обратно на стационарный компьютер, следует щелкнуть на значке Update All (Обновить все) или на значке Update Selection (Обновить выделенные объекты) в строке меню.
Эти действия будут различаться в зависимости от способа транспортировки портфеля (посредством LAN-соединения или на дискетах). Используя дискеты, вы переносите файлы с дисковода А: компьютера. Используя соединение с локальной сетью, вы переносите файлы с рабочего стола в портфель переносного компьютера. Эти действия более подробно рассматриваются в следующих разделах лекциях.
Перенос файлов в портфель
Сначала нужно перенести файлы в портфель на рабочем столе компьютера. Это можно сделать, определяя их местонахождение с помощью Windows Explorer и "перетаскивая" в портфель на рабочем столе.
Примечание. Вы можете перетаскивать файлы либо на значок портфеля, либо в открытое окно Briefcase (Портфель).
Также можно выбрать один или несколько файлов, щелкнуть на них правой кнопкой мыши и выбрать Send To\My Briefcase (Отправить\Мой портфель) в меню ярлыков.
При использовании LAN просто найдите файлы в сети и перетащите их в портфель переносного компьютера. В этом случае нет необходимости сначала помещать их в портфель стационарного компьютера. При использовании дискеты создайте портфель на стационарном компьютере, переместите туда файлы, а затем перенесите портфель на дискету. Либо щелкните правой кнопкой мыши на портфеле, выберите действие Send To\Floppy (Отправить\Диск 3,5). Если размер портфеля больше 1,44 Мб, то компьютер попросит дополнительные дискеты.
Копирование портфеля в переносной компьютер
После размещения файлов на своем настольном компьютере (или на дискетах) вам следует перенести их в переносной компьютер. Этот этап можно пропустить, если вы используете LAN-соединение, так как на портативном компьютере уже установлен портфель. Однако если вы переносите его с дискет, то проделайте следующие шаги.
Вставьте первую дискету в дисковод переносного компьютера.
Откройте ее в Проводнике Windows.
Перетащите портфель на рабочий стол переносного компьютера.
Теперь, когда портфель находится на рабочем столе, все файлы в нем легко доступны.
Использование файлов, находящихся в портфеле
Если файлы находятся в автономном режиме, то работать с ними надо, пока они находятся в портфеле. Для этого щелкните на значке портфеля дважды и выберите файлы так, как делаете это для всех остальных файлов.
По желанию можно воспользоваться командой Open. В этом случае, дав команду Open, войдите в портфель и выберите файлы по списку. При сохранении файлов убедитесь в том, что они сохраняются в портфеле.
Предупреждение. Если сохранить файлы не в портфеле, то, связавшись с сетью, вы не сможете их синхронизировать.
Одним из недостатков Windows Briefcase является то, что нельзя синхронизировать файлы, которые были обновлены как в сети, так и на переносном компьютере. Например, если человек, находящийся в пути, редактирует файл в текстовом редакторе Word, а другой пользователь в это время отредактировал или добавил данные в оригинал, то Windows Briefcase не сможет синхронизировать эти файлы. У вас будет возможность сохранить один из этих файлов, но не объединить их.
Windows Briefcase позволяет управлять свойствами автономных файлов. Например, можно проверить обновление статуса каждого файла в разделе Status портфеля. Статус определенного элемента можно проверить, выбрав этот элемент в окне портфеля, щелкнув правой кнопкой мыши на нужном файле, выбрав Properties (Свойства) в меню ярлыков и щелкнув на вкладке Update Status (Обновить состояние) (см. рис. 12.13).
Исходная копия файла, находящаяся в портфеле, может быть найдена в окне свойств файла на вкладке Update Status с последующим нажатием кнопки Find Original (Найти оригинал). Система Windows XP Professional покажет папку, в которой находится оригинал файла.
Если при работе с файлом портфеля вы считаете, что файл изменился так сильно, что его не следует синхронизировать с оригиналом, то можете сохранить этот файл отдельно. Для этого укажите файл в окне портфеля и выберите в меню Briefcase\Split From Original (Портфель\ Отделить от оригинала). Это задание можно выполнить на вкладке Update Status (Обновить состояние), нажав на кнопку Split From Original.
Рис. 12.13. Вкладка Update Status (Обновить состояние) окна свойств
Синхронизация портфеля
Основной целью этого раздела является показ того, как управлять автономными файлами с помощью Windows Briefcase. Когда наступает время синхронизации переносного компьютера с настольным, проделайте следующие шаги.
Установите соединение переносного компьютера с сетевым или настольным компьютером. Если для переноса файлов используется дискета, то перенесите портфель с портативного компьютера на дискету, вставьте дискету в дисковод настольного компьютера и перенесите портфель на рабочий стол компьютера.
Откройте портфель. Статус каждого файла отображается в колонке Status (Состояние) и указывает одно из следующих состояний:
Orphan (Нет пары). Файл существует только в портфеле и больше нигде на исходном компьютере. Его могли удалить или перенести за время работы с портфелем.
Up-To-Date (Последняя версия). Файл не отличается от своей копии на исходном компьютере.
Needs Updating (Требует обновления). Файл в портфеле отличается от файла на компьютере и нуждается в обновлении.
В панели инструментов портфеля нажмите на кнопку Update All (Обновить все). Появится диалоговое окно (рис. 12.14), в котором показано, как следует обновлять каждый из файлов. Существует три способа обновления файла.
Replace (Заменить) (стрелка указывает направо). Портфель заменит оригинальный файл его копией из портфеля.
Replace (Заменить) (стрелка указывает налево). Копия файла в портфеле будет заменена файлом из исходного компьютера.
Skip (both changed) (Пропустить - оба изменены). Оба файла были изменены, и портфель не может решить, какой из них следует использовать. В данном случае вы сами должны принять решение, какой из файлов является более актуальным.
Рис. 12.14. Обновление файлов в портфеле
Если показанные методы вас не устраивают, то щелкните правой кнопкой мыши на файле и выберите метод из появившегося меню ярлыков.
Щелкните на кнопке Update и проведите обновление файлов.
Если в вашем портфеле есть файлы, которые не нужно синхронизировать, то вместо щелчка на значке Update All (Обновить все) щелкните на значке Update Selection (Обновить выделенные объекты).
Решение проблем, связанных с автономными файлами
Если вы вспомните все настройки групповой политики из таблицы 12.1, то не удивитесь тому, что, несмотря на высокую функциональность, средство Offline Files (Автономные файлы) имеет множество брешей, сквозь которые могут проникнуть проблемы. Последний раздел этой лекции призван помочь вам справиться с трудностями, которые могут возникнуть при работе с автономными файлами и при проведении синхронизации.
Невозможно сделать папку автономной
Если пользователь щелкает правой кнопкой мыши на файле или папке, но не видит опции Make Available Offline (Сделать доступным автономно), то надо проверить следующие пункты.
Local file or folder (Локальный файл или папка). Данный файл или папка на самом деле находятся на локальном компьютере, а не в сети.
My Documents redirection (Переадресация папки Mои документы). Если пользователь пытается переадресовать доступ к своей папке My Documents (Мои документы), но не имеет доступа к ресурсам, то сначала надо убедиться в том, что опция Make Available Offline доступна. Если она доступна, но не по щелчку правой кнопкой мыши на My Documents, то надо убедиться в том, что папка My Documents была переадресована корректно и находится в сетевом ресурсе, а не на локальном компьютере. Затем надо убедиться в том, что у пользователя есть соответствующие разрешения на чтение и запись в этом ресурсе.
Group Policy settings. В настройках групповой политики проверьте, задействован ли инструмент Offline Files (Автономные файлы).
Файлы, доступные в режиме онлайн, недоступны в автономном режиме
Если пользователь пытается получить доступ к файлам, которые ранее были доступны в режиме онлайн, но не обнаруживаются в папке автономных файлов, то проверьте следующее.
Тип Windows. Папка автономных файлов доступна только в Windows 2000 и Windows XP Professional. Если на сервере установлена другая версия Windows, то автоматическое кэширование недоступно.
Возможность работы с папкой автономных файлов. Папка Offline Files может быть отключена. Щелкните правой кнопкой мыши на файле или папке, поищите опцию Make Available Offline (Сделать доступной автономно). Если ее нет, то папку Offline Files следует подключить.
Отключено кэширование папок общего доступа. Папка Offline Files может быть недоступна, так как отключена опция Allow caching of files in this shared folder (Разрешить кэширование файлов в этой общей папке). Для проверки этой настройки проделайте следующие шаги.
На сервере, где находится нужный файл, воспользуйтесь Проводником Windows для перехода к этому файлу.
Щелкните правой кнопкой мыши на папке общего доступа и выберите Properties (Свойства).
Щелкните на вкладке Sharing (Общий доступ) и затем щелкните на Caching (Кэширование).
Убедитесь в том, что отмечен флажок Allow caching of files in this shared folder (Разрешить кэширование файлов в этой общей папке).
Выберите либо Automatic Caching for Documents (Автоматическое кэширование документов), либо Automatic Caching for Programs (Автоматическое кэширование программ) в зависимости от того, что содержится в папке: документы или приложения.
Включение опции Fast User Switching (Быстрая смена пользователя)
Если включена опция быстрой смена пользователя, то вы не можете пользоваться автономными файлами. Даже если вы попробуете это сделать, то получите сообщение, показанное на рис. 12.15.
Рис. 12.15. Вы не можете использовать автономные файлы, если включена опция Fast User Switching (Быстрая смена пользователей)
Если вы не можете получить доступ к своим автономным файлам, то сначала надо отключить опцию Fast User Switching(Быстрая смена пользователя). Для этого проделайте следующие шаги.
Выберите Start\Control Panel (Пуск\Панель управления).
В окне Category (Категория) щелкните на User Accounts (Учетные записи пользователя).
Выберите Change the way users log on or off (Смена пользователя при входе или выходе из системы).
Снимите флажок Use Fast User Switching (Использовать быструю смену пользователя) и щелкните на Apply Options (Применить).
Нажмите ОК для того, чтобы закрыть все окна.
Появляется сообщение Resolve File Conflicts (Устранение конфликтов файлов)
Если при попытке синхронизировать автономные файлы вы получаете сообщение о конфликте файлов, то, скорее всего, были изменены как онлайновая, так и автономная копии документа, и система Windows XP Professional не знает, как синхронизировать файлы. Для решения этой проблемы выберите метод резолюции файла и щелкните на ОК.
Если имеется несколько онлайновых и автономных файлов, в которые были внесены изменения после вашего последнего входа в сеть, и вы хотите применить к ним один и тот же метод синхронизации, то отметьте флажок Do this for all conflicts (Сделать это для всех конфликтов).
Невозможно синхронизировать автономные файлы
Если пользователь не может синхронизировать свои автономные файлы и папки, то следует проверить следующее.
Расширения. В первую очередь надо проверить расширения файлов. Файлы с расширениями .db, .ldb, .mdb и .mde не синхронизируются по умолчанию. Для решения этой проблемы воспользуйтесь оснасткой Group Policy и сделайте эти расширения пригодными для синхронизации. Далее, администратор мог специально настроить групповую политику так, чтобы файлы определенного типа не синхронизировались. Эти настройки можно проверить в оснастке Group Policy (Групповая политика) в Configuration\Administrative Templates\Network\Offline Files\Files Not Cached (Конфигурация\ Административные шаблоны\ Сеть\Автономные файлы\Некэшируемые файлы).
Связь в сети. Препятствовать проведению синхронизации могут проблемы со связью. Проверьте соединение клиента и сервера с помощью пинга IP-адреса сервера, а затем его имени, чтобы проконтролировать разрешение DNS-имени. Вы также можете воспользоваться командой:
Net view \\ servername
и просмотреть ресурс, в котором находится файл. Это также покажет, есть ли у пользователя нужные разрешения на доступ к этому ресурсу.
Пространство на жестком диске. Возможно, что на жестком диске клиента не хватает места для проведения синхронизации. Проверьте наличие свободного места на жестком диске.
Право доступа. У пользователя может не быть прав (чтение и запись) для доступа к файлу. Проверьте разрешения и убедитесь в том, что пользователь имеет права соответствующего уровня.
Большинство проблем, с которыми сталкиваются пользователи автономных файлов, решается посредством проверки настроек групповой политики. При наличии более чем двух десятков различных настроек можно легко допустить ошибку (или что-то упустить), что скажется на пользователях, работающих и синхронизирующих файлы в автономном режиме.
Лекция 13. Удаленный рабочий стол и удаленный помощник
Уже многие годы работники технической поддержки используют программы, позволяющие им видеть и настраивать компьютеры пользователей без необходимости приходить к ним в офис. Такие программы, как Carbon Copy и pcAnywhere позволяют осуществлять удаленное управление и оказывать помощь непосредственно с компьютеров работников технической поддержки. В систему Windows XP Professional компания Microsoft интегрировала свою версию удаленного доступа.
В Windows XP Professional есть два инструмента для удаленного доступа и оказания технической поддержки. Первый из них называется Remote Desktop (Удаленный рабочий стол) и позволяет другому лицу пользоваться вашим компьютером посредством сетевого или dial-up-соединения. Инструмент Remote Assistance (Удаленный помощник) ориентирован больше на оказание помощи и используется при возникновении проблем с работой компьютера или приложения.
В этой лекции мы рассмотрим оба инструмента. Сначала мы обсудим рабочие качества Remote Desktop, а также установку и работу с этим инструментом. Затем мы обратимся к Remote Assistance и исследуем его работу, а также возможность его использования для помощи себе или другу.
Инструмент Remote Desktop (Удаленный рабочий стол)
Инструмент Remote Desktop позволяет вам, находясь на одном компьютере, удаленно управлять другим. Например, если вам нужно зайти в свой компьютер, находящийся в офисе, из дома (предположим, что вы заблаговременно настроили свой рабочий компьютер), то вы можете с помощью инструмента Remote Desktop получить доступ ко всем данным, находящимся на рабочем компьютере, включая файлы, приложения и сетевые соединения. Вы даже можете слышать звук, с которым открываются файлы.
Фактически Remote Desktop позволяет не только получать доступ к файлам удаленного компьютера, но и на самом деле видеть рабочий стол таким, какой он есть на удаленном компьютере. Более того, если удаленный компьютер работает в операционной системе Windows 2000 или .NET Server, то на нем могут удаленно работать несколько пользователей одновременно.
Работа инструмента Remote Desktop основана на технологии Terminal Services (Службы терминалов). Это значит, что удаленный рабочий стол позволяет запускать приложения на удаленном компьютере с операционной системой Windows XP Professional с любого компьютера-клиента, работающего в среде Windows.
Далее мы увидим, что технология Terminal Services является основой для работы удаленного помощника, который позволяет вашему другу или работнику технической поддержки устанавливать соединение с вашим компьютером, видеть ваш рабочий стол и управлять компьютером.
Для соединения инструмент Remote Desktop использует LAN, виртуальную частную сеть (VPN) или интернет-соединение. Как и следовало ожидать, работа удаленного рабочего стола сильно зависит от скорости установленного соединения.
В состав Remote Desktop соединения входят два компонента.
Сервер. Им является удаленный компьютер, с которым вы устанавливаете соединение. Это может быть либо стационарный компьютер в офисе, либо портативный компьютер, с которым вы соединяетесь удаленно, когда его владелец находится в поездке.
Клиент. Это тот компьютер, с которого вы устанавливаете соединение с сервером. Например, переносной компьютер для работы во время путешествия.
При необходимости можно пользоваться двумя различными версиями Remote Desktop.
Remote Desktop (Удаленный рабочий стол). Первая версия подходит для использования в локальной сети и требует установки программного обеспечения на компьютере-клиенте.
Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу). Эта версия требует на клиентской машине только наличия браузера Internet Explorer, но на сервере для нее необходимо установить и настроить большее количество программ.
Характеристики
Remote Desktop обладает набором характеристик, которые делают работу с ним плодотворной и функциональной. К ним относятся: безопасность консоли, поддержка цвета и переадресация ресурсов.
Безопасность консоли
При использовании Remote Desktop вы можете не волноваться, что кто-то, сидя за удаленным компьютером, будет наблюдать за всеми вашими действиями. Remote Desktop использует безопасность консоли. Это означает, что во время сеанса связи с помощью Remote Desktop этот сеанс не отображается на экране компьютера-клиента и сервера. Более того, Windows XP Professional отключает дисплей удаленного компьютера, не допуская отслеживания ваших действий.
Поддержка цвета
Remote Desktop поддерживает 24-битные цвета. Это значит, что изображение на дисплее одинаково как для клиента, так и для сервера. Количество и глубину цветов пользователь может настраивать так, как ему необходимо.
Переадресация ресурсов
Важной частью всякой Remote Desktop-сессии является возможность фактически использовать компоненты удаленного компьютера. Remote Desktop применяет переадресацию ресурсов, позволяя удаленному пользователю работать, как если бы он сидел непосредственно за удаленным компьютером. Переадресация ресурсов обращается к некоторым свойствам активов удаленного компьютера, включая возможность использовать файловую систему удаленного компьютера в качестве общедоступного сетевого ресурса.
Переадресация звуков позволяет компьютеру-клиенту воспроизводить звуки, которые генерируются на компьютере-сервере. Если звуки воспроизводятся двумя приложениями, два потока сигналов объединяются. При проигрывании звуков Remote Desktop также учитывает пропускную способность полосы частот. Вместо того чтобы перегружать соединение звуковым сигналом при изменении пропускной способности, Remote Desktop меняет качество звука.
Протокол Remote Desktop
Удаленный рабочий стол использует для связи протокол RDP (Remote Desktop Protocol). RDP - это протокол представления, позволяющий Windows-клиенту обмениваться информацией с компьютером, работающим в операционной системе Windows XP Professional. RDP работает во всех TCP/IP-соединениях, что делает его идеальным для использования в широком диапазоне соединений.
В Windows XP Professional используется версия RDP v.5.1. Любой клиент, пользующийся RDP 5.1, может работать со следующими атрибутами другого компьютера, тоже использующего протокол RDP 5.1.
Файловая система. Файловая система удаленного компьютера является полностью доступной, как если бы это был сетевой жесткий диск.
Звук. Любой звук, слышимый на Remote Desktop-сервере, будет доноситься из колонок Remote Desktop-клиента.
Порт. Доступ к последовательным, параллельным или USB-портам клиентского компьютера невозможен во время использования приложения на сервере. Это позволяет использовать любое периферийное устройство во время сеанса связи.
Принтер. Во время сессии компьютер-клиент использует принтер, установленный по умолчанию (при условии, что на сервере имеется необходимый драйвер).
Remote Desktop-сервер и Remote Desktop-клиент пользуются общим буфером. Это позволяет им свободно обмениваться информацией.
Вопросы безопасности
Разумеется, вопрос обеспечения безопасности является очень важным для Remote Desktop. Не только в связи с возможностью неавторизованного доступа к вашему компьютеру, но также в связи с необходимостью устанавливать, каким авторизованным пользователям разрешено иметь доступ к компьютеру, а каким - нет.
Управлять безопасностью Remote Desktop можно несколькими способами. В следующих разделах рассказывается о том, как обеспечить разные уровни безопасности своей системы, используя Remote Desktop. Эти настройки делаются в секции Terminal Services (Службы терминала) оснастки Group Policy (Групповая политика).
Найти Terminal Services (Службы терминала) можно, активировав ММС с оснасткой Group Policy и дважды щелкнув на Computer Configuration (Конфигурация компьютера). Затем следует щелкнуть на Administrative Templates (Административные шаблоны), далее - на Windows Components (Компоненты Windows) и, наконец, на Terminal Services (Службы терминала). Этот инструмент показан на рис. 13.1.
Рис. 13.1. Раздел Terminal Services (Службы терминала) в оснастке Group Policy (Групповая политика)
Шифрование
Используя настройки служб терминала групповой политики, вы можете установить и управлять различными уровнями шифрования сообщений, которыми обмениваются между собой Remote Desktop-клиент и сервер. Как видно из рис. 13.2, на выбор представлено два уровня шифрования.
High level (Высокий уровень). На этом уровне шифрования данных, которыми обмениваются клиент и сервер, применяется сильное 128-битное шифрование. Этот уровень следует выбирать, только если вы уверены в том, что оба компьютера могут пользоваться 128-битным шифрованием (например, оба компьютера используют систему Windows XP Professional). Если ваш клиент не поддерживает такой уровень шифрования, то связь с ним установить невозможно.
Client Compatible (Совместимый с клиентским). При этом уровне шифрование проводится на самом высоком уровне, который поддерживает компьютер-клиент.
Если настройки шифрования несовместимы, например на вашем сервере установлен 128-битный уровень, а клиент может поддерживать только 56-битный уровень, то соединение не будет установлено.
Рис. 13.2. Настройка уровней шифрования для удаленного рабочего стола
Применение пароля при аутентификации
Вместо автоматического ввода пароля при входе клиента в систему хорошей практикой считается попросить пользователя ввести свой пароль. В настройках Terminal Services это выполняется с помощью указания Always prompt client for password (Всегда запрашивать пользователя о вводе пароля).
Отключение буфера
Если вы хотите запретить совместное использование буфера обмена между Remote Desktop-клиентом и сервером, то это можно осуществить в настройках Terminal Services с помощью опции Do not allow clipboard redirection (Не разрешать перенаправление буфера обмена).
Отключение принтера
Отключение принтера тоже возможно, и в целях безопасности вы можете это сделать. Для отмены использования переадресации сервера в настройках Terminal Services примените опцию Do not allow printer redirection (Не разрешать перенаправление на принтер).
Отключение файлов
Если вы не хотите, чтобы удаленные пользователи просматривали файловую систему, связанную с Remote Desktop-сервером, в настройках Terminal Serviced включите опцию Do not allow drive redirection (Не разрешать перенаправление дисков).
Использование Remote Desktop
Если вы решили использовать Remote Desktop, то убедитесь, что сервер правильно сконфигурирован для удаленного доступа. Также хорошо было бы протестировать соединение и убедиться, что все работает нормально. Ведь когда вы окажетесь вдали от сервера, некому будет войти в компьютер и отрегулировать настройки. Правильная настройка и тестирование необходимы независимо от того, что вы используете: Remote Desktop или Remote Web Connection.
Конфигурирование сервера для Remote Desktop
Теперь, когда вы получили общее представление об инструменте Remote Desktop, давайте поговорим о том, как настроить Remote Desktop-сервер. Как упоминалось выше, есть два способа установить удаленное соединение. Первый представляет собой LAN-соединение, а второй - веб-соединение. В следующих разделах мы рассмотрим по отдельности каждый из способов.
LAN-соединение
При конфигурировании Remote Desktop-сервера вы указываете учетные записи пользователей, которым будет разрешено устанавливать удаленное соединение с сервером. Эти учетные записи должны содержать пароли, необходимые для исключения входа посторонних лиц в систему. Если обычно вы не пользовались паролем, то система Windows XP Professional потребует создания пароля для Remote Desktop.
В процессе создания конфигурации сервера нужно ввести имя учетной записи пользователя, когда Windows XP Professional попросит ввести Object Name (Имя объекта) в диалоговом окне Select Users (Выбор пользователей). Для конфигурирования Remote Desktop-сервера проделайте следующие шаги.
Выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание) и выберите System (Система).
Щелкните на вкладке Remote (Удаленное использование).
В диалоговом окне в разделе Remote Desktop (Дистанционное управление рабочим столом) отметьте флажок Allow users to connect remotely to this computer (Разрешить удаленный доступ к этому компьютеру). Вы можете получить сообщение о том, что учетным записям пользователей нужны пароли. Если это так, то нажмите на ОК.
Щелкните на кнопке Select Remote User (Выбрать удаленных пользователей). Появится диалоговое окно Remote Desktop users (Пользователи удаленного рабочего стола), в котором вы будете добавлять пользователей, имеющих доступ к этому компьютеру. Учетные записи администраторов получают доступ автоматически.
Щелкните на Add (Добавить). Появится диалоговое окно Select Users (Выбор пользователей), показанное на рис. 13.3. Учетные записи пользователей имеют три компонента идентификации: тип объекта, место расположения и имя.
Рис. 13.3. Добавление пользователя Remote Desktop-сервера
Если вы хотите разместить учетную запись пользователя с Remote Desktop-сервера, то убедитесь в том, что для опции Select this object type (Выберите тип объекта) установлено значение Users (Пользователи) и введите имя учетной записи в окне Enter the object names to select (Введите имена выбираемых объектов). Если вы хотите ввести пользователя с другого компьютера локальной сети с Active Directory, то щелкните на кнопке Locations (Размещение) и выберите домен, а затем введите учетную запись пользователя.
Щелкните на Check Names (Проверить имена). Это позволит системе Windows XP Professional ввести имя в формате computername\ username.
Нажмите ОК. Пользователь, которого вы только что указали, будет добавлен в список пользователей, которым разрешен удаленный доступ к Remote Desktop серверу. Для добавления других пользователей повторите шаги 5 - 8.
Нажмите ОК два раза, чтобы закрыть все диалоговые окна.
Если ваш Remote Desktop-сервер защищен межсетевым экраном, то убедитесь в том, что последний разрешает трафик удаленного соединения.
Интернет-соединение
Чтобы зайти на Remote Desktop-сервер из интернета, необходимо установить на сервере программу Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу). Этот инструмент является частью информационных служб интернета (Internet Information Services, IIS) компании Microsoft, которыми укомплектована система Windows XP Professional. Хорошая новость состоит в том, что любой клиент, использующий Internet Explorer 4.0 или более позднюю версию, может получить доступ к удаленному серверу.
Примечание. Более подробную информацию о IIS можно найти в "Информационные службы интернета" .
Когда установлены службы IIS, файлы копируются в папку C:\Windows\Web\TSWeb. Для использования интернет-подключения к удаленному рабочему столу проделайте следующие шаги, которые гарантируют установку инструмента на Remote Desktop сервере.
Примечание. Эти шаги выполняются пользователем, который входит в систему под учетной записью администратора.
Выберите Start\Control Panel (Пуск\Панель управления).
Выберите Add or Remove Programs (Установка и удаление программ).
Из списка доступных компонентов Windows выберите Internet Information Services и щелкните на Details (Состав).
Выберите World Wide Web Service (Службы WWW) и щелкните на Details.
Выберите Remote Desktop Web Connection и World Wide Web Service, как это показано на рис. 13.4.
Нажмите ОК, чтобы закрыть диалоговые окна, и вернитесь к мастеру установки компонентов Windows.
В окне мастера щелкните на Next (Далее) - запустится процесс инсталляции. Во время проведения инсталляции может потребоваться установочный компакт-диск Windows XP Professional.
Рис. 13.4. Инсталляция интернет-подключения к удаленному рабочему столу
После окончания инсталляции щелкните на Finish (Готово), чтобы закрыть окно мастера.
Закройте окно Add or Remove Programs.
Щелкните на Start (Пуск), затем щелкните правой кнопкой мыши на My Computer (Мой компьютер) и выберите Manage (Управление).
Щелкните на знаке "+" слева от элемента Services and Applications (Службы и приложения) в левой части окна Computer Management (Управление компьютером).
Щелкните на знаке "+" слева от Internet Information Services. Продолжайте нажимать знак "+", пока не дойдете до Internet Information Services\Web Sites\TSWeb.
Щелкните правой кнопкой мыши на папке TSWeb и выберите Properties (Свойства). Появится окно свойств TSWeb.
Щелкните на вкладке Directory Security (Безопасность каталога).
В разделе Anonymous Access and Authentication Control (Анонимный доступ и управление аутентификацией) диалогового окна щелкните на кнопке Edit (Изменить). Откроется диалоговое окно Authentication Methods (Методы проверки подлинности).
Отметьте флажок Anonymous Access (Анонимный доступ).
Нажмите ОК.
Можете отдышаться! Microsoft не утруждает себя облегчением ваших усилий, не так ли? Итогом этих 17 шагов явилась установка Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу) на вашем компьютере, и теперь вы можете заходить в него из интернета. Будете вы это делать из LAN или из интернета, решайте сами, но следующим шагом является конфигурирование Remote Desktop-клиента.
Конфигурирование клиента для использования Remote Desktop
Как мы упоминали ранее, если вы хотите использовать интернет-подключение к удаленному рабочему столу, то все, что вам требуется - это Internet Explorer на компьютере клиенте. Однако если нужно использовать Remote Desktop (вариант для LAN), то Remote Desktop-клиент должен установить у себя инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу).
Инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу)
Обычно инструмент Remote Desktop Connection устанавливается по умолчанию. Если вы раньше не пользовались им, то убедитесь, что он установлен, перед тем как настраивать Remote Desktop-сервер, упаковывать переносной компьютер и отправляться в филиал своего офиса. Выберите Start\All Programs\Accessories\Communications\Remote Desktop Connections (Пуск\Все программы\Стандартные\Подключения\ Подключение к удаленному рабочему столу). Когда программа запустится, на экране появится то, что изображено на рис. 13.5.
Рис. 13.5. Инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу)
Если почему-либо инструмент Remote Desktop Connection не установлен (например, во время миграции в операционную систему Windows XP Professional администратор решил не включать его в качестве элемента обновления), то его можно установить с диска Windows XP Professional. Когда появится приглашение, щелкните на Perform Additional Tasks (Выполнение иных задач). Затем выберите Set Up Remote Desktop Connection (Установка удаленного управления рабочим столом). После этого запустится мастер установки управления рабочим столом (Remote Desktop Connection InstallShield Wizard).
Эта программа позволяет выбирать пользователей, которым разрешено пользоваться удаленным соединением:
все, кто пользуется компьютером;
только текущий пользователь.
После окончания инсталляции просто закройте программу.
Если вы используете Remote Desktop посредством интернет-соединения, то единственным требованием будет наличие протокола TCP/IP и браузера Internet Explorer 4.0 или выше (Windows XP Professional укомплектована браузером Internet Explorer 6.0).
Remote Desktop-клиент более старых версий Windows
Хотя мы обсуждаем Remote Desktop-соединения, использующие Windows XP Professional, на машинах с более старыми версиями операционной системы (Windows 95, Windows 98 и 98, Second Edition, Windows Me, Windows NT 4.0 и Windows 2000) может быть установлена бесплатная версия Remote Desktop-клиента. Этот файл имеет размер 3,4 Мб, и его можно скачать на сайте http://www.microsoft.com/windowsxp/pro/downloads/rdclientdl.asp. После инсталляции клиент позволяет более старым версиям Windows устанавливать соединение с Windows XP Professional-сервером.
Remote Desktop-соединения
После установки Remote Desktop-сервера и Remote Desktop-клиента следует проверить соединение. Во-первых, убедитесь в том, что Remote Desktop-сервер находится во включенном состоянии и связан с сетью (LAN или интернет). Remote Desktop-сервер способен устанавливать множественные удаленные соединения. Однако никто не может войти в компьютер локально.
Если кто-то зарегистрируется локально, то вы увидите сообщение о том, что для установки соединения локальный пользователь сначала должен разорвать соединение. Далее зарегистрированный локально пользователь получит сообщение, разрешающее ему не проводить сеанс Remote Desktop. Если пользователь не ответит на сообщение в течение заранее установленного промежутка времени, то его связь будет прервана и установлено Remote Desktop-соединение.
Затем включите Remote Desktop-клиента. В последующих двух разделах поясняются шаги, которые требуется выполнить для установки Remote Desktop-соединения или Remote Desktop Web Connection (Интернет-подключения к удаленному рабочему столу).
LAN-соединение
Если вы хотите установить соединение с Remote Desktop-сервером, находящимся в локальной сети (LAN), то проделайте следующие шаги.
Выберите Start\All Programs\Accessories\Communications\Remote Desktop Connection (Пуск\Все программы\Стандартные\Подключение к удаленному рабочему столу).
Из ниспадающего списка Computer (Компьютер) выберите имя компьютера-сервера или введите его IP-адрес. Если в списке нет имен компьютеров, то щелкните на Browse For More (Поиск других), чтобы увидеть компьютеры, доступные в домене или рабочей группе. В списке будут перечислены только компьютеры, оснащенные программой Remote Desktop.
Примечание. Если вы не знаете IP-адрес компьютера, то можете найти его, выбрав Start\My Network Places (Пуск\Сетевое окружение), а затем щелкнув на View Network Connections (Отобразить сетевые подключения). Щелкните правой кнопкой мыши на LAN- или интернет-соединении, выберите Status (Состояние) и щелкните на вкладке Support (Поддержка).
Щелкните на Connect (Подключение).
В окне Log On To Windows (Вход в Windows) введите имя пользователя и пароль для доступа к Remote Desktop-серверу.
Нажмите ОК.
Соединение установлено, и вы видите рабочий стол удаленного компьютера (рис. 13.6).
Рис. 13.6. Remote Desktop-соединение в локальной сети
Вы, без сомнения, заметили, что рабочий стол выглядит так, как если бы вы сидели за тем компьютером и использовали его непосредственно на месте. В верхней части рабочего стола расположена специальная панель инструментов. Ее можно использовать для уменьшения, увеличения или закрытия Remote Desktop. Например, если вы хотите работать на своем компьютере-клиенте, то нажимаете на кнопку, уменьшающую вид. Для возвращения к Remote desktop-соединению надо щелкнуть на кнопке, делающей окно максимальным по размеру. Значок кнопки заставляет меню оставаться на одном и том же месте.
Интернет-соединение
Для установки связи с Remote Desktop-сервером с помощью Remote Desktop Web Connection (Интернет-подключения к удаленному рабочему столу) подойдет любой компьютер, имеющий доступ в интернет, и на котором установлен Internet Explorer 4.0 или более поздней версии. Установить связь с компьютером сервера можно с помощью следующих шагов.
Откройте Internet Explorer.
В строку адреса введите адрес Remote Desktop-компьютера. Обычно URL имеет следующий формат http://computeraddress/path. Для computeraddress используйте адрес своего Remote Desktop-сервера - это может быть либо его имя в локальной сети, либо IP-адрес. Для значения path используйте путь, содержащий Remote Desktop-файлы. По умолчанию Remote Desktop-файлы находятся на C:\TSWeb.
Нажмите на ENTER. Откроется страница Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу), показанная на рис. 13.7.
Рис. 13.7. Установка соединения с помощью интернет-подключения к удаленному рабочему столу
Введите в окно Server (Сервер) имя компьютера или его IP-адрес.
Выберите размер окна удаленного рабочего стола.
Щелкните на кнопке установки связи.
При первом использовании интернет-подключения к удаленному рабочему столу система Windows XP Professional выдаст запрос на инсталляцию программы Microsoft Terminal Services Control. Если такое сообщение появится, то нажмите на Yes. Откроется диалоговое окно Remote Desktop Connection Security Warning (Безопасность подключения удаленного рабочего стола).
По желанию отметьте следующие опции:
Connect your local disk drives to the remote computer (Подключите локальные диски к удаленному компьютеру). Позволяет дисководам компьютера-клиента быть доступными с удаленного компьютера. Вы сможете видеть не только жесткие диски на своем сервере, но и на компьютере-клиенте.
Connect your local port to the remote computer (Подключить локальный порт к удаленному компьютеру). Позволяет портам компьютера-клиента быть доступными для компьютера-сервера, например видеть и использовать любой локально установленный принтер и другое периферийное оборудование в окне Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу).
Введите имя пользователя и пароль, необходимые для работы с Remote Desktop-сервером.
Если вы выберите для доступа на Remote Desktop-сервер полноэкранный вид, то увидите картинку, аналогичную изображенной на рис. 13.8. Если вы выберите другой размер окна, то рабочий стол будет выглядеть так, как это показано на рис. 13.9. Вы можете управлять размером и размещением окна, как при работе с любым другим Windows-приложением. По окончании Remote Desktop-сессии закройте окно Internet Explorer.
Работа с Remote Desktop
Теперь, когда установлено Remote Desktop-соединение (или Remote Desktop Web-соединение), можно использовать компьютер сервера локально, как если бы вы непосредственно сидели перед ним. Если вы проводите Remote Desktop-сессию, то вам может потребоваться перенести некоторые документы с одного компьютера на другой. Например, включить электронную таблицу, находящуюся на Remote Desktop-сервере, в документ, хранящийся на Remote Desktop-клиенте.
Инструмент Remote Desktop предоставляет несколько способов взаимодействия Remote Desktop-клиента с Remote Desktop-сервером.
Рис. 13.8. Полноэкранный вид удаленного рабочего стола
Рис. 13.9. Размер и расположение окна удаленного рабочего стола можно менять
Cut and paste (Вырезать и вставить). Информацию, отображенную в окне Remote Desktop, можно вырезать и вставлять в приложения на компьютере-клиенте или наоборот.
Use local files (Использование локальных файлов). Локальные файлы во время проведения Remote Desktop-сессии можно использовать двумя способами. При использовании программы Remote Desktop Connection (Подключение к удаленному рабочему столу) можно использовать локальные файлы по умолчанию. При использовании программы Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу) эту функцию надо активизировать. Это выполняется выбором опции Connect your local disk drives to the remote computer (Подключить локальные диски к удаленному компьютеру) при входе в систему. Когда эта опция включена, локальные диски появятся в окне My Computer (Мой компьютер) в разделе Other (Другие). Они также будут во всех диалоговых окнах Open (Открыть) и Save (Сохранить) вашего приложения.
Use a local printer (Использование локального принтера). Задание на печать будет отправлено на локальный принтер, установленный по умолчанию, если на компьютере-сервере имеются драйверы для принтера компьютера-клиента.
Другие настройки Remote Desktop
При установке связи с удаленным рабочим столом сервера появляется диалоговое окно Remote Desktop Connection (Подключение к удаленному рабочему столу). Кроме имени пользователя и пароля, в нем можно настроить и другие опции, щелкнув на кнопке Options (Параметры) (см. рис. 13.10).
Рис. 13.10. Настройка опций Remote Desktop
В таблице 13.1 перечислены вкладки, настройки и их описания.
Таблица 13.1. Опции удаленного рабочего стола |
||
Вкладка |
Опция |
Описание |
General (Общие) |
Save my password |
Устанавливает, будет ли пароль сохраняться в компьютере, или его нужно вводить при каждом соединении с удаленным рабочим столом. |
Display (Экран) |
Remote desktop size and colors |
Устанавливает размер и цвета экрана удаленного рабочего стола. |
Local Resources (Локальные ресурсы) |
Remote computer sound |
Указывает на то, что Remote Desktop-клиент будет воспроизводить такие же звуки, что и Remote Desktop-сервер. |
|
Keyboard |
Указывает на то, применяется ли комбинация ALT+клавиша к Remote Desktop-серверу или Remote Desktop-клиенту |
|
Local devices |
Указывает устройства, для которых можно устанавливать соединение с Remote Desktop-сервером. |
Programs (Программы) |
Start the following program on connection |
Автоматически запускает указанную программу при установке связи с Remote Desktop-сервером. |
Experience (Дополнительно) |
Allow the following (Desktop background, Show contents of window while dragging, Menu and window animation, Themes, Bitmap caching) |
Указывает элементы, которые должны появляться в окне Remote Desktop-сервера. Вы можете выбирать и отменять выбор элементов по желанию. |
После установки нужных опций их можно сохранить под определенным именем. Это бывает нужно, когда вы используете несколько Remote Desktop-серверов, для каждого из которых существуют свои настройки. Настройки сохраняются с помощью щелчка на кнопке Save As (Сохранить как) на вкладке General (Общие) диалогового окна Remote Desktop Connection.
Инструмент Remote Assistance (Удаленный помощник)
В первой части этой лекции речь шла об инструменте Remote Desktop, удобном инструменте для доступа к удаленным компьютерам. Remote Assistance (Удаленный помощник) обладает аналогичными свойствами, но находит им другое применение.
Во-первых, инструмент Remote Assistance можно вызывать, когда пользователю нужна помощь при работе на компьютере. Инструмент Remote Desktop, в свою очередь, применяется, если пользователю нужен доступ к ресурсам удаленного устройства. Другие важные различия между Remote Desktop и Remote Assistance перечислены ниже.
Remote Desktop устанавливает новые соединения, в то время как инструменту Remote Assistance требуется для участия в сессии пользователь, который установил бы удаленное соединение.
Remote Desktop блокирует локальное применение удаленного компьютера во время сеанса связи. Remote Assistance, напротив, требует присутствия локального пользователя во время получения помощи.
Remote Desktop-клиентами могут быть все компьютеры, на которых установлен браузер Internet Explorer 4.0 или более поздней версии. Для Remote Assistance требуется, чтобы оба компьютера работали в операционной системе Windows XP (версии Professional или Home).
В этом разделе работа с инструментом Remote Assistance рассматривается более подробно. Кроме того, мы расскажем о том, каким образом следует устанавливать соединения.
Свойства
Remote Assistance обладает рядом свойств, позволяющих обнаруживать причины неполадок и устранять их. Приятель и эксперт теперь могут не только войти в ваш компьютер, но и оказать помощь, пользуясь целым рядом инструментов, способных устранить проблемы.
Управление рабочим столом
Remote Assistance позволяет пригласить друга или эксперта для удаленного и интерактивного оказания помощи в решении проблем, связанных с работой Windows XP Professional-компьютера. Этот инструмент применяется в следующих ситуациях.
Проблемы, которые трудно воспроизвести. Это случалось с каждым, кто привозил свою машину в авторемонтную мастерскую. Тот противный звук, который вы слышали во время езды, не проявляет себя в мастерской при разговоре с механиком. То же самое происходит и с компьютерами. Учитывая то, что существует бесконечное количество конфигураций, единственным способом понять суть проблемы является наблюдение за работой компьютера. Используя Удаленного помощника, пользователь может показать специалисту, что на самом деле происходит (или не происходит).
Показать легче, чем рассказать. Используя Удаленного помощника, можно продемонстрировать пользователю те шаги, которые необходимо сделать для устранения проблемы.
Инструменты для устранения неполадок
Помимо предоставления возможности другу или специалисту помочь в диагностике и решении проблемы, Remote Assistance также имеет в своем распоряжении следующие инструменты, которые могут быть весьма полезны в затруднительных ситуациях.
Пересылка файлов. Пользователь и специалист могут обмениваться файлами.
Чат. Пользователь и специалист могут посылать текстовые сообщения друг другу.
Голосовая связь. Если соединение имеет достаточную пропускную способность полосы пропускания, а каждый из компьютеров оснащен колонками и микрофоном, то пользователь и эксперт могут установить голосовую связь.
Управление шириной полосы пропускания. В зависимости от скорости соединения Remote Assistance управляет настройками для наилучшего использования доступной полосы пропускания. Это означает, что передача цвета или голоса будет улучшаться или ухудшаться в зависимости от доступной пропускной способности канала связи.
Вопросы обеспечения безопасности
Естественно, предоставляя свой компьютер другу или специалисту для оказания помощи, вы рассчитываете на избавление от проблем, а не на создание новых. Поэтому есть несколько моментов, касающихся безопасности, о которых следует подумать при использовании Remote Assistance.
Во-первых, когда специалист получает удаленный доступ к вашему компьютеру, то все операции происходят на уровне безопасности компьютера пользователя, а не того, кто оказывает помощь. Следовательно, если сетевой администратор пытается помочь пользователю, то последний не сможет воспользоваться разрешениями, которые выданы администратору. Ему придется ограничиться своими правами пользователя.
Во-вторых, если вы хотите, чтобы вам помогли, подключившись к компьютеру из интернета, то лучше воспользоваться VPN-соединением. Это безопасный способ, так как в нем используется межсетевой экран организации, который не пропустит трафик, способный пробить брешь в системе безопасности сети.
Примечание. В "Удаленный доступ и VPN" содержится информация о том, как установить VPN-соединение.
Использование Remote Assistance
Применяя Remote Assistance, вы приглашаете человека (друга или работника технической поддержки) для управления своим компьютером. Приглашение можно послать посредством Windows Messenger или по электронной почте. Если помощник принял приглашение, то он получает контроль над мышью и возможность записи, как если бы он сидел за вашим компьютером. К тому же Remote Assistance позволяет обмениваться информацией либо путем заметок, либо при помощи микрофона.
Конфигурирование Remote Assistance
Одним из первых шагов в использовании Удаленного помощника является проверка его установки на компьютере. Для этого откройте Панель управления и щелкните на System (Система). На вкладке Remote (Удаленный) (рис. 13.11) в разделе Remote Assistance (Удаленный помощник) отметьте флажок Allow Remote Assistance invitations to be sent from this computer (Разрешить посылку приглашений Remote Assistance с этого компьютера). Нажмите ОК.
Рис. 13.11. Подключение Remote Assistance (Удаленного помощника)
Отправка приглашений
Чтобы кто-нибудь пришел к вам на помощь, надо послать приглашение. Существует два способа отправки приглашений: при помощи обычной электронной почты или посредством Windows Messenger.
Самым простым способом инициировать Remote Assistance является отправка приглашения. Возможен и обратный процесс, то есть человек может сам предложить помощь, не дожидаясь приглашения.
Для отправки приглашения выполните следующие шаги.
Выберите Start\Help and Support, чтобы открыть окно Help and Support Center (Центр справки и поддержки).
В панели инструментов щелкните на Support (Поддержка), затем щелкните в появившемся списке заданий на Ask a friend to help (Запросить поддержку у друга).
В следующем окне щелкните на Invite someone to help you (Послать приглашение о помощи).
Далее (см. рис. 13.12) выберите способ отправки приглашения: по электронной почте или посредством Windows Messenger. Укажите, от кого вы хотите получить помощь, и нажмите на Invite (Приглашение).
Рис. 13.12. Приглашение друга для оказания удаленной помощи
В процессе отправки приглашения вы можете пояснить в сообщении суть проблемы или добавить другую информацию. Можете установить, как долго приглашение будет оставаться открытым, с помощью окна Set the invitation to expire.
Также желательно отметить флажок Require the recipient to use a password (Обязательное использование пароля получателем). В противном случае каждый, к кому попадет это приглашение, может начать контролировать ваш компьютер. Вам придется ввести пароль, который получатель должен будет вписывать для получения доступа.
Щелкните на Send Invitation (Послать приглашение).
Если вы пользуетесь почтовой программой, которая позволяет узнавать, когда другое приложение отправляет сообщение, то вы получите уведомление о том, что письмо отправлено. Нажмите на Send (Отправить).
Позвоните своему другу и сообщите о том, что приглашение отправлено. В это время можно сообщить ему пароль.
Когда помощник получит приглашение и введет пароль для доступа к пригласительному билету, появится диалоговое окно с вопросом "Do you want to let this person view your screen and chat with you" (Вы хотите, чтобы данное лицо видело экран вашего компьютера и общалось с вами?). Нажмите на Yes.
Появится окно Remote Assitance (Удаленный помощник) (рис. 13.13). Вы можете общаться со своим помощником в левой части окна.
Рис. 13.13. Удаленный помощник в рабочем состоянии
Если вы еще не объяснили, в чем заключается проблема, то укажите специфические детали в области Message Entry в нижнем левом углу окна Remote Assitance.
Когда ваш помощник начнет сессию Remote Assistance, вам будут доступны следующие действия.
Общее управление компьютером. У помощника появляется возможность контролировать ваш компьютер. При работе с Remote Assistance лучше ничего не печатать и не двигать мышь. Так как кто-то, помимо вас, использует эти элементы управления, то попытки их использования приведут к обоюдным затруднениям. Чтобы прервать совместное использование компьютера, но сохранить соединение, следует либо нажать на ESC, либо щелкнуть на Stop Control.
Пересылка файла. Вы можете переслать файл лицу, вместе с которым работаете на компьютере. После щелчка на этой кнопке введите имя файла, который нужно послать.
Голосовой чат. Если у вас и вашего друга есть колонки и микрофоны (и достаточно быстрое соединение), то обсудите вслух ваши компьютерные проблемы. Для настройки качества звука щелкните на Settings. Если ваш помощник щелкнул на кнопке Start talking раньше, то вы получите сообщение с предложением начать голосовой чат.
По окончании сессии вы или помощник должен щелкнуть на кнопке Disconnect (Отключение).
Ограничения, связанные с приглашением
Когда друг или специалист получают приглашение для оказания помощи, то им надо ответить и воспользоваться пригласительным билетом (который можно использовать несколько раз). Однако пригласительный билет действителен при двух условиях.
Билет не просрочен. Время действия билета указывается пользователем. Если пользователь считает, что помощь не ограничится одним разом, то срок действия билета продлевается до одного дня. Если пользователь желает продлить приглашение, то этот период изменяется соответствующим образом.
За время, прошедшее с момента создания приглашения, IP-адрес компьютера помощника не изменился.
Предложение удаленной помощи
Обычно сессию Remote Assistance с другом или специалистом инициирует пользователь. Однако Windows XP Professional предлагает еще одну возможность, повышающую функциональность Удаленного помощника. Опция Offer Remote Assistance (Предложение удаленную помощь) позволяет любому обладателю прав администратора инициировать сессию Remote Assistance, не ожидая приглашения.
Активизация опции Offer Remote Assistance. Опция отключена по умолчанию, но ее можно активизировать следующим образом.
Примечание. Offer Remote Assistance (Разрешить предложение удаленной помощи) можно использовать только в рамках локальной сети, но не через интернет.
Откройте оснастку Group Policy (Групповая политика) консоли ММС.
Разверните Local Computer Policy (Политика локального компьютера).
Разверните Computer Configuration (Конфигурация компьютера).
Разверните Administrative Template (Административные шаблоны).
Разверните System (Система).
Разверните Remote Assistance (Удаленный помощник).
Щелкните дважды на Offer Remote Assistance (Разрешить предложение удаленной помощи).
Щелкните на ОК.
Посредством этих действий администратор получает право на использование опции Offer Assistance. Однако и другие члены организации могут получить эти права. Проделайте следующие действия, чтобы присвоить это право другим лицам.
Откройте оснастку Group Policy (Групповая политика) консоли ММС.
Разверните Local Computer Policy (Политика локального компьютера).
Разверните Computer Configuration (Конфигурация компьютера).
Разверните Administrative Template (Административные шаблоны).
Разверните System (Система).
Разверните Remote Assistance (Удаленный помощник).
Щелкните дважды на Offer Remote Assistance (Разрешить предложение удаленной помощи).
Щелкните на Enabled (Включить).
Щелкните на Show (Показать) и затем на Add (Добавить).
В диалоговом окне Add Item (Добавление элемента) введите имя пользователя или группы, которым нужно присвоить это право. При вводе имени следует использовать один из следующих форматов: domain\username или domain\groupname.
Щелкните на ОК.
Предложение помощи. После того как вы задействовали Offer Remote Assistance, первым делом сообщите пользователю о том, что вы предлагаете ему свою помощь. Затем проделайте следующие шаги.
Щелкните на Start (Пуск).
Выберите Help and Support Center (Центр справки и поддержки).
Щелкните на Pick a Task (Выберите задание).
Щелкните на Use Tools (Сервис) и затем на Offer Remote Assistance (Разрешить предложение удаленной помощи).
Введите имя или IP-адрес компьютера, с которым нужно установить соединение.
На экране компьютера пользователя появится сообщение, информирующее его о попытке установить соединение, о том, кто устанавливает соединение, и запрашивающее согласие пользователя на разрешение этого соединения. Если пользователь нажмет на Yes, то сессия будет инициирована.
Примечание. Пользователь должен находится за своим компьютером, чтобы дать согласие на соединение. Помните, что Remote Assistance требует взаимных усилий.
Вы принимаете приглашение
В предыдущем разделе мы обсуждали шаги, предпринимаемые для запуска Remote Assistance-сессии. Здесь мы поговорим о том, что надо сделать, когда кто-то другой попросит вас о помощи.
Если вы получили письмо с просьбой о помощи, то он должно включать в себя следующий текст.
Роберт Элзенпетер просит помочь.
Персональное сообщение может быть оставлено ниже.
Вы без труда можете оказать помощь со своего компьютера, следуя инструкциям, изложенным здесь.
http://windows.microsoft.com/RemoteAssitance/RE.asp
Предостережение.
Принимайте приглашения только от людей, которых вы знаете и которым доверяете.
Почтовые отправления могут содержать в себе вирусы или другие опасные вложения.
Перед тем как открыть вложение, прочтите о мерах предосторожности по адресу, указанному выше.
Персональное сообщение:
Помогите, пожалуйста!
Листинг 13.1.
К сообщению будет прикреплен файл (с именем rcBuddy.MsRcIncident - первая часть может отличаться), в котором находится пригласительный билет. При необходимости щелкните на ссылке внутри сообщения, которая откроет веб-страницу с пояснениями к работе Remote Assistance.
Если вы решили принять приглашение и у вас есть для этого пароль, то проделайте следующие шаги.
Убедитесь в том, что установлено интернет- или LAN-соединение.
Откройте прикрепленный файл. Появится диалоговое окно Remote Assistance (Удаленный помощник).
Введите пароль и щелкните на Yes для установки соединения. Remote Assitance будет управлять мелкими деталями при создании соединения в локальной сети или интернете. В результате появится окно, показанное на рис. 13.14.
Рис. 13.14. Прием приглашения Remote Assistance
В области Message Entry (Запись сообщения) в левой нижней части экрана можно составить текстовое сообщение, которое будет прочитано на другом компьютере. После ввода сообщения щелкните на Send для его отправки.
После того как сессия Remote Assitance будет инициирована, можно выполнять следующие действия.
Share control of your computer (Общее управление компьютером). Опция дает возможность контролировать удаленный компьютер. При работе с Remote Assistance не следует ничего печатать или перемещать мышь, так как это может привести к взаимным затруднениям в работе. Для окончания сессии Remote Assistance нажмите клавишу ESC или щелкните на Stop Control.
Send a file (Отправить файл). Опция позволяет посылать файлы лицу, вместе с которым вы работаете на компьютере. После нажатия этой кнопки потребуется ввести имя файла, который нужно послать.
Voice chat (Голосовой чат). Если у вас и вашего друга есть колонки и микрофоны (и достаточно быстрое соединение), то можно вслух обсудить компьютерные проблемы. Настройте качество звука, щелкнув на Settings (Настройка). Если ваш помощник щелкнул на кнопке Start talking раньше вас, то вы получите приглашение начать голосовой чат.
При завершении сессии любая сторона может щелкнуть на Disconnect (Отключение), чтобы прервать соединение.
Инструменты Remote Assistance и Remote Desktop призваны повышать продуктивность работы. Но это не повод настаивать на том, чтобы устанавливать их заранее, опасаясь, что если сделать это потом, их возможности будут ограничены
Лекция 14. Удаленный доступ и VPN
Операционная система Windows XP Professional предоставляет ряд способов для создания удаленного соединения с компьютером. В предыдущей лекции говорилось о том, как использовать переносной или стационарный компьютер для прямого доступа и управления другим компьютером. Remote Desktop и Remote Assistance являются полезными инструментами, но вам может и не потребоваться дистанционно использовать другой компьютер. Вам просто нужно установить доступ к нему или к локальной компьютерной сети (LAN).
В этом разделе рассматриваются инструменты, которыми вы, скорее всего, воспользуетесь в подобных случаях. С помощью первого инструмента вы получаете удаленный доступ к компьютеру или своей локальной сети с помощью dial-in-соединения. Вторым инструментом является VPN (Виртуальная частная сеть), которая для безопасной сетевой связи использует не dial-in-соединение, а инфраструктуру интернета.
Удаленный доступ
Первым делом мы обсудим механизм удаленного доступа. С его помощью Windows XP Professional может послать вызов в сеть (или локальный компьютер) и получить к ним доступ, как если бы она была клиентом локальной сети. В этом разделе мы будем говорить об основах установления удаленного доступа с помощью Windows XP Professional, а затем покажем, как конфигурировать сервер удаленного доступа или клиент удаленного доступа.
Что такое удаленный доступ
Термин "удаленный доступ" звучит достаточно понятно и означает, что некто получает доступ к компьютеру или локальной сети из отдаленного места. Это можно осуществить несколькими способами. Скорее всего, вы воспользуетесь dial-in-технологиями.
Как и в отношении других аспектов сетевой работы компьютера, и здесь нельзя забывать об обеспечении безопасности. К нему следует отнести меры по пресечению доступа к удаленному ресурсу неавторизованных пользователей и защиту соединений от проникновения хакеров.
Соединение наборного доступа
Одним из простейших способов установить связь с удаленным компьютером является использование dial-in-модема. Так как большинство людей используют свои модемы для исходящих звонков (dial out), вы можете изумиться, узнав, что модем может принимать и входящие вызовы (incoming calls). Система Windows XP Professional облегчает прием входящих сигналов в ваш компьютер.
Dial-in-модемы имеют один недостаток. Они создают очень медленные соединения, скорость которых значительно ниже обычной скорости локальных сетей. С другой стороны, повсеместное наличие телефонов делает это способ соединения чрезвычайно полезным.
ISDN
ISDN является еще одной технологией, используемой для удаленного доступа. В этом способе также используется dial-up-соединение, но клиенту удаленного доступа и серверу требуется специальное ISDN-оборудование. Также и линия связи устанавливается специально для ISDN. В связи с ограниченным применением линий ISDN этот способ плохо подходит для тех, кто работает в пути.
Хотя ISDN-соединение является более скоростным, чем dial-up-модем (128 Кбит/c против 56 Кбит/с), доступность ISDN-линии связи и ее оборудования могут быть проблематичны. Использовать такую линию лучше всего в филиале офиса, где можно установить выделенную ISDN-линию, закупив необходимое оборудование.
Безопасность
Вы проделали большую работу для создания надежной политики безопасности своей сети. Настройка и выдача разрешений пользователям, наряду с политикой применения паролей, "одевают" на вашу сеть прочный "бронежилет". Соединения удаленного доступа создают, однако, новую лазейку для злоумышленников. Точки входа dial-in часто называют черным ходом в сеть, и они представляют собой постоянную проблему для персонала по безопасности. В системе Windows XP Professional для dial-in-соединений и каналов VPN можно настроить усиленную аутентификацию.
Интерактивно. Процедура интерактивного входа в систему гарантирует идентичность пользователя и для учетной записи домена, и для локального компьютера. В зависимости от того места, с которого пользователь осуществляет вход в систему, будут присутствовать различные уровни доступа.
Домен. Когда пользователь входит в сеть, используя удостоверения личности, которые хранятся в Active Directory, то это называется учетной записью домена. Регистрация с доменной учетной записью позволяет пользователю иметь доступ (в рамках разрешений пользователя) к ресурсам всего данного домена, а также домена, с которым установлены доверительные отношения.
Локальная учетная запись. Когда пользователь регистрируется на локальном компьютере, то он имеет доступ (опять же, в рамках своих пользовательских разрешений) только к ресурсам данного компьютера. Вход в систему с локальной учетной записью не позволяет пользователю получать доступ к LAN и другим доверенным сетям.
Контроль сетевого доступа. Контроль сетевого доступа применяется для подтверждения идентичности пользователя, когда он пытается получить доступ к сетевому сервису или ресурсу. Этот вид контроля работает преимущественно тогда, когда доступ осуществляется с вышеупомянутыми локальными учетными записями. При любой попытке установить связь с сетевым ресурсом пользователь будет получать напоминание о необходимом удостоверении личности.
Данными типами разрешений и учетных записей можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС. Более подробную информацию по этому вопросу можно найти в "Безопасность при работе в сети" .
Конфигурирование компьютера для приема удаленных вызовов
Задолго до появления интернета, но уже немного позже освоения пользования огнем, изобретения колеса и туалета в доме, люди устанавливали связь с электронными досками объявлений с помощью своих модемов, как и в наши дни, дозваниваясь до ISP-провайдеров. Операторы электронных досок объявлений конфигурировали свои компьютеры для ответа на телефонные звонки и соединения пользователей посредством телефонной линии с содержимым электронной доски объявления.
Сейчас такая практика используется все реже. Если вы хотите что-то разместить в сети, то просто создаете веб-страницу и отправляете ее на сервер своего ISP. Однако, все еще можно (а, по ряду причин, даже необходимо) настроить конфигурацию своего компьютера таким образом, чтобы он мог общаться с другими компьютерами через модем. Например, компания находит более удобным связываться с работниками, находящимися в разъездах, с помощью dial-up-соединения, а не через интернет. Возможно, вы работаете в маленькой компании, которой не нужна служба удаленного доступа через интернет, а подходит простое dial-in-соединение.
Dial-in-соединение позволяет пользоваться ресурсами компьютера, до которого вы дозваниваетесь. Например, находясь в командировке, вы используете свой переносной компьютер для связи со своим стационарным компьютером и получения доступа к своему жесткому диску, принтеру и локальной сети (если ваш компьютер с ней соединен).
Аналогично настройке удаленного рабочего стола, о которой шла речь в "Удаленный рабочий стол и удаленный помощник" , удаленный доступ состоит из двух компонентов.
Удаленный сервер. Когда вы дозваниваетесь до компьютера, то этот компьютер считается сервером удаленного доступа. Им может быть компьютер любого типа, но чаще всего - это стационарный компьютер, соединенный с телефонной линией (или линиями). Ресурсами этого компьютера и хотят воспользоваться dial-in-пользователи - будь то файлы, принтеры или сетевое соединение.
Удаленный клиент. Это компьютер, который устанавливает связь с удаленным сервером с помощью dial-in-соединения (чаще всего это переносной компьютер). Например, если вы забыли что-то в своем компьютере в офисе и имеете возможность удаленного доступа, то можете связаться с ним из дома со своего домашнего компьютера и получить нужные файлы. Терминология становится более рафинированной, когда удаленный клиент дозванивается до компьютера, соединенного с локальной сетью. В такой конфигурации удаленный клиент называется удаленным узлом (remote node). Конфигурация позволяет удаленному клиенту действовать, как если бы он находился в том же здании, что и остальные компьютеры локальной сети. Это означает, что вы не только получаете доступ в локальную сеть, но и все содержимое вашего удаленного клиента становится видимым в сети.
Примечание. Несмотря на то что в качестве удаленного узла вы технически являетесь частью локальной сети, не забывайте, что вы соединяетесь посредством телефонной линии и скорость этого соединения далека от скоростей Ethernet- или WiFi-соединений.
Разумеется, для образования dial-up-соединений компьютерам нужны модемы и телефонные линии.
Настройка сервера
Процесс настройки удаленного клиента достаточно прост, так как это задание сводится, по большому счету, к созданию конфигурации "клиент-сервер". Создание конфигурации удаленного сервера, напротив, несколько сложнее. К счастью, Windows XP Professional в значительной степени упрощает этот процесс, используя мастер новых подключений (New Connection Wizard).
По существу, на удаленном сервере надо сконфигурировать входящее dial-in-соединение. Когда такое соединение имеется, то оно дает команду Windows XP Professional отвечать на телефонные звонки и устанавливает соединение клиента с компьютером. Для настройки удаленного сервера проделайте следующие шаги.
Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
Щелкните на Create a New Connection (Создание нового подключения) для активизации мастера новых подключений (New Connection Wizard).
Щелкните на Next (Далее).
Выберите Set up an advanced connection (Установить прямое подключение к другому компьютеру) и щелкните на Next.
Выберите Accept incoming connections (Принимать входящие подключения) и щелкните на Next.
В появившемся диалоговом окне (рис. 14.1) показан список устройств для входящих соединений.
Рис. 14.1. Выберите dial-in-модем в диалоговом окне Devices for Incoming Connections (Устройства для входящих подключений)
Выберите в этом списке модем. Если на компьютере установлено более одного модема, то можно выбрать несколько устройств из списка.
Затем появится окно Virtual Private Network (VPN) Connection (Подключение к виртуальной частной сети). Независимо от того, выберете ли вы VPN, нажмите на Next.
В следующем окне (рис. 14.2) выберите пользователей, которым разрешается удаленно соединяться с этим сервером. Нажмите на Next.
Далее вам представляется список рекомендованных компанией Microsoft сетевых компонентов. Очистите флажки рядом с теми компонентами, которыми вы не будете пользоваться. Следует сказать, что лучше ничего не убирать из этого списка.
Закройте New Connection Wizard, щелкнув на Finish (Готово).
Рис. 14.2. Выберите пользователей, которым разрешается использовать удаленный доступ на этом компьютере
После выполнения всех этих шагов в окне Network Connections (Сетевые подключения) появится новый значок Incoming Connections (Входящие подключения).
Примечание. Если значок Incoming Connections уже есть (или вы пытаетесь добавить еще один), то свойства этого значка изменяются, объединяя старый и новый.
Соединения перемещаемого компьютера
Удаленный доступ очень нужен пользователям, которым приходится отсоединять свои компьютеры от сети и отправляться в путешествие. Так как у них нет постоянной связи с сетью, то им нужен какой-нибудь способ получения доступа к сетевым ресурсам.
Windows XP Professional предоставляет таким путешественникам ряд средств для подключения к сетевым ресурсам. Как мы уже знаем, они могут использовать Offline Files (Автономные файлы), Windows Briefcase (Портфель) и Remote Desktop (Удаленный рабочий стол).
Чтобы сконфигурировать переносной компьютер для работы в качестве удаленного клиента, следует выполнить ряд шагов. Windows XP Professional предоставляет расширенные возможности, к которым имеют доступ администраторы, чтобы сделать удаленный доступ более полезным.
Применение мастера нового подключения (New Connection Wizard) на удаленном клиенте
Настройка клиента для вызова удаленного сервера идентична процессу по созданию dial-up-соединения c ISP. Это задание активизирует мастер New Connection Wizard (см. гл. 4). Для создания dial-up-соединения с удаленным сервером выполните следующие шаги.
Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
В окне заданий щелкните на Create a New Connection (Создание нового подключения). Запустится мастер нового подключения (New Connection Wizard).
Щелкните на Next (Далее).
Выберите Connect to the Network at my workplace (Подключить к сети на рабочем месте) и щелкните на Next.
Выберите Dial-up connection (Подключение удаленного доступа) и щелкните на Next.
Выберите устройство, с помощью которого вы будете осуществлять доступ к удаленному серверу - в данном случае модем.
Введите имя для идентификации этого соединения и нажмите на Next.
Введите телефонный номер для установки связи с удаленным сервером (рис. 14.3).
Рис. 14.3. Ввод телефонного номера соединения удаленного доступа
Если нужно устанавливать это соединение с помощью ярлыка на рабочем столе, выберите это и нажмите на Next.
При двойном щелчке на соединении (на ярлыке на рабочем столе или в окне сетевого окружения) система Windows XP Professional будет набирать телефонный номер и ждать ответа удаленного сервера для установки соединения.
Если имеется несколько удаленных серверов, с которыми устанавливаются соединения, то повторите все перечисленные шаги и создайте несколько разных dial-in-соединений. Если удаленный сервер получит новый телефонный номер или потребуется изменить его имя или любую другую конфигурационную информацию, щелкните правой кнопкой мыши на ярлыке, выберите Properties (Свойства) и внесите изменения в настройки.
Расширенные настройки
Конфигурирование удаленного сервера и клиента достаточно просто. Компания Microsoft включила в этот процесс несколько дополнительных свойств, которые могут оказаться полезными для вашей организации. Эти настройки обеспечивают добавочные уровни безопасности и функциональности. Они находятся в папке Network Connections (Сетевые подключения). Щелкните на Dial-up Preferences (Настройка удаленного доступа) в меню Advanced (Дополнительно) (см. рис. 14.4).
Рис. 14.4. Диалоговое окно Dial-up Preferences (Настройка удаленного доступа)
Примечание. Настройку удаленного доступа можно включать и отключать на клиентских компьютерах в оснастке Group Policy (Групповая политика) консоли ММС. Это делается с помощью отметки флажка Enable the Dial-up Preferences в меню Advanced.
Автонабор. Вкладка Autodial (Автонабор) используется для создания возможности автонабора номера соединения. Она содержит список сетевых адресов и соответствующих им соединений, что позволяет автоматически набирать номер выбранного соединения, когда оно появляется в поле зрения.
Например, если приложение содержит сетевые ссылки, при щелчке на одной из ссылок вам приходится входить в интернет. Система Windows XP Professional задаст вопрос, какое соединение использовать для связи с ISP. В следующий раз при щелчке на этой ссылке Windows XP Professional вспомнит ваш выбор и автоматически наберет номер.
Включить или отключить автонабор не труднее, чем отметить или убрать флажок рядом с соединением. Автонабором можно пользоваться только при наличии включенного Диспетчера автоматических подключений удаленного доступа (Remote Access Auto Connection Manager). По умолчанию эта функция включена на клиентских компьютерах, работающих в среде Windows XP Professional и не являющихся частью домена. Для активизации диспетчера проделайте следующие шаги.
Щелкните правой кнопкой мыши на My Computer (Мой компьютер) и щелкните на Manage (Управление) в появляющемся меню.
Щелкните дважды на Services and Applications (Службы и приложения) и затем щелкните на Services (Службы) (рис. 14.5).
Рис. 14.5. Активизация Диспетчера автоматических подключений удаленного доступа
Щелкните правой кнопкой мыши на Remote Access Auto Connection Manager (Диспетчер автоматических подключений удаленного доступа) и нажмите на Start (Пуск).
Обратный вызов (Callback). Если вы когда-нибудь дозванивались из номера отеля, то знаете, что эти звонки преступно дороги. Одним из способов для человека в поездке дозвониться до удаленного сервера, ничем при этом не рискуя, является создание возможности для ответного звонка на удаленном сервере. В этом случае звонящий регистрируется на удаленном сервере и, если его логин принят, сервер разрывает соединение и сам дозванивается до удаленного клиента.
Обратный вызов реализуется при помощи следующих действий.
Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
Дважды щелкните на значке Incoming Connections (Входящие подключения), чтобы открыть окно свойств подключений.
Щелкните на вкладке Users (Пользователи).
Выберите пользователя, для которого нужно реализовать эту функцию.
Щелкните на Properties (Свойства).
Щелкните на вкладке Callback (Обратный вызов) (рис. 14.6).
Рис. 14.6. Реализация обратного вызова
Выберите либо Allow the caller to set the callback number (Звонящий может выбрать номер ответного вызова) либо Always use the following callback number (Только этот номер для ответного вызова), а затем не забудьте ввести нужный телефонный номер.
Щелкните на ОК.
Реализация обратного вызова зависит от настроек клиента удаленного доступа и сервера удаленного доступа. В таблице 14.1 показаны различные виды поведения при обратном вызове.
Таблица 14.1. Действия при обратном вызове, основанные на настройках клиента и сервера |
||
Настройки удаленного клиента |
Настройки удаленного сервера |
Действие обратного вызова |
Do not allow callback (Не разрешать обратного вызова |
No callback (Нет обратного вызова) |
Соединение сохраняется. |
Do not allow callback (Не разрешать обратного вызова |
Set by caller (Устанавливается вызывающим) |
Сервер предлагает сделать обратный вызов, клиент отклоняет это предложение, и соединение сохраняется. |
Do not allow callback (Не разрешать обратного вызова |
Always callback to (Всегда делать обратный вызов) |
Сервер предлагает сделать обратный вызов, клиент отклоняет это предложение и соединение разрывается. |
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу) |
No callback (Нет обратного вызова) |
Соединение сохраняется. |
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу) |
Set by caller (Устанавливается вызывающим) |
Появляется диалоговое окно для ввода номера обратного вызова. Введите номер и подождите, пока соединение прервется, и сервер сделает обратный вызов. Для сохранения соединения нажмите клавишу ESC. Процедура обратного вызова будет отменена. |
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу) |
Always callback to (Всегда по этому номеру) |
Удаленный сервер прервет соединение и сделает обратный вызов по номеру, указанному в сетевых подключениях. |
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам |
No callback (Нет обратного вызова) |
Соединение сохраняется. |
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам) |
Set by caller (Устанавливается вызывающим) |
Сервер прерывает соединение и делает обратный вызов номеров, указанных в сетевых подключениях. |
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам) |
Always callback to (Всегда по этому номеру) |
Сервер прерывает соединение и делает обратный вызов номеров, указанных в сетевых подключениях. |
Хотя обратный вызов удобен не только для снижения оплаты за пользование телефоном, но в еще большей степени он полезен как мера обеспечения безопасности. При требовании от клиентов делать ответный звонок по определенному номеру в сеть входят только пользователи, знающие правильный номер телефона. При разрыве соединения и обратном звонке с сервера до клиента обмануть сервер становится гораздо труднее.
VPN-соединения
Если вам надо дистанционно устанавливать связь с офисом или любым другим компьютером, то однажды обнаружится, что сеансы dial-up-соединений вредны для вашего кошелька. В связи с тем, что dial-up-соединения устанавливаются по каналам обычной телефонной связи, оплата счетов за междугородные телефонные разговоры становится суровой правдой жизни. Эту неприятность можно легко обойти, воспользовавшись уже существующей инфраструктурой - интернетом. Используя виртуальную частную сеть (VPN), можно установить через интернет связь компьютера-клиента с локальной сетью (LAN). Для формирования безопасного соединения VPN прокладывает туннель в интернете к вашей LAN.
В этом разделе рассматривается процесс конфигурирования VPN и способ соединения клиентов с локальной сетью через интернет. Первое, о чем стоит подумать при установлении связи с локальной сетью, защищенной межсетевым экраном, что межсетевой экран организации должен поддерживать протокол PPTP. Протокол PPTP позволяет VPN устанавливать соединение с локальной сетью через межсетевой экран. Кроме того, VPN-сервер должен быть сконфигурирован для работы с входящими соединениями. VPN-сервер - это приложение, предоставляющее протокол PPTP. Как VPN-сервер, так и VPN-клиент должны иметь действующее интернет-соединение.
Если в организации уже установлен VPN-сервер, то для обустройства Windows XP Professional-клиентов не надо создавать никакой дополнительной конфигурации. Вам требуется только сообщить IP-адрес VPN-сервера своим VPN-клиентам. Если VPN-серверу и VPN-клиенту требуется настройка, то об этом речь пойдет ниже.
В любом случае, VPN-сервер должен иметь маршрутизируемый (routable) IP-адрес. Это значит, что IP-адрес должен находиться в интернете. Если VPN-сервер входит в интернет по коллективному каналу или находится за межсетевым экраном, то у такого сервера нет маршрутизируемого IP-адреса. Однако выйти из этого положения можно, сконфигурировав межсетевой экран с маршрутизируемым адресом. Межсетевой экран затем получает указание направлять VPN-трафик на сервер.
Что такое виртуальные частные сети
Перед тем как погрузиться в особенности реализации VPN-соединения, давайте более внимательно рассмотрим, из каких компонентов оно состоит.
VPN создает безопасный канал связи между LAN и компьютером, находящимся где-то во внешнем мире (см. рис. 14.7). Такое соединение позволяет пользователю в Массачусетсе работать в локальной сети LAN, расположенной в Айдахо, как если бы он сам со своим компьютером находился в Айдахо.
Рис. 14.7. VPN создает в интернете безопасный туннель
VPN - это частное соединение между двумя точками. Это соединение шифруется, создавая туннель, проходящий сквозь интернет. Протокол удаленного доступа PPP зашифровывает данные, передающиеся по каналу VPN. После того как информация зашифрована, она пересылается посредством соединения удаленного доступа или LAN-соединения.
IPSec
IPSec - это набор протоколов, с помощью которого поддерживается безопасный обмен информационными пакетами на IP-уровне. Так как IPSec работает на сетевом уровне, то он предоставляет безопасное средство передачи данных, способное поддерживать любое приложение, использующее IP.
IPSec предоставляет три способа обеспечения безопасности при передаче информации в сети.
Аутентификация пакетов между отправляющим и принимающим устройствами.
Сохранение целостности данных при транспортировке.
Сохранение секретности данных при транспортировке.
IPSec работает в двух режимах: транспортировочном и в режиме туннелирования.
В транспортировочном режиме ESP (Encapsulation Security Protocol) и AHs (Authentication Headers) находятся в исходном IP-пакете между IP заголовком и расширенной информацией заголовка верхнего уровня. Например, в Windows XP IPSec использует режим транспортировки для обеспечения безопасности двухточечного соединения, такого как соединение между Windows XP Professional-клиентом и Windows 2000-сервером.
В режиме туннелирования IPSec помещает исходный IP-пакет в новый IP-пакет и вставляет AH и ESP между IP-заголовком нового пакета и исходным IP-пакетом. Новый IP-пакет указывает направление к конечной точке туннеля, а исходный IP-пакет указывает пункт назначения пакета. Вы можете использовать режим туннелирования между двумя безопасными шлюзами, такими как серверы туннелирования, маршрутизаторы или межсетевые экраны.
IPSec-туннелирование является распространенным режимом. Оно работает следующим образом.
Стандартный IP-пакет посылается на IPSec-устройство, где он должен быть зашифрован и направлен в конечную систему по локальной сети.
Первое IPSec-устройство, которым в данном случае оказывается межсетевой экран или маршрутизатор, проводит аутентификацию принимающего устройства.
Два IPSec-устройства договариваются о шифре и алгоритме аутентификации, которыми будут пользоваться.
Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает его в другой пакет с AH.
Пакет пересылается по TCP/IP-сети.
Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и извлекает зашифрованное вложение для расшифровки.
Принимающее устройство отправляет исходный пакет в пункт его назначения.
Протокол pptp
Протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP) осуществляет безопасную пересылку данных от удаленного клиента на сервер организации. PPTP поддерживает многочисленные сетевые протоколы, включая IP, IPX и NetBEUI. Вы можете использовать протокол PPTP для создания безопасной виртуальной сети, в которой применяются dial-up-соединения, в рамках локальной сети LAN, WAN или в интернете и других сетях, в основе которых лежит протокол TCP/IP. Для создания PPTP-VPN необходим PPTP-сервер и PPTP-клиент. Пакет программ Windows XP Professional включает в себя необходимые параметры для конфигурирования PPTP-соединений.
Протокол L2TP (Layer Two Tunneling Protocol)
PPTP является технологией компании Microsoft для создания виртуальных каналов связи внутри коллективной сети. PPTP вместе с системами шифрования и аутентификации создает частную безопасную сеть. Компания Cisco Systems разработала протокол, аналогичный PPTP, под названием Layer Two Forwarding (L2F), но для его поддержки требуется оборудование Cisco на обоих концах соединения. Тогда Microsoft и Cisco объединили лучшие качества протоколов PPTP и L2F и разработали протокол L2TP. Как и PPTP, L2TP позволяет пользователям создать в интернете PPP-линию связи, соединяющую ISP и корпоративный сайт.
Безопасность
Размещая свои сетевые ресурсы в интернете, вы, возможно, переживаете из-за того, что хакер может взломать вашу сеть и получить информацию, защищенную правом собственности, не говоря уже о распространении разрушительного вируса. Но понятие безопасности относится не только к интернет-мародерам. Политика безопасности должна быть на должном уровне и внутри организации. Разумеется, при настройке удаленного доступа следует убедиться, что VPN- или dial-in соединения максимально безопасны.
При конфигурировании VPN-или dial-in-сервера для приема входящих соединений вы распахиваете двери не только авторизованным пользователям, но и неавторизованным тоже. Что можно предпринять в этой ситуации?
Если вы не ждете входящих вызовов на своем VPN- или dial-in-сервере, то лучше отключить соединение. Для этого проделайте следующие шаги.
Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
Щелкните дважды на значке Incoming Connections (Входящие подключения), чтобы открыть окно свойств входящих подключений.
Для отключения dial-in-соединений отмените выбор модема, очистив флажок Device (Устройство). Для отключения VPN-соединения отмените выбор опции Virtual Private Network.
Щелкните на ОК.
Чтобы снова подключить модем или VPN, проделайте эти же шаги, но выберите модем или VPN-соединение.
Естественно, что при использовании dial-in или VPN-соединений их приходится держать в рабочем состоянии. Примите меры, повышающие безопасность сети. Например, не размещайте телефонный номер модема на своем корпоративном веб-сайте или в списке телефонов компании. Храните его в секрете. Чаще меняйте пароли. И, наконец, пользуйтесь обратным вызовом.
Создание vpn-соединения
Для создания конфигурации VPN-клиента используется мастер нового подключения (New Connection Wizard). Конфигурация создается с помощью следующих шагов.
Убедитесь в наличии связи с интернетом.
Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
Щелкните на Create a New Connection (Создание нового подключения). Запустится мастер создания нового подключения (New Connection Wizard).
Щелкните на Next (Далее).
Выберите Virtual Private Network Connection (Подключение к виртуальной частной сети).
Щелкните на Next.
Дайте соединению уникальное имя, чтобы его легче было найти.
Щелкните на Next.
В окне Public Network (Публичная сеть) (рис. 14.8) укажите соединение, которое следует использовать для входа в интернет. Windows XP Professional позволяет устанавливать связь автоматически или вручную. Если вы предпочитаете делать это вручную, то выберите Do not dial the initial connection (Не набирать номер для предварительного подключения.).
Щелкните на Next.
В окне VPN Server Selection (Выбор VPN-сервера) (рис. 14.9) введите имя или IP-адрес VPN-сервера (например, pptp.widgetech.com).
Щелкните на Next.
Можно разместить ярлык этого соединения на своем рабочем столе. Сделайте выбор и затем щелкните на Finish (Готово).
Рис. 14.8. Выбор интернет-соединения, которым будет пользоваться VPN-клиент
Рис. 14.9. Введите имя или IP-адрес VPN-сервера
В окне Network Connections (Сетевые подключения) появилась новая секция - Virtual Private Network (Виртуальная частная сеть). В этой секции размещается VPN-соединение, которое вы только что сконфигурировали.
Если потребуется установить соединение посредством VPN, то нужно дважды щелкнуть на ярлыке, и система Windows XP professional войдет в интернет и установит связь с VPN-сервером. При установке связи с интернетом вручную сначала надо войти в интернет, а затем щелкнуть на ярлыке VPN.
Примечание. Если VPN-сервер устанавливает с интернетом соединение удаленного доступа и имеет IP-адрес, динамически выдаваемый службой ISP, то нужно изменить IP-адрес в диалоговом окне свойств VPN-клиента до того, как предпринять попытку соединения.
Прием VPN-соединения
VPN-соединения можно устанавливать с серверами различного типа. Например, в крупной корпорации может возникнуть потребность в увеличении количества VPN-серверов. Эти серверы будут заниматься только обработкой входящего VPN-трафика и, возможно, будут использовать систему Windows 2000 или .NET Server. С другой стороны, в маленькой организации может быть один VPN-сервер для периодической связи с VPN-клиентом.
Так как мы имеем дело с системой Windows XP Professional, давайте поговорим о том, как конфигурируются эти типы серверов для работы с удаленными пользователями.
Конфигурирование VPN-сервера
Для работы компьютера в качестве VPN-сервера в папке Network Connections (Сетевые подключения) должен находиться ярлык Incoming Connections (Входящие подключения). Если такой ярлык имеется (допустим, уже сконфигурирован удаленный доступ), щелкните на нем дважды. Появится диалоговое окно свойств входящих подключений. Проверьте, отмечен ли флажок Allow others to make private connections to my computer by tunneling through the Internet or other network (Разрешить устанавливать частные соединения с моим компьютером путем туннелирования интернета или других сетей).
Если ярлык Incoming Connections в папке сетевых подключений отсутствует, то проделайте следующие шаги.
Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
Щелкните на Create a New Connection (Создание нового подключения). Запустится мастер создания нового подключения (New Connection Wizard).
Щелкните на Next (Далее).
Выберите Set up an advanced connection (Установить прямое подключение к другому компьютеру) и щелкните на Next.
Выберите Accept incoming connections (Принимать входящие подключения) и щелкните на Next.
В появившемся диалоговом окне показан список устройств для входящих соединений.
Отмените выбор всех модемов в этом списке, так как вы будете принимать входящие вызовы только через интернет-соединение.
Выберите Allow virtual private connections (Разрешить виртуальные частные подключения) и щелкните на Next.
В следующем окне выберите пользователей, которым разрешается удаленный доступ на сервер. Сделайте выбор и нажмите на Next.
Далее появляется список рекомендованных компанией Microsoft сетевых компонентов. Очистите флажок рядом с каждым компонентом, который не хотите использовать. (А лучше вообще ничего не меняйте.)
Закончите работу программы New Connections Wizard, щелкнув на Finish (Готово).
Теперь в окне сетевых подключений должен появиться ярлык Incoming Connections (Входящие подключения). Если такой ярлык уже был, то существующее соединение будет отредактировано в соответствии с новыми настройками.
Конфигурация vpn-соединения
Со временем вы поймете, что настройки VPN нужно уточнить или изменить. Например, если IP-адрес VPN-сервера приписывается динамически, то придется менять эту настройку VPN-клиента всякий раз, когда VPN-сервер устанавливает связь с интернетом.
Для внесения изменений в VPN-соединения перейдите в окно Network Connections (Сетевые подключения), щелкните правой кнопкой мыши на VPN или на значке Incoming Connections (Входящие подключения) и выберите в ниспадающем меню Properties (Свойства). В зависимости от того, является ли компьютер сервером или клиентом, там будут представлены различные опции.
Диалоговое окно свойств для VPN-клиента показано на рис. 14.10. Диалоговое окно свойств для VPN-сервера показано на рис. 14.11.
В VPN-клиенте опции на вкладке General (Общие) применяются для управления именем хоста или IP-адресом VPN-сервера или интернет-соединения, которое будет использоваться. Опции на вкладке Advanced (Дополнительно) применяются для управления Internet Connection Firewall и для совместного использования VPN-соединения.
В VPN-сервере можно изменять настройки, установленные во время работы мастера нового подключения: включать или отключать VPN, размещать значок в панели заданий во время соединения или указывать пользователей, которые имеют право использовать VPN-соединение.
Рис. 14.10. Диалоговое окно свойств VPN-клиента
Рис. 14.11. Диалоговое окно свойств VPN-сервера
Решение проблем, связанных с vpn-соединениями
Какой бы простой ни была настройка VPN-соединения в системе Windows XP Professional, вы все же можете столкнуться с некоторыми трудностями. Найти источник проблемы в VPN-соединении достаточно сложно, так как эта головоломка состоит из множества фрагментов. Заключается ли проблема в клиенте? Или в соединении сервера с ISP? Или неверна конфигурация сервера? Может быть, проблема кроется в маршрутизаторе или в межсетевом экране?
До сих пор мы обсуждали VPN при работе с Windows XP Professional-клиентами. VPN-клиентом является не только Windows XP Professional-компьютер, но и VPN-сервер. Скорее всего, окончанием виртуальной частной сети является маршрутизатор или межсетевой экран, а VPN-сервер обычно располагается на Windows 2000, NT или .NET Server.
Для установки VPN-соединения VPN-клиент посылает вызов ISP, применяя протокол PPP. На этом этапе ISP выдает клиенту TCP/IP-адрес, адрес DNS-сервера и шлюз по умолчанию.
Когда клиент, используя протокол PPTP, пытается установить VPN-соединение, создается вторая TCP/IP-сессия. Эта сессия является туннельной частью VPN-соединения. Она содержится внутри первой TCP/IP-сессии и обеспечивает шифрование и инкапсуляцию пакетов. Когда клиент успешно устанавливает соединение с VPN-сервером, то сервер выдает второй IP-адрес, второй адрес DNS-сервера и новый шлюз. На каждом из этих этапов могут возникнуть неполадки, которые вызовут проблемы в работе соединения.
Несколько слов о сервере
Хотя это выходит за рамки вопросов, рассматривающихся в этом курсе, но есть несколько моментов, касающихся сервера, о которых следует помнить при построении VPN-сети.
Пользуйтесь сервером, на котором установлено минимальное количество сервисов. Ограничьтесь использованием протоколов TCP/IP и PPTP.
Если сервер расположен в зоне действия межсетевого экрана или в DMZ, то необходимо переадресовывать трафик с внешнего маршрутизируемого IP-адреса сервера на внутренний адрес VPN. Это выполняется с помощью специальной конфигурации межсетевого экрана, которая называется Network Address Translation (Преобразование сетевых адресов), или с помощью канала (говоря на языке Cisco).
Если нужно разместить VPN-сервер за межсетевым экраном, убедитесь в том, что программа межсетевого экрана пропускает PPTP-пакеты. Некоторые программы этого не делают, и если у вас установлена одна из них, то вы не сможете пользоваться VPN.
Проблемы клиента
Другим местом возникновения проблемы является VPN-клиент. Процесс соединения VPN-клиента с VPN-сервером проходит в несколько этапов. Сначала в VPN-клиенте надо создать два набора настроек TCP/IP для его правильного функционирования. Один набор используется для установки связи с ISP и интернетом, а другой - в VPN-соединении. Кроме того, в таблице маршрутизации VPN-клиента должны быть записаны два маршрута: один направляет пакеты из локальной сети к ISP для дальнейшей отправки в интернет, а другой посылает пакеты на VPN-сервер для использования в локальной сети.
Наиболее распространенные проблемы VPN соединений, связанные с клиентами, перечислены ниже.
Невозможно установить связь с сервером. Если VPN-клиент не может установить связь с VPN-сервером, следует проверить ряд настроек. Убедитесь в том, что сервер подключен к интернету. Для этого с компьютера-клиента выполните пингование (ping) сервера по его IP-адресу. Межсетевой экран может блокировать пинг, но если вы получите сообщение "request timed out", то можете быть уверены в том, что сервер работает некорректно. Если сервер получает свой IP-адрес динамически (при использовании соединения удаленного доступа), убедитесь, что вы изменили IP-адрес VPN-сервера в ярлыке VPN в окне Network Connections (Сетевые подключения).
Если VPN-сервер отвечает на пинг своего IP-адреса, то проверьте пингом имя сервера. Если имя не прозванивается, то, возможно, имя сервера не зарегистрировано в домене, или DNS-сервер интернет-провайдера не в порядке.
Проверьте PPTP-фильтрацию. Если на сервере активизирована PPTP-фильтрация, то вы можете увидеть сообщение об ошибке с указанием, что сервер не отвечает. Отключите PPTP-фильтрацию на сервере и попробуйте создать нефильтруемое соединение.
Если удается установить связь при отключенном фильтровании, проверьте, включены ли на сервере UDР-порты 137 и 138, а также TCP-порт 139. Если они не работают, то подключите их, так как NetBIOS-пакеты не могут пересылаться по сети без этих портов. Эти порты следует активизировать на всех маршрутизаторах и межсетевых экранах, находящихся между VPN-сервером и клиентом.
Если вы проделали все указанные шаги, но все равно не можете установить связь с сервером, то проверьте все промежуточные маршрутизаторы на предмет задержки ими GRE (generic routing encapsulating) пакетов. Эту проверку полезно провести вместе с ISP, так как они зачастую используют GRE непосредственно для управления маршрутизацией.
Клиент устанавливает связь, но не может войти в сеть. Другой проблемой является возможность клиента установить связь с сервером, но невозможность войти в сеть. Если VPN-сервер сконфигурирован как контроллер домена, убедитесь в наличии у пользователя учетной записи, которая разрешает удаленный доступ. Если сервер не является контроллером домена, убедитесь в наличии у пользователя соответствующих прав на доступ к серверу.
Winsock прокси-клиент. Если Winsock прокси-клиент активен, то VPN-соединение не может быть установлено. Winsock-прокси переадресовывает пакеты на прокси-сервер до того, как они могут быть инкапсулированы для отправки по каналу VPN. Убедитесь в том, что Winsock прокси-клиент отключен.
Разрешение имени. Если вы подозреваете, что проблема связана с разрешением имени, то пользуйтесь полными именами доменов и IP-адресами при установке связи.
Другие места, которые можно проверить
Другие источники проблем выходят за рамки того, что пользователь может или должен проверить. Если неполадки нельзя связать с работой клиента или сервера, то их причина заключается в общих условиях работы компьютерной сети.
Преобразование сетевых адресов. Если VPN-клиент находится в области действия устройства, выполняющего преобразование сетевых адресов (Network Address Translation, NAT ), то сессия протокола L2TP не происходит из-за того, что зашифрованные IPSec ESP-пакеты могут быть повреждены. С другой стороны, если VPN-клиент находится на одном компьютере с Internet Connection Sharing или NAT, то он в состоянии установить L2TP-соединение. Это происходит потому, что NAT не выполняет никакой трансляции IP-адреса или порта в пакетах, исходящих из его собственного узла.
ESP. Другим источником проблем является ESP. ESP может блокироваться, если перед клиентом размещается NAT или маршрутизаторы находятся перед VPN. В этом случае сервер может не пропускать ESP. Возможность исходящего ESP-трафика сохраняется, но входящие пакеты ESP из шлюза поступать не будут. Кроме того, ESP может быть модифицирован. Это происходит, когда NAT повреждает пакеты. Пакеты могут быть повреждены сетевым интерфейсом, который способен выгружать IPSec. Для проверки введите в командную строку следующее:
Netsh int ip show offload
Если вы подозреваете, что способность сетевого адаптера выгружать IPSec является причиной неполадок, то запустите Network Monitor и используйте IPSec Monitor для анализа каждой попытки установить соединение. Проверьте счетчик Confidential Bytes Received (Получено секретных байт), чтобы узнать, теряются ли байты при их получении. Отключите автоматическую политику IPSec и проверьте, не поможет ли это установить соединение.
Windows XP Professional разрешает устанавливать связь с LAN или локальным компьютером различными способами. Если вы хотите устанавливать удаленное соединение через интернет, то VPN позволяет сделать это безопасным способом. Можно настроить сервер или локальный компьютер, чтобы они отвечали на поступающие вызовы, позволяя пользователям устанавливать удаленный доступ по каналу телефонной связи. Какой способ вы ни выберете, эти средства дистанционной связи обеспечивают широкие возможности для сетевой работы пользователей.
Лекция 15. Качество обслуживания
По мере того как сети продолжают расти, и для работы приложений требуется все большая пропускная способность каналов связи, становится очевидной необходимость механизма, который обеспечивал бы быстрое и беспрепятственное прохождение важного сетевого трафика. Качество службы (Quality of Service, QoS) является таким механизмом. Он гарантирует для сетей наличие необходимых ресурсов без увеличения полосы частот каналов связи.
В этой лекции QoS рассматривается с разных позиций. Сначала мы поговорим об основах QoS, чтобы вы лучше поняли, что это такое и как работает. Затем мы обсудим применение QoS в системе Windows XP Professional. В конце лекции мы рассмотрим, как реализовать QoS в своей сетевой работе.
Что такое QoS
Сети, работающие с протоколом IP, предоставляют свои ресурсы пользователям по принципу "первым пришел - первым получил". То есть важные пакеты пересылаются по сети с такой же скоростью и очередностью, что и пакеты какого-нибудь вновь прибывшего пользователя. Из-за этого организации вынуждены примиряться с потерянными пакетами и медленной работой сети.
Может показаться, что эта проблема связана с самим устройством интернета. Но дело в том, что он был построен по этому принципу намеренно. При проектировании интернета его архитекторы знали, что сеть должна быть простой настолько, чтобы ею можно было пользоваться на глобальном уровне. Таким они его и сделали.
Сейчас интернет во много раз превосходит свои первоначальные скромные размеры. Причем изменился не только его размер, но и характер. По всем этим причинам QoS имеет такое большое значение.
В этой лекции мы познакомимся с QoS, его необходимостью и способами реализации.
Пропускная способность - это еще не все
Кажется, что решить проблему перегрузки интернета достаточно просто: нужно увеличить пропускную способность каналов связи. В начале этот принцип работал. С ростом пропускной способности чувство удовлетворения у пользователей сети тоже возрастало. Однако сейчас проблемой становится не количество информации, пересылаемой по сети. Чтобы качество обслуживания можно было считать приемлемым, не меньшую важность имеют своевременность и координация.
Приложениям нужна не только пропускная способность, но и своевременность доставки пакетов данных. Рассмотрим, например, голосовое общение по сети (VoIP). Разумеется, для него требуется достаточная пропускная способность канала, но, кроме этого, такой вид связи предъявляет функциональное требование к IP-сетям - пакеты данных должны поступать в очередности, соответствующей порядку их отправления. Кроме того, они должны приниматься своевременно. Если при таком виде связи возникает задержка доставки пакетов, то общение становится невразумительным.
Задержка доставки пакетов, при которой сигнал перестает поступать вовремя, хорошо известна как флуктуация сигнала (jitter). При голосовом общении посредством VoIP флуктуация сигнала считается неприемлемой.
Флуктуация сигнала имеет значение для работы только тех приложений, для которых важны скорость и своевременность, например для VoIP или потоковых аудио- и видеоданных. С другой стороны, приложения типа электронной почты, сетевых браузеров и FTP не страдают от флуктуации сигнала. Если пакеты приходят в неверной последовательности и с полусекундными задержками, то это не беспокоит конечного пользователя. Эти службы не чувствительны к вопросам своевременности.
Создание более широкого канала связи для приложений типа VoIP не считается решением проблемы, так как неожиданный всплеск трафика может вызвать несвоевременность поступления сигнала. Чем более чувствителен сигнал приложения к отсрочке доставки, тем большие трудности он испытывает в связи со схемой доставки наилучшим способом. В таблице 15.1 представлены различные типы трафиков и их чувствительность к задержке пакетов и флуктуации сигнала.
Таблица 15.1. Чувствительность трафика к задержке пакетов и флуктуации сигнала |
||
Толерантность по отношению к задержке |
Тип трафика |
Влияние задержки пакетов на сетевое приложение |
Очень толерантно |
Асинхронный |
Задержка пакетов не оказывает влияния. |
|
Синхронный |
Задержка пакетов оказывает небольшое влияние, выражающееся в медленной работе. |
Умеренно толерантно |
Интерактивный |
Задержка раздражает пользователя, но приложение еще работает. |
|
Изохронный |
Приложение функционирует частично. |
Не толерантно |
Для решения критически важных задач |
Приложение не может работать. |
Большая часть приложений интернета являются асинхронными и толерантными к флуктуации сигнала. Например, пользователю может не нравиться, что сайт загружается в течение 15 секунд, но с точки зрения функционирования с браузером все в порядке. С другой стороны, приложения, пакеты которых должны доставляться быстро и в нужной последовательности, не будут столь снисходительны к медленному соединению.
Чтобы интернет мог эволюционировать до своего следующего уровня, IP следует усовершенствовать так, чтобы он обеспечивал более надежный уровень сетевого обслуживания.
Концепции QoS
Существуют два основных типа уровней обслуживания, которые резко отличаются друг от друга.
Установление уровня приоритетности. Отдельные пакеты обслуживаются по-разному, в зависимости от класса обслуживания, который им приписывается. Простое задание уровня приоритетности основано на пакетах. Другими словами, обслуживание пакета тем или иным образом указано в самом пакете. Хотя в целом QoS является приоритетно-управляемым и обрабатывает пакеты по очереди, но обслуживание, основанное на установлении уровня приоритетности, отличается тем, что его реализация сводится к работе устройства, инспектирующего пакеты. То есть маршрутизаторы рассматривают приоритетность независимо от других маршрутизаторов. Приоритетность, в особенности дифференцированное обслуживание, является методом применения QoS в Windows XP Professional.
Резервирование ресурсов. Соединению выделяется определенная часть полосы пропускания, которая согласовывается с потребностями маршрутизаторов и коммутаторов на всем пути следования. Резервируемые соединения выглядят несколько сложнее. Схемы резервации должны согласовать работу всех маршрутизаторов на пути соединения с режимом QoS до начала передачи. Более того, сам путь намечается до выполнения резервирования. Зарезервированная полоса пропускания может нуждаться в уточнениях, выполняемых в режиме реального времени. Протокол резервирования ресурсов (RSVP) является методом компании Microsoft, который она предлагает для QoS в Windows 2000.
Сравнение и противопоставление
Основное различие этих двух типов стратегии QoS состоит в разном управлении пакетами. Установление приоритетности требует от передающего сервера или другого сетевого устройства создания очередности отправки пакетов. Пакеты отправляются по очереди в соответствии со своей важностью. Протокол RSVP, напротив, требует, чтобы маршрутизаторы, находящиеся между отправителем и получателем, динамически конфигурировались, чтобы более важные пакеты получали преимущество над остальными пакетами, поступающими в маршрутизатор.
В пакетно-приоритетных сетях при изменении рабочих условий, связанных с поступлением пакетов другого потока на тот же самый маршрутизатор, очередность отправки пакетов первого потока уточняется.
С другой стороны, в сетях с протоколом RVSP резервирование полосы частот требует, чтобы все устройства на пути следования прибывали на QoS-уровень. Как вы можете догадаться, это создает большие проблемы с ресурсами, особенно, когда различным потокам требуются различные уровни обслуживания. Более того, старые маршрутизаторы, в которых не заложены возможности QoS, являются слабым звеном в соединении, сводя на нет все усилия QoS.
Если стратегия QoS заложена в самих информационных пакетах, нет необходимости устанавливать и отслеживать потоки, проходящие через маршрутизаторы, области трассирования и границы автономных систем.
Примечание. Автономной системой называются несколько маршрутизаторов, подчиняющихся одному администратору и использующих общий внутренний протокол шлюзовой маршрутизации.
Потоки и соединения
Потоком называется движение информационных пакетов между двумя IP-адресами, которые определяются номером порта сетевого TCP- или UDP-приложения. Поток пакетов, перемещающийся между этими же хостами, но в противоположном направлении, является отдельным потоком. Это вполне нормально, когда несколько потоков перемещаются между двумя хостами. Например, если пользователь открыл несколько окон сетевого браузера, то каждая из этих сессий имеет свой поток. Эти потоки остаются разделенными благодаря использованию различных номеров порта.
Потоки составляют основу QoS, так как каждый поток получает информацию о направлении (путь, соединяющий два хоста), о времени (последовательность и направленность соединения) и о причине (работающее приложение). Потоки идентифицируются с помощью некоторых элементов информации пакета.
Адрес хоста-отправителя. Сетевой адрес хоста-отправителя (характерный для протоколов третьего уровня, таких как IP или IPX).
Адрес конечного хоста. Сетевой адрес хоста-получателя (характерный для протоколов третьего уровня, таких как IP или IPX).
Протокол. Сетевые и транспортные протоколы (IP, TCP, UDP, IPX, SAP и т. д.).
Порт протокола отправителя. Протокол сетевого приложения на хосте-источнике (HTTP, FTP и т. д.).
Порт протокола получателя. Протокол сетевого приложения, зависящий от сетевого адреса конечного хоста.
Интерфейс исходного устройства. Сетевой интерфейс, через который трафик поступает в устройство (обычно маршрутизатор).
Любая комбинация вышеназванных критериев определения потока называется кортежем (tuple). В QoS кортежи используются для идентификации различных потоков. Когда между двумя хостами группируются потоки, то образовывается соединение. Соединение упрощает управление различными уровнями обслуживания, снижая количество инструкций по управлению потоком. Другим названием соединения является сессия. Этот термин часто употребляется в контексте с людьми, использующими соединение.
Идентификация потоков является одной из основных функций QoS, так как она используется сетевыми устройствами для определения соединения, которому принадлежит пакет. Это позволяет применять к этому пакету соответствующий уровень обслуживания.
RSVP
Протокол резервирования ресурсов RSVP обеспечивает качество обслуживания каждому потоку. Как следует из его названия, RSVP резервирует ресурсы полосы пропускания на линии, соединяющей исходное и конечное устройства, чтобы обеспечить хотя бы минимальный уровень QoS. Приложения, работающие на конечных IP-устройствах, используют протокол RSVP для указания характера потока пакетов, который они хотят получить, резервируя полосу пропускания, которая может поддерживать требуемое качество обслуживания. Это делается с помощью указания таких параметров, как минимальная пропускная способность, максимальная задержка при пульсации сигнала и пр.
RSVP является механизмом обеспечения качества обслуживания в Windows 2000. Мы обсуждаем его здесь на случай, если Windows XP Professional клиенты будут устанавливать соединения с Windows 2000-сервером, который использует RSVP. К тому же, Windows XP Professional включает в себя инструменты, которые могут отслеживать атрибуты RSVP в System Monitor, о чем речь пойдет ниже.
RSVP является протоколом, который применяется в архитектуре комплексных услуг (integrated services) QoS, сокращенно IntServ. Составляющая "комплексные" происходит от того, что все устройства связаны одним сервисным режимом для поддержки нужного уровня обслуживания потока в обоих направлениях.
Протокол RSVP работает комплексно. Он определяет хосты отправителя и получателя для каждого потока. Хост-отправитель посылает на хост-получатель сообщение PATH, в котором по пути следования формируется список всех устройств. Получив сообщение PATH, хост-получатель отправляет в ответ сообщение RESV, которое идет по тому же пути следования. В сообщении RESV указываются параметры характеристик нужного канала связи. После того как все промежуточные устройства настраиваются на нужный уровень обслуживания, сессия может начинаться. Когда связь прекращается, то применяется специальный прерывающий механизм, который освобождает ресурсы зарезервированных устройств. RSVP-процесс показан на рис. 15.1.
Рис. 15.1. RSVP использует сложную, изолированную систему отправки сообщений для резервирования полосы частот
Для полной гарантии резервирования каждый переход между сетевыми устройствами должен поддерживать резервирование и на физическом уровне предоставлять необходимую пропускную способность.
Если резервирование отвергается, то программа получает ответное сообщение, что сеть не может поддерживать такой тип и объем пропускной способности или необходимый уровень обслуживания. Программа решает, отсылать ли данные в настоящий момент, используя best-effort доставку (доставку с максимальными усилиями), или подождать и послать новый запрос позже.
RSVP представляет собой гибкий (soft-state) протокол, который требуется периодически обновлять. Информация о резервировании или состояние резервирования кэшируется на каждом переходе. Если сетевой протокол маршрутизации изменяет путь прохождения данных, то RSVP автоматически устанавливает состояние резервирования на новом маршруте. Если сообщения об обновлении не получены, то время резервирования истекает и аннулируется, а зарезервированный канал связи освобождается.
Примечание. Многие старые маршрутизаторы и коммутаторы не подчиняются протоколу RSVP. В таких случаях сообщения о резервировании отправляются на каждом этапе. Гарантия прямой доставки и малой задержки для запрашиваемого уровня обслуживания не достижима.
Группирование маршрутов частично снижает сложности и дополнительные расходы, связанные с применением RSVP. Например, если тысячи RSVP хостов-получателей должны получить, скажем, видеоклип, то RESV-сообщения будут свертываться и собираться в точках группирования. И наоборот, только один поток будет посылаться от источника, передающего видео, копироваться в точках группирования и "растекаться" по всем конечным пунктам.
Rsvp-сообщения
Мы уже говорили о RSVP-сообщениях в последнем разделе, но давайте более подробно рассмотрим специальные сообщения, которые использует протокол RSVP для создания и поддерживания зарезервированного канала для QoS-трафика в подсети.
PATH. Переносит информацию о потоке данных от отправителя к получателю. Сообщение резервирует путь следования для запрошенных получателем данных. Сообщение содержит в себе требования, касающиеся пропускной способности канала, характеристики трафика и информацию об адресе.
RESV. Переносит запрос о резервировании от получателя к отправителю. В сообщении содержатся данные о реальном резервировании полосы частот, требуемый уровень обслуживания и исходный IP-адрес.
PATH-ERR. Указывает на ошибку в ответ на сообщение PATH.
RESV-ERR. Указывает на ошибку в ответ на сообщение RESV.
PATH-TEAR. Удаляет установленное PATH состояние с пути следования.
RESV-TEAR. Удаляет установленное RESV состояние с пути следования.
RSVP может быть на удивление сложным. Некоторые эксперты даже сомневаются в применимости RSVP в свете огромного количества использующихся в нем переменных величин и тех затрат, которые неизбежны при установке и управлении каналом связи, зарезервированным подобным образом.
DiffServ
Лучшей моделью установления приоритетности является Differentiated Services (Дифференцированные службы), или DiffServ. DiffServ предлагает относительно грубый, но простой способ установки приоритетов в трафике. DiffServ переопределяет биты исходного поля типа обслуживания IP Type of Service (ToS) (см. рис. 15.2) по своей собственной схеме, в которой два из восьми ToS-бит используются для уведомления о перегрузке, а оставшиеся 6 бит - для маркировки пакетов. В этой схеме реализуются так называемые кодовые точки (code points) внутри шестибитного пространства маркировки. При входе в DiffServ QoS сеть пакеты имеют маркировку DiffServ-класса.
DiffServ пытается контролировать поведение только на каждом отдельном этапе. Другими словами, политика определяется локально, а DiffServ как механизм работает в устройстве, чтобы оказывать влияние, когда пакеты переходят к новому этапу следования. Так как политика устанавливается без учета топологии, то все происходит внутри устройства. DiffServ поддерживает два уровня обслуживания (трафик двух классов):
Expediting Forwarding (EF). Уменьшает задержку и пульсацию. Пакеты теряются, если трафик превышает максимальную нагрузку, установленную локальной политикой.
Assured Forwarding (AF). Обеспечивает четыре подкласса и три дополнительные подгруппы в каждом подклассе (всего 12 кодовых точек). Если нагрузка на трафик превышает уровень, установленный локальной политикой, избыточные AF-пакеты не доставляются в порядке очереди, предписанном их уровнем приоритета, а переводятся на более низкий уровень (но не теряются). Это понижение уровня в каскадном режиме происходит во всех точках кодирования.
Рис. 15.2. ToS-биты используются для установки уровня приоритета пакетов
QoS в Windows XP
В Windows XP Professional QoS используется для формирования трафика, сглаживания пиков и падений трафика до состояния равномерного потока. Маркировка пакетов (802.1p маркировка для второго уровня и DSCP-маркировка для третьего уровня) используется для формирования трафика. Планировщик пакетов внедряет применение QoS-правил для потока данных. Он извлекает пакеты из очередей и пересылает их в соответствии с установленными правилами QoS. Маркированные пакеты получают приоритет над немаркированными, будучи обслуживаемыми такими устройствами, как коммутаторы и маршрутизаторы, на пути своего следования.
В Windows XP Professional уровнем обслуживания можно управлять несколькими способами. Во-первых, QoS надо установить и сконфигурировать. Установка выполняется посредством обычной инсталляции. Конфигурирование и управление QoS производится посредством QoS Packet Scheduler (Планировщик пакетов QoS).
После установки необходимого уровня обслуживания воспользуйтесь мощным инструментом System Monitor (Системный монитор) для отслеживания различных ветвей TCP-соединения или RSVP-сессией, если у вас установлено соединение с Windows 2000 Server. Здесь мы рассмотрим эти инструменты для установки, использования и управления уровнями обслуживания в Windows XP Professional.
Использование в Windows XP
В Windows XP Professional QoS используется в целом ряде случаев. Ваши индивидуальные потребности могут изменяться, однако ниже дано несколько сценариев, в которых QoS может быть особенно полезным в работе сетей Windows XP Professional.
Применение QoS с ICS
Общий доступ к подключению к интернету (Internet Connection Sharing, ICS) является средством соединения нескольких компьютеров с интернетом посредством одной линии, обычно dial-up или DSL. Это удобный способ для выхода нескольких компьютеров в интернет, но он создает проблему, связанную с задержкой трафика. Эта задержка возникает из-за разницы скоростей, доступных для ICS-клиентов и канала связи ICS-сервера с интернетом.
Примечание. Для того чтобы освежить представление о ICS, вернитесь к гл. 5.
Например, если сетевое соединение ICS-клиента является быстрым (100 Mбит/с) и устанавливает связь с интернетом через ICS-сервер, связанный посредством удаленного доступа с быстрой сетью, то здесь появляется узкое место. В этой схеме окно получения информации ICS-клиента настроено на высокое значение, основанное на скорости линии, с которой оно соединено. ICS-сервер передает данные на низкой скорости, но если пакеты не теряются, то скорость возрастает.
Наконец, это может оказывать влияние на работу других TCP-соединений, проходящих в этой сети, так как их пакеты будут все дольше и дольше ждать своей очереди пересылки в локальной сети. Если пакеты теряются, то их надо отправлять повторно, что еще больше перегружает линию.
Чтобы выйти из этого положения, ICS-сервер должен настроить свое окно получения информации на меньший размер, более подходящий для медленной связи. Так можно обойти особенности скорости связи у получателя. В результате все это выглядит так, как если бы ICS-клиент был непосредственно подключен к медленной линии. Эта QoS настройка должна выполняться на ICS-сервере.
QoS с модемами и удаленным доступом
В небольшом офисе или в домашних условиях выход в интернет или связь с удаленной локальной сетью часто осуществляется с помощью dial-up-модемов. Хотя в этом случае соединение бывает очень медленным по сравнению с LAN или DSL-каналами, пользователи все же имеют возможность работать быстрее за счет некоторых приложений, которые одновременно используют эту линию. Например, они могут открыть веб-браузер, свою электронную почту, программу сетевого чата, еще один браузер и т. д. Все эти программы используют для транспортировки данных протокол TCP, и каждая программа формирует свое собственное соединение.
Программа, использующая dial-in-соединение, имеет эксклюзивное право на его использование. При запуске следующего приложения оно вынуждено пользоваться более медленным алгоритмом. Этот алгоритм ограничивает объем передачи новой информации, и пересылка пакетов будет происходить гораздо медленнее.
При одновременной работе нескольких TCP-приложений Windows XP Professional использует схему под названием deficit round robin (DRR) при работе на медленной линии связи. DRR назначает несколько информационных потоков и приписывает новые потоки данных к существующим. Потоки имеют тенденцию к циклическому перемещению, что обеспечивает улучшенную ответную реакцию и производительность. Так как все выполняется автоматически, пользователю не надо ничего конфигурировать вручную.
Примечание. DRR входит в пакет программ Windows 2000, но в Windows XP Professional эта опция отключена по умолчанию.
Установка
QoS Packet Scheduler является инструментом, который используется для установки уровней обслуживания в Windows XP Professional. По умолчанию этот инструмент не инсталлируется вместе с Windows XP Professional - его добавляют позже. Для инсталляции QoS Packet Scheduler (Планировщик пакетов QoS) проделайте следующие шаги.
В окне Network Connections (Сетевые подключения) щелкните правой кнопкой мыши на выбранном сетевом соединении.
В появляющемся окне выберите Properties (Свойства).
Щелкните на вкладке Networking (Сеть).
Щелкните на Install (Установить).
Выберите Service (службы) и щелкните на Add (Добавить).
Выберите QoS Packet Scheduler и щелкните на ОК.
Вы вернетесь в окно свойств выбранного соединения и можете получить предложение перезагрузить компьютер.
Кроме того, Windows XP Professional QoS опирается на протокол 802.1p. Он должен быть задействован на всех сетевых адаптерах, на которых вы собираетесь использовать QoS. Для того чтобы сконфигурировать адаптер для использования QoS в окне свойств сетевого адаптера (находящемся в Диспетчере устройств) выберите опцию поддержки QoS, как это показано на рис. 15.3. Кроме того, сетевой адаптер должен быть совместимым с 802.11p.
Рис. 15.3. Подключение QoS (802.1p) на сетевом адаптере
Примечание. IEEE 802.1p метод сигнализации используется для установки уровней приоритетности трафика на втором уровне модели OSI. Он реализуется в сетевых адаптерах и коммутаторах для работы по принципу "сделать как можно лучше, но без гарантии" (best-effort) и не требует резервирования ресурсов.
Управление
Установка и управление уровнями QoS выполняется с помощью оснастки Group Policy (Групповая политика) консоли ММС.
Примечание. Вы можете либо добавить Group Policy в ММС, либо ввести команду gpedit.msc в окне команд.
После открытия оснастки групповой политики найти QoS Packet Scheduler (Планировщик пакетов QoS) можно следующим образом.
Разверните Computer Configuration (Настройка компьютера).
Разверните Administrative Templates (Админстративные шаблоны).
Разверните Network (Сеть).
Щелкните на QoS Packet Scheduler.
Главная страница QoS Packet Scheduler показана на рис. 15.4.
Рис. 15.4. Планировщик пакетов QoS
Главный вид
На этом виде имеются 6 элементов. Более подробно папки (DSCP-значение соответствующих пакетов, DSCP-значение для несоответствующих пакетов и значение приоритетности второго уровня) будут обсуждаться далее в этом разделе.
Примечание. Для всех этих настроек значения, указанные в реестре, заменяют настройки, сделанные в оснастке Group Policy.
Каждая из настроек, содержащихся в Планировщике пакетов QoS, позволяет устанавливать для каждого типа пакетов определенный уровень приоритетности. Например, в зависимости от критерия отбора (трафик определенного адреса или порта, пакеты, принадлежащие определенному пользователю или приложению и т. д.) пакетам присваиваются различные уровни приоритетности. Чем ниже уровень приоритетности, тем дальше стоит пакет в очереди на отправку.
Помимо упомянутых выше папок, существует три вида управляемых настроек, о которых речь пойдет ниже.
Limit Reservable Bandwidth (Ограничить резервируемую пропускную способность). Эта настройка применяется для определения части (в процентах) пропускной способности соединения, которую может зарезервировать система. По умолчанию настройка равна 20 %. Эта величина может быть увеличена или уменьшена в зависимости от необходимого уровня обслуживания. Если настройка отключена или не задействована, то система по умолчанию использует 20 % пропускной способности канала связи.
Limit Outstanding Packets (Ограничение ожидающих обработки пакетов). Ожидающие обработки пакеты - это те пакеты, которые Планировщик пакетов направил на сетевой адаптер для передачи, но которые еще не отправлены. Эта настройка применяется для задания максимального числа пакетов, ждущих своей отправки, которое система может разрешить. Когда количество таких пакетов достигает порогового значения, Packet Scheduler задерживает отправку всей исходящей информации на сетевых адаптерах, до тех пор пока это значение не опустится ниже порогового. Включение настройки позволяет ограничивать количество ожидающих обработки пакетов. Подключение или отключение этой опции не влияет на работу системы.
Set Timer Resolution (Задать разрешение таймера). Настройка используется для установки наименьшего интервала времени, в течении которого Packet Scheduler составляет график передачи пакетов. Packet Scheduler не может отсылать пакеты быстрее, чем позволяет этот промежуток времени. Использование этой настройки позволяет управлять скоростью передачи пакетов с точностью до 10 мс. Включение или отключение настройки не влияет на работу системы.
Значение dscp для соответствующих пакетов
Ключом использования DiffServ QoS является код указателя дифференцированных служб (Differentiated Services Code Point, DSCP). По существу, когда трафик поступает на входящий сетевой интерфейс, он классифицируется и подчиняется заранее сконфигурированному процессу входа, а затем формируется, чтобы отвечать требованиям политики, установленной в организации. Затем потоку данных предписывается определенное поведение. DSCP-величина инициирует специальное PHB-поведение в сетевых устройствах и классифицирует пакеты по уровню обслуживания.
Папка DSCP Value of Conforming Packets внутри планировщика пакетов содержит следующие настройки (применимые на третьем уровне модели OSI), которые используются для изменения DSCP-значения различных атрибутов соответствующих пакетов. Соответствующие пакеты - это те пакеты, которые удовлетворяют спецификации потока.
QoS в системе Windows XP Professional использует пять типов обслуживания.
Best Effort (Негарантированный). Этот вид обслуживания не дает никаких гарантий того, что требуемые QoS-параметры будут применены, но может быть использован отправителями для указания контрольных объектов трафика.
Guaranteed (Гарантированный). Этот тип обслуживания применяется для приложений, которым требуется особый уровень обслуживания. Тип гарантированного обслуживания разработан для отправки пакетов с задержкой, не превышающей установленные рамки.
Controlled Load (Контролируемая загрузка). Этот тип обслуживания используется для определения уровней обслуживания, аналогичных Best Effort в условиях отсутствия нагрузки.
Qualitative (Качественный). Этот тип обслуживания используется для приложений, которым требуется лучший, чем Best Effort, тип обслуживания, но которые не могут определить количество своих QoS-требований.
Network Control (Контроль сети). Этот тип обслуживания резервируется для использования очень важными управляющими приложениями.
Негарантированный тип обслуживания. Пакетам, которым предписан уровень обслуживания Best Effort, дается альтернативное (чередующееся) DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для негарантированного типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Тип обслуживания "контролируемая загрузка". Пакеты, которым предписан такой тип обслуживания, получают альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 24.
Гарантированный тип обслуживания. Пакеты с гарантированным типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 40.
Тип обслуживания "контролируемый сетью". Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 48.
Качественный тип обслуживания. Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Dscp-значение несоответствующих пакетов
Следующие настройки совершенно аналогичны описанным в предыдущем разделе. Однако их отличие состоит в том, что значения по умолчанию для всех настроек одинаковы и равны 0. Эти настройки применяются только в отношении пакетов, не соответствующих спецификации потока.
Best Effort. Пакеты с таким уровнем обслуживания могут получить альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Controlled Load. Пакеты с таким типом обслуживания могут получить альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Guaranteed. Пакеты с гарантированным типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Network Control. Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Qualitative. Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.
Значение приоритета второго уровня
Атрибуты этого раздела применяются для управления значениями приоритетности второго уровня для различных типов пакетов. QoS Packet Scheduler вкладывает соответствующее приоритетности значение в заголовки второго уровня.
Nonconforming Packets (Несоответствующие пакеты). Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, не соответствующих спецификации потока (другие типы обслуживания применяются к пакетам, которые соответствуют спецификации потока). При использовании этой настройки для несоответствующих пакетов применяется значение приоритетности, данное по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 1.
Best Effort. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан негарантированный тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для негарантированных пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 0.
Controlled Load. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан тип обслуживания с контролируемой загрузкой в соответствии со спецификацией потока. При использовании этой настройки для Controlled Load-пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 4.
Guaranteed. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан гарантированный тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для гарантированных пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 5.
Network Control. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан контролируемый сетью тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для Network Control-пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 7.
Qualitative. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан качественный тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для Qualitative-пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 0.
Мониторинг QoS
Для проведения мониторинга QoS системы используется инструмент System Monitor (PERFMON.EXE) и добавляется TCP к списку объектов наблюдения.
Примечание. System Monitor (Системный монитор) (ранее известный как Performance Monitor в Windows NT) является очень мощным инструментом, который отслеживает сотни событий системы. Более подробно о System Monitor рассказывается в "Мониторинг работы сети XP" .
Запустив System Monitor (рис. 15.5), вы добавляете выполняющие объекты, щелкая на знаке "+" в ряду ярлыков справа. Появляющееся в результате диалоговое окно показано на рис. 15.6.
Рис. 15.5. Название
Рис. 15.6. Название
Если Windows XP Professional-клиент имеет соединение с Windows 2000-сервером или другим сервером, использующим RSVP для QoS, то в System Monitor можно добавить следующие объекты:
RSVP-интерфейсы;
RSVP-сервисы.
Эти объекты отслеживают следующие RSVP-элементы:
неудачные QoS-отправления;
неудачные QoS повторные отправления;
QoS-клиенты;
оснащенные QoS-отправители;
оснащенные QoS-получатели;
RSVP-сессии;
сообщения RESV-ERR отправленные;
сообщения RESV-ERR полученные;
сообщения RESV-TEAR отправленные;
сообщения RESV-TEAR полученные;
отправленные сигнальные байты;
полученные сигнальные байты
При использовании QoS-механизма на базе DiffServ следующие объекты могут быть добавлены в System Monitor:
получено сегментов/сек;
переотправлено сегментов/сек;
сегментов/сек;
отправлено сегментов/сек.
Кроме того, для детального мониторинга работы TCP/IP-сети можно использовать ICMP и UDP счетчики объектов. Выполняющий ICMP-объект включает в себя счетчики, которые считают скорость отправки и получения ICMP-сообщений. Кроме того, он включает счетчики, отслеживающие ошибки протокола ICMP.
Выполняющий UDP-объект состоит из счетчиков, которые измеряют скорость отправки и получения UDP-дейтаграмм, а также счетчиков для подсчета UDP-ошибок.
Примечание. Более подробную информацию о System Monitor вы найдете в "Мониторинг работы сети XP" .
Мы надеемся, что необходимость и польза от применения QoS после прочтения этой лекции стали для вас очевидными. К счастью, компания Microsoft отказалась от использования RSVP QoS в Windows XP Professional и решила использовать QoS на базе DiffServ. Это решение превратило QoS из простого понятия в то, что можно практически применять в работе Windows XP Professional-сетей
Лекция 16. Совместимость с другими системами
Компьютерные сети в основном являются гетерогенными. Несмотря на то что большая часть компьютеров-клиентов работает в системе Windows и устанавливает соединения с другими Windows-серверами, существуют и серверы, работающие с другими операционными системами, и с этими серверами клиентам надо устанавливать соединения. Двумя наиболее распространенными системами являются Novell NetWare и Unix.
В этой лекции мы обсудим, как Windows XP Professional-клиенты могут устанавливать соединения с другими операционными системами. Мы рассмотрим различные сетевые схемы, в которых используется Windows XP Professional на машинах-клиентах, устанавливающих соединения с серверами, работающих с системами Windows 2000 Server, UNIX или NetWare.
NetWare-соединения
Система Windows XP Professional оснащена встроенными инструментами для соединения с Novell NetWare-ресурсами. Первым инструментом, который мы обсудим, является Служба клиента для NetWare (Client Service for NetWare, CSNW). Она позволяет Windows XP Professional-клиентам получать доступ к NetWare-серверам и является хорошим механизмом для небольших сетей или сценариев, в которых надо часто устанавливать связь между системами Windows XP Professional и NetWare.
Другой инструмент, обеспечивающий взаимодействие систем Windows - NetWare -находится на Windows 2000/.NET Server и называется Служба шлюза для NetWare (Gateway Service for NetWare, GSNW). Этот инструмент служит посредником между Windows XP Professional-клиентом и NetWare-сервером.
CSNW
Для доступа к NetWare-ресурсам в системе Windows XP Professional имеется инструмент под названием Служба клиента для NetWare(Client Service for NetWare). Она позволяет получать доступ к файлам и принтерам NetWare-серверов, работающих с Novel Directory Services (NDS), NetWare 3.x, 4.x и привязками безопасности Windows XP Professional-клиента.
Примечание. CSNW не поддерживает протокол IP, имеющийся в NetWare 5.x и более поздних версиях. Для установки соединения с помощью CSNW на NetWare 5.x-сервере надо загрузить протокол IPX.
Откройте Network Connections (Сетевые подключения).
Щелкните правой кнопкой мыши на нужном локальном соединении и щелкните на Properties (Свойства).
Щелкните на вкладке General (Общие) и затем щелкните на Install (Установить).
Появится диалоговое окно Select Network Component Type (Выбор типа сетевого компонента). Щелкните на Protocol (Протокол), затем щелкните на Add (Добавить).
В диалоговом окне Select Network Protocol (Выбор сетевого протокола) (рис. 16.1) щелкните на NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол). Затем нажмите ОК.
Рис. 16.1. Инсталляция NWLink IPX/SPX/NetBIOS-совместимого транспортного протокола
После того как нужные протоколы установлены, можно инсталлировать инструмент CSNW. Это выполняется следующим образом.
Откройте Network Connections (Сетевые подключения).
Щелкните правой кнопкой мыши на нужном локальном соединении, в котором вы хотите применить инструмент CSNW, и затем щелкните на Properties (Свойства).
Щелкните на вкладке General (Общие) и затем щелкните на Install (Установить).
Появится диалоговое окно Select Network Component Type (Выбор типа сетевого компонента). Щелкните на Client (Клиент) и затем щелкните на Add (Добавить).
В диалоговом окне Select Network Client (Выбор сетевого клиента) (рис. 16.2) щелкните на Client Service for NetWare (Служба клиента для NetWare) и затем щелкните на ОК.
Рис. 16.2. Инсталляция службы клиента для NetWare
После того как протокол NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол установлен, нужно его сконфигурировать. Это выполняется следующим образом.
Откройте Network Connections (Сетевые подключения).
Щелкните правой кнопкой мыши на нужном локальном соединении и щелкните на Properties (Свойства).
Щелкните на вкладке General (Общие), щелкните на NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол), затем щелкните на Properties (Свойства) (см. рис. 16.3).
Введите значение внутреннего сетевого номера или оставьте значение по умолчанию, равное 00000000.
Затем следует установить тип кадров (фреймов) для этого соединения. Это можно сделать автоматически, щелкнув на Auto Detect и затем - на ОК, или щелкнув на типе кадра, введя сетевой номер и щелкнув на ОК.
Щелкните на ОК, для того чтобы сохранить настройки.
Рис. 16.3. Конфигурирование инструмента CSNW
Служба шлюза для NetWare
Ранее в этой лекции мы рассмотрели инструмент Служба клиента для NetWare (CSNW) для Windows XP Professional (на самом деле он включен во все версии Windows). Однако, исходя из интересов своей сети или компании, вы можете посчитать, что его лучше не инсталлировать на свои клиентские компьютеры, а вместо этого установить шлюз. Шлюз является посредником между клиентами организации и NetWare-серверами (см. рис. 16.4). Скорее всего, CSNW не будет устанавливаться в организации, серверам которой доступны более изощренные инструменты.
Примечание. При соединении с ресурсами NetWare используйте инструмент CSNW для более частых соединений, а GSNW - для более редких. Если вы используете GSNW для создания шлюза к NetWarе-ресурсам, то не надо инсталлировать NWLink IPX/SPX/NetBIOS Compatible Transport Protocol на клиентах или подключать IPX на сетевом оборудовании.
В следующих разделах обсуждаются инструменты NetWare-интеграции, доступные в Windows 2000, которые можно использовать в сочетании с Windows XP Professional-клиентами. Перед тем как перейти к этим инструментам, важно отметить, что вы должны быть готовы использовать любые патчи, разработанные как Novell, так и Microsoft. Эти патчи важны в сетях смешанного типа, так как облегчают возможность устанавливать соединения и повышают производительность работы.
Рис. 16.4. В сети шлюз размещается между клиентом и сервером.
Служба шлюза для NetWare в Windows 2000
Система Windows 2000 включает в себя Службу шлюза для NetWare, позволяя Windows 2000-серверу устанавливать связь с компьютерами, работающими в системах NetWare 3.x и 4.x. GSNW используется администратором для создания шлюза между компьютером-клиентом (типа Windows XP Professional) и файловыми ресурсами и ресурсами печати. Все эти функции присутствуют на Windows 2000-сервере, и не надо вносить никаких изменений в NetWare-сервер или Windows XP Professional-клиентов.
Создание шлюза. Для создания шлюза в системе Windows 2000 следует выполнить несколько требований. Во-первых, у NetWare-сервера должна быть группа под названием NTGATEWAY. Во-вторых, нужно иметь учетную запись как в сети NetWare, так и в группе NTGATEWAY, а также разрешения доступа.
Для установки службы шлюза для NetWare проделайте следующие шаги.
Откройте Network and Dial-up Connections (Сеть и удаленный доступ к сети), выбрав Start\Settings\Network and Dial-up Connections (Пуск\ Настройка\Сеть и удаленный доступ к сети).
Щелкните правой кнопкой мыши на локальном соединении и выберите Properties (Свойства).
На вкладке General (Общие) щелкните на Install (Установить).
В диалоговом окне Select Network Component Type (Выбор типа сетевого компонента) щелкните на Client (Клиент) и затем щелкните на Add (Добавить).
В диалоговом окне Select Network Client (Выбор сетевого клиента) щелкните на Gateway Services for NetWare (Служба шлюза для NetWare) и затем щелкните на ОК.
Включение службы шлюза. После того как службы шлюза установлены в системе Windows 2000, их надо активизировать. Это выполняется с помощью следующих шагов.
Откройте Gateway Services for NetWare (Служба шлюза для NetWare), выбрав Start\Control Panel (Пуск\Панель управления) и щелкнув дважды на GSNW.
Щелкните на Gateway (Шлюз) и выберите окно Enable Gateway (Включить шлюз).
В Gateway Account (Учетная запись шлюза) введите имя своей учетной записи для шлюза.
В Password (Пароль) и Confirm Password (Подтверждение пароля) введите пароль учетной записи шлюза.
Активизация шлюза принтера и файлов
Для получения доступа к NetWare-файлам и принтерам шлюз каждого из них должен быть активизирован. Активизация шлюза создает ресурс, которым могут пользоваться Windows XP Professional-клиенты.
Активизация шлюза к файлам. Для активизации шлюза к файлу проделайте следующее.
Откройте службы шлюза для NetWare, выбрав Start\Control Panel (Пуск\Панель управления) и щелкнув дважды на GSNW.
Выберите Gateway (Шлюз) и затем отметьте флажок Enable Gateway (Включить шлюз).
Щелкните на Add (Добавить). В поле Share Name (Сетевое имя) введите имя ресурса, которое будут использовать клиенты для доступа к ресурсу.
В поле Network Path (Сетевой путь) введите сетевой путь к NetWare-каталогу, который будет совместно использоваться.
В Use Drive (Диск) введите диск, который будет использоваться по умолчанию.
Щелкните на Unlimited (Без ограничений) и щелкните на ОК.
Активизация шлюза к принтерам. Для активизации шлюза к принтерам проделайте следующее.
Выберите Start\Printers (Пуск\Принтеры).
Выберите Add Printer (Установить принтер) и затем щелкните на Next.
Выберите Network Printer (Сетевой принтер) и щелкните на Next.
В поле Name введите имя принтера в следующем формате: \\servername\sharename.
Если надо найти NetWare-принтер в Shared Printers (Общие принтеры), щелкните на Next.
Следуйте инструкциям мастера для завершения процесса.
Выберите принтер, который вы только что создали, и в меню File (Файл) щелкните на Properties (Свойства).
На вкладке Sharing (Общий доступ) выберите Shared (Общий ресурс). В поле Shared as введите имя принтера.
Назначение разрешений для NetWare-ресурсов
После того как GSNW проинсталлирована и активизирована, можно управлять доступностью сетевых NetWare-ресурсов c помощью разрешений.
Устанавливать разрешения на сервере Windows 2000 можно следующим образом.
Откройте службы шлюза для NetWare, выбрав Start\Control Panel (Пуск\Панель управления) и щелкнув дважды на GSNW.
Выберите Gateway (Шлюз).
Выберите ресурс, для которого вы хотите установить разрешения, и щелкните на Permissions (Разрешения).
Для добавления пользователей или групп щелкните на Add (Добавить). В поле Names (Имя) выберите пользователя или группу и затем выберите Add. В поле Type of Access (Тип доступа) щелкните на разрешении для этого пользователя или группы.
Для удаления пользователей или групп выберите пользователя или группу в списке допущенных пользователей и затем щелкните на Remove (Удалить).
Для изменения разрешений пользователей или групп выберите пользователя или группу и затем выберите уровень доступа в поле Type of Access (Тип доступа).
Доступ к ресурсам NetWare
После установки GSNW используется для доступа к ресурсам, находящимся на NetWare-сервере. Вы можете получить доступ к NetWare ресурсам двумя способами: через интерфейс Windows или с помощью ввода команды.
Интерфейс Windows
Доступ к ресурсу NetWare с Windows XP Professional-компьютера, оснащенного GSNW, похож на обнаружение ресурса в Windows-сети. Для установки соединения с NetWare-ресурсом посредством графического пользовательского интерфейса Windows проделайте следующие шаги.
Откройте My Network Places (Сетевое окружение).
Далее выполните одно из действий:
щелкните дважды на NetWare or Compatible Network (Сеть NetWare или совместимая);
щелкните дважды на Entire Network (Вся сеть), а затем щелкните дважды на NetWare or Compatible Network Сеть NetWare или совместимая).
После этого появится дерево Novell Directory Services, которое вы можете выбрать.
Щелкните дважды на выбранном дереве или томе, затем - на содержимом для дальнейшего просмотра.
В конце концов, когда вы найдете папку или том, к которым нужно получить доступ, щелкните дважды и раскройте их. Если требуется отобразить локальный диск для папки или тома, щелкните на папке или томе и затем в меню Tools (Сервис) щелкните на Map Network Drive (Подключение сетевого диска). Это инициирует мастер подключения сетевого диска (Map Network Drive Wizard) (рис. 16.5), использование которого рассматривалось в "Совместное использование сетевых ресурсов" .
Рис. 16.5. Подключение NetWare-ресурса
Ввод команды
Если вы предпочитаете использовать команду, то существует несколько способов управления NetWare-ресурсами с Windows XP Professional компьютера-клиента.
Доступ к NetWare-тому. Для выполнения многих заданий используется команда NET USE. Если нужно получить доступ к определенному NetWare-тому, введите следующее:
Net use drive: [UNCname \ NetWareName]
Чтобы использовать формат UNC для переадресации диска H в каталог \plans\getoffisland на томе Minnow на сервере Castaway, введите следующее:
Net use H: \\castaway\minnow\plans\getoffisland
Вход в систему. В зависимости от настроек безопасности NetWare-сервера вам могут потребоваться пароль и имя пользователя для получения доступа к ресурсу. Чтобы войти на NetWare сервер с помощью команды, введите пароль и имя пользователя следующим образом:
/user: UserName Password
Для доступа к защищенному ресурсу эта команда может применяться в сочетании с другими командами. Например, если пользователю Gilligan с паролем littlebuddy надо войти в каталог \plans\getoffisland на томе Minnow сервера Castaway на диске Н, то он должен ввести следующее:
Net use H: \\castaway\minnow\plans\getoffisland /user: gilligan littlebuddy
Соединение с NDS-деревом. Соединение Windows XP Professional-клиента с NDS-деревом выполняется с помощью следующей команды:
Net use drive: \\TreeName\volume.OrgName.OrgName
[/u:UserName.OrgName.OrgName [password]
В таблице 16.1 перечислены компоненты команды входа.
Таблица 16.1. Компоненты команды соединения с NDS-деревом |
|
Компонент |
Описание |
TreeName |
Имя дерева. |
OrgName |
Место, с которым нужно установить соединение. |
UseName.OrgName.OrgName |
Имя пользователя и контекст этого дерева. |
Отображение NetWare-серверов. Чтобы посмотреть, к каким NetWare-серверам Windows XP Professional-клиент имеет доступ, воспользуйтесь следующей командой:
Net view/ network:nw
Показ томов на NetWare-сервере. Чтобы увидеть тома определенного NetWare-сервера, воспользуйтесь следующей командой:
Net view \\ NWServerName /network:nw
Показ содержания каталога. Чтобы просмотреть содержание данного каталога, воспользуйтесь следующей командой:
Dir \\DirectoryPath
Просмотр содержания NetWare-сервера, использующего NDS. Чтобы просмотреть содержание NetWare-сервера, использующего NDS, следует заключить путь к каталогу в кавычки. Например:
Dir "\\NDSTree\volume.unit.group"
Печать
После установки соединения Windows XP Professional-клиента с NetWare-сервером соединение с принтером сервера выполняется так же, как при установке принтера, подключенного к Windows-серверу. Проще всего запустить мастер установки принтера (Add a New Printer Wizard).
Переадресация входных данных порта в очередь на принтер
Для переадресации выходных данных из порта на очередь принтера воспользуйтесь следующей командой:
Net use ServerName \\PrintQueue
Например, для переадресации выходных данных порта LPT1 в очередь NetWare-принтера под именем Printing on the GroupA введите команду:
Net use lpt1\\groupa\printing
Пересылка файлов, не требующих форматирования, в LPT1
Если надо напечатать файлы, не требующие форматирования (нет специальных шрифтов, пробелов или особой разметки), то сначала переадресуйте выходные данные с помощью команды NET USE (как описано в разделе "Переадресация входных данных порта в очередь на принтер"), а затем введите следующую команду:
Copy FileName ServerName
Копирование файла в очередь на принтер
Если нужно скопировать файл в очередь на принтер, сначала переадресуйте его командой NET USE, а затем введите следующую команду:
Copy FileName \\PrintQueue
Соединение принтера с деревом NDS
Для установки соединения принтера с деревом NDS используется команда, аналогичная команде для доступа к любому ресурсу NDS-дерева:
Net use drive: \\TreeName\printer.OrgName.OrgName
[/u:UserName.OrgName.OrgName [password] ]
В таблице 16.2 перечислены компоненты команды соединения
Соединения LINUX/UNIX
В первой половине этой лекции рассматривались NetWare-соединения, которые можно устанавливать с помощью инструментов CSNW и GCNW, входящих в пакет программ системы Windows XP Professional и Windows 2000 Server. Однако для соединений Windows XP Professional - UNIX нет инструмента, входящего в состав Windows. Вам придется купить этот инструмент как дополнение. Для взаимодействия систем Windows XP Professional и UNIX компания Microsoft предлагает инструмент Services for UNIX 3.0.
Таблица 16.2. Компоненты команды соединения NDS-дерева с принтером |
|
Компонент |
Описание |
TreeName |
Имя дерева. |
OrgName |
Место в дереве, с которым нужно установить соединение. |
UserName.OrgName.OrgName |
Имя пользователя и контекст дерева. |
Microsoft и UNIX используют разные протоколы для доступа клиентов к файлам и принтерам. Windows XP Professional использует протокол CIFS для обслуживания файлов и принтеров, в то время как UNIX - протокол NFS для обслуживания файлов и протокол LPR/LPD для обслуживания печати.
Службы для unix 3.0
Windows Services for Unix (SFU) - это инструмент, который позволяет Windows XP Professional взаимодействовать с Solaris 2.7, HP-UX 11, AIX 4.3.3 и Red Hat Linux 7.0 (инструмент специально разработан для этих платформ, но Microsoft утверждает, что он будет работать и с другими UNIX-платформами и версиями). SFU предлагает ряд межплатформенных сервисов, которые позволяют Windows-клиентам интегрироваться в UNIX-окружение.
Примечание. Пробную версию SFU 3.0 можно заказать в Microsoft по адресу http://www.microsoft.com/windows/sfu/productinfo/trial/default.asp.
Interix
Предшествующие версии SFU нужно было использовать вместе с приложением Interix. Interix позволяет запускать UNIX-приложения и скрипты в системах Windows XP Professional и Windows 2000 Server. В SFU компания Microsoft объединила два инструмента. Это единственное большое изменение SFU 3.0, так как он включает в себя не только подсистему Interix, но и 300 ее инструментов и набор программ для разработчиков. Технология подсистемы Interix создает условия, когда в одной системе работают как Windows-, так и UNIX-приложения. Подсистема Interix работает поверх ядра Windows, позволяя UNIX приложениям и скриптам выполняться в родственной среде на Windows-платформах параллельно с Windows-приложениями. Подсистема Interix и ее утилиты заменила более раннюю подсистему Korn Shell, являющуюся частью предыдущей версии SFU. На рис. 16.6 показан один из инструментов Interix.
Рис. 16.6. Инструмент Interix
Подсистема Interix является полностью интегрированной POSIX-подсистемой, которая естественным образом работает в системах Windows XP Professional и Windows 2000. Эта подсистема осуществляет необходимую поддержку для компиляции и запуска UNIX-приложений в Windows.
Interix предоставляет Korn Shell и C Shell, которые ведут точно так же, как в среде UNIX. Преимущество версии SFU 3.0 состоит в том, что оба инструмента имеют общую корневую файловую систему. Это означает, что больше нет необходимости конвертировать шрифты для поддержки алфавита диска. Это изменение облегчает перенос скриптов из UNIX в Windows XP Professional в связи с наличием единой корневой системы файлов, так же как и в UNIX знак двоеточия сохраняет свое значение разделителя полей.
Другим качеством подсистемы Interix является ее более дружественное отношение к пользователю, чем в предыдущих версиях. В ранних версиях Interix насильственным путем вводилась чувствительность к регистру (case sensitivity). Это делало написание скриптов затруднительным для тех, кто не знал точного регистра Windows-утилиты. В SFU 3.0 это изменено, как и необходимость добавления расширений к исполняющим программам.
Системные требования
В таблице 16.3 перечислены минимальные системные требования, необходимые SFU 3.0.
Таблица 16.3. Минимальные требования для SFU 3.0 |
|
Компонент |
Минимальные требования |
Оперативная память |
16 Мб |
Жесткий диск |
184 Мб |
Браузер |
Internet Explorer 5 или более поздний |
Другие компоненты |
Сетевой адаптер и дисковод для чтения компакт-дисков |
Компоненты сетевой файловой системы
SFU 3.0 использует три компонента сетевой файловой системы:
клиент для NFS;
сервер для NFS;
шлюз для NFS.
В последних версиях SFU 3.0 все они имеют дополнительные усовершенствования, в основном имеющие отношение к исполнению и интернационализации.
Примечание. Все три компонента NFS поддерживают корейский и китайский алфавиты
Клиент NFS. Клиент NFS позволяет Windows-компьютерам вести себя подобно клиентам для получения доступа к файлам на NFS-сервере. Для подключения компонента Client for NFS (Клиент для NFS) его надо проинсталлировать в каждой Windows XP Professional системе, которой требуется доступ к NFS-файлам.
В SFU 3.0 изменения, внесенные в Client for NFS (Клиент для NFS), делают работу клиента более быстрой и эффективной в смешанной среде. Улучшения включают в себя следующее:
возможность устанавливать setuid/gid/sticky-биты;
возможность создания символических ссылок;
Клиент для NFS работает эффективнее благодаря кэшированию каталога на компьютере-клиенте. На рис. 16.7 приведен пример SFU 3.0 клиента для NFS.
Рис. 16.7. Клиент SFU 3.0 для NFS
Сервер для NFS. Сервер для NFS позволяет Windows-компьютерам работать в качестве NFS-серверов. Компьютеры, на которых работают программы NFS-клиента (в операционных системах Windows или UNIX) могут получать доступ к файлам на NFS-сервере. Для подключения компонента Server for NFS (Сервер для NFS) его надо проинсталлировать на Windows XP Professional-компьютере.
В SFU 3.0 раздел Server for NFS (Сервер для NFS ) был усовершенствован, что улучшает работу отдельных серверов.
Система безопасности тоже стала совершеннее, так как была улучшена трансляция Windows 2000-разрешений в UNIX- или NFS-ресурсы, что поддерживает согласованность с моделями безопасности, присутствующими в Windows 2000- и .NET-серверах.
Шлюз для NFS. Шлюз для NFS позволяет Windows XP Professional-компьютеру работать в качестве шлюза, через который Windows-компьютеры, не оснащенные программами NFS-клиента, могут получать доступ к NFS-файлам и принтерам. Шлюз работает как промежуточное звено между протоколом SMB и протоколом UNIX NFS. При использовании Gateway for NFS (Шлюза для NFS) процесс протекает медленнее, чем при работе с клиентом для NFS. Если необходим частый доступ к NFS-ресурсам, то лучше использовать клиент для NFS.
В SFU 3.0 шлюз для NFS стал более совершенным; он включает улучшенную командную строку и систему административного контроля GUI, а также поддержку нескольких алфавитов и улучшение поддержки кластеров.
SAMBA
Программы Services for UNIX 3.0 продаются за 99 долларов. Это не так дорого, но если вы не собираетесь тратиться на установку соединения своих UNIX-устройств с Windows-сетью, то вам поможет бесплатный пакет программ SAMBA.
Пакет программ для сервера SAMBA является очень популярным средством предоставления Windows-клиентам доступа к UNIX-ресурсам. SAMBA существует уже достаточно давно и широко использовалась как в академических институтах (где ее и разработали), так и на нескольких крупных корпоративных сайтах.
В основе SAMBA лежит протокол SMB (Server Message Block), который в Windows используется для совместного доступа к файлам. SAMBA создает поддержку для UNIX протокола SMB. Когда Windows XP Professional-клиенты посылают SMB-запросы, то демон SAMBA становится сервером, отвечающим на эти запросы.
Важно отметить то, что SAMBA устанавливается и работает только на UNIX-системах, а на Windows XP Professional-клиенте не надо устанавливать никаких дополнительных программ. Хотя это и делает часть установки, относящуюся к Windows, проще, администратор UNIX-системы должен установить SAMBA-сервер. Учитывая бесконечное множество версий UNIX, приятно узнать, что SAMBA совмещается со всеми основными (такими как Apollo, HP, DEC, NeXT, SCO, Sun и SGI).
Примечание. Для того чтобы узнать о SAMBA больше, посетите сайт http://samba.anu.edu.au/samba/.
Требования к клиенту Windows-сети
Несмотря на отсутствие SAMBA-файлов для клиентов, которые нужно устанавливать на Windows XP Professional-машинах, на этих компьютерах должны быть установлены соответствующие сетевые протоколы и сервисы. Для этого требуются некоторые протоколы из набора протоколов TCP/IP и DNS-сервисы.
Примечание. Если DNS недоступен, то DNS-имена и IP-адреса UNIX-машин можно размещать в файле HOSTS, находящемся в каталоге %Systemroot%\System32\drivers\etc.
Конфигурация UNIX
На UNIX-машине конфигурирование выполняется в файле SMB.CONF. Это текстовый файл, который похож на Windows-файл SYSTEM.INI, и имеет такую же структуру. Файл поделен на несколько секций, каждая из которых отвечает за работу отдельных ресурсов, создаваемых для настройки действительных пользователей, разрешения на чтение и запись, общего доступа. Далее следует пример файла SMB.CONF.
[global]
workgroup = ACCOUNTING
server string = Accounting Department's SAMBA Server
encrypt passwords = True
security = user
smb passwd file = /etc/smbpasswd
log file = /var/log/samba/log.%m
socket options = IPTOS_LOWDELAY TCP_NODELAY
domain master = Yes
local master = Yes
preferred master = Yes
os level = 65
dns proxy = No
name resolve order = lmhosts host bcast
bind interfaces only = True
interfaces = eth0 192.168.1.1
hosts deny = ALL
hosts allow = 192.168.1.4 127.0.0.1
debug level = 1
create mask = 0644
directory mask = 0755
level2 oplocks = True
read raw = no
write cache size = 262144
[homes]
comment = Home Directories
browseable = no
read only = no
invalid users = root bin daemon nobody named sys tty disk mem kmem users
[tmp]
comment = Temporary File Space
path = /tmp
read only = No
valid users = admin
invalid users = root bin daemon nobody named sys tty disk mem kmem users
Листинг 16.1.
В этом файле есть две секции, которые очень важны для использования в организациях с большим количеством клиентов. Секция [homes] автоматически позволяет пользователям, у которых уже есть учетные записи в системе UNIX, устанавливать связь со своими домашними каталогами без необходимости создавать индивидуальные ресурсы (shares) для каждой учетной записи. Секция [global] устанавливает несколько свойств сервера. Наиболее важными являются опции системы безопасности, определяющие метод аутентификации пользователя. В секции [global] можно указать три модели защиты в security=entries
Security=share. Действительная запись пользователей в секции каждого ресурса может определять конкретных пользователей и их права в рамках данного ресурса. Это относительно небезопасный метод, ограниченный пользователями, уже имеющими учетные записи UNIX, следовательно, это не слишком хороший способ общего доступа для пользователей сети Windows в рамках предприятия.
Security=user. В этом режиме вся аутентификация проводится с помощью учетных записей UNIX пользователей. Для ситуации, когда все клиенты Windows сети имеют учетные записи в UNIX-системе, этот метод можно считать надежным и эффективным. Этот вариант подходит для предприятий, где каждый пользователь сети имеет учетную запись UNIX.
Security=server. Этот режим хорошо подходит для тех случаев, когда все пользователи не имеют учетных записей UNIX. В таком случае аутентификация доступа проводится не UNIX SAMBA-сервером, а другим сервером, например Windows 2000 DC. Это позволяет одному Windows-компьютеру предоставлять доступ как Windows 2000, так и к SAMBA-ресурсам, используя единую базу данных имен пользователей и паролей. Огромное преимущество этого метода состоит в том, что он не требует от пользователей смены пароля для входа в две разные системы. Когда эти данные вводятся в секцию [global], имя сервера, который будет проводить аутентификацию, должно быть добавлено в пароль server=entry.
Примечание. Это имя будет NetBIOS-именем сервера. Для того чтобы найти эту машину, его надо добавить в /etc/hosts файл UNIX-системы.
Недостатком SAMBA является то, что эту программу могут использовать только клиенты, работающие по протоколу SMB. К ним относятся Windows 9X, 2000, XP и NT, но не NetWare или Macintosh-клиенты.
NFS-серверы
Другой подход к Windows-UNIX доступу к файлам был разработан в Sun Microsystems, Inc. NFS отличается от других межплатформенных инструментов тем, что не использует протоколов SMB, а вместо этого осуществляет доступ к файлам двумя другими способами.
Remote procedure calls (RPC) - удаленные вызовы процедуры. Используется при взаимодействии сервера и клиента и работает на уровне сессии
External Data Representation (XDR) - внешнее представление данных. Протокол, который реально управляет передачей данных.
Использовать SAMBA или NFS - это решает конечный пользователь. В обоих случаях UNIX-ресурсы являются доступными для просмотра, и данные можно считывать или вносить в UNIX-ресурсы (при условии, что на это есть разрешение). Разница заключается в размещении приложения трансляции (перевода).
Конфигурация xp-клиента
При использовании SAMBA, как вы помните, клиенту не требуется специального программного обеспечения. При использовании NFS, напротив, требуется клиентская программа, которая предоставляет сервисы для совместного использования файлов. Это происходит, потому что протоколы RPC и XDR не являются частью платформы Windows, как SMB.
Инсталляцию программы NFS-клиента можно считать выгодным делом, так как она открывает путь к другим операционным системам. Например, существуют NFS для Macintosh и NFS-шлюзы для NetWare. Так происходит потому, что большее количество платформ поддерживает NFS, чем SAMBA.
Аутентификация NFS-клиента проводится на Windows XP Professional-компьютере посредством окна для входа в систему, в которое вводятся имя пользователя и пароль, проверяющиеся по базе данных учетных записей в системе UNIX. Если аутентификация прошла успешно, то можно выполнить загрузку UNIX-ресурсов (обычно такие загрузки заранее конфигурируются самим пользователем). Это похоже на опцию Reconnect At Logon (Восстанавливать при входе в систему) на сетевых дисках, работающих в системе Windows XP Professional. Если обнаруживаются новые ресурсы, то имя пользователя и пароль, введенные при входе в систему, проверяются на наличие разрешенного доступа к этим ресурсам. NFS-ресурсы обозначены буквой (как новый диск) в окне Диспетчера файлов или Проводника, как и любые Windows-ресурсы.
NFS-демон UNIX может перестать работать. Когда это случается, Windows XP Professional клиент не может просматривать файлы UNIX, но не всегда понятно, является ли причиной разрыва соединения клиент или сервер. Было принято возлагать вину за неудачное соединение на клиента, если он запрашивал ресурсы, но в последних версиях программ NFS-клиента это может и не подтвердиться. Когда не удается установить соединение, убедитесь, что NFS-демон работает, и что ресурсы были экспортированы сервером, о чем пойдет речь в следующем разделе.
Конфигурация unix
Самое главное совпадение NFS и SAMBA заключается в том, что объем работы системного администратора уменьшается. Так происходит потому, что NFS является стандартным методом переноса файлов в UNIX-системах. Для того чтобы UNIX ресурсы можно было использовать совместно, UNIX-администратор должен их сконфигурировать. К этому процессу надо отнестись вдумчиво, так как достаточно легко создать хаотично организованную систему NFS, которая приведет к частым сбоям.
Большинство UNIX-систем спланированы так, что NFS-сервер появляется в линии после загрузки UNIX-машины, если сервер сконфигурирован для обеспечения экспорта. Экспортом являются ресурсы, физически находящиеся на одном или нескольких компьютерах в файле /etc/exports.
Основным условием доступности UNIX-ресурса является создание корректного входа в файл /etc/exports. После того как этот шаг выполнен, следует ввести команду, которая активизирует экспорт (точная форма команды может быть разной в различных UNIX-системах). Содержание файла etc/exports включает в себя путь к совместно используемому ресурсу, а также содержит информацию, касающуюся разрешений на доступ к ресурсу ("только чтение" и т.д.).
Учитывая разнообразие операционных систем, работающих в современных организациях, важно, чтобы существовал механизм, позволяющий получать доступ к ресурсам, содержащимся на разных машинах. К счастью, компания Microsoft сочла нужным создать такой механизм для NetWare ресурсов и еще один, за дополнительную плату, для взаимодействия с UNIX. Если вам требуется доступ к UNIX ресурсам, то не плохо было бы исследовать SAMBA или NFS на предмет применимости этого инструмента в вашей организации
Лекция 17. Мониторинг работы сети XP
После того как вы построили сеть, запустили ее и создали правильную конфигурацию, может показаться, что работа закончена. Повремените со вздохом облегчения. Для вас начинается каждодневная работа по поддержанию и отладке работы сети, наряду с составлением плана неизбежного расширения в будущем, которое наступит раньше, чем вы его ожидаете.
Эта лекция поможет вам поддерживать в рабочем состоянии и настраивать Windows XP Professional-сеть, а также подготовиться к расширению. Сначала будет сделан общий обзор работы сети, включающий в себя несколько советов о том, как сделать ее работу более гладкой. Затем мы поговорим о наиболее полезном инструменте системы Windows XP Professional, который называется System Monitor. Этот инструмент отслеживает тысячи процессов, протекающих в компьютере и сети. Затем мы подготовим вас к размышлениям о будущем сети, поговорив о расширении ее возможностей. И, наконец, предложим несколько полезных инструментов сторонних разработчиков.
Общий обзор работы сети
Для гарантии максимально производительной работы сети надо прилагать усилия в нескольких направлениях. Это не вопрос настройки всего оборудования или программного обеспечения, а сбалансированная совместная работа того и другого плюс управление использованием сети в организации.
Управление работой сети похоже на владение гоночной машиной. Если вы хотите выигрывать гонки, то, помимо быстрого автомобиля, вам нужен умелый водитель и экипаж, хорошо знающий свое дело. Иначе не выиграть. То же относится и к Windows XP Professional-сети. У вас может быть прекрасное оборудование, но плохая конфигурация или недобросовестные пользователи сведут на нет ваши усилия и материальные затраты.
Основные принципы
Большая часть этой лекции посвящена инструментам и техническим приемам, используемым для оптимизации работы и мониторинга системы. Однако существует несколько основных моментов, о которых следует помнить при проектировании, настройке и поддержании рабочего состояния компьютерной сети.
Знайте свою сеть
Во-первых, очень важно иметь точную схему и документацию сети. У вас должны быть текущая топологическая схема цепи и подробная информация обо всем сетевом оборудовании, его конфигурациях и использующихся протоколах, IP-адресах, каналах связи WAN, серверах и сегментах пользовательских локальных сетей. Без этой всеобъемлющей информации трудно будет понять, что следует изменить или что изменилось в результате перехода от одной сетевой конфигурации к другой.
Базовая линия
При внесении изменений в сеть важно знать и уметь оценивать работу сети в текущий момент. Создание базовой линии - это запись всех параметров работы сети, чтобы сравнивать параметры работы сети после внесения изменений и делать выводы о положительном или отрицательном влиянии внесенных изменений. Вы можете создать базовую линию своей сети с помощью инструмента System Monitor (о котором мы поговорим позже). После сбора всех необходимых данных вы получите представление о рабочих возможностях сети.
Избегайте крайностей
При настройке сети не забывайте о том, что все вносимые изменения должны быть обоснованными и находиться в рамках разумных параметров. Особенно в организациях с сотнями или тысячами компьютеров, где множество людей втягивается в процесс настройки и поддержания работы сети. Также следует позаботиться о том, чтобы все изменения сети были тщательно задокументированы.
Поддерживайте простую топологию сети
Когда сеть растет и развивается, воздержитесь от попыток создавать скопления концентраторов или маршрутизаторов, так как, будучи плохо документированными, они представляют собой точки возможных сбоев в работе сети, и ими трудно управлять. В сетях со слишком сложной топологией больше времени тратится на поиск причин возникающих проблем и меньше времени остается на конструктивное планирование того, как лучше удовлетворить потребности пользователей. Также не следует забывать и об обеспечении безопасности. Не внесенный в документацию маршрутизатор в удаленной части сети может позволить проникнуть в сеть неавторизованным личностям.
Снижайте административный трафик
В Windows XP Professional предпочтение отдается протоколу IP. IP является наиболее распространенным сетевым протоколом, который используется в наши дни на многих платформах. Так что старайтесь придерживаться этого протокола. Разумеется, если вы устанавливаете связь между компьютерами разного типа (Novell NetWare старого образца и IBM, например), то избежать применения различных протоколов трудно. Но все же постарайтесь свести число используемых протоколов к минимуму. Также отслеживайте административный трафик, к которому относятся WINS-копирование, трансферы между зонами DNS, и другие типы трафика, которым обмениваются серверы. Так вы сможете определить и отрегулировать подходящий вам трафик. Например, если серверы проводят синхронизацию каждые полчаса, а сеть перегружена, то, возможно, изменение настроек синхронизации через каждый час повысит эффективность работы сети.
Отслеживайте пользователей
Перегрузка сети или другие проблемы часто происходят из-за злоупотреблений пользователей. Например, пользователь может скачивать ресурсы для своих собственных нужд, не имеющих отношения к работе. Когда интернет находится на рабочем столе у каждого, такие злоупотребления весьма вероятны. Если работник в часы пиковой нагрузки скачивает МР3 или играет на игровом сервере, то это влияет на работу всей сети, так как пакеты начинают поступать с задержками из-за перегрузки трафика. Управлять пользователями можно с помощью жесткой политики разрешения доступа в интернет, а также с помощью установки прокси-сервера или фильтров, ограничивающих вход пользователей в интернет.
Но политика твердой руки и подавления не обязательно является решением всех проблем. Сетевому администратору не следует превращаться в людоеда. Поддерживая атмосферу открытости и общения между собой и пользователями, вы сможете узнать о наличии проблем, связанных с работой сети, раньше, чем они станут критическими.
Построение сети
Ранее мы говорили о некоторых основных правилах, которые имеют большое значение для нормальной работы сети. Нет сомнения в том, что оптимизация сетевой работы в основном зависит от оборудования и конфигурации программ. Этот раздел посвящен специфическим вопросам оборудования, о которых следует помнить при построении и расширении Windows XP Рrofessional-сети. Кроме того, мы рассмотрим некоторые стратегические шаги, направленные на улучшение работы сетей, включающие в себя сегментацию сети и планирование.
Большинство производственных проблем, с которыми вы можете столкнуться, имеют четыре источника: память серверов, скорости процессоров, системы жестких дисков и сетевые системы (о которых мы поговорим позже).
RAM
При проверке работы системы первым делом следует убедиться в том, что у серверов достаточно оперативной памяти (RAM). Если ее не хватает, то система работает медленно и вяло. Минимальный объем оперативной памяти у Windows 2000 Server составляет 128 Мб (Microsoft рекомендует 256 Мб). На Windows XP Professional машине минимум памяти составляет 64 Мб (Microsoft рекомендует 128 Мб). В общем, у вас не может быть слишком много памяти. В последние годы, когда RAM подешевела, это представляется легким и выгодным способом улучшения работы сети.
Процессор
Следующим пунктом, который следует рассмотреть при повышении работоспособности сети, являются процессоры серверов. Достаточно ли они мощные? Для Windows XP Professional-клиента минимальная скорость работы процессора составляет 233 Мгц, но рекомендуется не менее 300 MГц. Минимум для Windows 2000-сервера составляет 133 MГц, но на самом деле следует иметь на сервере процессор с частотой не ниже 700 MГц (для Windows 2000 Server). Если же у вас Windows NT (или Windows for Workgroups), то возможно, что на ваших серверах работают процессоры более слабые, чем даже установленные в современных приставках для видеоигр.
Высокоскоростные процессоры очень важны, особенно в связи с характером изменений, происходящих в компьютерных сетях. Например, по сетевым каналам пересылаются файлы значительного объема, и скорость доставки пакетов приобретает все большее значение, что требует установки все более быстрого процессора.
Устройства для хранения
Очень важно, чтобы серверы могли быстро добираться до файлов, которые хранятся в системе. Вы можете столкнуться с проблемами, когда жесткий диск тратит огромное количество времени на чтение файлов подкачки, и доступа к ресурсу приходится ждать бесконечно долго. Конечно, достаточный запас оперативной памяти до некоторой степени решает проблемы, возникающие из-за виртуальной памяти, но неплохо иметь достаточно пространства на жестких дисках, чтобы не страдала производительность работы. Как и оперативная память, жесткие диски довольно дешевы, так что покупайте по возможности самые большие.
Также следует позаботиться о том, чтобы у жестких дисков были достаточно быстрые интерфейсы во избежание задержек при передаче данных от сервера на жесткий диск. Будет прекрасно, если вы добавите в свою сеть SCSI и FireWire-диски. Цена на SCSI-диски значительно снизилась, и они вполне доступны. Подсоединить FireWire-диск проще простого - просто подключите его к открытому FireWire-порту и продолжайте работать, не перезагружая компьютер. Вы получите прекрасную производительность, так как SCSI и FireWire обладают очень высокой скоростью.
Сегментация сети
Можно повысить производительность сетевой работы, потратив массу денег на многократное повышение ресурсов компьютеров. Но более изящный способ состоит в тщательном обдумывании и разработке самой эффективной и логически корректной сети, какая только может существовать. Одним из ключевых компонентов хорошо спроектированной сети является ее сегментация.
Сегментация разбивает сеть на отдельные функциональные звенья, повышая тем самым общую производительность, безопасность и надежность. Обычно сегментация осуществляется с помощью маршрутизатора или коммутатора. Перед тем как делить сеть на отдельные части, следует понять, какого типа трафик проходит в системе и по каким путям следования. Наконец, нужно свести к минимуму количество устройств между точкой, из которой исходят данные, и точкой их назначения.
Сегментация с помощью маршрутизатора
Самым простым способом разбить сеть на сегменты является использование маршрутизаторов и серверов между сегментами. Сделать это просто и недорого - надо добавить всего лишь несколько сетевых адаптеров, а не устраивать перепланировку всей сети.
Посмотрите на сеть, изображенную на рис. 17.1. Это очень простая сеть с двумя серверами. Каждый сервер имеет два сетевых адаптера и два пользовательских сегмента. Несмотря на примитивность данной схемы, ее принципы лежат в основе работы сетей с сотнями клиентов.
Проблема этой схемы заключается в нагрузке, лежащей на серверах. Они должны не только предоставлять ресурсы пользователям, но и заниматься маршрутизацией данных, которыми обмениваются сетевые сегменты. Также оба сервера должны быть доступными для всех клиентов организации в качестве запасных устройств на случай сбоя в одном из них. Эти проблемы решаются (см. рис. 17.2), с помощью маршрутизатора, размещаемого между двумя сегментами.
Каждый сервер будет располагаться в сегменте, которым он пользуется чаще всего. В связи с тем, что маршрутизаторы не выполняют повторной передачи пакетов, трафик снижается без всяких дополнительных усилий со стороны серверов. В сети имеется запас прочности на тот случай, если один из серверов выйдет из строя. Тогда трафик сегмента будет переадресован на другой сервер без всяких проблем.
Рис. 17.1. Распространенный метод сегментации
Рис. 17.2. Добавление маршрутизатора повышает надежность и снижает нагрузку
Сегментация с помощью коммутатора
Другой способ сегментации сети состоит в использовании коммутатора. Этот способ аналогичен описанному выше (с применением маршрутизатора), то есть данные направляются к тому месту, где находится устройство, которому они предназначены. Разница же заключается в том, что коммутаторы работают в более широком диапазоне. Для проектирования сети на основе коммутатора следует начать с размещения коммутатора в своей базовой сети. Этот коммутатор будет обслуживать ряд концентраторов и других коммутаторов. Преимущество использования коммутатора состоит в том, что он обеспечивает безопасность и производительность лучше, чем этого можно достичь, разбивая сеть на сегменты другими способами. Эта конфигурация приобретает все большую популярность, особенно если учесть, что цена на коммутаторы продолжает падать.
В целях экономии средств многие организации подключают к центральному коммутационному устройству концентраторы, а не коммутаторы другого уровня. Если вы решите последовать их примеру, то существует несколько способов для повышения эффективности работы сети.
Часто взаимодействующие устройства размещайте рядом друг с другом. Близкое размещение часто обменивающихся информацией устройств понижает объем избыточного трафика в сети. Например, если 80 % трафика данного сервера поступает из отдела производства, то имеет смысл разместить сервер в одном сегменте с пользователями. Это не только облегчит доступ пользователей к серверу, но и снизит трафик на центральном коммутаторе, а также сократит маршрут следования этого трафика.
Правильно распределяйте баланс нагрузки на порты. В сегменте сети со скоростью передачи данных в 10 Mб/с могут работать от 24 до 48 устройств. Однако более продуктивным способом расчета количества устройств, работающих в каждом сегменте, является анализ количества и типа трафика, генерируемого каждым из устройств. Отдел производства, вероятно, потребляет большую часть пропускной способности каналов связи, чем бухгалтерия или администрация. Вместо того чтобы размещать все три отдела на одном 24-портовом концентраторе, лучше купить два 12-портовых концентратора - один для отдела производства, где велик объем трафика, а второй - для бухгалтерии и администрации, чей трафик ниже.
Не перегружайте свои устройства. Одна из основных причин обращения к сегментации на основе коммутатора состоит в снижении нагрузки в узких местах сети. Однако, не потратив достаточного времени на предварительное планирование работы своей сети, вы рискуете создать ряд новых узких мест. На рис. 17.3 показан пример сети, в которой сегментация, выполненная с благими намерениями, приводит к неожиданным последствиям.
Рис. 17.3. Слишком большой объем трафика, поступающего из сегмента, может 'задушить' сервер
Коммутатор на рис. 17.3 имеет 12 портов. 6 из них соединены на скорости соединения в 10 Mб/с с концентраторами, а 6 порта соединены с серверами. Во время пиковой нагрузки клиенты на каждом из этих концентраторов имеют скорость соединения от 2 до 3 Mб/с. В целом результатом такого сценария является скорость прохождения трафика, лежащая в интервале от 16 до 24 Mб/с, что является узким местом для серверов, которые связаны с коммутатором каналами с пропускной способностью 10 Mб/с.
Системный монитор
Одним из самых мощных инструментов Windows XP Рrofessional является System Monitor (Системный монитор). Этот инструмент предоставляет текущую точную информацию о тысячах различных параметров Windows-сети. В этом разделе мы более подробно рассмотрим System Monitor, объясним, как им пользоваться, и поговорим о том, что нужно отслеживать в системе.
Основы
Самой важной частью процесса выполнения и настройки является знание того, в чем состоит проблема, и, после внесения изменений, умение определить, насколько успешными были эти изменения. Инструмент System Monitor существует с момента выхода операционной системы Windows NT. В Windows NT он назывался Performance Monitor. Четыре года назад, когда компания Microsoft выпустила Windows 2000, она переименовала инструмент в System Monitor, но больше ничего в нем не изменила, кроме внешнего вида, который теперь соответствует виду консоли ММС. System Monitor запускается так же, как и Performance Monitor, то есть вводом команды perfmon.
Примечание. System Monitor может быть добавлен в качестве оснастки в ММС.
System Monitor собирает информацию, предоставляемую различными программами, работающими в системе. Информация поступает из широкого ряда источников, включающего операционную систему, оборудование рабочей станции и сервера, периферийные устройства, сетевые интерфейсы и служебные программы.
При первоначальном запуске System Monitor (рис. 17.4) находится в нерабочем состоянии и ничего не отслеживает. Пусть вас не обманывает его кроткий вид - это очень мощный инструмент. Объем информации, к которому он имеет доступ, весьма внушителен. Небольшое исследование, проведенное с помощью этого инструмента, даст вам информацию о состоянии машины, расскажет о ее уязвимых местах и поможет настроить.
Рис. 17.4. Вид инструмента System Monitor по умолчанию
Виды
Понять System Monitor проще всего, представляя его приложением с четырьмя отдельными инструментами. Эти инструменты называются видами. Каждый из видов позволяет отображать на экране, выполнять действия, сохранять и генерировать отчеты о данных, отслеживаемых с помощью системного монитора. В таблице 17.1 содержатся подробные описания видов.
Таблица 17.1. Виды System Monitor |
|
Вид |
Описание |
Chart |
Отображает данные мониторинга системы в формате линейных графиков или гистограмм. Опции такого показа называются настройками Gallery |
Alert |
Позволяет создавать события предупреждений на основе пороговых значений, показываемых счетчиком. Предупреждения можно настроить на выполнение действий, когда счетчик показывает значения, превышающие или опускающиеся ниже значений, указанных пользователем. Действия включают в себя уведомление пользователей с помощью сервисов Alerter (Оповещатель) и Messenger (Служба сообщений). Их также можно настроить на выполнение приложения, что определяется включением флажка Run Program on Alert в окнах Alert Entry и Alert. |
Log |
Позволяет создавать или открывать файл журнала и записывать в него данные об объекте. Вы можете использовать журнал для создания отчетов в виде Report, можно экспортировать этот файл в текстовый формат .tsv и .csv для использования в Microsoft Excel. |
Report |
Позволяет перечислять объекты и соответствующие им показания счетчика в отчете, используя значения, полученные во время текущей работы или взятые из файла журнала. |
Все эти виды предоставляют информацию о локальных и удаленных системах. Информация организована в следующие группы.
Компьютеры. Локальные или удаленные машины, содержащие много объектов. System Monitor позволяет отслеживать работу нескольких компьютеров.
Объекты. Физические, логические или программные компоненты определенного компьютера. Например, объектом является процессор или FTP-сервер. Каждый объект может существовать в нескольких экземплярах и содержать несколько счетчиков, соответствующих объекту.
Экземпляры (объекта). Атрибут, который измеряется и отслеживается инструментом System Monitor. Экземпляры могут создаваться для каждого физического, логического или программного компонента. Например, если в компьютере есть два физических диска, то существуют два экземпляра объекта "физический диск". Когда объекты и связанные с ними счетчики имеют несколько экземпляров, можно отслеживать счетчики, связанные с каждым объектом, отдельно. В некоторых случаях имеется возможность отображать на экране данные счетчиков, основанные на всех значениях всех объектов.
Счетчики. Информация, которая определяется для каждого экземпляра объекта. Например, для физического диска Disk Read Time (Процент активности диска) - это время в процентном выражении, затраченное диском на обслуживание запросов на чтение. Disk Transfers/sec - это скорость операций чтения и записи на диске. В рамках объекта может существовать много счетчиков.
Можно выбрать любой из способов просмотра компьютеров, объектов и счетчиков при выборе счетчиков для мониторинга. После выбора компьютера отобразится список объектов, за которыми можно вести наблюдение на этом компьютере. На рис. 17.5 показана часть списка объектов компьютера CORUSCANT.
Рис. 17.5. Раскрывающийся список объектов
Список объектов в System Monitor не высечен на камне. Наоборот, он является динамичным, и объекты можно добавлять и удалять из него в зависимости от конфигурации системы. Некоторые объекты добавляются вручную, некоторые указываются в списке по умолчанию. Если вы хотите узнать больше об определенном объекте и его счетчике, щелкните на кнопке Explain (Объяснение), чтобы получить краткую характеристику функции счетчика.
Объекты по умолчанию перечислены в табл. 17.2. Лучшим способом разобраться в работе System Monitor является самостоятельное выполнение какого-нибудь задания. Сначала давайте создадим график, в котором будет отображена информация о Windows XP Professional-клиенте.
Таблица 17.2. Некоторые объекты по умолчанию инструмента System Monitor |
|
Объект |
Функция/ Описание |
Cache |
Информация о кэше файловой системы. |
LogicalDisk |
Информация о логическом диске, включающая в себя протоколы чтения/записи, скорость передачи и объем свободного пространства в мегабайтах. |
Memory |
Информация о физической памяти, включающая в себя количество используемых битов и протоколы чтения/записи. |
Objects |
Объекты программ, сообщающие информацию о событиях ОС, обработке данных, семафоры и угрозы. |
PhysicalDisk |
Информация о физическом диске, включающая в себя время, затраченное на чтение/запись, скорость передачи и длину очереди. |
Process |
Программный объект, который позволяет устанавливать счетчики для отслеживания работы указанных приложений или всех приложений. |
Processor |
Информация о процессоре. |
Redirector |
Информация о сетевой переадресации, включающая в себя количество полученных и отправленных байтов, соединения, файлы чтения/записи, данные о пакетах и ошибки сети. |
System |
Счетчики, предоставляющие общую информацию о системе, включающую в себя квоты реестра, общее время загрузки процессора, вызовы систем и рабочее время системы. |
Thread |
Информация о потоках, порождаемых процессах. |
PagingFile |
Используемый файл подкачки страниц. |
Вид Chart (Диаграмма)
На рис. 17.6 мы выбрали вид Chart и щелкнули на Add (Добавить) в панели инструментов, чтобы вызвать диалоговое окно Add Counters (Добавить счетчики). Затем мы выбрали CORUSCANT и объект Processor (Процессор). Мы оставили по умолчанию счетчик %Processor Time (Процент загруженности процессора). Так как CORUSCANT имеет только один процессор, то экземпляр 0 является единственным доступным для нас. Если бы у CORUSCANT было два процессора, мы могли бы выбрать экземпляр 0 или 1. Перед тем как щелкнуть на Add для добавления этого счетчика в график, щелкнем на Explain (Объяснить) для получения подробной информации о выделенном счетчике.
Рис. 17.6. Добавление счетчика в график
Мы добавили еще один счетчик, на этот раз Interrupts/sec (Прерываний/сек), чтобы видеть время использования и количество остановок на одном графике. После некоторого времени работы System Monitor мы получим данные для сравнения времени использования процессора и остановок, как это показано на рис. 17.7.
Просматривать счетчик %Processor Time можно как график и как гистограмму, щелкая на соответствующих значках в верхней части окна System Monitor.
Вы можете управлять видом графика с помощью щелчка правой кнопкой мыши на нем и выбора Properties (Свойства) в появляющемся меню. Также можно щелкнуть на значке, изображенном справа.
Диалоговое окно свойств System Monitor (рис. 17.8) позволяет выводить на экран легенду, оси значений, сетку или метки. Можно указать значение максимума по вертикальной оси, которое будет отображаться в левой части графика. Также можно изменять интервал времени обновления или настраивать его на ручной режим, если вы хотите участвовать в считывании.
Рис. 17.7. Просмотр графика счетчиков %Processor Time (Процент загруженности процессора)
Рис. 17.8. Диалоговое окно свойств системного монитора
Как и остальные виды, Chart настраивается для широкого ряда счетчиков, которые можно считывать в реальном времени или брать данные из файла журнала. Использовать вид Chart можно для кратковременных проверок и для проведения анализа данных за продолжительный промежуток времени. Информационная строка под графиком предоставляет данные в разделах Last (Последний), Average (Средний), Minimum (Минимальный), Maximum (Максимальный) и Duration (Длительный) для указанного счетчика. Помещенная в журнал, эта информация сохраняется и может быть использована позже.
Вид Alert (Оповещение)
Вид Alert полезен, если нужно отслеживать определенные счетчики, но у вас есть более интересные занятия, чем сидеть целый день, уставившись в график. Вы можете установить пороговые значения и попросить System Monitor посылать сообщения, если данные счетчика будут выходить за указанные границы. Например, отслеживать количество свободного пространства на жестком диске и получать предупреждение, если эта величина становится ниже указанного значения. Можно даже указать команду, которая будет выполняться, если показания отслеживаемого счетчика упадут ниже указанного значения.
Добавление предупреждающих счетчиков выполняется, как и в виде Chart. Вид Alert расположен в левом окне консоли ММС во время работы System Monitor. Щелкните правой кнопкой на значке Alert и затем выберите New Alert Settings (Новые параметры оповещений) из появляющегося меню.
На рис. 17.9 показано предупреждение, которое мы установили. Это окно ММС показывает одно предупреждение, однако может содержать и несколько предупреждений по нашему выбору. В примере на рис. 17.9 показаны следующие предупреждения:
доступный объем RAM;
процент свободного пространства на жестком диске;
количество полученных TCP-сегментов в секунду.
Для того чтобы System Monitor посылал предупреждения, его надо сконфигурировать. Вам следует знать, что для доставки сообщения указанное имя Net Name должно быть зарегистрированным NetBIOS-именем, и службы Alerter (Оповещатель) и Messenger (Служба сообщений) должны работать. Вы можете зарегистрировать Net BIOS-имя на определенном компьютере, например на letmeknow, введя net name letmeknow /add в командном окне Windows XP Professional-компьютера. После регистрации имени предупреждения будут появляться на экране компьютера.
Вкладки General (Общие), Action (Действие) и Schedule (Расписание) в диалоговом окне свойств (рис. 17.10) используются для определения нескольких настроек, включая следующие.
Рис. 17.9. Вид Alert (Оповещение)
Рис. 17.10. Диалоговое окно свойств Alert (Оповещений)
Регистрация предупреждения в журнале приложений, чтобы его можно было читать в Event Viewer (Просмотр событий).
Отправка сетевого сообщения посредством события предупреждения на определенное сетевое имя из списка диалогового окна Net Name.
Установка времени обновления на Manual Update (Вручную) или Periodic Update at a defined interval (Периодически через заданные интервалы).
Вид Log (Журнал)
Третьим видом является Log. Этот вид позволяет собирать данные через заранее установленные промежутки времени, чтобы просмотреть и проанализировать их позже. Другие виды могут читать данные файла журнала и выполнять различные функции, как если бы данные регистрировались в текущий момент времени.
Для каждого объекта выбранные счетчики записываются в файл журнала. Вид Log можно легко открыть с помощью значка, размещенного в верхней части окна. Выглядит он следующим образом.
После добавления объектов откройте диалоговое окно параметров журнала (Log Options) и укажите расположение журнала и настройки времени обновления.
Примечание. Будьте внимательны при установке времени - некоторые объекты генерируют огромное количество данных для регистрации, и у вас может быстро закончиться пространство на жестком диске.
После установки этих параметров щелкните на ОК. Теперь System Monitor будет захватывать данные для всех отображенных объектов (см. рис. 17.11), позволяя следить за размером журнала.
Вид Report (Отчет)
Вид Report представляет ту же информацию счетчиков, что и Chart. Разница заключается в том, что Report представляет информацию в формате таблицы. К этому виду можно получить доступ, щелкнув на значке панели инструментов.
Значения собраны в правой части отчета вместе с многочисленными экземплярами, которые показаны в колонках справа. На рис. 17.12 показан вид Report (Отчет) для одного компьютера.
System Monitor не позволяет печатать свой собственный отчет из приложения, но можно экспортировать данные для просмотра в другое приложение, например в Excel. Это позволяет печатать, переставлять и управлять данными по своему усмотрению. В зависимости от вашего умения работать с Excel, вы можете создавать красивые графики и диаграммы и даже выставлять их в интранете для внутреннего пользования.
Рис. 17.11. Вид Log (Журнал)
Рис. 17.12. Вид Report (Отчет)
Что отслеживать
System Monitor может отслеживать тысячи битов информации. Этот мощный инструмент может вести и делать отчеты по любой статистике, какую вы только можете себе представить. Это просто замечательно. Единственная проблема состоит в том, что все детали, за которыми следит System Monitor, могут очень быстро создать информационную перегрузку в компьютере. Вы можете отслеживать специальные области (например, Quality of Service), но, в основном, существуют четыре ключевых места - те, в которых чаще всего возникают перегрузки.
Память.
Процессор.
Подсистема диска.
Подсистема сети.
Кроме того, надо следить за ресурсами, оказывающими особое влияние на работу сети. Допустим, имеется Windows XP Professional-компьютер, отвечающий за печать в сети. Неплохо было бы отследить выполнение им своих обязанностей. Когда вы составите график мониторинга, в который включены вышеупомянутые места, полезность и производительность компьютера значительно возрастут.
RAM
Два наиболее важных счетчика памяти, за которыми нужно следить:
Page Faults/sec (Ошибок страницы/сек);
Pages/sec (Обмен страниц в сек).
При использовании совместно эти счетчики подскажут, хватает ли оперативной памяти вашей системе. Они сделают это, продемонстрировав объем подкачки.
Виртуальная память часто обманывает компьютер, заставляя его считать, что он обладает большим запасом RAM, чем на самом деле. Виртуальная память создает файл подкачки на жестком диске, который служит дополнительной памятью. Приложения не догадываются о том, что часть доступной RAM на самом деле является частью жесткого диска.
Счетчик Page Fault/sec включает в себя ошибки аппаратуры и программ. Допустимый уровень значительно выше, чем для счетчика Pages/sec. Многие системы выдерживают до 250 ошибок страниц, пока работа системы не даст заметный сбой. Значение Pages/sec, равное 20, тем не менее, показывает, что система сконфигурирована с недостаточной RAM. Как только значение Pages/sec превысит 10, начинайте думать о добавлении памяти.
Другими счетчиками для отслеживания являются:
Commit Limit (Предел выделенной виртуальной памяти);
Committed Bytes (Байт выделенной виртуальной памяти).
Эти два счетчика работают вместе, так что надо просматривать их оба, чтобы решить, что система использует виртуальную память соответствующим образом. Счетчик Commit Limit показывает общее количество доступной виртуальной памяти. Счетчик Committed Bytes показывает общее количество виртуальной памяти, которое система уже получила из своих ресурсов. Когда значения Committed Bytes приближается к Commit Limit, вы узнаете, что в системе заканчивается виртуальная память.
Может потребоваться регулировка максимального и минимального значения файла подкачки в зависимости от особенностей работы системы. Компания Microsoft рекомендует делать минимальную величину файла подкачки равной физической RAM плюс 11 Мб. Лучший способ состоит в определении обычных рабочих требований файла подкачки для данного компьютера, чтобы затем указать это значение (если оно не будет ниже рассчитанного по формуле Microsoft).
Примечание. Windows XP Professional позволяет компьютеру самому определять величину файла подкачки. Если вы так поступите, то можете получить сбой в работе. Лучше устанавливать величину файла подкачки вручную.
Максимальным размером файла подкачки должно быть самое большое допустимое значение. Это звучит очень неопределенно, так что лучше установить максимальное значение равным 150 % от минимального, следить за значениями Commit Limit и Committed Bytes и внести уточнения.
Процессор
В процессоре системы есть несколько элементов, которые можно отслеживать. Самым важным элементом является величина %Processor. Этот счетчик показывает количество времени, в течение которого компьютер выполняет продуктивную работу.
Каждый экземпляр %Processor не должен превышать значения 50 (то есть 50 % полезной работы). Что же происходит, если счетчик постепенно приближается или превышает 50 %? Следующим шагом является проверка счетчика Interrupts/sec (Прерываний/сек). Если значение превышает 3 500, то система испытывает более 3500 прерываний в секунду. Похоже, что устройство или драйвер устройства "обкрадывает" процессор.
Подсистема диска
Для наблюдения за подсистемой диска существуют счетчики:
%Disk Time (Процент дискового времени);
Disk Queue (Очередь запросов к диску).
Они есть как в логическом, так и в физическом диске. Идеальными значениями будут 55 % и 2 %, соответственно.
Примечание. Драйверы, необходимые для наблюдения за работой диска, отключены по умолчанию, чтобы не создавать дополнительной нагрузки. Для сбора статистики о жестком диске загрузите необходимые драйверы, введя команду DISKPERF-Y. После окончания мониторинга введите команду DISKPERF-N для отключения драйверов.
При мониторинге подсистемы диска важно понимать ее зависимость от физической памяти. Как мы говорили ранее, система с недостаточной памятью может вызывать проблемы с работой диска. Это происходит из-за того, что система пытается компенсировать нехватку RAM, используя файл подкачки. Если вы замечаете необычную активность диска, и значения показаний счетчиков %DiskTime и Disk Queue велики, проверьте правильность конфигурации файла подкачки и наличие достаточного количества RAM.
Сетевая подсистема
Последним пунктом проверки является сетевая подсистема. Это - одно из самых трудных мест оптимизации по причине того, что сеть представляет собой очень сложную и динамическую среду. Операционная система, сетевые приложения, сетевые карты и протоколы - все они играют решающие роли в работе сети. Однако это не означает невозможность проведения мониторинга сетевой подсистемы.
Счетчик Bytes Total/sec (Всего байт/сек) на объекте сервера показывает объем сетевой активности сервера. Приемлемым значением этих показаний будет 0,8 Mб/с для скорости передачи данных в 10 Mб/с для канала Ethernet и 0,5 Mб/с для сетей Token Ring со скоростью каналов в 16 Mб/с. Если значения превышают указанные, то это является показателем, что сеть начнет работать медленно. Если вы регулярно превышаете этот уровень, то следует подумать о сегментации сети, повышении скорости сети или использовании коммутаторов вместо концентраторов.
Планирование рабочих возможностей
Об этом уже говорилось, но стоит повторить: сети похожи на движущиеся мишени. В редких случаях работа над сетью заканчивается вместе с ее проектированием и построением. Сети представляют собой динамическое явление, постоянно растущее и изменяющееся в зависимости от нужд организации.
Для того чтобы создать сеть и помочь ей расти, надо знать потребности своей организации и планировать заранее рост и расширение. В этом разделе рассматриваются различные инструменты и методики, которые используются для модернизации Windows XP Professional-сети. Вам следует разобраться в текущей сетевой работе и затем строить соответствующие планы.
Сетевой симулятор
Рассмотрим похожую ситуацию - тренировочные полеты на реактивном истребителе. Вместо того чтобы заталкивать новичка в кабину многомиллионного реактивного истребителя, военные дают возможность пилоту обучиться всему на земле.
Этот метод оправдывается и при проектировании сети. Будет слишком дорого и неразумно покупать кучу коммутаторов, маршрутизаторов и клиентского оборудования, не зная точно, что вам нужно. Как и в случае с реактивным истребителем, тут пригодится симулятор. Симулятор сети - это замечательный способ убедиться, что сеть правильно спроектирована и сконструирована. Так как сети динамичны по своей природе, симулятор сети покажет, как новое устройство повлияет на работу сети в целом.
В отличие от авиасимуляторов (которые являются гигантскими и крутыми видеоиграми), симулятор сети - это программы, которые позволяют построить тестовый вариант сети с различными конфигурациями, а затем применить различные нагрузки и посмотреть, как сеть будет работать. Симуляция является очень полезным инструментом, так как по мере роста сети и трансформации маршрутов нет другой возможности проверить, как небольшое изменение повлияет на сетевую работу.
Продуманная модель сети охватывает наибольшее число деталей и нюансов сети. Она должна включать в себя следующее:
характеристики маршрутов;
свойства коммутаторов;
образцы трафика;
характеристики проекта.
Симуляторы сети используют два метода моделирования трафика.
Дискретный. Исследует каждый пакет для определения его поведения, но является более медленным, чем аналитический метод.
Аналитический. Делает предположения и обобщения относительно сетевого трафика
Хотя аналитический метод пользуется прогнозами в отношении сетевого трафика, некоторые аналитики полагают, что этот метод так же точен, как и дискретный. В организациях с более чем 50 маршрутизаторами и коммутаторами предпочтительнее пользоваться аналитическим методом, потому что дискретный займет слишком много времени.
Далее мы обсудим некоторые наиболее важные понятия сетевой работы, которые следует учитывать, а также возможность их упрощения при моделировании.
Топология
При создании модели сети первым шагом является создание изображения сети, в которое входит ее топология и трафик. Топология - это каркас вашей сети, который включает в себя как ее физическую конструкцию, так и логическую конфигурацию. Некоторые из устройств, включаемых в топологическую схему, перечислены ниже:
маршрутизаторы;
компьютеры;
коммутаторы;
линии WAN;
линии LAN;
соединения типа "точка-точка".
Некоторыми из логических установок, которые следует учитывать, являются:
настройки интерфейса маршрутизатора;
LAN-скорости;
WAN-скорости;
возможности маршрутизаторов;
протоколы трассировки;
согласование выдачи имен.
Не пугайтесь при мысли о том, что вам придется собирать всю эту информацию. Вам не надо отправляться в комнату, где стоит сервер, с планшетом, спальным мешком и сухим пайком. Существуют программы, которые используют протокол Simple Network Management Protocol (SNMP) для исследования сети и всех ее физических и логических особенностей.
Трафик
В предыдущем разделе говорилось о построении базовой карты маршрутов сети. Теперь давайте добавим к этим маршрутам некоторое количество трафика и посмотрим, в каких местах сети он будет находиться. Это важно, так как трафик, создаваемый уже существующими приложениями, будет влиять на трафик, сгенерированный новыми приложениями, и наоборот. Замеры трафика лучше всего проводить в тех точках, откуда он исходит, и в конечных точках. В эти точки надо поместить сетевые зонды. К сожалению, сетевые зонды достаточно дороги (до 15 000 долларов) и их долго устанавливать.
Зонды - это обычные РС c зондирующими программами. Они по размеру меньше персонального компьютера, без клавиатуры и монитора.
Несмотря на то что зонды дорого стоят и их сложно устанавливать, информация, которую они собирают, является бесценной. В таблице 17.3 перечислены некоторые поставщики сетевых зондов.
Таблица 17.3. Изготовители сетевых зондов |
|||
Компания/Продукт |
Формат решения |
Цена, долл. |
Контакты |
Compuware/NetworkVantage |
Программа |
3 000 - 12 000 |
http://www.compuware.com |
NetScout/NetScout |
Программа и устройство |
1 500 (программа) 3 000 - 15 000 (оборудование) |
http://www.netscout.com |
HP/OpenView Network Node Manager |
Программы |
5000 |
http://openview.hp.com |
Хорошие зонды собирают информацию о трафике вплоть до прикладного уровня и генерируют статистику на базе приложений. От зондов можно получить следующую информацию.
Сетевые протоколы.
Имя приложения.
Исходный компьютер.
Конечный компьютер.
Количество пакетов, проходящих в каждом направлении.
Количество байтов, проходящих в каждом направлении.
Запаздывание приложения.
Продолжительность соединения.
Вся эта информация пригодится при построении сети. Однако даже если вы не строите топологическую модель своей сети, эта информация полезна сама по себе. Например, вы можете использовать зонд для проверки запаздывания приложения, чтобы выяснить, достаточен ли уровень обслуживания в сети. Можно посмотреть, какова скорость передачи данных каждого приложения и т. д.
Тестирование
Запуская свой симулятор, приготовьтесь к тому, что тестирование продлится несколько часов. Это не так уж плохо, потому что чем дольше будет продолжаться тестирование, тем лучшее представление о своей сети вы получите. Если вы хотите повысить скорость работы симулятора, то удалите или зафиксируйте трафик работы.
Снижение трафика работы. Естественно, если вы удалите разговоры из сети, то это искусственным образом снизит количество трафика и даст искаженные результаты. Однако это не означает, что этого нельзя сделать без помех. Если несколько зондов одновременно фиксируют данные, то они будут получать одни и те же разговоры. Обычно программы зондов ликвидируют дублирующиеся разговоры, но если программа не "отловит" их, то придется это сделать вручную. Разговоры с небольшим количеством байтов имеют незначительное влияние на сетевую работу, и их можно удалить, не искажая результатов. Скорее всего, вы сможете удалить до 40 % разговоров и потеряете только 3 % трафика.
Консолидация разговоров. Другим способом упрощения процесса является консолидация однотипных разговоров, имеющих один и тот же источник и конечный пункт. Все пакеты и байты добавляются к этой консолидации, и потерь трафика не происходит. Будет хорошо, если вы укажете определенный промежуток времени, в течение которого оба разговора будут происходить до консолидации. В целом вы сможете снизить количество разговоров на 40-70 %.
Запуск симуляции
Когда вы получили подробную схему топологии своей сети и образцы трафика, можно начинать симуляцию. Вначале сформулируйте в уме вопрос, какое влияние окажет на работу сети добавление еще одного банка пользователей к данному серверу. Если, задавшись таким вопросом и проводя симуляцию, вы обращаете внимание на некоторые происходящие изменения, то подумайте о внесении следующих изменений.
Изменение или добавление линий WAN или LAN.
Изменение или добавление маршрутизаторов.
Изменение трассирующих протоколов.
Удаление или добавление серверов.
Удаление или добавление пользователей.
Добавление или удаление приложений.
Инструменты симуляции сети
Следующие поставщики предлагают инструменты для симуляции работы сети, которые помогут смоделировать сеть. Для получения более подробной информации об этих продуктах свяжитесь с поставщиком. Их веб-адреса даны в конце описания каждого продукта.
NetScout nGenius
Инструмент NetScout nGenius Capacity Planner предсказывает поведение приложений, сети и образцы трафика устройств с помощью анализа информации, полученной из целого ряда источников, таких как сетевые зонды, управляемые SNMP устройства и MIB.
Примечание. MIB - это аббревиатура Management Information Base, формальное описание набора сетевых объектов, которыми можно управлять с помощью SNMP.
Использование всех этих инструментов для сбора информации позволяет nGenius получать своевременную и точную информацию о состоянии сети. NGenius использует зонды, осведомленные о приложениях, которые возвращают информацию об использовании полосы пропускания пользователем и приложением.
Кроме того, nGenius исследует трафик приложений, давая представление о том, какую часть ресурсов они потребляют. NGenius использует nGenius NewStand для предоставления отчетов об отдельных пользователях и группах. Эти отчеты можно экспортировать в интранет для внутреннего использования. NGenius позволяет выполнять следующие действия.
Определять наиболее и наименее используемые сегменты сети, цепи и виртуальные локальные сети.
Сосредоточиваться на особенностях сети для обнаружения специфических требований
Использовать NetScout-зонды для получения точных текущих данных о состоянии сети.
NGenius Capacity Planner использует технологию подписывания трафика (Traffic Signature) для создания максимальной, 90-процентной и средней базовых линий. Эта технология позволяет получать следующую информацию.
Отчеты за каждый час дня в сравнении с максимальной, 90-процентной и средней базовой линией.
Повторяющиеся образцы.
Предупреждения о том, что трафик отличается от нормального.
Более подробную информацию об инструменте nGenius Capacity Planning можно получить на сайте http://www.netscout.com.
Compuware Predictor
Инструмент Compuware Predictor показывает влияние изменений трафика или топологии на работу сети в целом. Predictor использует метрические показатели задержки и утилизации, а также предсказания того, в каких местах будут проявляться задержки отклика приложений.
Predictor можно использовать для:
отключения устройств;
моделирования изменений протокола;
планирования простоев сети;
централизации серверов;
управления пропускной способностью;
управления обновлением;
обнаружения узких мест;
добавления новых пользователей, групп пользователей и приложений.
Predictor предоставляет ряд метрических данных и отчетов по такой тематике, как пропускная способность WAN и запаздывание, задержка и утилизация. Кроме того, Predictor использует предупреждения, тревожные сообщения и информацию о перегрузке.
Его можно использовать для отслеживания изменений в поведении сети, связанных с транзакциями приложений. Все это можно накладывать на живой фоновый трафик для моделирования влияния, которое окажет новое приложение, если его применить в существующей конфигурации. Это позволяет исследовать альтернативы для минимизации времени отклика, включая повышение пропускной способности, передислокацию сервера и обновление процессора.
Наконец, наиболее важным для среды Microsoft является то, что Predictor взаимодействует с .NET-приложениями. Predictor позволяет проводить подробный анализ влияния .NET-приложений на работу локальной и глобальной сети. В связи с особенностями .NET-архитектуры приложения ведут себя не как "обычные" приложения. Например, некоторые .NET-приложения выбирают произвольный путь следования в интернете, в то время как другие следуют по указанным WAN-линиям. В любом случае требования пропускной способности и возможности линий должны быть проанализированы до того, как приложения будут применяться в вашей организации. Predictor позволяет .NET-пользователям моделировать свою .NET-инфраструктуру и затем определять, как специфические ссылки поведут себя при развертывании.
Более подробную информацию о Compuware Predictor можно прочитать на сайте http://www.compuware.com.
Инструменты сторонних производителей
Ранее в этой лекции мы говорили о System Monitor компании Microsoft как о хорошей и надежной программе. Однако вы можете посчитать необходимым использование инструментов других разработчиков для мониторинга своей сети. Совершенно точно, что на рынке программных продуктов нет недостатка в таких инструментах. Вот только малая часть доступных приложений.
Lucent VitalSuit
Приложение VitalSuit представляет собой интегрированный набор программных модулей для мониторинга сетевой активности, приложений и их транзакций. Для планирования мощности и других нужд VitalSuit содержит базу данных SQL Server (включает SQL Server 7.0 и 2000).
My Vital объединяет виды трех основных компонентов (VitalNet, VitalAnalysis и VitalHelp) в одном окне. Это является прекрасным обобщением, которое отражает работу системы.
My Vital можно настроить на создание различных отчетов, ориентированных не только на нужды IT-отделения или сетевого администратора, но и отдельных работников.
Эта возможность позволяет различным членам организации предпринимать соответствующие действия на основании своей роли. Например, отделению финансов не обязательно знать, насколько хорошо маршрутизаторы справляются со своей работой. Однако ему нужны сведения о том, насколько хорошо работают специальные приложения и деловые транзакции. Поэтому работники бухгалтерии могут настроить My Vital на отслеживание этих приложений и транзакций, а затем - на создание соответствующего отчета о конечных результатах.
Более подробную информацию об инструменте VitalSuit можно прочитать на сайте http://vital.lucent.com.
Concord eHealth
Concord eHealth - это набор четырех компонентов для проведения мониторинга сети. В его состав входит следующее.
Network Health. Следит за работой и доступностью WAN-интерфейсов, маршрутизаторов, коммутаторов, каналов Frame Relay и оборудованием удаленного доступа.
Live Health. Опрашивает SNMP-управляемые устройства, определяя их статус и состояние, представляет ошибки и потенциальное время простоя.
System Health. Ведет наблюдение за серверами и выбирает клиентов для предупреждения администратора о проблемах работы приложений, поломках серверов и проблемах с запасами памяти на жестких дисках.
Application Health. Набор инструментов, ориентированных на транзакции, для определения причины плохого отклика приложений. Один из инструментов (Application Assessment) наблюдает за работой программ Microsoft Exchange, Internet Information Server и SQL Server, отслеживая ошибки.
EHealth может представлять собранные данные в браузере, консоли сервера или формате Adobe Acrobat. Более того, eHealth имеет собственный веб сервер для представления данных по управлению и отчетов в виде веб-страниц.
При первом запуске eHealth работает над созданием базовой линии сети, характеризующей "нормальное" поведение. Создав базовую линию, он указывает экстраординарные события, вроде высокого или низкого трафика на маршрутизаторе или коммутаторе, основываясь на нескольких правилах. Когда аномалия определена, SystemEdge компонент eHealth может послать сообщение.
Более подробную информацию об инструменте eHealth можно прочитать на сайте http://www.concord.com.
HP OpenView
Линия инструментов для мониторинга от компании Hewlett-Packard включает в себя ряд продуктов Open View. Open View содержит 56 различных инструментов для мониторинга сетей. Продукты Open View используются для наблюдения за веб-активностью, UNIX-средой и OS/400-окружением. Для Windows XP Professional-среды больше всего подходит Open View Operations for Windows.
OpenView Operations for Windows - это распространенное решение, и оно установлено на целом ряде сетевых хостов. Инструмент может выполнять следующие работы.
Находить сеть.
Внедрять правила управления и политику.
Собирать и автоматически откликаться на события.
Просматривать и управлять сообщениями.
Создавать отчеты и графики.
Представлять важнейшие сервисы на цветных топологических картах (схемах).
Объединенный агент событий и выполнения ведет наблюдение за несколькими платформами и может быть дистанционно развернут с управляющей консоли. В гетерогенной среде Open View Operations for Windows позволяет управлять не только своими Windows компьютерами, но и машинами, на которых работают программы Solaris, AIX, HP-UX, NetWare, Tru64, Linux.
С одного OpenView Operations for Windows-сервера можно отслеживать сотни узлов и тысячи событий. Так как эта программа использует собственные технологии компании Microsoft, она получила сертификацию Windows 2000. В связи с тем что линия Open View насчитывает так много продуктов, каждый из которых выполняет специфическую функцию, OpenView Operations for Windows можно объединять с другими Open View-продуктами для повышения возможностей обоих инструментов. Ниже перечислены некоторые продукты Open View.
Open View Operations for UNIX. Удобен для работы в широкой гетерогенной среде.
Open View Network Node Manager. Удобен для поиска сетевых элементов, разметки, описи и выполнения.
Open View Problem Diagnosis. Представляет карту двух элементов сети и промежуточные точки для поиска причин проблемы.
Open View Reporter. Составляет отчеты обо всех элементах сети и представляет их в виде веб-страниц.
Open View Internet Services. Программа, которая симулирует работу пользователя с приложениями и интернет-службами.
Более подробную информацию о продуктах линии Open View можно прочитать на сайте http://openview.hp.com.
Compuware NetworkVantage
Решением компании Compuware для мониторинга выполнения является продукт под названием Compuware NetworkVantage. Он ведет пассивное наблюдение за сетью, в том смысле, что его работа не поглощает ресурсов сети. Compuware NetworkVantage отслеживает количество трафика, генерируемого сетевыми приложениями (он может самостоятельно найти более 2000 приложений и протоколов в OSI), и затем связывает этот трафик с клиентом, его производящим. Это позволяет сетевым администраторам видеть, какие приложения используют большую часть канала связи, и какие пользователи генерируют больше всего трафика.
Если трафик превышает границу, установленную организацией, NetworkVantage посылает предупреждение, чтобы администратор предпринял соответствующие меры во избежание перегрузки сети. Уведомление производится посредством NetworkVantage Interactive Viewer - пользовательского интерфейса, который указывает приложения, замедляющие работу сети. Viewer также используется для отслеживания специальных параметров работы сети, серверов и клиентов.
NetworkVantage полезен для растущих управленческих задач, он генерирует отчеты, в которых указаны тенденции использования сети.
NetworkVantage расскажет о специфических деталях трафика в сети. Например, он может проводить различие между борьбой за пропускную способность, запаздыванием и временем, отведенным на отклик клиента или сервера.
NetworkVantage позволяет изучать данные сети различными способами, по-разному представляет данные о работе сети и приложений, например, группирует их по приложению, клиенту или серверу. Это облегчает просмотр, когда сетевая проблема связана с определенным клиентом, "жадным" приложением или плохо сконфигурированным сервером.
Более подробную информацию о Compuware NetworkVantage можно прочитать на сайте http://www.compuware.com.
Вести наблюдение за работой сети очень важно. Это необходимо не только потому, что позволяет убедиться в нормальной работе сети. Мониторинг нужен для наблюдения за изменениями при планировании модификаций сети. Наблюдение за работой сети требует многогранного подхода, учитывающего влияние как оборудования и программ, так и самих пользователей