Косарев_Экомическая информатика
.pdfОперационные системы новых технологий |
191 |
записей пользователей, защиты ресурсов, организации межком пьютерных коммуникаций, включая именованные каналы и по чтовые ящики.
При разработке Windows NT базой построения сетевых средств явились сетевые средства MS LAN Manager. Эти средства откры ли Windows NT доступ к ресурсам компьютеров со следующими операционными системами: MS DOS, Windows for Workgroups, Windows 9x, OS/2.
Ввиду того, что производителем программных продуктов Windows NT, LAN Manager, Windows for Workgroups, Windows 9x является фирма Microsoft, эти продукты практически совмес тимы, и возможна интеграция сетей, построенных на основе ука занных ОС. Эта интеграция позволяет использовать ресурсы каж дой из сетей на уровне совместного использования ресурсов (ка талогов, файлов, принтеров), обмена сообщениями, отмены этих операций и т.п.
Эффективный переход из одной из указанных систем в дру гую может осуществляться администратором сети с помощью ра ботающих практически одинаково во всех указанных системах следующих команд:
•совместного использования ресурсов - net use;
•просмотра совместно использованных ресурсов - net view;
•передачи сообщений - net send;
•отмены режима совместного использования ресурсов - net
share.
Однако рассматриваемые ОС имеют значительные отличия в системе безопасности. Уровень безопасности, предоставляемый ранними версиями ОС, не отвечает требованиям системы Windows NT. Несмотря на то, что при автономной работе в одноранговой среде не обеспечивается защита по пользовательским именам, любая из названных систем может быть интегрирована в систему защиты Windows NT.
Защита может быть осуществлена либо на уровне совместно используемых ресурсов (для Windows NT, Windows for Workgroups и Windows 9x) с помощью учетной записи Guest, либо на более высоком уровне безопасности - созданием учетной записи в каж дой из систем Windows NT для каждого пользователя Windows for Workgroups или Windows 9x. Контроль осуществляется по имени и паролю пользователя.
192 |
Глава 4 |
4.6.3. WINDOWS NT И LAN MANAGER
Рабочие станции Windows NT могут использовать ресурсы серверов LAN Manager, а рабочие станции LAN Manager могут свободно использоваться Windows NT-серверами. Серверы LAN Manager и Windows NT можно использовать в одном домене.
Однако возникают проблемы при попытке установить дове рительные отношения между доменами, работающими под управ лением NT-серверов и доменов LAN Manager. Но и эта проблема может быть решена созданием для пользователей LAN Manager локальных пользовательских учетных записей (т.е. созданием на каждом главном контроллере домена дублирующих учетных за писей).
Обе эти ОС базируются на SMB-протоколе, а в качестве ос новного используют NetBEUI-протокол. Совпадают многие API, структуры данных, и часто используется один и тот же синтаксис команд.
Имеются некоторые различия, например, в структуре и прин ципах работы домена, способах обработки паролей, в механиз мах просмотра ресурсов сети, в механизмах репликации катало гов и некоторые другие.
4.6.4.WINDOWS NT И WINDOWS FOR WORKGROUPS
Windows NT может быть интегрирована с Windows for Workgroups, при этом пользователи Windows for Workgroups ста новятся членами домена NT.
Для выделения в совместное пользование файлов в Windows for Workgroups используется утилита File Manager, принтеров -
Print Manager.
К каталогу (а соответственно и к файлам), выделенному в со вместное использование в системе Windows for Workgroups, мож но обращаться из системы Windows for Workgroups, Windows NT и другой LAN-Manager-совместимой системы сети.
Для обмена данными и сообщениями ОС Windows for Workgroups предоставляет и другие утилиты, совместимые с вер сиями, разработанными для Windows NT, например утилиты
Операционные системы новых технологий |
193 |
Microsoft Mail, Schedulle +, Chat (обеспечение двусторонней свя зи), Net Watcher (контроль за установленными связями ПК с ре сурсами системы и организацией разрыва связей) и др.
4.6.5. WINDOWS NT И NETWARE
Операционные системы Windows NT и NetWare конкуриру ют между собой. Но нередко целесообразно совместное исполь зование этих систем. Это обусловлено тем, что при более низкой надежности NetWare имеет более высокую производительность по сравнению с Windows NT.
NetWare обеспечивает высокую эффективность при использо вании ее в качестве файл-сервера и сервера печати. Этому способ ствуют низкие по сравнению с Windows NT требования к объему памяти, более эффективное использование возможностей диско водов и контроллеров, встроенных в компьютер.
Однако NetWare (кроме версии 5.0) не обеспечивает пользо вателю возможности входа в Интернет, так как она не поддержи вает протокол TCP/IP. NetWare эффективна лишь для организа ции локальных сетей масштаба предприятия.
Методы организации стыковки средств Windows NT и NetWare постоянно развиваются. В основе организации взаимо действия этих систем лежит использование следующих программ ных компонентов.
•Протокол NWLink создает условия для работы Microsoftприложений, обеспечивающих связь и доступ к ресурсам NetWare,
атакже позволяет пользователям NetWare работать с сетевыми приложениями, выполняемыми на серверах Windows NT. Он ус танавливает связь с системой NetWare на самом нижнем уровне.
•Сетевой редиректор Windows NT, управляющий передачей запросов из системы Windows NT в систему, работающую под управлением NetWare. Трансляция данных между протоколом обеспечивается с помощью разработанных Microsoft дополнитель ных сетевых редиректоров.
•Редиректор Gateway Services for NetWare (GSNW) использу ется в Windows NT Server, а в Windows NT Workstation использу ется Client Services for NetWare (CSNW). CSNW является одним
194 |
Глава 4 |
из компонентов GSNW. Эти редиректоры называют также про вайдерами, так как они предоставляют ресурсы сети NetWare кли ентам Windows NT. С помощью GSNW создается шлюз между сервером Windows NT и сервером NetWare, позволяющий под ключить Windows NT Server к файловым и принтерным ресурсам NetWare.
• Пакет File and Print Services for NetWare (FPSNW) использу ется для подключения клиентов NetWare к файловым и принтер ным ресурсам и серверным приложениям компьютеров, работа ющих под управлением Windows NT Server. Этот пакет позволяет серверу Windows NT имитировать сервер NetWare.
• Утилита Net Ware Migration Tool (NWMT) предназначена для перевода локальных сетей NetWare на платформу Windows NT Server. При запуске NWMT автоматически переносятся учетные записи пользователей и группы NetWare, структуры каталогов (в том числе и права доступа), сценарии регистрации и очереди на печать. Совместное использование утилиты NWMT с пакетом FPSNW позволяет представить сервер Windows NT как NetWare- файл-сервер и сервер печати. Это позволяет адаптировать Windows NT Server для работы в локальной сети NetWare.
•Пакет Domain Services Manager for NetWare позволяет пе редавать сервер NetWare в NT-домен под управление главного контроллера домена NT Server.
•Пакет Client Services for NetWare (может использоваться ло кально либо в составе GSNW) - второй вид провайдера (NCP - редиректор) для рабочих станций Windows NT 4. CSNW не транс лирует, как GSNW, SMB, пакеты в NSP-пакеты, но позволяет пользователям Windows NT просматривать и использовать ресур сы, выделенные для совместного использования на сервере NetWare и на сервере Windows NT.
•NetWare Client for Windows NT (NWCWNT) - клиентское программное обеспечение фирмы Novell, позволяет пользовате лям Windows NT обращаться к ресурсам NetWare и использовать их. Этот продукт заменяет CSNW от Microsoft и во многом иден тичен с ним. NWCWNT имеет больше возможностей при работе с большими сетями NetWare, так как может использовать несколь ко каталогов NDS.
Операционные системы новых технологий |
195 |
4.6.6. WINDOWS NT И ДРУГИЕ ОС ПОДДЕРЖКИ СЕТЕЙ
Для организации связи клиентов Windows NT с сетями, функ ционирующими на основе других операционных систем, исполь зуются соответствующие провайдеры, поставляемые разработчи ками этих сетей.
Так, возможность клиентов Windows NT и клиентов Apple Macintosh разделять файлы и принтеры создает компонент про граммного обеспечения Microsoft Windows NT Server Services for Macintosh. При его использовании компьютер, работающий под управлением Windows NT Server, может служить сервером для компьютеров обоих типов, и компьютеры Apple Macintosh могут разделять ресурсы с любым клиентом, поддерживаемым Windows NT Server.
Пакет Pathworks for Windows NT для процессоров Intel, MIPS
иAlpha позволяет клиентам Pathworks (Windows 3,1, Windows 9x, DOS, OS/2, Macintosh) пользоваться ресурсами Windows NT.
Пакет Street Talk для Windows NT позволяет системам с Windows NT Server работать наравне с серверами Banyan VINES
идр.
4.7. ОСОБЕННОСТИ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS 2000
Программный продукт Windows 2000 может использоваться на настольных ПК и на кластерах серверов с симметричной мно гопроцессорной обработкой, имеющих подсистему хранения ем костью в миллионы терабайт и оперативную память емкостью в сотни гигабайт.
Windows 2000 включает четыре сетевые операционные систе мы, ориентированные на решение различных типов задач пользо вателя.
Windows 2000 Professional - сетевая операционная система, предназначенная для офисных и мобильных ПК. Она является развитием Windows NT Workstation 4.0 и характеризуется повы шенной надежностью и безопасностью.
Windows 2000 Server - универсальная сетевая операционная система, поддерживающая 4-процессорные серверы и 4 Гбайта
196 |
Глава 4 |
оперативной памяти, ориентированная на использование в неболь ших и средних организациях. Windows 2000 Server унаследовала лучшие свойства Windows NT Server 4.0 и соответствует новому стандарту в области надежности, интеграции ОС и службы ката логов, приложений, сетей Интернет, служб печати и доступа к файлам.
Windows 2000 Advanced Server - специализированная операци онная система, поддерживающая 8-процессорные серверы и 8 Гбайт оперативной памяти. Она предназначена для работы в ка честве сервера приложений (особенно при работе с большими ба зами данных), шлюза Интернета и выполнения других функций. Windows 2000 Advanced Server может выполнять все функции Windows 2000 Server, но с большей производительностью, с уве личенным временем безотказной работы системы и улучшенной управляемостью благодаря интегрированным службам управле ния кластерами.
Windows 2000 Datacenter Server - операционная система, под держивающая 32-процессорные архитектуры и 64 Гбайта опера тивной памяти, может быть использована для решения ресурсо емких задач. Windows 2000 Datacenter Server может решать все задачи, решаемые Windows 2000 Advanced Server, а также задачи
,требующие высокого уровня масштабируемости.
Вядре Windows 2000 Advanced Server и Windows 2000 Datacenter Server реализована поддержка 36-разрядной адресации, за счет чего процессор может обращаться к оперативной памяти емкостью 64 Гбайта.
Отличительные особенности операционной системы Windows 2000 по сравнению с Windows NT 4.0 заключаются в следующем.
Значительно увеличены масштабируемость и производитель ность системы. Это достигнуто благодаря расширению физичес кого адресного пространства, позволяющего процессору обра щаться к 64 Гбайтам оперативной памяти; поддержке 32-процес- сорных систем; использованию специальных программных настроек при резервировании и блокировке памяти, снижающих конкуренцию между процессорами за ресурсы и др.
Для облегчения работы администратора и повышения безо пасности установки система Windows 2000 дополнена такими сред ствами, как Служба дополнительного восстановления системы (Advanced System Recovery), Мастер устранения несовместимос ти драйверов (Driver Incompatibility Wizard), Диспетчер компо нентов (Option Component Manager).
Операционные системы новых технологий |
197 |
В Windows 2000 реализован принцип снижения времени незап ланированного простоя системы до нулевого, в случае же их появле ния - максимальной помощи администратору по выявлению этих причин. Для этого в систему встроены механизмы повышения на дежности, а также предоставлены администраторам системы но вые инструменты восстановления системы после сбоев.
Если сбой обусловлен установкой некорректных драйверов, то администратору предлагается выполнить загрузку в режиме безопасной работы (Safe Mode). Этот режим предлагает выбор одного из четырех возможных режимов выполнения загрузки (стандартный, сетевой, с командной строкой или режим восста новления активной службы каталогов).
Загрузка в безопасном режиме позволяет администратору про верить корректность любых драйверов. В процессе проверки ад министратор изменяет заданные по умолчанию значения парамет ров ключей драйверов и служб в определяющих их ветвях Реест ра конфигурации.
Другим инструментом восстановления системы является Кон соль восстановления (Recovery Consol), использующаяся при вы полнении загрузки с компакт-диска или с загрузочных дискет с целью восстановления системы или замены поврежденных фай лов ядра системы. Консоль восстановления предоставляет допуск к набору команд для управления драйверами и некоторыми служ бами, имеющими отношение к загрузке системы.
Внесены значительные изменения, связанные с организацией системы безопасности, файловой системы, службы каталогов, доменной архитектуры, администрирования, взаимодействия с другими сетями.
Система безопасности в Windows 2000 реализована на основе распределенной защиты за счет следующих возможностей:
• обеспечения быстрого и единого доступа, основанного на стандартах по протоколу Kerberos1 версии 5 к ресурсам Windows и ресурсам других сред, поддерживающих этот протокол. Прото кол Kerberos предусматривает безопасный способ передачи по сети сеансового ключа шифрования, содержащего основную инфор мацию для аутентификации пользователя, что особенно важно при работе с Интернетом или другими сетями;
1 Kerberos (Цербер) - в древнегреческой мифологии трехглавый пес, ох ранявший вход в подземное царство.
198 |
Глава 4 |
•реализации протокола Kerberos на основе открытого стан дарта (RFC 1510), что позволяет осуществлять межсетевую аутен тификацию между ОС Windows 2000 и другими ОС, отвечающи ми требованиям этого стандарта;
•использования новой службы Kerberos Key Distribution (KDS) для установления подлинности клиента и ресурса. KDS, устанав ливаемая одновременно с активной службой каталога, на основе анализа аутентификационных сведений пользователя (вводимых им при регистрации - с одной стороны и хранящихся в AD - с другой) генерирует разрешение на доступ к запрашиваемому ре сурсу;
•организации взаимной аутентификации клиента и сервера: клиент запрашивает подлинность сервера, сервер убеждается в подлинности клиента;
•поддержки входа в систему посредством технологии кредит ных карт (смарт-карт) для усиленной проверки подлинности при получении доступа к важным ресурсам. Чтобы зарегистрироваться
всистеме с помощью смарт-карт, пользователю необходимо иметь устройство считывания, саму кредитную карту, содержащую от крытый ключ шифрования, и знать персональный идентифика ционный номер кредитной карты (PIN-код). Замена пароля пользователя открытым ключом осуществляется с помощью рас ширения протокола Kerberos - так называемого PKINIT. Кроме того, для регистрации с помощью смарт-карты должен быть ус тановлен программный продукт Windows 2000 Certificate Server, который использует загружаемые им самим необходимые серти фикационные шаблоны регистрации;
•реализации связи по сети с использованием стандарта IPSec, защищающего передачу важных данных;
•применения нового средства безопасного подключения сети
кИнтернету - Мастера новых подключений (Make New Connection).
Файловая система Windows 2000 значительно улучшена за счет внедрения распределенной файловой системы, представляющей собой единое иерархическое пространство нескольких файловых серверов и общих папок на файловых серверах в сети. Увеличены ее надежность и легкость в использовании; дополнены возможно сти архивирования и восстановления данных; стало реальным со здание архивных копий в виде единого файла на жестком диске и ленточных носителях, что облегчает восстановление файла в слу чае отказа жесткого диска.
Операционные системы новых технологий |
199 |
Принципиально новая концепция иерархического управления памятью реализована на основе RSS (Remote Storage Service), ис пользующей так называемые точки монтирования1. Точки мон тирования устанавливаются в места бывшего размещения файлов, удаляемых из основной памяти во вторичную память.
При необходимости извлечения информации из вторичной памяти пользователь активизирует в каталоге точки монтирова ния удаленной информации. Эта информация автоматически из влекается из файла на вторичных носителях и передается пользо вателю. Точки монтирования применяются также для управления объемом необходимой пользователю памяти.
В Windows 2000 создана новая служба каталогов Active Directory (AD) - активная служба каталогов, в которой учтены все достоинства служб каталогов ОС Windows NT (NTDS) и ОС NetWare (NDS).
Active Directory позволяет каталогизировать всех пользова телей, компьютеры и соответствующие данные о сетевой конфи гурации системы. Все функции службы каталогов доступны для использования и интеграции с другими приложениями, катало гами и устройствами через систему интерфейсов.
Активная служба каталогов предоставляет пользователю воз можность выбора принтера по таким критериям, как местополо жение и параметры, а также возможность поиска и подключения к выбранному принтеру. AD предоставляет возможности печати и управления принтерами через Интернет.
Интеграция службы AD с групповой политикой обеспечивает детализированный контроль соответствия доступа пользователей, приложений, внешних сетей к объектам сети Windows.
Служба AD, интегрированная с технологией управления IntelliMirror Management Tecnologies, позволяет администраторам централизованно и удаленно .устанавливать на рабочих местах пользователей системы Windows 2000 Professional (включая кон фигурацию программного обеспечения, настройку Рабочего сто ла, документы и т.д.) в соответствии со сведениями, хранящимися в учетных записях пользователей. Администратор получает воз можность автоматически рассылать пользователям рабочих стан ций необходимые им приложения.
1 Точка монтирования - объект ntfs, указывающий ОС на необходи мость выполнения функции расширенной файловой системы.
200 |
Глава 4 |
Служба Active Directory позволяет администраторам делеги ровать набор административных полномочий отдельным пользо вателям с целью распределения и улучшения администрирования (например, делегирование аутентификации при обращении к та кому приложению, как Outlook.; делегирование полномочий сис темного администратора локальной сети в больших доменных архитектурах и т.д.).
В Windows 2000 расширены возможности домена по обслужи ванию числа пользователей до 1 млн и более. В связи с этим отпа дает необходимость построения во многих организациях многодоменных структур со сложными доверительными связями. Та кая возможность обеспечена службой каталога Active Directory.
Более гибкое управление доменами обеспечивает возможность динамического назначения любого сервера контроллером домена.
Характерным для организации безопасности в Windows 2000 является совершенствование управления доступом к ресурсам в масштабе домена, обусловившее необходимость одновременного запуска на каждом контроллере домена служб KDS и AD.
ВWindows 2000 заложена концепция использования транзи тивных доверительных отношений между доменами. Так, при ра боте с доменами в Windows NT 4.0, если один домен поддержива ет доверительные отношения со вторым доменом, а второй под держивает доверительные отношения с третьим доменом, организация доверительных отношений между первым и третьим доменом осуществляется администратором вручную. В Windows 2000 эта задача решается с помощью транзитивных доверитель ных отношений автоматически.
ВWindows 2000 предусмотрены пять базовых типов довери тельных отношений, в том числе три типа транзитивных довери тельных отношений: между двумя корневыми доменами, принад лежащими одному и тому же лесу доменов; между родительским
идочерним доменами в одном и том же дереве; между любыми доменами, принадлежащими одному и тому же лесу доменов.
Транзитивные доверительные отношения позволяют умень шить число отношений доверия между доменами Windows, упро щают работу администратора сети, особенно при наличии боль шого числа доменов и при добавлении новых доменов.
Значительные изменения и дополнения внесены в функции администрирования Windows 2000. Кроме отмеченных выше из менений можно выделить следующие возможности: